Utilizzo dei c.d. “Dark patterns”, raccolta di informazioni eccedenti rispetto alle finalità perseguite e inadeguate attività di verifica delle liste di contatti acquisite da fornitori terzi: queste le principali violazioni contestate dall’Autorità Garante per la Protezione dei Dati Personali ad una società attiva nell’ambito del telemarketing che hanno portato all’irrogazione di una sanzione amministrativa pari a circa il 2% del fatturato globale annuo (300 mila euro).
Con il provvedimento n.51 del 23 febbraio (pubblicato sul sito dell’Autorità solo il 17 aprile scorso) il Garante privacy italiano è intervenuto nuovamente nell’ambito del telemarketing. Tra le diverse irregolarità riscontrate, le più interessanti riguardano il mancato rispetto della normativa privacy vigente relativamente all’informativa privacy e alla raccolta del consenso per finalità di marketing, l’utilizzo dei c.d. “Dark Patterns”, l’errata qualificazione dei ruoli privacy nell’ambito dei rapporti con i partner commerciali - fornitori di liste di contatti – e l’adozione di inadeguate procedure di verifica delle liste di contatti acquistati dai fornitori.
Utilizzo dei cd. Dark pattern e mancata convalida dei consensi raccolti (double-opt in)
L’Autorità, a seguito dell’attività ispettiva effettuata sui portali gestiti direttamente dalla società sanzionata, ha riscontrato l’utilizzo dei c.d. “Dark Patterns” (o modelli oscuri) - interfacce grafiche finalizzate ad indurre gli utenti a prestare consensi privacy non necessari – e la mancata adozione di una procedura di convalida del consenso successivamente all’iscrizione degli interessati sui propri portali tramite l’invio di una e-mail contenente il link per la conferma del consenso prestato per la registrazione (il c.d. double-opt in).
Durante il processo di iscrizione veniva richiesto all’interessato di esprimere uno specifico consenso in merito al trattamento per finalità di marketing e alla comunicazione a terzi per finalità di marketing. Se una delle due caselle non veniva selezionata, veniva presentato un pop up che evidenziava la mancanza del consenso e presentava un tasto ben evidente per accettare il trattamento. Il link per continuare senza accettare era posto in basso, fuori dal pop up, in testo semplice (senza il formato grafico del pulsante) scritto con carattere di dimensioni inferiori al resto del testo e, essendo in sovraimpressione, poco visibile. Relativamente alle succitate violazioni, l’Autorità ha ribadito che il consenso prestato dagli interessati deve essere sempre libero ed informato, privo di qualsiasi tipo di influenza, anche grafica, da parte del titolare del trattamento.
Raccolta dei dati: violazione del principio di minimizzazione dei dati ed i c.d. soggetti “referenziati”
Molti dei portali online riconducibili alla società chiedevano agli utenti - ai fini dell’espletamento della procedura di iscrizione ai servizi offerti dalla società - informazioni non necessarie per l’erogazione del servizio offerto dal singolo portale (o da partner commerciali non identificati), dunque eccedenti rispetto alle finalità del trattamento. In alcuni casi l’Autorità ha riscontrato che tale richiesta di informazioni era finalizzata alla definizione di c.d. “profili tipo” per la veicolazione di messaggi promozionali più efficaci aventi ad oggetto prodotti e/o servizi che sarebbero risultati di maggiore interesse per l’utente. Il tutto in assenza del necessario consenso per il trattamento di tali informazioni per finalità promozionali. Le condotte appena descritte comportano una violazione del principio di minimizzazione dei dati sulla base del quale il titolare del trattamento è tenuto a chiedere agli interessati esclusivamente le informazioni ritenute necessarie per il raggiungimento delle finalità sottese al trattamento dei dati personali.
