NEWS

Banche dati per fare campagne di marketing, chi le compra deve essere in grado di dimostrare la loro conformità al GDPR

Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che spesso si limitano a proporle come “conformi al GDPR” senza farsi troppi scrupoli, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Lo ha imparato a sue spese la EDF, che in Francia è la prima azienda di energia elettrica.

Se si usano banche dati non realmente conformi al GDPR si compie una violazione della privacy e si rischiano sanzioni salate

Le indagini del Garante della privacy francese (CNIL) erano iniziate a seguito di numerosi reclami ricevuti da utenti che cercavano di opporsi all’invio di comunicazioni promozionali tramite email da parte della società elettrica, lamentando di non aver dato ad essa alcun consenso e di riscontrare difficoltà nell’esercitare i propri diritti, in alcuni casi non ottenendo neppure risposta alle loro richieste, e in altri casi ricevendo informazioni inesatte sull’origine della raccolta dei loro dati personali.

Tra il 2020 e il 2021, la EDF aveva condotto una campagna promozionale tramite posta elettronica, tuttavia quando poi hanno iniziato a fioccare i reclami ed è intervenuta l’autorità francese la società non era stata in grado di dimostrare come avrebbe ottenuto un valido consenso dagli interessati, limitandosi ad esibire un esempio di modulo standard con cui un broker di dati avrebbe raccolto i dati dai potenziali clienti che avrebbero dato la loro autorizzazione a condividere le loro informazioni con altri partner commerciali, di cui però non era stato fornita alcuna lista agli interessati, i quali si erano quindi trovati ad esprimere un consenso “alla cieca” senza essere messi in condizione di sapere a chi sarebbero andati effettivamente i loro dati personali.

Infatti, durante le indagini la società elettrica ha ammesso di non aver effettivamente verificato i moduli di consenso utilizzati, e neanche di aver effettuato alcuna verifica della regolarità delle banche dati acquisite dai broker di dati, e alla fine dell’istruttoria l’autorità ha precisato che l’elenco dei partner a cui sarebbero stati comunicati i dati avrebbe dovuto essere stato messo a disposizione degli interessati direttamente nell’informativa, o almeno tramite un link ad una pagina online.

Per questo la CNIL ha contestato la violazione del Codice sulle comunicazioni postali ed elettroniche francese e dell’art. 7 del GDPR, in cui il Regolamento richiede che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”, oltre al mancato rispetto degli obblighi di informazione (artt. 13 e 14 del GDPR), quello del rispetto dell'esercizio dei diritti di accesso (art. 15) e quello di opposizione dell'interessato (art. 21) a ricevere le comunicazioni commerciali, riscontrando inoltre anche carenze sulle misure di sicurezza previste dall’art.32 del Regolamento UE per la conservazione delle password di accesso al portale senza adeguata protezione.

Nonostante la collaborazione mostrata durante le indagini dell’autorità, e anche tutte le azioni intraprese nel corso del procedimento per conformarsi alla normativa, la EDF non ha potuto evitare una sanzione amministrativa da 600.000 euro, il cui importo è stato comunque determinato dalla CNIL tenendo conto di tali attenuanti.

Note sull'Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati, iscritta presso il Ministero delle Imprese e del Made in Italy (MISE) ai sensi della Legge 4/2013. Email: [email protected] 

Prev Il trasferimento del rischio applicato al GDPR e il ruolo del DPO
Next 'Decreto Trasparenza' e trattamenti di dati personali: tra dubbi ed opportunità

Siamo tutti spiati? il presidente di Federprivacy a Cremona 1 Tv

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy