La comunicazione dei dati personali a terzi per finalità promozionali: gli ultimi provvedimenti del Garante tra conferme e novità
Introduzione
Che la cessione dei dati personali a terzi per scopi promozionali sia una finalità lecitamente perseguibile da un Titolare del trattamento, perlomeno nel contesto dell’ordinamento italiano, appare pacifico alla luce delle costanti pronunce dell’Autorità Garante, a partire dalle “Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013” (c.d. provv. “Antispam”) fino ad arrivare ai recenti provvedimenti emanati nei confronti di Fastweb S.p.A (25 marzo 2021) e di Iren Mercato S.p.A (13 maggio 2021).
Tuttavia, le pronunce che hanno colpito i settori delle utilities e delle telco nel triennio 2019 – 2021 contengono importanti indicazioni di cui è necessario tener conto prima di sviluppare un progetto, o un intero business, fondato sulla raccolta di tale particolare consenso.
Inoltre, in aggiunta ai provvedimenti emanati direttamente contro Eni Gas e Luce del 11 dicembre 2019 e le principali telco – quali il provv. contro Wind del 9 luglio 2020; il provv. contro TIM del 15 gennaio 2020; il provv. contro Vodafone del 12 novembre 2020 – l’attività istruttoria del Garante ha portato a numerose ulteriori pronunce anche nei confronti di altri soggetti a vario titolo coinvolti nelle attività promozionali delle committenti, fornendo quindi utili indicazioni per tutta la “filiera”.
Tali sanzioni (di natura pecuniaria e non) emanate dall’Autorità hanno portato alla luce una serie di errori interpretativi – o talvolta semplicemente operativi – con riferimento all’applicazione dei principi che dovrebbero regolare il trattamento finalizzato alla comunicazione a terzi: in tal modo, sono stati forniti utili spunti per i Titolari del trattamento, che si cercherà di riassumere di seguito in una sorta di “vademecum”, ferma restando in ogni caso la necessità di approfondire con i propri consulenti o Data Protection Officer le particolarità del singolo caso.
La specificità del consenso
Tra i provvedimenti che hanno interessato la “filiera”, merita una considerazione il provv. del 11 marzo 2021, adottato nei confronti della società Mediacom S.r.l. (Registro dei provvedimenti n. 99 dell’11 marzo 2021), nel quale sono contenute delle indicazioni che possono creare, per come formulate, alcuni equivoci in materia di validità del consenso per la cessione a terzi con finalità di comunicazione promozionale. Con tale pronuncia, l’Autorità ha contestato la validità del consenso sul quale la Mediacom S.r.l. fondava la legittimità del trattamento finalizzato alla cessione a terzi, per assenza di “specificità”: è bene però comprendere cosa si intenda esattamente con tale termine.
Come è noto, con gli artt. 5 let. b) e 6 let. a) del Reg. UE 2016/679 (il “GDPR”) si stabilisce che, quando il trattamento è basato sul consenso dell’interessato, tale consenso deve essere prestato per ogni specifica finalità che il Titolare intende perseguire. Peraltro, si tratta di un principio piuttosto consolidato nel nostro ordinamento.
Infatti, già nel 2005, con il provv. “Fidelity card e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione”, il Garante precisava che: “devono essere poste in distinta e specifica evidenza le caratteristiche dell’eventuale attività di profilazione e/o di marketing, come pure l’intenzione di cedere a terzi specificamente individuati i dati per finalità da indicare puntualmente.”
Coerentemente con questa impostazione, anche nel 2013, con il provvedimento Antispam, il Garante ha ribadito come il Titolare del trattamento debba acquisire un consenso specifico per ciascuna distinta finalità quali ad esempio: marketing, profilazione, comunicazione a terzi dei dati.
Si tratta, quindi, di un principio consolidato nei vari “precedenti” dell’Autorità e che si pone in coerenza anche con le indicazioni contenute nelle Opinion e nelle Linee guida europee sul consenso (del WP29 prima e dell’European Data Protection Board poi).
Pertanto, per essere specifico, il consenso deve essere riferito ad una precisa finalità che, nel caso in esame, è quella della comunicazione dei dati a soggetti terzi (affinché ne possano fare un “uso” promozionale): tali soggetti, in aggiunta, dovrebbero essere indicati, almeno per categorie merceologiche di appartenenza, all’interno dell’informativa privacy del Titolare, onde garantire che il consenso risulti altresì “informato”, fermi restando gli obblighi informativi – anche ai sensi dell’art. 14 GDPR – di ciascuna società cessionaria.
