Misure ed accorgimenti per la raccolta e il trattamento dei dati personali in ambito di digital advertising, alla luce del provvedimento del Garante nei confronti di Ediscom S.p.A.
Lo scorso 17 aprile 2023, dandone risonanza attraverso la propria newsletter, il Garante per la protezione dei dati personali ha pubblicato, sui propri canali ufficiali, il provvedimento prescrittivo e sanzionatorio nei confronti di Ediscom S.p.A., uno dei maggiori player nel settore del digital marketing. Basti pensare che, come riportato anche dall’Autorità all’interno del provvedimento, nello svolgimento della propria attività, Ediscom S.p.A. si avvaleva, al momento delle verifiche, di un database contenente i dati, sia raccolti direttamente che forniti da terzi, di circa 21 milioni di interessati.
Il provvedimento è stato emanato a seguito di alcuni accertamenti ispettivi presso i locali della società, che il Garante ha svolto, nel contesto del proprio piano ispettivo, a seguito della ricezione di una serie di reclami. Tali accertamenti miravano a verificare la liceità dei processi di costituzione e utilizzo delle banche dati di Ediscom, dei criteri utilizzati per selezionare i fornitori e la capacità dell’operatore di rendere riscontro alle richieste degli interessati.
Alla società è stata comminata una sanzione di 300 mila euro per una serie di violazioni commesse, a parere del Garante, nel contesto del trattamento dei dati dei soggetti interessati.
Inoltre, l’Autorità ha rilevato alcune circostanze aggravanti, che hanno inevitabilmente inciso sul computo della sanzione pecuniaria, tra cui l’utilizzo consapevole di pratiche e modalità ingannevoli e poco trasparenti – che potenzialmente invogliavano l’utente a prestare il consenso al trattamento dei propri dati per finalità di marketing e alla comunicazione dei dati a terzi sempre per la stessa finalità – o ancora il fatto che la società abbia agito con grave negligenza in relazione alle verifiche effettuate sulle banche dati acquisite.
D’altra parte, il Garante ha ritenuto dover considerare anche alcuni elementi attenuanti, tra cui la tempestiva adozione di misure correttive dopo la ricezione dell’atto di avvio del procedimento, o ancora, il fatto che Ediscom si sia dimostrata, sin da subito, estremamente collaborativa con l’Autorità di controllo.
Oltre alla sanzione pecuniaria amministrativa, è stata comminata alla società anche una sanzione inibitoria relativamente all’utilizzo di determinati canali e al trattamento di tutti quei dati personali per cui Ediscom non è stata in grado di documentare la raccolta di un valido consenso.
- Misure ed accorgimenti che emergono dal provvedimento, per chi opera nel mercato del digital marketing
Il provvedimento in questione è di centrale importanza, in quanto fornisce una panoramica molto utile alle aziende che operano nel settore del digital advertising in merito alle best practices da adottare nella raccolta e nel trattamento dei dati personali dei propri utenti ai fini del rispetto delle disposizioni data protection applicabili (per l’Italia, il Regolamento UE 679/2016, noto anche semplicemente come il “Regolamento” o “GDPR” e il d. lgs. 196/2003 e s.m.i., ossia il Codice Privacy).
Di seguito, per punti, si riportano gli aspetti maggiormente rilevanti ed alcune misure ed accorgimenti che emergono dal provvedimento, alla luce delle violazioni rilevate dal Garante.
DARK PATTERN
In numerosi portali online gestiti direttamente da Ediscom, la società adottava modelli comunicativi che il Garante ha ritenuto “non chiari con particolare riguardo alla progettazione grafica delle interfacce e alle modalità di svolgimento del processo di iscrizione ai servizi”, facendoli rientrare nella casistica dei c.d. “dark pattern”.
