Privacy e campagne promozionali: non basta delegare, serve controllare
Inviare comunicazioni promozionali tramite fornitori esterni è pratica comune, ma attenzione: chi si affida a terzi affinché promuovano un servizio o un prodotto presso i propri database resta comunque il titolare del trattamento, anche se ai dati di quei database non accede. È questo il messaggio lanciato dal Garante Privacy in un recente caso che ha messo in luce errori ricorrenti nel mondo del marketing digitale. Tra ruoli privacy non definiti, consensi raccolti male, liste poco trasparenti e controlli assenti sui partner, emerge una lezione chiara: chi fa marketing deve impostare bene i ruoli privacy di tutta la filiera e sapere cosa fanno i propri fornitori. E soprattutto, deve poterlo dimostrare.Con il provvedimento n. 330 del 4 giugno 2025 (doc. web n. 10143278), il Garante per la protezione dei dati personali torna sul tema, sempre attuale, della raccolta del consenso per finalità di marketing e della qualificazione dei ruoli privacy in presenza di soggetti terzi coinvolti nelle campagne promozionali.
Il caso ha riguardato una società operante nel settore automotive, sanzionata a seguito di un reclamo per l’invio di email promozionali indesiderate. Il Garante ha rilevato una serie di criticità che offrono spunti operativi importanti per chi gestisce attività di marketing, anche tramite fornitori esterni.
- Chi è il titolare del trattamento?
Anche se l’invio delle comunicazioni era stato materialmente affidato a terzi, la proposta commerciale era riconducibile alla società promotrice. Questo, secondo il Garante, ingenera negli interessati un’aspettativa legittima: si percepisce che a trattare i dati sia la società “di facciata”. Risultato? È quest’ultima che assume il ruolo di titolare del trattamento.
- Verifica dei partner: un dovere, non una formalità
La società non aveva effettuato alcuna due diligence sui fornitori coinvolti, né al momento della selezione né nel corso dell’attività. Questo deficit di controllo lungo la “filiera del trattamento” ha pesato non poco nella valutazione dell’Autorità.
- Consenso e prova documentale: servono basi solide
I consensi erano documentati tramite file di log, con riferimento a indirizzi IP e timestamp. Peccato che gli interessati ne abbiano disconosciuto la validità, e che i dati non fossero né immodificabili né verificabili. A complicare le cose, molte delle liste provenivano da fornitori extra-UE privi di garanzie adeguate.
- Double opt-in: non obbligatorio, ma ormai quasi indispensabile
Il Garante ribadisce che, pur non essendo previsto espressamente dal GDPR, il meccanismo del double opt-in è una misura idonea a rafforzare la prova del consenso. Non è l’unica via possibile, ma costituisce una best practice riconosciuta, anche dal Codice di condotta per il telemarketing.
- Cosa ci insegna questo provvedimento?
Chi realizza campagne promozionali non può “scaricare” sui fornitori la responsabilità della compliance privacy. Servono:
- una chiara definizione dei ruoli (titolare, responsabile, etc.);
- controlli reali sui partner e sulle origini delle liste;
- sistemi solidi e trasparenti di raccolta e prova del consenso.
Il messaggio del Garante è chiaro: in tema di marketing, l’accountability non è un’opzione. È il requisito minimo per trattare i dati in modo lecito, corretto e trasparente.
📌 Hai dubbi sulla compliance delle tue attività di marketing o sull’idoneità della tua documentazione del consenso?
Contattaci: ti aiutiamo a mettere in sicurezza la tua strategia promozionale, dalla contrattualistica ai flussi dati.
