Il 09 luglio 2020 il Garante ha emesso tre pesantissimi provvedimenti sanzionatori per illegittimi trattamenti di dati con finalità marketing. Le pronunce, articolate e complesse, testimoniano in maniera evidente il mutato approccio alla privacy introdotto dal GDPR: i controlli dell’Autorità e della Guardia di Finanza abbandonano infatti l’impostazione maggiormente burocratica propria D.Lgs. 196/2003 per dare piena attuazione a controlli sostanziali ed operativi sulla realtà aziendale. Ad esempio, le sanzioni sono scaturite anche da approfondite analisi sulla “filiera dei dati” trasmessi tra diversi soggetti, oppure da verifiche sull’adeguatezza dei sistemi informatici e delle misure di sicurezza effettivamente adottate.

In sintesi:

  • Provvedimento n. 143 del 9 luglio 2020 – sanzione di euro 16.729.600 a WIND TRE SPA.  La decisione è stata emanata a seguito dei controlli ispettivi effettuati presso l’azienda, partiti dopo diversi reclami da parte degli utenti. Al termine del procedimento è emersa una scorretta gestione dei dati per finalità markering sotto molteplici aspetti: mancata o errata acquisizione del consenso; omessa gestione del diritto di cancellazione; tortuose procedure di opt-out; informative all’utenza poco chiare. Inoltre, il Garante ha contestato una condotta complessivamente elusiva dei principi di accountability e privacy by design, consistente nella mancanza di idonee misure tecniche e organizzative per garantire diritti e le libertà delle persone fisiche.  QUI IL PROVVEDIMENTO INTEGRALE
  • Provvedimento n. 144 del 9 luglio 2020 – sanzione di euro 200.000 a MERLINI SRL. Trattasi di procedimento “gemello” di quello descritto in precedenza, essendo Merlini Srl la società che gestiva il call-center che svolgeva attività di contatto di potenziale clientela e offerta di servizi telefonici per conto di WIND TRE SPA. A seguito delle indagini della Guardia di Finanza era infatti emerso che Merlini Srl acquisiva dati personali di utenti e contraenti raccolti nel corso delle campagne di promozione delle offerte Wind Tre, da un soggetto che non era stato designato responsabile del trattamento e che non aveva richiesto agli interessati il consenso per la comunicazione dei propri dati a terzi. QUI IL PROVVEDIMENTO INTEGRALE
  • Provvedimento n. 138 del 9 luglio 2020 – sanzione di euro 800.000 a ILIAD ITALIA SPA. Anche in questo caso l’indagine del Garante è partita da alcuni reclami e segnalazioni riferiti a diverse modalità di trattamento dei dati personali poste in essere da Iliad. La sanzione è stata comminata per le seguenti irregolarità: violazione dei principi di chiarezza e inintelligibilità dell’informativa; inosservanza delle misure da adottare nella conservazione dei dati di traffico ai sensi dell’art. 132-ter D.lgs. 196/2003, il quale impone ai fornitori di servizi di comunicazione elettronica di avvalersi, ai sensi dell’art. 32 del Regolamento, di misure tecniche e organizzative adeguate al rischio esistente. Tali misure, da considerarsi, allo stato dell’arte, quale requisito minimo di sicurezza generalmente utilizzato dagli operatori presenti sul mercato, sono in concreto identificabili con quanto prescritto dal Garante, in materia di conservazione dei dati di traffico, con provvedimento generale del 17 gennaio 2008. QUI IL PROVVEDIMENTO INTEGRALE

Marketing online a norma GDPR - Consulenti Privacy

Scarica la nostra guida gratuita!

Le citate ordinanze si pongono in continuità con quelle emesse dal Garante, sempre relativamente a illegittimi trattamenti di dati per finalità marketing, nei confronti di TIM ed ENI GAS & LUCE (ne abbiamo parlato qui).

Tuttavia, fare marketing nel rispetto del GDPR non è impossibile, come spieghiamo nella nostra guida gratuita (scaricala qui) e nel nostro webinar: