i provvedimenti

Trattamento dati per marketing, come farlo bene per il Garante Privacy

Home Mercati digitali
Indirizzo copiato

Le conclusioni del Garante privacy in due importanti provvedimenti in tema di trattamento di dati personali volti all’acquisizione di leads e al conseguente marketing – Bakeca e Ediscom – ci aiutano a far luce sulla disciplina e su alcune contraddizioni nella gestione dei rapporti tra aziende protagoniste delle operazioni di cessione di dati personali e…

Pubblicato il 2 ago 2023
Gabriella D’Amico

Dipartimento Data Protection Rödl & Partner

Tommaso Mauri

Dipartimento Data Protection Rödl & Partner

Customer,Care,,Care,For,Employees,,Labor,Union,,Life,Insurance,And

Nel corso dei primi mesi del 2023, in conformità con il piano ispettivo del primo semestre dell’anno, l’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Autorità”) ha emanato una serie di provvedimenti che mirano a disciplinare le modalità attraverso le quali possono svolgersi i trattamenti marketing con particolare interesse rispetto al processo di acquisizione dei dati personali oggetto di tale trattamento, ossia la leads acquisition.

Digital marketing a norma di Gdpr, ecco come fare (su web e social)

Proprio in considerazione delle novità apportate dai predetti provvedimenti, appare utile in questo momento storico soffermarsi sui nuovi scenari di trattamento emersi, non solo per fornire spunti interessanti nei confronti degli operatori del settore, ma anche per condividere informazioni utili a beneficio degli stessi soggetti interessati, i cui dati personali sempre più spesso vengono trattati al fine di veicolare a messaggi pubblicitari per la promozione di beni e prodotti di consumo.

Alla luce di quanto sopra, tenuto conto di quanto espresso dal Regolamento (EU) 679/2016 (di seguito, “GDPR”), dal D. Lgs n. 196/2003 come novellato dal D. Lgs n. 101/2018 (di seguito, “Codice Privacy”) e dalle linee guida di c.d. soft law emanate dall’European Data Protection Board (di seguito, “EDPB”), quali sono ad esempio le Linee guida 7/2020 EDPB “sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, nonché dei provvedimenti dell’Autorità che si intenderà esaminare, facciamo luce sulla disciplina e su alcune apparenti contraddizioni ad oggi sussistenti nella gestione dei rapporti tra aziende protagoniste delle operazioni di cessione di dati personali e di attività di marketing. Nel tentativo di perseguire questo obiettivo, ci si concentrerà sull’individuazione di quelli che sono i ruoli delle aziende coinvolte dalle attività menzionate, nonché sull’analisi degli accorgimenti e delle misure di controllo che i titolari del trattamento sono chiamati a implementare. A chiusura del cerchio, si tenterà di fornire un possibile workaround da tenere in considerazioni per garantire lo svolgimento di un trattamento quanto più incline a quelle che sono le indicazioni e le prescrizioni fornite dall’Autorità.

(Dipartimento Data Protection Rödl & Partner – Avv. Nadia Martini)

Il processo di leads acquisition

Nel complesso mondo delle attività di trattamento di dati personali secondo quelli che sono i dettami del GDPR e del Codice Privacy, un ruolo particolare – specialmente nel corso degli anni recenti – lo ricoprono le iniziative legate al marketing e, ancor prima, tutte quelle attività strettamente rilevanti nei processi di c.d. leads acquisition. Consci del fatto che i trattamenti di dati personali di cui alle attività di marketing hanno l’obiettivo di promuovere determinati prodotti e servizi non solo a clienti già acquisiti, ma anche a potenziali nuovi clienti (prospect), approfondiamo l’attività di acquisizione delle leads (di seguito, anche “anagrafiche consensate” o database consensati”). Entrambi i processi menzionati, infatti, secondo diverse accezioni e nel rispetto delle relative peculiarità, sono stati affrontati e approfonditi nel corso di complesse attività istruttoria condotte dall’Autorità nei primi mesi del 2023 nei confronti di aziende leader del settore.