In conclusione, la specificità richiamata nel provvedimento avverso la Mediacom S.r.l., non riguarda tanto i destinatari quanto, invece, la specificità della finalità.
Il divieto di successive comunicazioni
Il principio in base al quale “ad un consenso corrisponde una sola cessione”, o meglio, per cui il consenso fornisca la possibilità al solo Titolare che lo ha raccolto di comunicare i dati a soggetti terzi, è una regola richiamata in più occasioni dall’Autorità Garante, fin dal 2013.
Ciò nonostante, nel settore hanno suscitato molti interrogativi le affermazioni contenute, inizialmente, nel provvedimento contro Eni Gas e Luce e, a seguire, nelle pronunce contro Vodafone e Fastweb: in particolare, nel contesto del provvedimento avverso Iren Mercato, la “difesa” del gestore ha dato atto di una diffusa – ma errata – interpretazione, per cui, tramite il provvedimento Eni, l’Autorità abbia operato una profonda innovazione rispetto ad un proprio – presunto – precedente orientamento, favorevole invece a cessioni “multiple”.
Ad ogni modo, grazie anche ai costanti richiami operati dal Garante nelle ultime pronunce sul tema, che hanno ormai sfatato eventuali approcci difformi (basati, in parte, su inesatte interpretazioni delle Linee Guida europee o precedenti provvedimenti che avevano toccato l’argomento, senza però approfondirlo, come il provv. avverso l’operatore “Supermoney” del 22 maggio 2018), ad oggi si ritiene pacifico che la manifestazione di volontà inizialmente espressa, in modo consapevole, rispetto al trattamento finalizzato alla comunicazione a terzi non possa dispiegare effetti “a catena”, in modo del tutto imprevedibile per l’interessato.
Questo costituisce un ulteriore dettaglio relativamente al carattere informato che deve avere il consenso: infatti, nel momento in cui non si permette ad un soggetto interessato di esercitare un controllo effettivo sui propri dati personali viene meno la possibilità di essere a conoscenza degli aspetti fondamentali relativi al trattamento, come indicati nell’art. 13 del GDPR.
Così, una volta realizzata la cessione da parte del Titolare che ha raccolto i dati si esauriscono gli “effetti” del consenso manifestato dall’utente e, nel caso in cui la società che ha acquisito i dati intenda, a sua volta, realizzare un’ulteriore cessione ad un terzo soggetto, questa dovrà necessariamente preoccuparsi di (i) fornire all’interessato idonea e preventiva informativa e (ii) raccogliere un nuovo consenso, in modo tale da poter fondare il trattamento su un’idonea base giuridica.
La formula per raccogliere il consenso alla comunicazione
Tuttavia, risulta importante chiarire che non è sufficiente che il Titolare raccolga un consenso separato, ma è necessario anche che il wording utilizzato per ottenere detto consenso sia formulato in maniera chiara e tale da non indurre in errore il soggetto interessato in merito alle finalità di trattamento verso le quali sta prestando il proprio consenso.
A conferma di questo, il Garante, con il succitato provv. del 11 marzo 2021, ha ritenuto che la formulazione utilizzata da un list provider per raccogliere il consenso alla comunicazione a terzi, avrebbe celato un ulteriore trattamento, consistente, nel caso di specie, nell’invio di proprie comunicazioni promozionali per conto terzi, nonostante fosse previsto un ulteriore check-box di consenso per quest’ultima finalità.
In particolare, il list provider utilizzava le seguenti formule per l’acquisizione del consenso:
CONSENSO 1
[ ] Acconsento al trattamento dei dati personali da parte di ClickADV per l’invio di comunicazioni promozionali e di marketing, incluso l’invio di newsletter e ricerche di mercato, su prodotti e servizi propri e di terzi, attraverso strumenti automatizzati (e-mail, sms, fax, mms, messaggi su social network, whatsapp, messenger, applicazioni di messaggistica istantanea online) e non (posta cartacea, telefono con operatore).
