26 Feb La cessione di dati a terzi per finalità di direct marketing
All’interno di un’economia data driven come la nostra, l’attività di direct marketing, che si sostanzia nell’invio di materiale pubblicitario, comunicazioni commerciali o di vendita diretta e nel compimento di ricerche di mercato, ha assunto un’importanza strategica di carattere essenziale per le aziende.
Tale attività, ove effettuata in assenza dei presupposti giuridici previsti dalla legge, viene normalmente indicata come spam. Una delle ragioni principali di tale pratica, che spesso dà luogo a fenomeni invasivi della sfera privata di una persona, è rappresentata dalla previa e indiscriminata condivisione di dati personali tra i soggetti economici protagonisti del mercato.
I paragrafi che seguono offrono una guida sui principali adempimenti da porre in essere, da un lato, per cedere dati personali a terzi affinché questi ultimi possano trattarli per loro autonome finalità promozionali; dall’altro – nella prospettiva inversa di chi riceve questo patrimonio dati – per poter correttamente avviare iniziative di direct marketing, una volta che i dati personali siano stati così acquisiti (cd. “lead acquisition”).
Le indicazioni del Garante della protezione dei dati personali (“Garante”) alla luce del vigente quadro normativo
I principali adempimenti relativi all’attività di cessione a terzi dei dati personali e di lead acquisition possono rinvenirsi nelle Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348] (di seguito, solo “Linee Guida”), le quali vanno interpretate alla luce del vigente quadro normativo oltreché dei più recenti provvedimenti emanati dal Garante, che ne hanno chiarito ancora la portata applicativa[1]. Si fa riferimento, in particolare, ai seguenti: Ordinanza ingiunzione nei confronti di Sky Italia S.r.l.; Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A.; infine, Ordinanza ingiunzione nei confronti di Enel Energia S.p.A..
Cessione di dati a terzi
Relativamente agli adempimenti privacy da attuare per cedere dati a terzi per loro autonome finalità di direct marketing[2], il Garante stabilisce che il cedente deve:
-
-
-
- descrivere adeguatamente tale finalità di trattamento nella sua informativa privacy;
- indicare al suo interno ciascuno dei terzi cessionari dei dati o, in alternativa, le categorie economiche o merceologiche di appartenenza degli stessi (ad esempio: “finanza”, “editoria”, “abbigliamento”);
- acquisire un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali nonché distinto da quello richiesto dal medesimo cedente per svolgere esso stesso attività promozionale;
- essere in grado di fornire evidenza dei consensi raccolti per la cessione dei dati[3].
-
-
In ordine al requisito 1, è bene evidenziare che il termine “terzi” viene inteso sia in senso lato sia con particolare riferimento alle ipotesi in cui il terzo cessionario appartenga allo stesso gruppo imprenditoriale di cui fa parte anche il cedente. Infatti, come più volte ribadito dal Garante[4], i soggetti appartenenti al medesimo gruppo societario devono essere comunque ritenuti, di regola, quali autonomi e distinti titolari dei rispettivi trattamenti[5]. In questo senso, non sarebbe sufficiente indicare nell’informativa che tra le società cessionarie rientrano anche società appartenenti al medesimo gruppo imprenditoriale in cui rientra la società cedente, restando indispensabile che anche per tali soggetti vengano indicate la ragione sociale o, in alternativa, le categorie economiche o merceologiche di appartenenza[6].
Relativamente al requisito 3, è bene rammentare che, come da costante indicazione del Garante, il consenso inizialmente rilasciato da un interessato ad una entità anche per attività promozionali di terzi non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, sia da parte del cedente che da parte del terzo cessionario, in quanto tali cessioni non si fonderebbero su un consenso necessario, specifico ed informato dell’interessato[7].
Lead Acquisition
Al fine di analizzare gli adempimenti richiesti per le attività di lead acquisition, bisogna tenere presente che il punto di vista è ora complementare, in quanto occorre focalizzarsi sugli obblighi facenti capo all’entità cessionaria dei dati personali.
Obblighi informativi
Affinché l’attività di lead acquisition risulti lecita, gli interessati, previamente edotti dal cedente – ex art. 13 GDPR – circa la finalità di cessione di dati a terzi per loro autonome finalità di marketing, devono essere, altresì, informati dal cessionario in ordine ai successivi trattamenti che verranno svolti su detti dati. Infatti, i terzi potranno inviare agli interessati comunicazioni promozionali solo a fronte del rilascio di una propria informativa ex art. 14 GDPR, che contenga anche l’indicazione della fonte da cui i dati personali originano, al fine di permettere a ciascun interessato di rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento[8].
