Acquisto di liste di contatti per finalità di marketing: titolarità e responsabilità in materia di privacy

27/06/2012
di Leonardo

Con il recente provvedimento del 5 Aprile 2012, il Garante per la protezione dei dati personali è intervenuto in materia di titolarità e conseguente responsabilità in capo all’acquirente di liste di contatti da utilizzare a fini di marketing.
È noto che, in base a quanto prescritto dal codice privacy, per poter contattare un soggetto per finalità di marketing occorre aver previamente fornito idonea informativa ed acquisito il consenso espresso e specifico dell’interessato per detto scopo.
Al fine di reperire facilmente nuovi contatti cui poter indirizzare la propria campagna di marketing, sempre più spesso le società si attivano sottoscrivendo contratti di fornitura aventi, appunto, ad oggetto la cessione di liste di nominativi da utilizzare per la suddetta finalità.
È pertanto evidente che il provvedimento del Garante di cui si discute si configura di notevole importanza, intervenendo in un settore che presenta peraltro delicati aspetti in materia di privacy.
comun_8924916_xxlNell’esaminare la decisione de qua, sollecitata dalla segnalazione di un privato cittadino, non sussistono particolari profili di rilievo in ordine alla posizione e alla responsabilità della società operante nel settore della generazione di anagrafiche, avendo  quest’ultima acquisito liste di contatti attraverso questionari on line senza rilasciare agli utenti idonea informativa e senza documentare per iscritto di aver acquisito il consenso degli interessati ai sensi degli artt. 23 e 130 del suddetto Codice.
Occorre invece soffermarsi sul contratto di fornitura di liste nominative con cui detta società cedeva all’altra parte contraente i dati personali raccolti, così da poter comprendere le argomentazioni sulla base delle quali il Garante ha considerato anche la società acquirente “titolare” del trattamento e ha disposto la trasmissione degli atti al competente Dipartimento per l´avvio dei conseguenti procedimenti sanzionatori, alla luce dell´accertata illiceità dell´attività di trattamento dei dati personali svolta dalle suddette società – ciascuna per la parte di propria competenza – e delle conseguenti violazioni disciplinate dalla normativa sulla protezione dei dati personali.
In particolare, per quanto concerne la questione relativa alla titolarità, occorre considerare che l’Autorità Garante non si ferma innanzi alla pattuizione contrattuale, in cui si indica la sola società cedente delle liste quale titolare del trattamento dei dati, ma indaga circa la corrispondenza di tale ricostruzione al reale atteggiarsi delle due società rispetto al trattamento dei dati personali effettuato.
Come già indicato dalla medesima Autorità nel provvedimento del 15 giugno 2011, n. 230, infatti, al fine di riconoscere la qualifica di “titolare” del trattamento dei dati, occorre verificare se il soggetto sia percepito come tale dall’interessato, se benefici del contatto promozionale -inteso quale antecedente logico dell’instaurando vincolo contrattuale tra la stessa società e l’utente contattato- e, infine, se eserciti il potere decisionale su modalità, compiti, ruoli e procedure dell’attività (aspetto, quest’ultimo, già espresso chiaramente nell’art. 4 lett. f) del codice privacy, ove si fornisce la definizione di “titolare” appunto).
Il Garante ritiene che, nella fattispecie sottoposta al suo esame, siano effettivamente molteplici gli elementi a fronte dei quali poter considerare anche la società acquirente della lista dei contatti “titolare” del trattamento, e ciò a prescindere dalla qualificazione effettuata dalle stessi parti.
In concreto l’Autorità rileva infatti che le parti hanno pattiziamente fissato i principi per i quali i contraenti disciplinano congiuntamente le modalità di effettuazione delle chiamate e le fasce orarie prescelte e si obbligano alla preventiva condivisione delle regole da utilizzare per lo svolgimento delle attività, evidenziando specificamente che, dall’esame del caso concreto, emerge che spetta alla società acquirente il potere di scelta in ordine ai criteri di individuazione dei soggetti da contattare, il potere di nominare direttamente i teleseller responsabili del trattamento e quello di comunicare loro le indicazioni cui devono attenersi nell’esercizio delle proprie mansioni.
Ad ulteriore sostegno dell’argomentazione di cui sopra, il Garante richiama inoltre la clausola di manleva contenuta nel contratto di fornitura de quo, ai sensi della quale la società cedente assume l’obbligo di tenere indenne la controparte, tra l´altro, a fronte di eventuali sanzioni penali o condanne conseguenti ad azioni proposte e a provvedimenti di Autorità e pronunce giudiziali, in qualsiasi modo connesse all´utilizzo delle anagrafiche e dei dati contenuti nel data base, “con ciò dimostrando – a dire dell’Autorità Garante – la piena consapevolezza della società acquirente della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati”.
Tutti elementi da cui non può che desumersi la qualifica di titolare del trattamento in capo alla società acquirente dei dati personali relativi ai destinatari di iniziative promozionali contenuti nella lista di contatti acquistata.
Da ciò ne consegue che, in capo a tale società devono ritenersi sussistenti tutti gli obblighi previsti dal d.lgs. 196/2003, nonché  l’obbligo di accertamento e di verifica dei singoli consensi prestati dagli interessati, principio previsto nel Provvedimento generale del 29 maggio 2003 – “Spamming. Regole per un corretto invio delle e-mail pubblicitarie”- ed espressamente richiamato nella decisione de qua dall’Autorità Garante, che ritiene di poter estenderlo, per analogia, anche alle attività promozionali effettuare utilizzando mezzi diversi dalla posta elettronica.
Ad avviso della scrivente deve, pertanto, ritenersi rilevante il provvedimento esaminato, con cui il Garante giunge a destrutturare la complessa architettura contrattuale realizzata dalle parti per portare in luce la realtà sostanziale del rapporto in ordine al trattamento dei dati personali, fornendo indicazioni certamente utili al fine della corretta configurazione della titolarità e della responsabilità derivante dal trattamento dei dati personali contenuti nelle liste di contatti da utilizzare per finalità di marketing.

Riproduzione riservata ©

ALTRE NEWS

Privacy, l’ondata del Regolamento Europeo

Progettare per la privacy, dotarsi di figure responsabili della tutela dei dati, massima trasparenza in caso di violazione. Le disposizioni del nuovo testo europeo commentate… Leggi Tutto

Cyber Insurance: cosa sono e perché sono strategiche

Una ricerca del Ponemon Institute del 2014 ha evidenziato come in quell’anno il valore del data breach in Europa sia stato complessivamente stimabile a circa… Leggi Tutto

Web marketing, brand protection e concorrenza sleale online: altre pratiche

Su Inside Marketing la seconda parte dell’analisi di Giulia Rizza sulle pratiche scorrette che, messe in atto nell’economia e con strumenti digitali, possono danneggiare il… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form






    * Informativa Privacy Autorizzo il trattamento dei miei dati personali secondo quanto stabilito dal regolamento europeo per la protezione dei dati personali n. 679/2016, GDPR.

    * (campo obbligatorio)
    Questo sito è protetto da reCAPTCHA e vengono applicate l' Informativa sulla Privacy e i Termini e Condizioni di Google.