Marketing diretto senza consenso, multa a una società finlandese

La decisione dell’Ufficio del Garante della privacy dopo undici reclami. Trascurati i diritti dell’interessato

Il comitato per le sanzioni dell’Ombudsman finlandese per la protezione dei dati ha imposto una sanzione amministrativa a una società (Independent Consulting Oy) per aver praticato marketing diretto elettronico senza previo consenso e per aver trascurato i diritti dell’interessato. Va detto che la società non ha risposto né ha dato esecuzione alle richieste del comitato riguardanti i diritti degli interessati e non è stata in grado di dimostrare di aver trattato i dati personali legalmente.

Reclami sul marketing diretto elettronico

Il tutto è nato da una serie di reclami (ben 11) ricevuti nell’estate del 2019 dall’Ufficio del Garante della privacy sul marketing diretto elettronico della società con conseguente inosservanza dei diritti dell’interessato in conformità con il Regolamento europeo sulla protezione dei dati (GDPR).

Tra gli argomenti del marketing diretto erano inclusi vari corsi, come il lavoro a caldo e la rimozione dell’amianto. Nei loro reclami, gli interessati hanno riferito di aver ricevuto messaggi di marketing diretto senza aver potuto esprimere il consenso, in violazione quindi con le normative vigenti.

Messaggi di marketing nonostante il divieto

Alcuni degli interessati hanno risposto al messaggio di marketing inviato come SMS come richiesto dal titolare per vietare il marketing diretto, ma non è servito a niente. Gli interessati, infatti, hanno continuato a ricevere messaggi di marketing diretto dal titolare del trattamento il quale, di fatto, non ha attuato il diritto di opposizione degli interessati ai sensi del GDPR.

Il responsabile del trattamento ha dichiarato che i numeri di telefono degli interessati sono stati utilizzati dalla società in cui lavora l’interessato e che queste società rientrano nell’ambito del segmento di clientela dei responsabili del trattamento. Tuttavia, il vice difensore civico per la protezione dei dati ha affermato che prima di prendere di mira il marketing diretto, il responsabile del trattamento avrebbe dovuto determinare separatamente la posizione della persona in questione nella società e valutato in particolare se i corsi commercializzati fossero significativamente collegati ai doveri della persona. Pertanto, il marketing diretto da parte del responsabile del trattamento rivolto a persone fisiche non può essere considerato destinato a una società e il responsabile del trattamento avrebbe dovuto richiedere il consenso dell’interessato per il marketing diretto elettronico.  

Rimprovero al titolare del trattamento

Il titolare del trattamento ha ricevuto un rimprovero dopo aver elaborato i dati personali senza il consenso richiesto dal GDPR. Inoltre, il vice garante della protezione dei dati ha obbligato il titolare del trattamento a correggere le proprie modalità operative per quanto riguarda il marketing diretto rivolto alle aziende.

In alcuni reclami, gli interessati avevano avanzato richieste riguardanti i propri diritti ai sensi del GDPR ma il titolare non ha risposto alle richieste senza ingiustificato ritardo ed entro un mese dal ricevimento della richiesta al massimo, come previsto dal GDPR. Neanche il titolare del trattamento ha implementato alcuna richiesta relativa a questi diritti. Secondo l’Autorità Garante, il responsabile del trattamento non sembra aver organizzato le proprie modalità operative nel trattamento dei dati personali in modo tale da poter dire se ha attuato i diritti degli interessati o ha ricevuto richieste relative ai diritti. Il vice difensore civico per la protezione dei dati ha affermato che, di conseguenza, il responsabile del trattamento non è stato in grado di dimostrare di aver trattato i dati personali legalmente.

Sanzione finanziaria di 7.000 euro

Il vice difensore civico per la protezione dei dati ha rimproverato la società per aver trascurato i diritti dell’interessato e non averli attuati. Il vice Garante per la protezione dei dati ha inoltre ordinato alla società di modificare le proprie modalità operative e di attuare i diritti dell’interessato in conformità con il GDPR.  Alla società è stata inflitta una sanzione finanziaria di 7.000 euro, in aggiunta alle misure correttive sopra menzionate, per la natura intenzionale dell’atto, il numero di reati simili in un breve periodo di tempo, il disinteresse del responsabile del trattamento nel cooperare con l’autorità di controllo e il fatto che il responsabile del trattamento non ha dimostrato di aver implementato misure correttive in relazione al marketing diretto e la realizzazione dei diritti degli interessati durante la risoluzione della questione sono stati presi in considerazione come fattori aggravanti nella decisione. Come fattore attenuante per l’importo della sanzione finanziaria, si è tenuto conto del fatto che durante la preparazione del caso non è stato accertato che gli interessati avrebbero subito danni finanziari o di altro tipo.    

FONTE: edpb.europa.eu