In alcuni dei siti web esaminati, durante il processo di registrazione veniva, infatti, richiesto all’interessato di esprimere uno specifico consenso in merito al trattamento per finalità di marketing di Ediscom e alla comunicazione a terzi per finalità di marketing. Se una delle due caselle non veniva selezionata, veniva presentato un pop-up che evidenziava la mancanza del consenso e presentava un tasto ben evidente che invitava a fornire il consenso precedentemente negato.
Nel contestare il ricorso a tale tipologia di soluzione, pertanto, il Garante ha ribadito l’assoluto divieto nell’utilizzare interfacce grafiche predisposte in modo tale da influenzare le scelte dell’utente attraverso meccanismi ingannevoli. Tale pratica non solo è in violazione del Regolamento ma si pone in contrasto anche con i chiarimenti espressi dall’EDPB, che sul tema ha emanato le Linee Guida pubblicate lo scorso 14 marzo 2022.[1] Ad esempio, non appare corretto l’utilizzo di un carattere o di un colore diverso per due scelte che dovrebbero essere alternative e che, pertanto, dovrebbero essere rappresentate graficamente allo stesso modo.
PROFILAZIONE
In molti dei siti internet ad oggetto del provvedimento, veniva richiesto, attraverso dei questionari, di inserire diversi dati personali e di fornire risposte ad un elevato numero di domande – tutte obbligatorie – relative alla capacità e alle abitudini di acquisto, al nucleo familiare, all’attività lavorativa svolta, al reddito annuo e altri aspetti della vita privata e del profilo di consumo degli utenti.
Dai ragionamenti condivisi dal Garante in merito a tale soluzione, si può desumere come la raccolta dei dati personali degli utenti, configurata con una modalità “a questionario” e finalizzata a identificare prodotti e servizi di per cui risultino “fortemente interessati”, potrebbe violare i principi di liceità, corretta e trasparenza di cui al Regolamento, obbligando di fatto gli interessati a fornire moltissime informazioni non pertinenti con il servizio offerto.
Inoltre, secondo l’Autorità, nel caso di Ediscom, vi era il rischio che i dati raccolti tramite tali “questionari” potessero essere impiegati anche per finalità ulteriori rispetto a quelle effettivamente dichiarate come, ad esempio, la creazione di “profili” utilizzabili per fini marketing e, quindi, in violazione del principio di limitazione della finalità di cui al Regolamento.
Appare pertanto evidente come questa modalità di raccolta dei dati presenti dei rischi e, ove possibile, andrebbe evitata. Laddove la si volesse implementare nel rispetto del Regolamento, ci si dovrebbe assicurare che le informazioni raccolte non eccedano le finalità proprie del servizio e non vengano conservate oltre i tempi necessari per l’espletamento dello stesso, nonché per ulteriori fini come, appunto, la profilazione (che richiederebbe, come una qualsiasi altra finalità di trattamento, di essere subordinata all’individuazione di una specifica e corretta base giuridica).
INFORMAZIONI OBBLIGATORIE
Sempre dalle contestazioni relative ai portali di Ediscom è possibile desumere alcune importanti indicazioni in merito alle informazioni da fornire obbligatoriamente agli interessati: in primo luogo, nella homepage di un sito, possibilmente nel footer, devono essere riportate tutte le informazioni obbligatorie relative al soggetto intestatario.
La pubblicazione dei dati aziendali nell’homepage del sito, come ricorda l’Autorità, è un obbligo di legge (come anche previsto dall’art. 35, comma 1, d.P.R. 26 ottobre 1972, n. 633, nonché dall’art. 2250 del Codice civile). Inoltre, l’informativa privacy va sempre presentata all’utente prima di iniziare la raccolta dei dati: nel caso in cui un modulo di raccolta sia strutturato su più layer, è opportuno che il link all’informativa sia presentato nel momento in cui i dati sono ottenuti e non dopo che l’utente abbia già compilato il form. Questa regola, pur sembrando banale, non va sottovalutata, ed è importante da considerare per tutti i casi in cui la raccolta dati avviene in maniera dinamica, come ad esempio nel caso dei chat-bot utilizzati per fini di lead generation.
