“Marketing Selvaggio” – Il ruolo principale del consenso
In un mondo sempre più hi-tech, le attività di marketing di aziende ed enti, sono portate avanti attraverso strumenti sempre più vari.
Tuttavia, qualsiasi sia lo strumento utilizzato per il direct marketing adottato dalle imprese, esso deve essere subordinato al consenso dell’interessato quando è effettuato con sistemi automatizzati di chiamata o nell’ambito di comunicazioni elettroniche, attraverso posta elettronica, telefax, mms, sms o altro tipo di strumenti, disciplinato dall’art. 130 D.lgs. 169/2003 (di seguito “Codice Privacy”), di recepimento dell’art. 13 Dir. 2002/58/CE. Il consenso, invece, non è richiesto tutte le volte che il titolare del trattamento utilizza i recapiti forniti in precedenza dall’interessato, nel contesto della vendita di un prodotto o di un servizio, per finalità di vendita diretta di propri prodotti o servizi. In tal caso, il titolare del trattamento ha un legittimo interesse al trattamento dei dati personali dell’interessato per poter svolgere attività di direct marketing o soft spam a condizione che, si tratti di servizi analoghi a quelli oggetto della vendita o servizio, e che l’interessato non rifiuti o si opponga all’uso dei dati fin da subito o successivamente (cd. opt-out). In tale contesto, alla normativa nazionale si affianca il Regolamento Europeo 679/2016 (di seguito “RGDP”) con particolare attenzione alla concreta applicazione dei principi del trattamento di dati personali di cui all’art. 5 nonchè delle condizioni di liceità del trattamento e del consenso, rispettivamente agli artt. 6 e 7.
Tali concetti, spesso, sono ignorati o ignoti alle società che operano nel nuovo mercato digitale, le quali non sono in grado di uniformarsi alle prescrizioni della normativa europea e dei singoli stati membri.
Una cattiva gestione dei dati personali, che non consente una protezione dei dati fin dalla progettazione influisce in termini di responsabilità nei confronti del titolare del trattamento chiamato a rispondere per l’inosservanza delle norme a protezione dei dati personali. Queste circostanze, nel corso del tempo, grazie anche ad una maggior consapevolezza dei consumatori, hanno provocato numerose segnalazioni alle rispettive Autorità, le quali, dopo attente ed accurate ispezioni, in considerazione dei poteri conferiti dal RGDP, hanno iniziato ad infliggere pesanti sanzioni pecuniarie come il caso di Wind Tre, ed altri operatori del settore.
Il Garante per la protezione dei dati personali nello svolgimento dei suoi compiti ed esercizio dei poteri conferiti dalla normativa europea e nazionale, ha adottato, all’esito di una complessa attività istruttoria ed ispettiva, un’ordinanza di ingiunzione per l’applicazione di una sanzione amministrativa pecuniaria di 17 milioni a Wind Tre, per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali, anche in riferimento al c.d. “Marketing selvaggio”.
Occorre preliminarmente evidenziare, come al fine di determinare l’ammontare della sanzione pecuniaria, Il Garante ha tenuto conto della gravità delle violazioni rilevate delle attività poste in essere da Wind Tre, segnalando, in particolar modo, le gravi carenze organizzative, le quali, hanno determinato:
– un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability;
– la violazione dei fondamentali principi di esattezza dei dati con riguardo alla pubblicazione di dati personali negli elenchi telefonici (art. 83, par. 2, lett. a, del Regolamento);
– la realizzazione di una filiera parallela di raccolta dei dati dei possibili clienti, in spregio alla normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;
Ben si comprende come una motivazione del genere, possa incidere negativamente sulla brand reputation.
Analizzando il menzionato provvedimento, l’Autorità, rilevata l’illiceità dei trattamenti di dati personali nella condotta dell’azienda, con l’ordinanza del 9 luglio scorso ha disposto altresì, l’adozione di determinate misure correttive al fine di evitare ulteriori trattamenti non consentiti. Tali misure, in applicazione del Regolamento n. 1/2019, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, dovranno essere annotate nel registro interno dell’Autorità previsto dall’articolo 57, paragrafo 1, lettera u), del RGPD, e delle violazioni e delle misure adottate in conformità all’articolo 58, paragrafo 2, del RGPD. Inoltre, ai sensi dell’art. 166 comma 7 del Codice Privacy, l’Autorità ha ritenuto di dover applicare la sanzione amministrativa accessoria della pubblicazione per intero dell’ordinanza sul sito internet del Garante.