A titolo di premessa, occorre illustrare brevemente quello che è il processo di leads acquisition. Partendo dal concetto di leads, va chiarito che, con tale termine, si intende definire le anagrafiche di soggetti interessati che, a seconda dei casi, hanno manifestato il proprio interesse a ricevere comunicazioni commerciali su beni e prodotti di una determinata azienda. Nel processo di leads acquisition, queste anagrafiche vengono solitamente raccolte da parte di un soggetto che ha come proprio core business proprio quello di raccogliere dati personali di interessati consensati al trattamento per finalità di marketing per poi, successivamente, cederli ad una terza parte che, a fronte del pagamento di un determinato importo di denaro, le acquisisce. A questo punto, tradizionalmente, sulle anagrafiche oggetto di cessione vengono svolte operazioni di marketing che possono riguardare sia prodotti e beni propri del soggetto che acquisisce le leads che prodotti e beni di soggetti terzi, i quali ad esempio appaltano tale attività alla parte che acquisisce le leads.

Resta fermo che, affinché l’intero impianto di trattamento appena descritto, che coinvolge più attori sulla scena ognuno per la propria attività, sia svolto nel rispetto di quanto previsto dal GDPR, è necessario acquisire uno specifico ed espresso consenso presso ciascun soggetto interessato i cui dati personali sono oggetto di cessione. In conformità all’ormai consolidato pensiero dell’Autorità e dell’EDPB, infatti, non è considerata come lecita la pratica di raccogliere i c.d. consensi aggregati, ovvero consensi posti alla base di più di un’attività di trattamento; pertanto, al fine di procedere in maniera lecita a tale cessione di leads, sarà necessario, da parte del cedente, aver acquisito uno specifico consenso alla cessione di dati a terzi per finalità di marketing, autonomo e distinto da un eventuale altro consenso acquisito dallo stesso per svolgere attività di marketing in proprio (c.d. marketing di prima parte).

Nello scenario sopra descritto, va da sé che la presenza di un soggetto disposto a cedere una determinata quantità di dati personali (attività svolta dai c.d. list provider) implica la contestuale presenza di un secondo soggetto che è disposto ad acquisirla. Ed è proprio in questo scenario che fanno la propria comparsa i c.d. players del mercato che – in conformità all’attività di business perseguita – acquisiscono da terze parti i suddetti database consensati. Tali organizzazioni ricoprono il ruolo di veri e propri intermediari, acquisendo dati personali con l’obiettivo di sfruttarli, organizzarli e valorizzarli a proprio vantaggio (economico, naturalmente).

Attraverso l’analisi e la valutazione delle conclusioni cui è giunta l’Autorità nei provvedimenti che saranno oggetto di disamina, nelle righe che seguono si tenterà di fornire – a beneficio delle organizzazioni che fanno dei processi di leads acquisition uno degli elementi fondanti il proprio core business – un quadro dei processi che occorre osservare per garantire la compliance dell’intera attività svolta.

I ruoli delle parti nei contratti di gestione di database e i provvedimenti del Garante Privacy

Come anticipato, ci soffermeremo sulle conclusioni raggiunte dall’Autorità in due importanti provvedimenti in tema di trattamento di dati personali volti all’acquisizione di leads e al conseguente marketing e, in particolare, analizzeremo il provvedimento dell’11 gennaio 2023 (doc. web 9861941) e il provvedimento del 23 febbraio 2023 (doc. web 9870014), emanati, rispettivamente, nei confronti della Società Bakeca S.p.A. (di seguito, “Bakeca”) e della Società Ediscom S.p.A. (di seguito, “Ediscom”).

In entrambe le decisioni, rispetto ai relativi profili di interesse, l’Autorità ha ingiunto e invitato le predette società a conformare i propri processi di business a quelle che sono le prescrizioni del GDPR e le indicazioni contenute nei più risalenti provvedimenti dell’Autorità stessa.

