Trasferimento dati personali a terzi per fini di marketing, consenso necessario
Sanzionata dal Garante della privacy, con una multa da tre milioni di euro, una società per non aver verificato che il trasferimento dei dati personali a più destinatari commerciali fosse coperto dal giusto consenso al trattamento.
Come chiarito dall’Autorità nella sua ordinanza – ingiunzione del 3 maggio scorso, infatti, il consenso inizialmente rilasciato da un interessato per il trasferimento a terzi per fini di marketing dei suoi dati personali raccolti dal primo titolare del trattamento, non può coprire tutti i successivi passaggi ad altri terzi: tali ulteriori cessioni di dati non sono supportate da un consenso espresso ed informato.
Il Garante è intervenuto nella questione a seguito di numerose segnalazioni e reclami pervenuti al suo ufficio per trattamenti di dati personali effettuati per finalità di marketing dalla società poi sanzionata. Gli interessati venivano contattati da aziende, partner commerciali della società, alle quali essi non avevano mai prestato il consenso diretto al trattamento dei loro dati personali per finalità promozionali, benchè il loro recapito fosse, in alcuni casi, iscritto al Registro pubblico delle opposizioni (di seguito “RPO”); molti segnalavano altresì il mancato riscontro dell’esercizio del diritto di opposizione al marketing.
Dall’istruttoria condotta dall’Autorità è emerso che la società, holding di un gruppo, acquisiva i dati personali sulla base del consenso al trattamento “per l’invio di informazioni ed offerte commerciali anche da parte di terzi”, a seguito dell’iscrizione degli interessati al sito on line di una collegata e che quest’ultima ne trasferiva successivamente le anagrafiche ad altra azienda, dalla quale gli stessi dati venivano poi ceduti ad un’altra società facente sempre parte del gruppo d’imprese, subentrata, a seguito di una cessione di ramo d’azienda, nelle attività di teleselling e telemarketing precedentemente svolte da società terza con cui l’originaria titolare del trattamento aveva stipulato accordi contrattuali.
Nel quadro dei vari trasferimenti e cessioni dei dati, sono emersi profili di criticità riguardo all’acquisizione del consenso; in alcuni casi, la società aveva perfino perso il controllo sui dati, tanto che, in un caso, in particolare, un interessato era stato contattato da una azienda con cui la holding non aveva mai intrattenuto rapporti commerciali.
A nulla sono valse le prove addotte dalla società ritenute insufficienti dal Garante; ad esempio, nei “dati log degli interessati”, non è stato possibile individuare, tra i vari campi evidenziati (relativi ai nominatavi, all’indirizzo fisico ed IP), quello attestante la registrazione-valorizzazione del consenso. Così come, nell’allegato modulo “opt-in e consensi prestati”, è risultata presente solo la formula di prestazione dei consensi, mancando invece la tracciatura della manifestazione di volontà effettivamente attribuibile agli interessati; in altri casi, invece, veniva solo richiesto agli interessati un generico consenso per finalità commerciali, collegato alla relativa numerazione ed il sintetico richiamo a dati asseritamente acquisiti in fase di registrazione al sito web, oltre che l’impossibilità di dedurre a quali finalità potesse essere ricondotto il consenso degli interessati espresso con il valore “SI”.
Il Garante della privacy, dunque, ha ribadito, come già del resto più volte evidenziato in altri provvedimenti precedentemente emanati (si veda ad esempio il recente provvedimento n. 232/2019 e anche l’ordinanza ingiunzione n. 291 del 13 giugno 2013) che il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato.
Con riferimento alla cessione a terzi di dati personali per loro finalità di marketing, le disposizioni normative del Regolamento (articoli 6, 7 e 13) non devono essere interpretate ritenendo che il rimando a detti terzi sia riferibile ad “indefinite categorie di destinatari”, legittimando, in tal modo, la comunicazione dei dati tra autonomi titolari in virtù dello specifico consenso informato, inizialmente concesso al soggetto che ha raccolto i dati.
