Privacy by design e accountability per l’acquisizione dei consensi nelle attività di marketing

Privacy by design e accountability per l’acquisizione dei consensi nelle attività di marketing

Un recente provvedimento prescrittivo e sanzionatorio dell’Autorità Garante della protezione dei dati personali in materia di marketing (provv. 15 Dicembre 2022 – doc. web n. https://www.garanteprivacy.it/garante/doc.jsp?ID=9856345) ripropone interessanti temi di data protection legati al rispetto del principio della Privacy by design e by default.
Con riferimento alla gestione dell’informativa e dei consensi l’Autorità dopo aver simulato una procedura di iscrizione al sito web del titolare del trattamento conferendo alcuni dati anagrafici (nome, cognome, codice fiscale, numero di cellulare e indirizzo e-mail), ha constatato che veniva acquisito un unico consenso per finalità di marketing e di profilazione inidoneo a costituire una corretta base giuridica. Come noto, il consenso affinché possa rappresentare una idonea base giuridica deve essere informato, specifico, libero, esplicito e inequivocabile (Artt. 6 e 7 Regolamento UE 2016/679 e art. 130 Dlgs n.196/2003 e smi).
In merito all’utilizzo di liste c.d. “consensate” ottenute da un soggetto terzo, a sua volte cessionario di tali anagrafiche sulla base di un consenso viziato rilasciato all’iniziale titolare del trattamento, osserva il Garante che è necessario in capo al titolare del trattamento procedere a richiedere e acquisire un nuovo consenso alla propria attività promozionale.
Questa “mancanza” è in contrasto con i principi di accountability (art. 5.2 del Regolamento UE) e di privacy by design poiché la società non risulta essersi occupata, come invece necessario, di verificare l’effettiva conformità alla normativa dei consensi acquisiti dal fornitore.
Aggiunge l’Autorità Garante che i nuovi princìpi dettati dal GDPR inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi. Spetta pertanto al titolare adottare misure di particolare garanzia al fine di dimostrare che i contratti e le attivazioni registrate nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali.
Analogamente è obbligo del titolare dimostrare di aver adeguatamente registrato e contestualizzato i dinieghi espressi dagli interessati alla ricezione di ulteriori comunicazioni promozionali; circostanza, questa, che non ricorre nel caso di specie. Anzi, sotto questo profilo l’istruttoria condotta dal Garante ha evidenziato che gli utenti contattati nel corso della campagna promozionale che esprimevano la volontà di non ricevere ulteriori chiamate pubblicitarie venivano contrassegnati con la dicitura “Rif. Legge sulla Privacy” che escludeva eventuali ulteriori contatti esclusivamente in relazione alla campagna in corso di svolgimento, ma non includeva anche “la revoca del consenso privacy.

Fonte: Garante privacy