Il provvedimento rivolto a Bakeca

Per quel che concerne il provvedimento rivolto a Bakeca, la decisione di specie appare quantomai rilevante in quanto – fra i tanti trattamenti contestati – pone al centro del dibattito il tema connesso alla definizione dei ruoli del trattamento ricoperti dai singoli attori del processo di acquisizione, cessione e sfruttamento delle leads.

Per comprendere appieno le conclusioni cui è giunta l’Autorità attraverso un complesso ragionamento di matrice giurisprudenziale, occorre anzitutto comprendere quello che è il business principale di Bakeca. Quest’ultima è una società che fa della vendita di servizi connessi alla pubblicazione di annunci economici la propria attività commerciale principale, cui accompagna – in misura minore – l’utilizzo per finalità di marketing dei dati personali raccolti dai soggetti iscritti al portale www.bakeca.it e dei soggetti, non necessariamente iscritti al predetto portale, che fruiscono dei servizi per pubblicare annunci o rispondere ad essi. Proprio in riferimento alla finalità di marketing, Bakeca utilizza i dati personali raccolti – previa acquisizione di consenso specifico e informato presso soggetti interessati – per finalità di marketing proprie oppure per attività di cessione a terzi per loro autonome finalità di marketing (c.d. marketing di prodotti terzi).

In occasione delle cessioni dei dati a terzi, Bakeca, di norma, instaura un rapporto contrattuale con la terza parte che riceve il set di dati personali sulla base del c.d. modello di “gestione di database”, nell’ambito del quale, in ottica privacy, Bakeca opererebbe come titolare del trattamento – in quanto soggetto che in prima persona si occupa della raccolta dei dati e dei relativi consensi – e il soggetto terzo cui è affidato in gestione il database, in qualità di responsabile del trattamento – per via dell’attività di valorizzazione e organizzazione dei dati personali oggetto del database ceduto.

Fatta questa doverosa premessa, si può ora analizzare la decisione sul punto a cui è giunta l’Autorità. Secondo quest’ultima, infatti, non risulta condivisibile l’inquadramento del rapporto tra le parti operata da Bakeca sulla scia della dicotomia titolare-responsabile, in quanto il soggetto che riceve il database di dati da parte di quest’ultima svolgerebbe attività di trattamento secondo proprie e autonome finalità. In tal senso, secondo l’Autorità, l’attività di gestione e valorizzazione del database non può pertanto definirsi correttamente come un’attività svolta per conto di Bakeca, in quanto l’arricchimento dei dati ricevuti è un’attività commerciale che viene svolta in funzione del processo di veicolazione dell’attività promozionale su prodotti di determinato committente, che in tal senso detiene rapporti contrattuali esclusivamente con il terzo che riceve i dati personali da Bakeca.

Secondo l’Autorità, pertanto, il rapporto che intercorre tra Bakeca e i propri partner è verosimilmente riconducibile al novero dei rapporti tra titolari autonomi del trattamento. Di riflesso, il ragionamento svolto dall’Autorità porta la stessa ad affermare che la nomina a responsabile del trattamento del partner dovrebbe essere conferita dal committente per il quale viene realizzata l’attività promozionale sul database acquisito da Bakeca. E in tal senso, l’Autorità richiama a fondamento della propria tesi anche le Linee guida 7/2020 dell’EDPB, secondo le quali – indipendentemente dalla qualificazione contrattuale dei ruoli – è titolare del trattamento il soggetto che determina le finalità e i mezzi del trattamento.

Morale della storia, se l’attività di gestione/valorizzazione di database rientra nel novero dei trattamenti di dati personali svolti da soggetti inquadrabili come autonomi titolari – e non responsabili – del trattamento, bisogna inevitabilmente concludere che tale attività possa essere svolta solo a fronte di consensi alla cessione dei dati a terzi per finalità di marketing, e non anche a fronte di consensi al trattamento marketing su prodotti terzi (che pure la stessa Bakeca raccoglie e che, a questo punto, sembrerebbero non poter essere più utilizzati se non da Bakeca stessa).