Il provvedimento in esame ha disposto una serie di misure correttive, rientranti nei poteri previsti dall’art. 58, par. 2, del Regolamento Europeo. Infatti, il Garante ai sensi dell’art. 58, par. 2 lettera f) ha disposto nei confronti di Wind Tre l’immediato divieto di trattamento:
– dei dati personali relativi ai soggetti per i quali risulta conferito un consenso tramite le app My Wind e My3;
– per finalità di marketing, dei dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso;
Il provvedimento precisa che l’inosservanza del divieto di trattamenti dei dati personali così come disposto dal Garante comporta la pena della reclusione da tre mesi a due anni, ai sensi dell’art. 170 del Codice Privacy.
Infine, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ha ingiunto alla medesima Società, entro 180 giorni dal ricevimento del provvedimento, di adottare misure tecniche ed organizzative adeguate per garantire ed essere in grado di dimostrare che i trattamenti effettuati rispettino il Regolamento, e di comunicare, entro 30 giorni dalla ricezione del provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere, al fine di dare attuazione alle prescrizioni ivi contenute, fornendone adeguato riscontro documentato.
–Il Ruolo principale del consenso
Uno degli aspetti su cui si è soffermato maggiormente il Garante è la gestione complessiva dei consensi degli interessati da parte di Wind Tre. Le modalità di raccolta e la revoca del consenso, nonché l’opposizione al trattamento per finalità promozionali, non sono state implementate in modo corretto e conforme alle disposizioni del nuovo regolamento europeo, entrato in vigore il 25 maggio del 2018, impendendo così, la lecita applicazione delle condizioni previste per il consenso di cui all’art. 7 dello stesso.
Infatti, in seguito all’ispezione è emerso che il titolare non è stato in grado di dimostrare che:
– l’interessato abbia prestato il proprio consenso al trattamento dei propri dati personali
– il consenso veniva richiesto per finalità specifiche
– l’interessato veniva messo nella condizione di revocare il consenso in qualsiasi momento
Queste circostanze dimostrano come in tali casi il consenso non è valido!
Si tratta di un consenso illegittimo che non rispetta la definizione stessa di consenso, dettata dall’art. 4 punto n. 11 del RGDP, in cui viene specificato che il consenso deve essere: Informato – Libero – Specifico – Inequivocabile – Espresso.
Per l’appunto, la nozione di consenso rimane sostanzialmente simile a quella della direttiva 95/46/CE, e rimane uno dei presupposti per il trattamento dei dati personali, ai sensi dell’articolo 6 del regolamento generale sulla protezione dei dati, rientrando tra le basi giuridiche lecite per il trattamento dei dati. Oltre alla definizione modificata del consenso di cui all’articolo 4, punto 11, il RGDP fornisce ulteriori indicazioni, all’articolo 7 e ai considerando 32, 33, 42 e 43, su come il titolare del trattamento deve agire per rispettare gli elementi principali per raccogliere un valido consenso.
Pertanto, in un’ottica di continuità interpretativa europea, ed in conformità della direttiva 93/13/CEE del Consiglio (concernente le clausole abusive nei contratti stipulati con i consumatori) è opportuno, per il titolare del trattamento, prevedere una dichiarazione di consenso predisposta in una forma comprensibile e facilmente accessibile, che usi un linguaggio semplice e chiaro, e non contenga clausole abusive. Secondo il Considerando 42, il consenso non dovrebbe essere considerato liberamente espresso se l’interessato non è in grado di operare una scelta autenticamente libera oppure si trovi nell’impossibilità di rifiutare o revocare il consenso senza subire pregiudizio. Il consenso deve essere inteso come scelta consapevole senza nessun tipo di condizionamento. D’altro canto, il Considerando 43 chiarisce che il consenso non sia stato espresso liberamente se il processo o la procedura seguiti per ottenerlo non permettono all’interessato di esprimere un consenso separato ai distinti trattamenti dei dati personali. Se il titolare del trattamento ha riunito diverse finalità di trattamento e non ha chiesto il consenso separato per ciascuna di esse non c’è libertà.
