Il Garante privacy ribadisce che non è lecito l’invio di comunicazioni commerciali ai possessori di tessere fedeltà (fidelity card) che non abbiano espresso uno specifico e libero consenso all’uso dei propri dati a fini di marketing. Così nel provvedimento del 20 giugno 2019, l’Autorità impone ad un’importante catena di negozi l’adozione di una serie di misure per garantire il rispetto delle misure poste a tutela della privacy dei consumatori.
Il caso
Il provvedimento è stato adottato in seguito alle violazioni segnalate da alcuni clienti e confermate da un’ispezione svolta dall’Autorità con l’ausilio del Nucleo speciale privacy della Guardia di Finanza, prima dell’applicazione del nuovo Regolamento UE sulla protezione dei dati personali (Gdpr). Al termine della quale la stessa Guardia di Finanzia aveva provveduto a contestare direttamente in loco una sanzione amministrativa.
I clienti si erano lamentati per la continua e indesiderata ricezione in posta elettronica di offerte commerciali da parte dell’azienda di cui possedevano una carta fedeltà. Gli interessati avevano, peraltro, chiesto più volte alla società, sia telefonicamente, sia tramite procedure automatizzate, di cancellare il proprio indirizzo dalla mailing list pubblicitaria, ma senza ottenere alcun risultato.
Nel corso dell’istruttoria avviata dal Garante, l’impresa si è giustificata affermando di non essere stata in grado di bloccare l’invio di e-mail pubblicitarie per problemi connessi alle sue banche dati – contenenti dati di oltre dieci milioni di clienti – che, in quel periodo, erano in fase di migrazione verso un’unica piattaforma.
Il consenso
Dall’ispezione sono emersi ulteriori problemi relativi alla gestione dei dati personali dei clienti. E’ stato in particolare accertato che il consenso al trattamento dei dati per l’invio di comunicazioni commerciali – acquisito attraverso i vecchi moduli di adesione al programma fedeltà – non poteva essere ritenuto valido, poiché i clienti erano costretti a rilasciarlo per poter ottenere i servizi proposti con la carta fedeltà. Inoltre, il sistema informativo della società non era in grado di tracciare e gestire adeguatamente le richieste di esercizio dei diritti degli interessati, in particolare quello di opposizione al trattamento per finalità di marketing, e di interrompere, di conseguenza l’invio di spam.
…. la Società ha effettuato un ulteriore illecito trattamento di dati, perché ha inviato comunicazioni promozionali a taluni clienti che si erano opposti al trattamento per finalità di marketing (v. allegati 8 e 28, verbali 7 e 8 febbraio 2018).
Anche in questo caso, la Società ha violato i richiamati artt. 23 e 130 del Codice.
Per le suddette ragioni, i dati personali – relativi agli interessati, per i quali la Società non disponga di un documentato consenso libero e specifico per le finalità di marketing – non possono essere ulteriormente trattati per tali scopi, e se ne deve quindi vietare l’ulteriore trattamento ai sensi dell’art. 58, par. 2, lett. f), del Regolamento UE.
La sanzione
Nel suo provvedimento, il Garante ha quindi prescritto misure per mettersi in regola con le nuove disposizioni in materia di protezione dei dati personali e, esercitando per la prima volta i nuovi poteri correttivi offerti dal Gdpr, ha “ammonito” la società a non utilizzare più, per finalità di marketing, i dati personali degli interessati, raccolti mediante i moduli relativi alla fidelity card contestata.
…. i dati raccolti dal titolare per l’erogazione di alcuni servizi vengono di fatto piegati ad una finalità diversa (cioè l’invio di messaggi promozionali, anche tramite email ed sms) da quella che ne ha giustificato la raccolta, in violazione, dunque – oltre che del principio del consenso libero e specifico, di cui agli artt. 23 e 130, del Codice – dei principi di correttezza e finalità del trattamento dei dati personali, sanciti dall’art. 11, comma 1, lett. a) e b), del Codice e ribaditi all’art. 5, par. 1 e 2, del Regolamento UE.
Nel prendere atto che i dati personali raccolti mediante i moduli relativi alle fidelity card “Saturn” (utilizzati dal 2001 al 2009), non sono più oggetto di trattamento secondo quanto emerso in atti, tuttavia si ritiene opportuno ai sensi dell’art. 58, par. 2, lett. b), del Regolamento UE, ammonire la Società affinchè non effettui alcun ulteriore trattamento dei dati in questione, essendo stati raccolti in assenza di un comprovato consenso libero e specifico per finalità promozionali.
L’esercizio dei diritti
Ha inoltre vietato l’utilizzo, per gli stessi fini, dei dati di qualunque interessato, in assenza di un comprovato consenso, libero e specifico. Alla società è stato ingiunto, infine, di implementare misure organizzative e tecniche adeguate per garantire la corretta gestione dei diritti degli interessati, assicurando anche il tracciamento puntuale delle richieste ricevute dalla clientela, e così poter comprovare il rispetto (accountability) degli adempimenti privacy.
È bene ricordarsi che il titolare è tenuto a predisporre le misure tecnico-organizzative volte a favorire l’esercizio dei diritti da parte dell’interessato, anche programmando adeguatamente i propri sistemi informatici al fine di poter verificare eventuali opposizioni o revoche del consenso da parte dei propri clienti.
(Fonte Garante Privacy)