Il provvedimento Ediscom

Detto del provvedimento Bakeca – il quale non si è concluso con una sanzione bensì solo con un’ammonizione – è tempo ora di soffermarsi su quanto evidenziato dall’Autorità nel provvedimento ingiuntivo e sanzionatorio emanato verso Ediscom, che ha visto quest’ultima obbligata al pagamento della somma di Euro 300.000.

Ediscom è una società che si occupa di svolgere campagne promozionali tramite sms, e-mail e chiamate automatizzate per clienti di medie-grandi dimensioni. Nello specifico, il business di Ediscom consiste nel veicolare messaggi promozionali ai soggetti presenti nella propria banca dati aventi ad oggetto proposte commerciali di aziende committenti. In via residua, Ediscom offre anche il servizio di noleggio di liste di dati personali per l’attività di telemarketing.

Per svolgere le predette attività, Ediscom utilizza un proprio database che è composto da dati personali raccolti attraverso tre flussi principali (c.d. entry points), ossia:

  1. dati personali raccolti da Ediscom attraverso i portali web di cui è titolare;
  2. dati personali acquisiti da soggetti terzi fornitori di database (c.d. list provider, quale è ad esempio Bakeca secondo il provvedimento esaminato in precedenza);
  3. dati personali acquisiti da soggetti terzi che intendono monetizzare i propri database costituiti per l’erogazione di servizi di varia natura, sulla base di un rapporto commerciale definito in termini di “gestione di database” per conto di terzi. In tal scenario, è importante considerare che il database rimane di proprietà del soggetto che lo ha formato ed Ediscom si impegna a valorizzarlo e ad arricchirlo utilizzato in dati in esso contenuti per veicolare messaggi promozioni di terze parti, suoi clienti.

Alla luce della disciplina sui ruoli del trattamento delle parti in gioco impostata Ediscom, si evince che:

  • rispetto al trattamento dei dati personali acquisiti da soggetti terzi fornitori di database, Ediscom agisce come titolare autonomo. In tal senso, il rapporto sottostante l’accordo commerciale sottoscritto tra le parti per la cessione dei dati personali è definito in termini di autonoma titolarità;
  • rispetto al trattamento dei dati personali acquisiti da soggetti terzi che intendono monetizzare i propri database costituiti per l’erogazione di servizi di varia natura, Ediscom agisce come responsabile del trattamento e il fornitore del database come titolare del trattamento.

Alla luce delle indicazioni fornite da Ediscom, in conformità all’individuazione dei rapporti commerciali e privacy come sopra rappresentati, l’Autorità ha constatato che:

  • nel rapporto di acquisizione di dati personali da terzi fornitori, Ediscom si qualifica correttamente come titolare autonomo del trattamento;
  • nel rapporto commerciale di cui all’attività di “gestione di database” per conto di terzi, non è condivisibile la qualificazione di responsabile del trattamento fornita da Ediscom.

Nello specifico, infatti, e a supporto della propria tesi, l’Autorità evidenzia che nel rapporto commerciale di “gestione di database” Ediscom è da considerare titolare autonomo in quanto l’attività di acquisizione di dati è finalizzata all’arricchimento del proprio database, che successivamente è utilizzato per offrire servizi promozionali ai propri clienti. A tal proposito, a nulla rileva la causa dell’acquisto del set di dati dal fornitore terzo rispetto al corretto inquadramento dei ruoli privacy attribuibili agli attori in gioco, essendo invece necessario valutare quale sia la finalità del trattamento svolto rispetto ai predetti dati personali oggetto di acquisizione: in tale scenario, infatti, è Ediscom a stabilire lo scopo del trattamento, che consiste nello sfruttamento commerciale della banca dati acquisiti attraverso la veicolazione di messaggi promozionali di propri clienti.

Rispetto a tutto quanto considerato – e limitatamente ai profili di illiceità del trattamento svolto che interessano in questa sede – l’Autorità, congiuntamente alla sanzione erogata per gli ulteriori profili di non conformità rilevati, ha pertanto ammonito Ediscom con riguardo alla necessità di regolarizzare il rapporto commerciali instaurati rispetto ad una corretta definizione dei ruoli del trattamento.