Il considerando 32 afferma: “Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”. Tanti consensi quante sono le finalità del trattamento, questo è il concetto di granularità del consenso, il quale risulta strettamente correlato alla necessità che il consenso sia specifico! Quando il trattamento di dati mira a perseguire finalità diverse, la soluzione per soddisfare le condizioni per la validità del consenso risiede nella granularità, ossia nella separazione delle finalità e nell’ottenimento del consenso per ciascuna di esse. Ne discende, in combinato disposto tra l’art. 5 paragrafo 1 lett. b ed art. 6 paragrafo 1 lett. a, che la necessità di un consenso specifico associato alla nozione di limitazione delle finalità funge da garanzia contro l’ampliamento progressivo, o la commistione, delle finalità di trattamento dei dati dopo che l’interessato ha acconsentito alla loro raccolta iniziale.
Si ricordi che tra le novità del RGPD vi è la specifica informazione, da fornire prima che l’interessato presti eventualmente il consenso, sul suo diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca ed il consenso è revocato con la stessa facilità con cui è accordato.
Quindi, le risultanze dell’attività istruttoria hanno evidenziato come il mancato rispetto del principio di accountability e dei principi di privacy by design e privacy by default di cui all’art. 25 del RGPD, hanno determinato come inevitabilmente conseguenza la violazione degli ulteriori principi applicabili al trattamento di dati personali di cui all’art. 5 e delle condizioni previste per il consenso di cui all’art. 7 del RGDP. Successivamente, come una reazione a catena, è facile prevedere che il mancato rispetto del principio della limitazione della conservazione e delle condizioni del consenso di cui all’art. 7 del RGDP in riferimento alle finalità di marketing possa confluire, altresì, in una violazione dell’art. 130 del Codice Privacy.
Molte similitudini sono riscontrate tra il provvedimento sopraindicato ed il provvedimento del 15 gennaio 2020 attraverso il quale Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le segnalazioni pervenute all’Autorità sono dello stesso tenore della vicenda Wind Tre, in particolare modo per la ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Inoltre, alla società Tim veniva contestato che nella gestione di alcune app destinate alla clientela, sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide. In alcuni casi è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing.
Sembra una questione molto semplice e facile da comprendere, ma molto spesso, le ragioni delle sanzioni milionarie sono proprio da riscontrare nel mancato rispetto del concetto di granularità del consenso, e delle condizioni previste per il consenso, tema ampiamente affrontato, dal Gruppo di Lavoro art. 29, Linee guida sul consenso ai sensi del regolamento (UE) 2016/679 adottate il 28 novembre 2017, come modificate e adottate da ultimo il 10 aprile 2018.
-Bonifica dei dati
Dall’analisi degli aspetti rilevanti dei provvedimenti dell’Autorità Garante Privacy, si riscontra come le problematiche cruciali vertono sull’acquisizione dei consensi. Nella maggior parte dei casi si tratta di consensi non idonei, acquisiti con modalità non legittime e non conformi al nuovo quadro normativo introdotto dal Regolamento, o addirittura consensi acquisiti con modalità illegali.
Il RGDP ed il Codice Privacy dettano le regole per consentire alle aziende di raggiungere l’effettiva compliance in tema di protezione dei dati, in modo da svolgere tutte le attività rilevanti per il proprio core business garantendo sempre i diritti e le libertà fondamentali dell’individuo.
Come spesso accade, alla teoria non corrisponde una concreta applicazione, e soprattutto nell’attività di marketing diretto, le aziende si trovano a violare le normative di riferimento.
Ad avviso dello scrivente, tali violazione degli obblighi di legge si ravvisano maggiormente nelle ipotesi in cui le aziende facciano affidamento sui consensi risalenti nel tempo, ovvero acquisiti ante RGDP e non conformi alle prescrizioni ivi contenuti, per lo svolgimento di operazioni di direct marketing.
Gestire i dati personali senza prevedere un adeguamento strutturale della compagine societaria alle normative a protezione dei dati personali e contigue, può agevolare il protrarsi di coni d’ombra in cui spesso si nasconde la violazione.