Una tale interpretazione, scrive il Garante, è contraria alle Linee-guida in materia di spam e alle varie decisioni sul consenso emesse dal Garante stesso e si scontra altresì con la pronuncia della Suprema Corte di Cassazione n. 18619 del 2017.
Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa allargarsi con effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro, in maniera del tutto sconosciuta all’interessato stesso.
Così come pure occorre uno specifico consenso degli interessati per finalità di comunicazione dei dati personali a terzi per le relative attività di marketing, rispetto al distinto consenso richiesto invece per le finalità di marketing proprie della società titolare del trattamento che raccoglie i dati.
Pertanto, nel caso di specie, l’acquisizione di liste di dati personali da un autonomo titolare, a sua volta cessionario di dette liste sulla base di un consenso rilasciato all’iniziale titolare del trattamento per la comunicazione di dati a terzi, non poteva rendere sufficiente per la Società la previsione contrattuale della garanzia circa la sussistenza del consenso inizialmente rilasciato dagli interessati al primo, essendo invece necessario verificare che anche detto intermediario avesse raccolto l’ulteriore consenso alla successiva comunicazione.
Nel rispetto del principio di accountability, la Società avrebbe dovuto pertanto verificare l’origine dei dati acquisiti e la loro legittima comunicazione.
In definitiva, in nessun caso, il consenso espresso ad un primo titolare in sede di raccolta dei dati, sebbene per concederne il trasferimento a terzi per le relative finalità di marketing, può autorizzare, dopo una iniziale comunicazione, anche successivi trasferimenti ad altri autonomi titolari.
Il consenso per la ricezione di comunicazioni proprie o di terzi può essere eventualmente il fondamento legittimo solo di un’attività promozionale propria del titolare del trattamento che raccoglie i dati (su propri prodotti e servizi e per conto di terzi), non potendosi lo stesso consenso estendere fino a comprendere anche un’autonoma attività promozionale di terzi; in tal caso, è comunque doveroso chiedere il consenso specifico per la cessione dei dati a terzi.
Nel tentativo di difendersi la società richiamava anche il legittimo interesse come base giuridica rispetto ad alcuni trattamenti di dati personali effettuati, in quanto diversi interessati si erano iscritti ad un portale promozionale generalista e, pertanto, dovevano ragionevolmente attendersi che i loro dati personali sarebbero stati trattati ulteriormente per fini di makrketing di terzi, quali, nella specie, la società incriminata.
Sul punto, il Garante ha precisato che il legittimo interesse del titolare del trattamento, sulla base del Considerando 47 del Regolamento n. 679/2016 e, prima ancora, della specifica Opinion resa dal WP29, n. 6/2014 (WP217), può essere impiegato come base giuridica del trattamento solo dopo un attento bilanciamento, peraltro convenientemente documentato, tra i diritti degli interessati e le aspettative circa il trattamento dei relativi dati personali e l’interesse del titolare stesso.
Non si può accogliere il fatto, scrive il Garante della privacy che un interessato, solo per essersi iscritto ad un portale generalista di marketing, debba poi aspettarsi che i dati personali da lui inseriti in fase di registrazione siano oggetto di trattamento per finalità di marketing di terzi successive e incontrollate con cessioni da un titolare “terzo” ad un altro; secondo poi la società non aveva addotto alcuna prova sul test di bilanciamento degli interessi effettuato.
Si rammenta, infatti, che, ai fini della prevalenza del legittimo interesse del titolare come base giuridica del trattamento, occorre provare di aver effettuato un bilanciamento tra tale interesse e i diritti, gli interessi e le libertà fondamentali degli interessati e che il legittimo interesse del titolare risulti prevalente rispetto a questi ultimi.
Alla società interessata, pertanto, è stata contestata la violazione degli artt. 6, par.1, lett. a) e 7, par.1 del Regolamento, con contestuale violazione dei principi di liceità, correttezza e trasparenza del trattamento (art. 5, par. 1, lett. a) del Regolamento), nonché del principio di accountability (art. 5, par. 2 del Regolamento).