Come devono muoversi le aziende per far fronte alle prescrizioni del Garante

Alla luce delle conclusioni a cui è pervenuta l’Autorità all’esito dei procedimenti nei confronti di Bakeca ed Ediscom, è possibile fornire alcune macro-indicazioni per i titolari del trattamento impegnati nello svolgimento delle medesime attività.

A tal proposito, nel rispetto di quanto indicato dall’Autorità nei provvedimenti Bakeca ed Ediscom, è bene tenere a mente che:

  • prima di procedere alla raccolta dei dati personali (ad esempio, tramite appositi form online), occorre fornire ai soggetti interessati adeguata informativa sul trattamento dei propri dati personali. Pertanto, laddove la raccolta comporti la successiva cessione del dato ad una terza parte, il titolare del trattamento dovrà indicare chiaramente tale attività all’interno delle finalità del trattamento, fornendo altresì indicazione delle terze parti destinatarie dei dati o, in alternativa, delle categorie merceologiche di appartenenza delle stesse;
  • è necessaria, in quanto richiesto già dal GDPR e dal Codice Privacy, l’individuazione di una corretta base giuridica per ciascuna attività di trattamento svolta. In particolare, nell’ambito dell’attività di cessione di leads, i titolari del trattamento che, in prima battuta, raccolgono i dati personali oggetto delle successive cessioni, saranno tenuti ad acquisire un consenso specifico ed espresso da ciascun soggetto interessato, pena la qualificazione di un trattamento illegittimo. È bene tenere a mente che l’Autorità, nel provvedimento sanzionatorio verso Ediscom, ha ribadito il fatto che – nei contratti stipulati per l’attività di ”gestione di database” – l’acquisizione di un consenso alla trasmissione a terzi, originariamente ottenuto dalla parte che ha creato il database oggetto di cessione, non può rendere legittimi anche i successivi trasferimenti svolti. In tal senso, infatti, non è ammissibile l’acquisizione e la validità di un unico consenso all’infinito per tutti i soggetti, successivi al primo, cui vengono comunicati i dati;
  • occorre documentare correttamente la volontà dell’interessato in tema di acquisizione del consenso, in conformità a quanto statuito dall’Autorità (in particolare, nel provvedimento Ediscom). A tal proposito, è bene segnalare che l’utilizzo del c.d. double opt in – consistente in un meccanismo di conferma del consenso acquisito che si base sull’invio di un’email di convalida – rappresenta una misura caldamente raccomandata dall’Autorità per accertare a livello documentale l’effettiva volontà dell’interessato. Peraltro, da un punto di vista più tecnico, ricordiamo che la documentazione del consenso acquisito attraverso il solo indirizzo IP di registrazione non è considerata dall’Autorità come una misura sufficiente a dimostrare la volontà dell’interessato: in questo caso, meglio produrre anche i relativi file di log e, in linea generale, qualsiasi evidenza che sia in grado tecnicamente di rendere immodificabile la volontà espressa;
  • occorre regolamentare i rapporti privacy sussistenti con le terze parti rispetto alle quali vengono sottoscritti accordi commerciali, siano essi qualificabili in termini di cessione di database per finalità di arricchimento/gestione o in termini di affiliazione con partners. In tale contesto, per non incappare in profili di illiceità alla luce di quanto affermato dall’Autorità nei provvedimenti verso Ediscom e Bakeca, servirà concentrare gli sforzi di valutazione sulla concreta attività di trattamento svolta dagli attori in gioco, tenuto conto del fatto che non è la materiale apprensione dei dati a determinare il ruolo effettivamente svolto nel trattamento; solo adottando questo approccio, infatti, si potrà correttamente individuare il soggetto che determina le finalità e i mezzi del trattamento (che vestirà i panni del titolare) e, laddove applicabile, il soggetto che svolge attività di trattamento per conto del titolare (che vestirà i panni del responsabile).