Tale interpretazione, trova sua lettura, nel provvedimento del Garante nei confronti di Wind Tre, nel quale, più che contestare la violazione commessa, l’autorità esorta ed ammonisce “erga omnes”, alla bonifica dei dati personali, allineando i consensi acquisiti in passato, al nuovo contesto normativo, in modo da limitare la conservazione e legittimare le operazioni di trattamento basate sul consenso, alle sole manifestazioni di consenso conformi all’attuale quadro giuridico, in applicazione dell’ormai noto, concetto di granularità del consenso.
“In particolare, in tre casi (cfr. fascicoli 133088, 134927, 131464), il consenso è stato documentato allegando i contratti sottoscritti dai clienti. Questi, tuttavia, risalenti agli anni 1998/99 non risultano più idonei rispetto al quadro normativo vigente in quanto non consentono di documentare una volontà libera, specifica e informata dell’interessato essendo previsto un solo consenso per finalità di trattamento diverse (attività promozionale del titolare, di terzi, valutazione della soddisfazione della clientela, tutela del credito); a tal proposito si richiamano gli artt. 4, punto 11, e 7 nonché il contenuto del considerando n. 171 del Regolamento in base al quale «qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Pertanto, è onere del titolare valutare se i consensi già acquisiti siano da considerarsi ancora conformi alle norme vigenti; tra queste, si richiamano anche le modifiche normative intervenute successivamente al 1999 volte a disciplinare, con disposizioni di carattere speciale, il trattamento posto in essere nell’ambito dei servizi di comunicazione elettronica (art. 130 del Codice e disposizioni in materia di Registro delle opposizioni) da considerarsi ormai note a tutti gli operatori del settore, anche alla luce delle numerose pronunce del Garante.”
Pertanto, il titolare del trattamento, una volta che, inizia un determinato trattamento per il quale si è ritenuto di applicare la condizione di liceità di cui all’art. 6 lett. a, dovrà verificare le modalità di acquisizione dei consensi, ma in concreto, anche i consensi già acquisiti e valutare se gli stessi siano ancora idonei alle prescrizioni delle normative di settore, e soprattutto specifici per ogni finalità.
Questo ragionamento consentirà al titolare del trattamento, di bonificare i dati in suo possesso, intendendo con ciò un’operazione volta ad estrarre da un insieme di dati contenuti in un archivio, solo quelli che rispettino i principi del RGDP e le finalità per i quali sono stati raccolti, ed allo stesso tempo, riportare nell’alveo della liceità la parte dei dati contra legem.
In tal modo è possibile utilizzare solo dati legittimamente acquisti e per le specifiche finalità di raccolta, prevedendo un’accurata revisione dei dati non utilizzabili, permettendo, quindi solo successivamente, l’utilizzo di quei dati per le finalità per le quali è stato richiesto e ottenuto un nuovo ed idoneo consenso.
Il RGPD non specifica alcun termine per la durata del consenso. Questa dipenderà dal contesto, dalla portata del consenso originale e dalle aspettative dell’interessato. Se i trattamenti cambiano o si evolvono in maniera considerevole, il consenso originale non è più valido e occorrerà un nuovo consenso. Come migliore prassi suggerita, le Linee Guida sul consenso WP 259 consigliano di aggiornare il consenso a intervalli appropriati. Fornire nuovamente tutte le informazioni (le Linee Guida sulla Trasparenza WP 260 invece obbligano i titolari a ricordare/fornire periodicamente all’interessato l’Informativa) contribuisce a garantire che l’interessato rimanga ben informato su come vengono utilizzati i suoi dati e su come può esercitare i suoi diritti.
Nel caso analizzato, in cui i consensi rilasenti nel tempo non sono in linea con la normativa recente, il titolare del trattamento per poter utilizzare tali dati personali, dovrà riacquisire il consenso degli interessati per due ordini di ragioni. In primis, per informare i consumatori, i quali potrebbero essere ignari di aver rilasciato un consenso risalente finanche al 2010, e soprattutto, non specifico per le vari finalità definite dal titolare per la sua campagna di marketing. In secundis, per consentire all’interessato di rifiutare il trattamento o di opporsi. In determinate ipotesi infatti, è necessario valutare in che modo è stato acquisito il dato in origine ed i relativi obblighi di data retention, considerato che un mancato rinnovo del consenso comporterà l’obbligo di cancellazione dei dati personali in questione!
