STORIE DI PRIVACY: UN SMS ESTREAMENTE COSTOSO

Il tutto ha inizio nel corso dell’anno 2020, all’autorità Garante perviene una segnalazione che lamenta la ricezione di sms promozionali per un servizio di telefonia mobile. Nel testo del messaggio compaiono anche il nome ed il cognome del reclamante oltre al suo comune di appartenenza.

In particolare, l’8 maggio 2020, un avvocato lamenta la ricezione di un sms promozionale, per un servizio di telefonia mobile. A seguito di tale sms, l’avvocato  esercita il proprio diritto di accesso ai dati nei confronti della società inviante. Quest’ultima informa l’avvocato di aver acquisito tali dati da un’altra società che ne garantiva e certificava la regolare acquisizione e trasmissione. L’avvocato allora invia alla società che aveva acquisito, e poi rivenduto i suoi dati personali, specifica richiesta al fine di ottenere la prova del consenso rilasciato per le finalità di marketing nonché quello relativo alla cessione dei dati ai terzi. Tuttavia, nessun riscontro viene fornito alle richieste dell’interessato. Senza risposte, sia da parte della società inviante l’sms promozionale, sia da parte della società che aveva inviato l’sms promozionale, di nuovo sollecitata, l’avvocato adiva con opportuna segnalazione l’Autorità Garante. 

A seguito del reclamo veniva avviata l’attività istruttoria da parte dell’Ufficio del Garante. La società che aveva inviato l’sms affermava che: “la nostra società incarica aziende esterne in relazione alle attività di marketing, tra le quali l’invio di sms promozionali. Nel caso di specie, … , l’attività di marketing era stata esternalizzata alla società  […] Nel fornire l’incarico richiediamo che la società esterna rispetti la normativa vigente e la stessa [..] ci aveva garantito che le liste dei soggetti contattati erano corrette. Ci dichiariamo pertanto del tutto estranei alla vicenda”.

Sentita allora la società incaricata dell’attività di marketing la stessa dichiarava di aver acquisito un consenso ma di non poter fornire una prova documentale di tale acquisizione e di aver provveduto a cancellare i dati. Nessun’altra informazione veniva fornita in merito all’origine dei dati.

Date le  laconiche ed insufficienti risposte fornite da entrambe le società coinvolte nella vicenda, l’Autorità Garante notificava l’avvio del procedimento ai sensi dell’art. 166 comma 5 del Codice.

A seguito delle valutazione effettuate si riscontrava che né la società inviante l’SMS né quella incaricata delle attività di marketing avessero fornito chiarimenti in merito al ruolo ricoperto nello specifico trattamento, ma entrambe avessero solo dichiarato di aver preso nota dell’opposizione manifestata dai reclamanti.

Il Garante pertanto valutava che anche in mancanza di una espressa qualificazione dei ruoli fosse  comunque possibile desumere  che ci fosse, tra le due società, un’autonoma titolarità nel trattamento con riguardo alla fase di raccolta e comunicazione dei dati mentre, con riguardo allo specifico trattamento posto in essere per effettuare la campagna promozionale non fosse nemmeno possibile accertare in concreto se la Società abbiano operato come responsabili o co-titolari.

Pertanto, veniva contestato che la condotta descritta avesse dato luogo all’invio di messaggi promozionali e alla comunicazione di dati a terzi senza consenso – dal momento che in entrambi i casi non era stato possibile rinvenire alcun  prova documentale – integrando perciò la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130 del Codice.

Inoltre veniva altresì lamentato il mancato riscontro alle richieste di accesso ai dati presentate direttamente alle Società. Configurando pertanto anche le violazioni degli artt. 12 e 15 del Regolamento.

Inoltre, l’Autorità sottolineava anche che il titolare del trattamento è tenuto a mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento sia effettuato in conformità al Regolamento. Nel caso di specie, invece, non risultava che nessuna delle due società abbia adottato misure idonee ad acquisire il consenso degli interessati e a fornire riscontro all’esercizio dei diritti. Pertanto si riteneva integrata anche la violazione dell’art. 5, par. 2 e dell’art. 24 del Regolamento.

Tenuto conto di tutto quanto emerso dall’attività istruttoria, il Garante riteneva sussistenti i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

Pertanto, veniva applicata la sanzione amministrativa del pagamento di una somma pari a euro 20.000,00 (ventimila/00), nonché la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.

Questo esempio, tratto da una recente pronuncia dell’Autorità Garante per la protezione dei dati mostra chiaramente come sia sempre crescente l’attenzione per la tutela dei diritti degli interessati, specialmente per le attività di marketing e come, anche il solo invio di un singolo e semplice sms promozionale, senza gli appositi consensi, possa costare molto caro. 

Non farti trovare impreparato, evita le sanzioni e svolgi le tue attività in totale sicurezza!