Un bilancio

Indubbiamente i provvedimenti contro Bakeca e Ediscom rappresentano un ulteriore passo in avanti che l’Autorità ha deciso di compiere per tentare di disciplinare i flussi di cessione di dati, nell’ottica di fornire strumenti idonei ai titolari del trattamento per porre in essere i successivi trattamenti di marketing nel rispetto di quelli che sono i diritti e le libertà dei soggetti interessati.

Senonché, confrontando quanto emerso nei predetti provvedimenti con ulteriori decisioni dell’Autorità più risalenti nel tempo – quale è, ad esempio, il procedimento nei confronti di Sky Italia Srl del 16 settembre 2021 – si intravedono aspetti di apparente conflitto e disallineamento per quel che concerne la disciplina dei ruoli privacy da attribuire alle parti di una determinata filiera produttiva e, in tal senso, è opportuno che tali elementi vengano nel seguito evidenziati, al fine di ipotizzare possibili soluzioni di workaround.

In tal senso, riassumendo in estrema sintesi quanto affermato dall’Autorità nei provvedimenti contro Bakeca ed Ediscom, possiamo ritenere che:

  • nei processi di leads acquisition, il soggetto che materialmente crea il database oggetto di cessione e il soggetto ricevente agiscono quali titolari autonomi del trattamento e la cessione dovrà avvenire previa stipula di regolare accordo per la comunicazione dati tra titolari autonomi;
  • nei processi di trattamento di dati personali per finalità di marketing, successivi al momento di acquisizione delle leads, il soggetto che materialmente esegue l’attività – quale è ad esempio il veicolare messaggi promozionali di prodotti e servizi – per conto di committenti terzi, assume il ruolo di responsabile del trattamento, con conseguente obbligo di formalizzare detto ruolo con apposita nomina a responsabile del trattamento.

Tale gestione, se considerata in valore assoluto, dovrebbe pertanto rappresentare quella giuridicamente più corretta. Senonché, come anticipato, occorre tenere fermo quanto rappresentato dall’Autorità nel provvedimento sanzionatorio di settembre 2021 nei confronti di Sky.

In breve, rispetto all’attività promozionale di prodotti Sky svolta da quest’ultima attraverso propri fornitori e partners – ossia soggetti che svolgono l’attività di “gestione di database” (Ediscom) e soggetti creatori di database consensati (Bakeca) – l’Autorità ha contestato la disciplina dei ruoli al tempo applicata da Sky. In particolare, non è stata condivisa l’impostazione  secondo cui le terze parti coinvolte nel processo di raccolta dei dati personali dei soggetti interessati che hanno espresso il consenso a ricevere comunicazioni marketing di prodotti di Sky, agirebbero sempre nelle vesti di titolari del trattamento.

Nel ragionamento di Sky, infatti, tali terze parti acquisirebbero i dati per proprie autonome finalità, quali sono ad esempio l’arricchimento del database di proprietà e l’invio di SMS promozionali per marketing di prodotti terzi ai propri soggetti interessati che hanno presto il relativo consenso. L’Autorità, tuttavia, valorizzando il fatto che l’intero processo sopra rappresentato viene svolto dai fornitori rappresentati al fine di fornire un flusso di informazioni di ritorno a beneficio di Sky, ha inteso definire i rapporti di specie in termini di responsabilità del trattamento. Difatti, i fornitori utilizzati da Sky agirebbero nel suo interesse e per suo conto, rispettando le istruzioni da questi conferite e condividendo le informazioni di ritorno per la campagna di ri-contatto finalizzate alla vendita di prodotti e servizi Sky.

