Banche dati per fare campagne di marketing, chi le compra deve essere in grado di dimostrare la loro conformità al GDPR
Quando un’azienda decide di svolgere una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o da altri broker di dati che spesso si limitano a proporle come “conformi al GDPR” senza farsi troppi scrupoli, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati abbiano effettivamente dato il consenso a cedere i loro dati a terzi, e che siano stati messi a conoscenza di quali siano le società a cui vengono cedute le informazioni che li riguardano, altrimenti si rischia di andare incontro a sanzioni salate. Lo ha imparato a sue spese la EDF, che in Francia è la prima azienda di energia elettrica.
Le indagini del Garante della privacy francese (CNIL) erano iniziate a seguito di numerosi reclami ricevuti da utenti che cercavano di opporsi all’invio di comunicazioni promozionali tramite email da parte della società elettrica, lamentando di non aver dato ad essa alcun consenso e di riscontrare difficoltà nell’esercitare i propri diritti, in alcuni casi non ottenendo neppure risposta alle loro richieste, e in altri casi ricevendo informazioni inesatte sull’origine della raccolta dei loro dati personali.
Tra il 2020 e il 2021, la EDF aveva condotto una campagna promozionale tramite posta elettronica, tuttavia quando poi hanno iniziato a fioccare i reclami ed è intervenuta l’autorità francese la società non era stata in grado di dimostrare come avrebbe ottenuto un valido consenso dagli interessati, limitandosi ad esibire un esempio di modulo standard con cui un broker di dati avrebbe raccolto i dati dai potenziali clienti che avrebbero dato la loro autorizzazione a condividere le loro informazioni con altri partner commerciali, di cui però non era stato fornita alcuna lista agli interessati, i quali si erano quindi trovati ad esprimere un consenso “alla cieca” senza essere messi in condizione di sapere a chi sarebbero andati effettivamente i loro dati personali.
Infatti, durante le indagini la società elettrica ha ammesso di non aver effettivamente verificato i moduli di consenso utilizzati, e neanche di aver effettuato alcuna verifica della regolarità delle banche dati acquisite dai broker di dati, e alla fine dell’istruttoria l’autorità ha precisato che l’elenco dei partner a cui sarebbero stati comunicati i dati avrebbe dovuto essere stato messo a disposizione degli interessati direttamente nell’informativa, o almeno tramite un link ad una pagina online.
Per questo la CNIL ha contestato la violazione del Codice sulle comunicazioni postali ed elettroniche francese e dell’art. 7 del GDPR, in cui il Regolamento richiede che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”, oltre al mancato rispetto degli obblighi di informazione (artt. 13 e 14 del GDPR), quello del rispetto dell'esercizio dei diritti di accesso (art. 15) e quello di opposizione dell'interessato (art. 21) a ricevere le comunicazioni commerciali, riscontrando inoltre anche carenze sulle misure di sicurezza previste dall’art.32 del Regolamento UE per la conservazione delle password di accesso al portale senza adeguata protezione.
Nonostante la collaborazione mostrata durante le indagini dell’autorità, e anche tutte le azioni intraprese nel corso del procedimento per conformarsi alla normativa, la EDF non ha potuto evitare una sanzione amministrativa da 600.000 euro, il cui importo è stato comunque determinato dalla CNIL tenendo conto di tali attenuanti.