Ammonta a 200.000 euro la sanzione che il Garante Privacy ha irrogato ad una agenzia di pubblicità, leader di mercato, per aver effettuato un trattamento di dati ai fini della realizzazione di una campagna promozionale per conto di un cliente, senza aver effettuato le opportune verifiche circa la validità delle banche dati messe a disposizione da terzi, non rispettando, quindi, le istruzioni impartite dalla società committente che imponevano la verifica della qualità dei dati oggetto di trattamento e, dunque, il possesso dei requisiti di liceità, correttezza e trasparenza richiesti dalla vigente normativa.

Le violazioni

Per realizzare una campagna promozionale tramite sms, l’agenzia di pubblicità aveva provveduto ad acquistare delle banche dati gestite da due list provider situati al di fuori dell’UE, i quali, tuttavia, non avevano provveduto a:

  • nominare il rappresentante del titolare nell’UE, come richiesto dal GDPR,
  • indicare nell’informativa i dati di contatto del rappresentante;
  • raccogliere e conservare idonee evidenze documentali al fine di dimostrare la reale espressione del consenso da parte degli utenti alla ricezione di messaggi promozionali e al trasferimento dei loro dati a terzi: la documentazione del consenso ottenuto da un utente tramite l’indicazione del suo solo indirizzo IP e una data, in particolare, è stata giudicata una modalità insufficiente a documentare la volontà inequivocabile di tali soggetti a prestare uno o più specifici consensi. Allo stesso modo, è stata ritenuta inadeguata la documentazione in cui le stringhe prodotte per documentare i consensi espressi includevano nel primo consenso, in un’unica formula, l’accettazione dei termini contrattuali e l’assenso a ricevere informazioni dal titolare e da terzi.

Ruoli privacy e responsabilità

Da un punto di vista contrattuale, pur mancando qualsivoglia riferimento dei rispettivi ruoli sotto il profilo privacy, la società committente aveva richiesto all’agenzia di pubblicità la realizzazione di campagne promozionali che rispettassero dei requisiti minimi di qualità, tra cui l’effettuazione di controlli sulla corretta realizzazione delle liste e sull’acquisizione dei previsti consensi al trattamento. A seguito dell’istruttoria, tuttavia, è emerso come tali istruzioni siano state disattese dal fornitore, in quanto lo stesso non aveva provveduto a verificare in maniera idonea e comunque esaustiva la liceità dei dati conservati nelle banche dati utilizzate per la realizzazione della campagna promozionale.

A fini di completezza, segnaliamo che anche il cliente della agenzia di pubblicità, identificato dal Garante Privacy come il titolare del trattamento oggetto della campagna promozionale in contestazione, è stato sanzionato autonomamente – con una sanzione pecuniaria, peraltro, doppia rispetto a quella comminata al fornitore – per non aver operato alcuna forma di controllo sulla fonte dei dati acquisiti dal fornitore in forza del contratto.

In relazione a tale illecito trattamento, il Garante Privacy, inoltre, ha ritenuto del tutto inconferenti le garanzie e le manleve presenti nei contratti stipulati tra il cliente e l’agenzia di pubblicità e tra quest’ultima e i list provider, con ciò rimarcando il fatto che tali pattuizioni possano aver effetto solo inter partes, a nulla rilevando invece nella valutazione della responsabilità nella commissione di un illecito trattamento in base alla normativa privacy.

Conclusioni

Dalla vicenda in esame, ne deriva che anche l’agenzia di pubblicità e, più genericamente, il fornitore di un servizio che importi il trattamento di dati per conto del proprio cliente, in una logica di rapporti privacy qualificabile come tra titolare e responsabile, ha un obbligo specifico di eseguire l’attività richiesta nel rispetto della normativa privacy a prescindere dalle garanzie contrattuali ottenute. Allo stesso modo, il cliente che delega al fornitore la realizzazione di una campagna promozionale direct marketing ha necessità di esercitare un effettivo potere di controllo sull’operato di tale soggetto.

L’adozione di una adeguata politica sulla privacy, quindi, da declinarsi nelle diverse attività concretamente realizzabili o delegabili a terzi, diventa sempre più centrale nel proprio business; nel caso specifico di acquisto di banche dati da terzi, in particolare, sarebbe opportuno che ogni società implementasse una procedura aziendale interna che preveda l’attivazione di idonee forme di controllo per verificare in via preliminare la validità di una banca dati offerta per la realizzazione di campagne promozionali, partendo dal contenuto dell’informativa per arrivare fino alle modalità di conservazione dei consensi resi dagli utenti.