Base giuridica
Quanto al fondamento giuridico del trattamento successivo ad opera del cessionario, il Garante ha di recente avuto modo di chiarire quali siano, alla luce della normativa attualmente vigente, i limiti della semplificazione prevista dalle Linee Guida del 2013, ossia la possibilità per il cessionario di non richiedere a sua volta un ulteriore consenso per lo svolgimento delle iniziative di direct marketing. Relativamente a tale questione, è stato precisato che i cessionari potranno astenersi dal richiedere un nuovo consenso soltanto ove, nello svolgimento di campagne di direct marketing, intendano avvalersi di strumenti automatizzati (come ad es. e-mail, sms, mms). Il cessionario dovrà, quindi, a sua volta raccogliere un nuovo consenso per procedere all’invio di comunicazioni promozionali in tutti i casi in cui intenda utilizzare strumenti di contatto non automatizzati (es. telefono con operatore o posta cartacea)[9].
Accountability: necessità di verifiche ex post
In ottica di accountability, al fine di impedire che “la ‘filiera’ delle responsabilità nell’ambito del trattamento preveda indebiti ‘scaricabarile’ ” [10], il Garante ha sottolineato come sia necessario fornire evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sull’efficacia e adeguatezza delle misure adottate caso per caso – efficacia e adeguatezza che non possono essere testate e dimostrate se non attraverso strutturati e sistematici meccanismi di verifica.
Il cessionario è pertanto chiamato ad adottare misure di garanzia al fine di comprovare che i dati personali e i relativi consensi siano stati raccolti dal cedente nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, tra cui presidi che possano testimoniare e monitorare nel tempo la corretta gestione dei consensi[11]. Nello specifico, il cessionario deve verificare che gli interessati da contattare abbiano correttamente ottenuto l’informativa – nel rispetto delle modalità descritte sopra – e rilasciato un idoneo consenso alla ricezione di comunicazioni promozionali da parte di terzi e che non si siano registrati nel Registro Pubblico delle Opposizioni[12] né si siano opposti al trattamento in oggetto nei confronti del titolare stesso; tali verifiche devono realizzarsi mediante apposite procedure di filtraggio delle liste di contattabilità.
Da ultimo, è consigliabile che il cessionario richieda la condivisione dei consensi raccolti dal cedente, al fine di essere in grado di dimostrare la liceità dei trattamenti marketing sulla base dei dati (e relativi consensi) così ottenuti.
Conclusioni
Come si è avuto modo di vedere, gli interventi del Garante sopra richiamati permettono di ricostruire quale sia, alla luce della normativa attualmente vigente, il quadro dei principali adempimenti richiesti ai fini della cessione di dati personali a terzi a fini di direct marketing. Tra gli accorgimenti più significativi posti in evidenza dal Garante pare conclusivamente opportuno sottolineare i seguenti punti di attenzione:
-
-
- le società cessionarie possono effettuare attività promozionali senza richiedere un nuovo consenso – oltre a quello previamente raccolto dal cedente per cessione a terzi per loro finalità di direct marketing – solo ove si avvalgano di strumenti automatizzati; dunque, per lo svolgimento di attività promozionali per il tramite di strumenti non automatizzati occorre ottenere un nuovo consenso da parte dell’interessato;
- le società cedenti sono tenute ad assicurare maggiore trasparenza in ordine alle categorie economiche e merceologiche dei soggetti terzi cessionari dei dati, anche laddove si tratti di società appartenenti al medesimo gruppo imprenditoriale.
-
[1] Cfr. al riguardo Articolo 22(4) del D.lgs. 101/2018 per cui “A decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il suddetto regolamento e con le disposizioni dello stesso D. Lgs. 101/2018”.
[2] Paragrafo 2.4 delle Linee Guida.
[3] “ll principio di responsabilizzazione, dunque, delineato sia in una prospettiva giuridica (art. 5, par. 2 e art. 24) sia in una più moderna dimensione tecnologica (art. 25) comporta il superamento di una logica esclusivamente formalistica di adeguamento al dato normativo, imponendo al titolare del trattamento di approntare sistematici meccanismi di verifica, anche ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recare vantaggi anche di carattere economico al titolare”, in Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. – 16 dicembre 2021 [9735672].
Si noti inoltre che nell’Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021 [9706389] si precisa che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso”.
[4] In tal senso, v. ex multis e a titolo meramente esemplificativo le Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati” – 23 novembre 2006 [1364099]; le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie – 12 maggio 2011 [1813953]; v. anche Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali – 15 giugno 2011 [1821257].
[5] Paragrafo 2.6.3. delle Linee Guida.
[6] Così nell’Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. – 16 dicembre 2021 [9735672], in cui il Garante ha precisato che “[…] un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE, non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 RGPD. […] Tuttavia, in assenza di una chiara individuazione dei soggetti destinatari, non può comunque considerarsi idoneo un consenso collegato a trattamenti riferibili ad un numero indeterminato di soggetti”.
[7] Così il Garante, ex multis, nell’Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. – 13 maggio 2021 [9670025].
[8] Si veda quanto espresso nell’Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021 [9706389].
[9] Cfr. ancora Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021 [9706389].
[10] Cfr. Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. – 16 dicembre 2021 [9735672].
[11] Si veda Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 9 luglio 2020 [9435753].