Alcuni portali, inoltre, chiedevano agli iscritti di fornire informazioni (nome e indirizzo e-mail) su soggetti terzi potenzialmente interessati al medesimo servizio per un successivo contatto commerciale. Sul punto l’Autorità è stata perentoria nel ritenere che i dati di soggetti terzi eventualmente conferiti dall’utente nel corso del processo di iscrizione, non si sarebbero potuti comunque considerare assistiti da un idoneo consenso per futuri contatti promozionali. Ciò in quanto lo status di “referenziato” (che sarebbe riconosciuto al soggetto presentato dall’utente) non può surrogare il necessario adempimento dell’obbligo della previa acquisizione di un consenso specifico, documentato ed inequivocabile dell’interessato poiché il terzo referenziante non è (di regola) legittimato a prestare alcun valido consenso per conto dell’interessato destinatario del contatto promozionale.
L’importanza della corretta qualificazione dei ruoli privacy nell’ambito dei rapporti di collaborazione commerciale
Oggetto di contestazione da parte dell’Autorità anche la qualificazione dei ruoli privacy nell’ambito dei rapporti commerciali intercorrenti tra la società e i propri fornitori - in particolare i partner cedenti le liste di contatti utilizzate dalla società per lo svolgimento delle attività promozionali. Ebbene, relativamente ad alcune attività di trattamento effettuante nell’ambito di tali rapporti (gestione dei Database di titolarità dei partner al fine di arricchire la propria banca dati), la società veniva contrattualmente nominata responsabile del trattamento dei dati ai sensi dell’articolo 29 del Regolamento (UE) 2016/679 (“GDPR”). Il Garante italiano, contestando tale qualificazione, ha affermato che la definizione dei ruoli privacy può fondarsi unicamente sull’effettiva attività di trattamento svolta. In particolare, ogni attività di acquisizione o gestione di liste di dati finalizzata all’arricchimento del proprio Database (come avvenuto nel caso della società sanzionata) può inquadrarsi esclusivamente nell’ambito operativo di un soggetto dotato di titolarità autonoma – e dunque non esperibili nella veste di responsabile esterno al trattamento (deputato a trattare i dati nel solo interesse del titolare del trattamento).
L’erronea definizione dei ruoli privacy, oltre a rappresentare una violazione della normativa privacy vigente, può comportare notevoli conseguenze pregiudizievoli, soprattutto relativamente alla gestione dei diritti degli interessati quali, a titolo esemplificativo, l’inadeguata gestione delle richieste formulate ai sensi deli articoli 15-22 del GDPR come l’invio di comunicazioni commerciali anche verso quei soggetti che si erano precedentemente opposti ai trattamenti operati dalla società e/o avevano chiesto la cancellazione dei propri dati personali.
La rilevanza strategica degli obblighi di verifica delle liste di contatti acquisite dai partner terzi
Da ultimo, relativamente alle necessarie attività di verifica delle liste di contatti acquisite, l’Autorità ha contestato alla società diverse violazioni della normativa privacy tra cui: a) la parziale verifica dei consensi e delle informativa privacy presenti sui portali dei propri partner cedenti; b) l’acquisito di liste di dati da un partner avente sede al di fuori dal territorio europeo che aveva omesso di nominare un proprio rappresentante nel territorio dell’Unione europea; c) l’acquisto recente (relativo agli anni 2020/2021) di contatti il cui consenso alla cessione, da parte degli interessati, risaliva al 2016 (dunque ad un periodo antecedente alla piena efficacia del GDPR); d) l’utilizzo di liste contenenti dati inesatti, relativamente ai quali la società non aveva svolto le opportune attività di verifica delle informazioni prima di procedere al trattamento dei dati.
Si conferma, dunque, la rilevanza strategica dei controlli post acquisizione che i cessionari sono tenuti ad effettuare prima di iniziare qualsiasi attività di trattamento sui dati acquisiti. Tali controlli sono devono essere finalizzati a verificare i) che la raccolta dei dati personali sia avvenuta in conformità a quanto previsto dalla normativa privacy vigente, sulla base di un’informativa privacy chiara ii) l’attualità dei consensi prestati dagli interessati e iii) l’esattezza delle informazioni cedute. A tal fine, come più volte sostenuto dal Garante privacy, a nulla rileva la mera indicazione del solo indirizzo IP fornito dal cedente, in quanto insufficiente a certificare la volontà inequivocabile degli interessati in luogo di alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso [..] (come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione).