Stando così le cose, e leggendo le conclusioni a cui è pervenuta l’Autorità nel procedimento Sky in combinato disposto con quanto rilevato nei procedimenti contro Bakeca e Ediscom, si può ragionevolmente ritenere che, ad oggi, non vi sia una risposta univoca per quel che concerne la corretta individuazione del ruolo del trattamento da attribuire agli attori facenti parte di una specifica filiera produttiva. Infatti, mettendosi nei panni del titolare del trattamento e sposando la logica condivisa dall’Autorità nel procedimento Sky, si dovrebbe:

  • qualificare il fornitore che mette a disposizione il database consensato al marketing di prodotti terzi – e quindi, si badi, non oggetto di cessione (esempio, Bakeca) – come titolare autonomo del trattamento (essendo il soggetto che raccoglie in prima persona i dati per inserirli nel proprio database), con riferimento al momento della raccolta dei dati e dei consensi;
  • qualificare il fornitore intermediario che invia gli SMS promozionali per conto del committente-titolare (ad esempio, Ediscom) quale responsabile del trattamento;
  • qualificare il medesimo fornitore che mette a disposizione il suddetto database al fornitore intermediario in veste di sub responsabile del trattamento, limitatamente all’attività di invio di SMS promozionali svolta dall’intermediario stesso, che per tale attività riveste i panni del responsabile del trattamento.

E questa, sino ai provvedimenti contro Ediscom e Bakeca, pareva essere la corretta configurazione da adottare.

Tuttavia, con i due procedimenti appena citati, l’Autorità ha espressamente qualificato il fornitore di database consensati – ossia Bakeca – in qualità di titolare del trattamento, rendendo a questo punto difficile la qualificazione di sub responsabile resa da Sky in conformità al provvedimento di settembre 2021.

Pertanto, preso atto di tutti i provvedimenti sino ad ora citati, appare ragionevole ritenere che i titolari del trattamento che si servono di più fornitori per lo svolgimento di molteplici attività, debbano in ogni caso individuare i rispettivi ruoli in considerazione di colui che, nel concreto, stabilisce finalità e mezzi del trattamento e di colui che svolge attività per conto di altri, a prescindere dalla qualificazione fornita all’interno dei rispettivi accordi commerciali.

Volendo fornire un possibile workaround sul punto, tenuto conto delle conclusioni formulate dall’Autorità nei procedimenti esaminati, potremmo ragionevolmente individuare:

  • un rapporto tra cedente e cessionario della base dati in termini di titolarità autonoma, con cessione dati da regolare sulla base di idoneo accordo di comunicazione dati;
  • un rapporto tra cessionario della base dati, che svolge attività di marketing per conto del proprio committente, e il committente stesso, in termini di titolarità (il committente) – responsabilità (il cessionario), da regolare con idonea nomina a responsabile ex art 28 GDPR;
  • un rapporto tra cedente della base dati e committente del cessionario, che sfrutta la base dati del cedente per attività di marketing su propri prodotti, per il tramite del soggetto cessionario, in termini di titolarità autonoma (probabilmente non necessariamente da regolare in quanto tra i suddetti soggetti non vi sarebbe, di fatto, alcuna comunicazione dati).

Ad ogni modo, fermo restando i ragionamenti svolti in questa sede, appare quantomeno opportuno che pro futuro l’Autorità intervenga nuovamente sulla disciplina dei ruoli del trattamento applicabile alle operazioni di cessione di dati personali e successive attività di marketing, al fine di fornire chiarimenti e riscontri univoci che siano di supporto agli operatori del mercato e alle aziende che intendono svolgere trattamenti di questo tipo. Ad oggi, infatti, alla luce di quanto analizzato rispetto ai provvedimenti contro Bakeca, Ediscom e Sky, emerge un quadro non del tutto omogeneo per quel che concerne la corretta definizione dei ruoli del trattamento da attribuire alla filiera di attori che prendono parte allo svolgimento attività simili.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • sanità digitale

    Medicina sempre più personalizzata grazie a dati e AI: l'esperienza del Gemelli

    14 Mag 2024

    di Giovanni Arcuri e Antonio Marchetti

    Condividi

  • Medicina

    Neuralink: le promesse e i dubbi sulla tecnologia di Musk

    30 Gen 2024

    di Redazione

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4