Uno dei siti di Ediscom, analizzato dal Garante, non presentava alcuna informazione in merito al titolare del trattamento nella propria homepage, mentre il link all’informativa privacy veniva visualizzato solo al termine della compilazione di un form con più finestre, ovvero soltanto al termine della compilazione dello stesso, nel momento in cui veniva richiesto all’interessato di esprimere i propri consensi al marketing e alla cessione a terzi.
I SOGGETTI REFERENZIATI
Nel provvedimento il Garante ha nuovamente ribadito la regola per cui non sia possibile prevedere la raccolta di dati di soggetti cd. “referenziati” ovvero dati di terzi, conferiti dall’utente nel corso del processo di iscrizione in quanto potenzialmente interessati al medesimo servizio.
Tale raccolta non risulta giustificata da nessuna delle basi giuridiche indicate dal Regolamento ed è una pratica, pertanto – come più volte ribadito dall’Autorità nei provvedimenti comminati agli operatori del telemarketing e del teleselling – assolutamente vietata.
Si segnala inoltre che tale divieto viene riportato (proponendo peraltro misure alternative da applicare per la gestione delle referenze) anche nel neo approvato Codice di condotta per le attività di telemarketing e teleselling.
CONSENSO SPECIFICO PER CIASCUNA FINALITÀ
Altra regola imprescindibile, ribadita nel provvedimento, è quella per cui occorre rispettare il requisito della specificità del consenso nel contesto dell’iscrizione ad un servizio, prevedendo tante caselle di consenso quante sono le finalità di trattamento ulteriori rispetto al servizio principale. All’interno di uno dei siti in analisi nel provvedimento, veniva presentata un’unica casella di consenso per due distinte finalità di trattamento (il marketing diretto e la cessione a terzi). Secondo il Garante, una siffatta formulazione “non consentiva per l’interessato di esprimere una volontà libera e specifica” risultando in violazione, quindi, delle norme del Regolamento relative alla liceità del consenso.
È inoltre opportuno che in informativa siano indicati sempre e solamente i trattamenti che si intende effettivamente realizzare: ad esempio, non è corretto inserire in informativa la possibilità, per il Titolare, di effettuare attività di profilazione laddove non venga prevista la raccolta di alcun consenso a tal fine.
DUE DILIGENCE SUI FORNITORI
Altro aspetto rilevante che emerge dal provvedimento è la necessità di datare sempre la documentazione esaminata in occasione delle verifiche di conformità (incluse le copie dei form di raccolta o delle informative) dei propri fornitori, onde detenere prova del momento esatto di effettuazione delle verifiche. Inoltre, sarebbe opportuno anche verificare la visura dei cd. “list provider” da cui si intendono ricevere liste di dati personali, in modo da avere una panoramica dettagliata sulle modalità e le tempistiche di raccolta dei dati: potrebbe, ad esempio, accadere che i consensi o i dati raccolti dal partner risultino avere data anteriore rispetto a quella di costituzione della società o, peggio, la società potrebbe non risultare regolarmente costituita. Si tratterebbe di elementi da valutare ai fini, a seconda dei casi, della esclusione di un list provider dalla propria lista dei fornitori o, in alternativa, della effettuazione di verifiche più approfondite.
Nella selezione dei propri partner, è bene che il Titolare effettui delle verifiche scrupolose in merito alla modalità di raccolta che i soggetti individuati impiegano sui propri portali. Nel caso di Ediscom, la stessa ha svolto attività promozionale utilizzando dati provenienti da un partner per il quale il Garante aveva già rinvenuto, nel corso di precedenti attività ispettive (poi conclusesi in sanzione) “violazioni delle norme palesi e facilmente osservabili da chiunque operi nel mercato descritto”.
Inoltre, un altro dei partner di cui Ediscom si avvaleva per la fornitura dei dati non indicava nell’informativa privacy i dati di contatto del rappresentante nell’Unione, come previsto dall’art. 27 del Regolamento, nonostante fosse stabilito in un Paese extra-UE.