Pertanto, considerato il notevole lavoro da svolgere per mappare ed assestare strutture complesse ed aziende strutturate, risultano del tutto giustificate le misure interdittive applicate del Garante nei confronti del Titolare del Trattamento di vietare il trattamento di dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso.
-Conclusioni
Secondo il Garante il problema delle telefonate indesiderate ha provocato un allarme sociale, che ad oggi nonostante i numerosi provvedimenti e la grande attenzione data dal Legislatore e dal Garante stesso risulta ancora non risolto. Tale problematica, ad avviso dello scrivente, viene maggiormente evidenziata da una cultura retrograda del dato personale e della sua protezione, dove ancora una volta, non viene data giusta rilevanza alla manifestazione di volontà dell’interessato, la quale molto spesso viene disattesa calpestandone diritti e libertà fondamentali.
Le indagini svolte nei confronti della compagnia telefonica in questione, hanno infatti sottolineato, anche, il carattere doloso della condotta, considerata la prassi aziendali volta all’alterazione della libera manifestazione del consenso, privandolo del requisito indispensabile della libertà, e divenendo, in tal guisa, condizionato ed orientato, ma non LIBERO!
Il Garante sostiene che vi erano modalità di raccolta del consenso orientate alla massimizzazione dei consensi per finalità promozionali, impostando consapevolmente, procedure gravose e complesse per l’opposizione e la revoca degli stessi, annullando del tutto i diritti degli interessati, e continuando le attività di marketing in spregio ad ogni regola.
Naturalmente, una valutazione economica del consenso, che mira ad acquisire più consensi possibile per svolgere le proprie attività di marketing, ha portato l’azienda ad avvalersi di un unico consenso per più finalità riscontrando un notevole vantaggio economico, in quanto la proporzione risulta chiara a tutti “Massimi consensi = massimi vantaggi economici”.
Inoltre, si ricorda come il consenso deve essere revocato con la stessa facilità con la quale viene prestato e soprattutto che non deve essere una condizione obbligatoria per ricevere servizi non necessari o non strettamente collegati al contratto.
Il Garante per la protezione dei dati personali nel provvedimento analizzato, descrive le fasi del procedimento sanzionatorio. Il Garante, tenuto conto della gravità e degli effetti delle condotte riscontrate a seguito degli accertamenti ispettivi, ha ritenuto di applicare, a fronte della sanzione edittale massima (209.120.000,00 euro, pari al 4% del fatturato di Wind Tre SpA, ossia 5.228.000.000,00 euro), la sanzione amministrativa del pagamento di una somma di euro 16.729.600, pari all’8% della suindicata sanzione edittale massima.
Dopo aver valutato il comportamento di Wind Tre e la relativa fase istruttoria, il Garante ha posto l’attenzione su alcune attenuanti che hanno permesso di rimodulare la sanzione prevedendone una diminuzione, che seppur consistente, conferma il notevole costo della violazione
Le attenuanti che hanno contribuito ad abbassare la sanzione massima (anche in considerazione della sanzione già ricevuta in precedenza) sono:
– Misure tecniche organizzative adottate per ricondurre il trattamento ad un maggior controllo;
– Aumentata azione di controllo nei confronti dei delears (tracking dei dati);
– Dati non particolarmente invasivi.
Il Garante nel provvedimento sanzionatorio spiega il percorso di modularità della sanzione evidenziando quali sono stati i parametri valutati sullo stato di fatto che hanno portato ad una sanzione di questo tipo. Il Garante scrive di aver considerato l’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; l’elevato numero degli stessi, anche potenzialmente, coinvolti; i disallineamenti rilevati nei sistemi informativi della Società; l’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, la scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima e che, tutto quanto considerato, in applicazione dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, risulta legittimo procedere alla pubblicazione del provvedimento sul sito web del Garante, a titolo di sanzione accessoria.
Per evitare tutto questo è necessario affidarsi a professionisti del settore e mettere in pratica pedissequamente tutti i provvedimenti e Linee Guida del Garante e del Working Party Art. 29 (oggi E.D.P.B) in ossequio ai principi ed alle disposizioni del RGPD e D.lgs. 196/2003 (Codice Privacy).
Avv. Gianluca Pirozzi – Data Protection Officer ed esperto privacy