Un mistero di privacy, e-mail marketing, e sregolatezza
Una storia caratterizzata da particolare sregolatezza e mistero relativa a dei servizi di e-mail marketing ha interessato il Garante per la protezione dei dati personali nel 2021, portando agli esiti del provvedimento sanzionatorio n. 60 del 2 marzo 2023 con cui è stata irrogata una sanzione di 5 mila euro per violazione del principio di liceità, correttezza e trasparenza avendo svolto attività promozionale tramite e-mail senza aver preventivamente raccolto un consenso idoneo.
La storia, in verità, è stata in grado di assumere dei contorni decisamente peculiari sin dalla narrazione dei fatti che hanno comportato l’apertura dell’istruttoria. Nei reclami presentati per ricezione di e-mail indesiderate aventi contenuti promozionali di diversi soggetti, infatti, tutte queste campagne erano svolte da un unico servizio di e-mail marketing riconducibile, apparentemente, ad un soggetto però inesistente.
Tale Claudio Alfieri, responsabile Reparto mailing della società Flowers R, il quale era colui che rilasciava copia di una liberatoria ai committenti della campagna di direct marketing, con la garanzia di sollevarli da tutte le “responsabilità inerenti la privacy e il gdpr per l’invio delle newsletter per tutti gli indirizzi presenti e inviati nella lista in oggetto”.
Liberatoria talmente inusuale da insospettire persino un potenziale committente che aveva ben pensato di inoltrare l’offerta di servizi come segnalazione al Garante Privacy.
Il mistero è stato però sciolto dal Nucleo speciale privacy della Guardia di Finanza con un’attività di ordinaria indagine, assimilabile ad una sorte di Cluedo della data protection: comprendere chi stava svolgendo quale presunta violazione mediante quali strumenti e database. E a questo punto il protagonista della storia viene rivelato.
Il soggetto che erogava il servizio di direct mailing agiva in proprio come ditta individuale presentandosi con uno pseudonimo nei confronti dei potenziali acquirenti, presentando la propria offerta agli indirizzi che riusciva a reperire in rete. Ecco che la cortina di mistero si va a diradare rivelando una ancor più sfavillante sregolatezza: la raccolta degli indirizzi impiegati per le campagne promozionali, infatti, avveniva facendo ricorso ad un software per generare in modo casuale possibili indirizzi e-mail, alimentando un database già posseduto e precedentemente acquistato online.
Considerata la modalità di raccolta dei contatti dei potenziali acquirenti e del database per il servizio, l’attività di invio promozionale era così condotta in assenza di un preventivo e valido consenso da parte degli interessati come invece è richiesto ai sensi dell’art. 130 Cod. Privacy. L’unica azione di compliance adottata che risultava era l’inserimento in calce ad ogni comunicazione di un link di opt-out da cui seguiva l’inserimento in black list e l’esclusione dalle successive campagne promozionali.
Per quanto emerso in corso d’istruttoria, il Garante Privacy ha di conseguenza imposto il divieto di trattamento dei dati personali inseriti nel database e ingiunto la cancellazione degli stessi, oltre che comminato una sanzione pecuniaria per la violazione degli artt. 6, par. 1 lett. a) GDPR e 130, commi 1 e 2 Cod. Privacy.
Cosa si può imparare da questa storia? Di sicuro che la sregolatezza mal si applica alla formazione dei database, anche quando il titolare è una persona fisica e i contatti vengono reperiti da fonti pubbliche. E la naturale e prevedibile conseguenza in questi casi è proprio l’illiceità di ogni trattamento a riguardo. Con tutte le conseguenze del caso.