IDONEITÀ DEI CONSENSI
Nel gestire le richieste degli interessati, Ediscom ha ritenuto sufficiente che i partner fornissero, a dimostrazione del consenso prestato dagli utenti, la sola indicazione dell’indirizzo IP. Questa è una modalità che il Garante ha ritenuto insufficiente a certificare la volontà inequivocabile degli interessati, ricordando che esistono invece “alternative più idonee a garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso, come la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione”.
Ad ogni modo, il Garante, sebbene suggerisca come buona prassi quella dell’invio, dopo l’iscrizione e il conferimento dei consensi, di un messaggio all’utente contente un link di conferma (il c.d. “double opt-in”), specifica che tale prassi non è obbligatoria ai sensi di legge ma è una misura atta a dimostrare la non contraffazione del consenso. Al riguardo, si segnala che questo tema è già stato oggetto di interesse da parte del Garante in numerosi provvedimenti precedenti e, più recentemente, anche nel summenzionato Codice di condotta per le attività di telemarketing e teleselling, dove viene prospettata ai Titolari del trattamento la possibilità di ricorrere, in mancanza del double opt-in, anche ad una modalità cd. di “soft opt-in” o “single opt-in”, consistente nell’invio di un messaggio di conferma (tramite e-mail o sms) senza che si preveda la necessità di una ulteriore azione da parte dell’utente.
- La controversa questione della qualificazione dei ruoli privacy nella filiera del digital marketing
Da ultimo, si segnala che il Garante ha contestato a Ediscom l’errata qualificazione del proprio ruolo privacy nelle varie attività di trattamento dei dati poste in essere dalla società nell’ambito dei rapporti contrattuali con i propri partner.
La violazione rinvenuta in tale contesto, non ha influito, tuttavia, sull’importo della sanzione comminata, in quanto sul punto il Garante ha ritenuto sufficiente rivolgere a Ediscom un mero ammonimento.
In particolare, il Garante ha ritenuto che, nell’ambito di rapporti contrattuali “di gestione di database”, Ediscom non poteva qualificarsi quale “responsabile del trattamento” quanto, piuttosto, come autonomo titolare, dal momento in cui la funzione dell’acquisizione dei dati era chiaramente quella di arricchire il database di Ediscom, la quale
- riversava, indistintamente, i dati reperiti dai fornitori dei database in gestione all’interno del proprio database unico;
- effettuava, preliminarmente, operazioni di “deduplica”, confrontando il database dei fornitori con i dati di cui aveva già la disponibilità, evitando di acquisire i dati già in proprio possesso.
Nell’ambito dei contratti definiti “di affiliazione” per il Garante, l’erronea qualifica da responsabile di Ediscom, ha comportato conseguenze pregiudizievoli sugli interessati, dal momento in cui la titolarità è stata addossata esclusivamente al singolo affiliato, il quale non ha fornito alcun riscontro alle richieste degli interessati, oltre a non essere stato in grado di documentare la raccolta di un idoneo consenso ed a non aver fornito spiegazioni neanche ai propri partner commerciali.
In conclusione, quindi, benché il provvedimento avverso Ediscom contenga numerose – utili – indicazioni di carattere generale su alcuni aspetti del settore del direct marketing resta, soprattutto per quanto riguarda la qualificazione dei ruoli privacy, un provvedimento sanzionatorio fortemente condizionato dalla situazione di fatto e dal modello di business nello specifico adottato dall’operatore.
Sul tema, inoltre, si auspica l’approvazione di Linee Guida da parte del Garante (o ancor meglio la promozione di un Codice di Condotta da parte delle associazioni di settore) che permettano di definire, in modo chiaro e una volta per tutte, la corretta identificazione dei ruoli privacy nella filiera dei trattamenti effettuati nell’ambito della realizzazione di campagne di digital advertising.
[1] A seguito del Provvedimento, il Garante ha pubblicato anche una pagina informativa sul tema.