Fidelity card: senza il consenso è illecito inviare comunicazioni commerciali

Avv. Vincenzo Colarocco Con una recente pronuncia del 20 giugno 2019, il Garante è tornato a ribadire l’illiceità del trattamento finalizzato all’invio di comunicazioni commerciali nei riguardi de possessori di carta fedeltà qualora il detto trattamento non trovi il proprio fondamento giuridico nel rilascio di un consenso libero e specificamente correlato alla descritta finalità. Il caso di specie, che si sostanzia in accadimenti antecedenti all’applicazione del Regolamento UE 679/2016 (“GDPR”), prende le proprie mosse da alcune segnalazioni inviate all’Autorità Garante (delle quali, la prima datata 15 giugno 2017 e l’ultima 8 settembre 2017), con le quali un’interessata lamentava la ricezione di comunicazioni promozionali mediante posta elettronica da parte di Mediamarket s.p.a. (titolare del marchio “Mediaworld”, di seguito anche la “Società”), in assenza del necessario consenso e nonostante la reiterata opposizione manifestata dall’interessata medesimi ai sensi degli art. 7 ss. della versione previgente del Codice Privacy. A seguito della conseguente istruttoria avviata dall’Autorità, emergeva principalmente che:

1. i) i dati personali (e in particolare l’indirizzo di posta elettronica) relativi alla segnalante sarebbero stati raccolti in occasione della sottoscrizione, nel 2007 e nel 2009, da parte della stessa, di due carte fedeltà “Saturn” (brand riconducibile alla medesima Società e successivamente oggetto di un’operazione di re-branding a vantaggio del marchio “MediaWorld”);
2. ii) la Società non aveva richiesto agli interessati, limitatamente al modulo a marchio “Saturn”, un consenso specifico per le finalità promozionali, bensì un unico consenso per tali finalità nonché per finalità diverse e riconducibili alla gestione contrattuale e paracontrattuale;

iii)       il sistema informativo della Società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di comunicazioni commerciali. In forza delle descritte evidenze il Garante osservava che, in assenza dell’acquisizione di uno specifico consenso per le finalità di marketing, i dati raccolti dal titolare per l’erogazione di alcuni servizi venivano di fatto piegati alla diversa finalità di invio di messaggi promozionali; tanto in violazione, oltre che del principio del consenso libero e specifico di cui agli artt. 23 e 130 del Codice, anche dei principi di correttezza e finalità del trattamento dei dati personali, ribaditi all’art. 5, par. 1 e 2, del GDPR. A conclusione del provvedimento in analisi. il Garante ammoniva la Società a non utilizzare più, per finalità di marketing, i dati personali degli interessati raccolti mediante i moduli relativi alla fidelity card contestata. In più, vietava alla Società di trattare, per la medesima finalità, dati personali di eventuali interessati per i quali non fosse stato rilasciato un comprovato consenso libero e specifico, ingiungendola, inoltre, ad implementare misure tecniche ed organizzative al fine di garantire una corretta gestione delle richieste di esercizio dei diritti da parte degli interessati (in particolare per quanto attiene al diritto di opposizione di cui all’art. 21 del GDPR).