CONSENSO 2
[ ] Acconsento alla comunicazione dei dati personali da parte di ClickADV a soggetti terzi autonomi titolari del trattamento, appartenenti alle categorie indicate in informativa, per l’invio di proprie comunicazioni promozionali e di marketing su prodotti e servizi propri o di terzi, incluso l’invio di newsletter e ricerche di mercato, attraverso strumenti automatizzati (e-mail, sms, fax, mms, messaggi su social network, whatsapp, messenger, applicazioni di messaggistica istantanea online) e non (posta cartacea, telefono con operatore)
Nonostante le due distinte formule utilizzate, l’Autorità ha ritenuto che la seconda fosse inidonea a raccogliere un consenso specifico – e quindi libero – del soggetto interessato per la cessione dei dati a terzi, in quanto, si legge nel provvedimento: “il consenso per la comunicazione a soggetti terzi – per essere effettivamente specifico e quindi anche libero – non può in alcun modo essere mischiato, e confuso, con il consenso per ulteriori trattamenti, non sovrapponibili né assorbibili, qual è l’invio promozionale per conto terzi, che costituisce un ulteriore trattamento, necessitante quindi anch’esso di un ulteriore apposito consenso libero e specifico.”
La prova del consenso
Particolarmente utili sono infine le indicazioni contenute nel provvedimento contro Iren Mercato, l’ultimo in linea temporale, in materia di prova del consenso, con particolare riguardo alla raccolta di dati personali effettuata on-line.
Nel contesto di tale pronuncia, l’Autorità ha contestato la validità probatoria di alcuni dei documenti, inizialmente presentati dal gestore, attestanti il rilascio dei consensi da parte dei soggetti interessati, in quanto generici e mancanti di riferimenti utili a determinare la valorizzazione del consenso.
In un secondo momento, però, Iren in collaborazione con le società provider di dati coinvolte, ha messo a disposizione dell’Autorità (i) screenshot della landing page di raccolta con individuazione delle formule utilizzate per raccogliere il consenso e dell’ubicazione dell’informativa; nonché (ii) i record completi, estratti dai CRM, riferiti ai singoli interessati, da cui è stato possibile evincere la valorizzazione positiva del check-box riferito ai consensi oggetto di accesso.
Solo a seguito della condivisione di tale ulteriore documentazione l’Autorità ha riconosciuto la validità probatoria e l’idoneità dei consensi espressi da parte dei soggetti interessati.
Conclusioni
A conferma della coerente interpretazione del Garante in materia e per individuare le corrette modalità per effettuare attività di trattamento per finalità di comunicazioni a terzi, un utile riferimento “operativo” rimane il provvedimento emanato nei confronti di Fastweb S.p.A., in cui il Garante, “scomponendo” i differenti ruoli e passaggi ha affermato che:
“Con riferimento alle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente dai list editor, complessivamente il modello seguito appare corretto. Si è notato che, nel suddetto caso, le società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime.
Nell’ambito del processo di acquisizione delle anagrafiche, Fastweb richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa e che Fastweb sia indicata, nella correlata informativa, quale soggetto al quale i dati possono essere ceduti.
Fastweb verifica che i dati acquisiti direttamente dai list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse. Pertanto, il modello prevede una comunicazione di dati da titolare (list editor) a titolare (Fastweb) sorretta da uno specifico e informato consenso, idoneo a consentire all’interessato di esercitare il pieno controllo sul destino dei dati che lo stesso ha conferito all’originario titolare: tale controllo è facilmente esercitabile anche attraverso le indicazioni che Fastweb fornisce in sede di contatto telefonico.”
È importante anche sottolineare come particolarmente rilevante risulti essere il ruolo del committente (ad es., tra i provvedimenti summenzionati, TIM o Fastweb) che, considerato Titolare del trattamento al pari degli operatori di call center, quali Mediacom S.r.l. (o, nel caso di Fastweb, dei list provider), ricopre un ruolo preponderante e particolarmente incisivo con riguardo alle dinamiche e alle prassi operative condivise, nonché all’introitamento dei profitti derivanti dalle campagne.
In conclusione, quindi, è fondamentale ricordare che, affinché il consenso possa essere ritenuto valido, è necessario che il soggetto interessato possa esercitare un controllo effettivo sui dati personali a lui riferibili e tale possibilità, nella maggior parte dei casi, prevede come primo step una comunicazione con il committente, il quale dovrebbe essere in grado di fornire al soggetto interessato le informazioni corrette in merito alla fonte dei dati personali dallo stesso acquisiti nel contesto di precedenti campagne.