E’ proprio il caso di dirlo quando interviene la Guardia di Finanza per accertare possibili violazioni in materia di Tutela e protezione dei dati, nessun aspetto è da sottovalutare. Questo quanto si evince dall’ordinanza di ingiunzione del 25 marzo 2021 comminata ad una Società specializzata in sistemi professionali per le telecomunicazioni e oggetto del bollettino N. 476 del 27 aprile 2021 dell’Autorità Garante.
Tante tematiche oggetto di valutazione e come sempre tanti spunti di riflessione.
Il problema del direct marketing illecito
In questo caso, il procedimento è scaturito da due reclami con i quali gli interessati oltre a lamentare la ricezione di email promozionali inviate dalla società, senza consenso, non avevano potuto interrompere gli invii tramite il tasto unsubscribe delle e-mail con contestuale e assoluta mancanza di riscontro alle richieste di esercizio dei diritti previsti dagli artt. 15 ss del Regolamento.
Sanzioni Garante Privacy a tre call center, che c’è da imparare per evitarle
A seguito dell’invio di due diverse richieste di informazioni inevase, nonostante l’avvenuta corretta ricezione ed il re-inoltro ai sensi art. 157 del Codice, si è dovuto procedere incaricando il Nucleo speciale privacy della Guardia di Finanza di acquisire tutte le informazioni richieste con contestuale accesso agli uffici della Società.
Ovviamente le tematiche connesse al trattamento dei dati per finalità di marketing, toccano innumerevoli tematiche come: il rapporto tra le parti in causa, le basi di liceità del trattamento e le possibili sanzioni (questioni di non poca rilevanza e oggetto di analisi negli altri provvedimenti segnalati nella newsletter), ma in questo specifico caso hanno riguardato:
- il diritto e la libertà del soggetto interessato di poter esercitare la sua opposizione al trattamento;
- il dovere del Titolare del trattamento di adottare misure tecniche ed organizzative idonee a garantire all’interessato l’esercizio dei Suoi diritti in modo tempestivo ed efficace;
- l’adozione di soluzioni tecnologiche efficaci e funzionanti al fine di dare piena libertà all’interessato di opporsi al trattamento.
Infatti, analizzando il provvedimento è possibile focalizzarsi su diversi macro-ambiti di attenzione:
- invio di comunicazioni promozionali senza consenso;
- il mancato riscontro all’esercizio dei diritti di cui agli artt. 15 e ss.;
- il registro delle attività di trattamento;
- il grado di cooperazione con l’Autorità e l’accountability del titolare del trattamento.
Per quanto riguarda l’assenza del consenso in questo caso tenuto conto che lo stesso probabilmente assumeva il ruolo di corretta base di liceità ex art. 6 del GDPR per il trattamento in oggetto, il Titolare avrebbe comunque dovuto dimostrare, in un’ottica di accountability e così come previsto da normativa, che lo stesso fosse stato reso in modo informato, libero e specifico; cosa che nel caso di specie non è stato possibile appurare.
Per quanto riguarda, invece, il mancato riscontro all’esercizio dei diritti di cui agli artt. 15 e ss. non dobbiamo mai dimenticarci che il primo proprietario dei dati comunicati al Titolare del trattamento è l’interessato stesso che deve avere in qualsiasi momento la possibilità quanto meno di esercire i diritti riconosciuti dal regolamento e dalle normative nazionali applicabili ed ottenere le informazioni relative all’azione intrapresa senza ingiustificato ritardo. Ciò si traduce, inevitabilmente in:
- elaborazione di policy/procedure idonee a gestire il workflow legato all’esercizio dei diritti dell’interessato;
- corretta ed efficace gestione della corrispondenza;
- chiara indicazione delle modalità di comunicazione tra l’interessato ed il Titolare;
- tempestivo riscontro alle richieste dell’interessato;
- adozione di misure tecniche efficaci che consentano all’interessato di procedere a disiscrizione in modo autonomo (e.g. il tasto unsubscribe presente nelle email);
- ogni altra misura volta ad agevolare l’esercizio dei diritti dell’interessato
Ulteriore elemento da non sottovalutare e che trova spazio all’interno dell’ordinanza è il registro delle attività di trattamento. In questo caso durante l’accertamento non è stato possibile documentare l’esistenza del documento de quo ed a nulla è valsa:
- la produzione del registro istituito dalla controllante francese; nonché
- la memoria difensiva all’interno del quale veniva allegato relativo contratto con il quale si incaricava il consulente esterno di revisionare il registro del trattamento ex art. 30 regolamento UE 2016/679.
Infine, una piccola menzione merita l’ultimo punto della nostra lista, i.e. il grado di cooperazione con l’Autorità e l’accountability del titolare del trattamento.
Obiettivo accountability
Certamente l’accountability rappresenta quell’obiettivo che il Titolare del trattamento deve raggiungere al fine di poter dimostrare di aver adottato quelle famose misure tecniche ed organizzative che oggi la normativa ci richiede commisuratamente al rischio connesso con il trattamento dei dati; obiettivo che nel caso di specie, così come si legge dall’ordinanza, non è stato correttamente raggiunto a fronte anche del diniego da parte della Società di correttamente documentare e giustificare il suo operato.
Ma cosa che ancora di più deve farci riflettere è come l’Autorità Garante dia estremamente peso all’atteggiamento ed al grado di cooperazione con l’Autorità stessa; peso che a secondo della valutazione può comportare un inasprimento o una riduzione della sanzione.
