€120.000: Sanzione del Garante per mancata prova di validità dei consensi marketing

SANZIONE DEL GARANTE E CAUSA DI INNESCO
€120.000 è l’importo della sanzione che il Garante Privacy ha comminato a due siti di comparazione polizze assicurative perché la società non è stata in grado di dimostrare la validità dei consensi marketing raccolti, avendo di conseguenza eseguito trattamenti di dati personali illeciti.
CAUSA DI INNESCO
Il Garante indica di aver avviato d’ufficio l’attività ispettiva nei confronti della società tenendo conto di alcune segnalazioni e di 1 reclamo ricevuti da parte dei cittadini.
Al seguente link è possibile consultare il testo integrale dell’ordinanza del Garante: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9860553

ATTIVITÀ OGGETTO DI ISPEZIONE DEL GARANTE
L’accertamento ispettivo presso la società è stato svolto con lo scopo di verificare la raccolta di dati personali effettuata tramite 2 siti aziendali di comparazione polizze assicurative, con particolare riguardo all’utilizzo di tali dati per:
– Finalità di marketing
tramite comunicazioni che la società svolgeva via e-mail, SMS e telefonicamente
– Comunicazione a terzi
per le rispettive autonome finalità promozionali
COME SI È SVOLTA L’ISPEZIONE DEL GARANTE
Nell’ordinanza di ingiunzione del Garante è indicato che “gli accertamenti in loco sono stati effettuati simulando una richiesta di comparazione di preventivi auto nei due siti web della società, e successivamente verificando le corrispondenti registrazioni nei sistemi della società mediante accesso diretto agli stessi.”
Gli ispettori hanno quindi in primis verificato e testato i siti web e le form con cui venivano richiesti dati personali e consensi, registrando anche che alcune caselle del consenso risultavano già spuntate (anche per consensi facoltativi), e successivamente verificando i relativi flussi interni su dati personali, consensi e trattamenti svolti dalla società nei sistemi informatici in uso.
Per esempio, dopo la compilazione di un modulo specifico per la richiesta di un preventivo, ed effettuate le singole scelte in merito ai consensi privacy da conferire, gli ispettori hanno verificato che l’utente riceveva una e-mail di conferma con un link “vai al preventivo” per visualizzare i risultati, ed hanno fatto una prova con i propri indirizzi e-mail accertando che, se veniva cliccato il tasto in calce alla e-mail, tutti i consensi facoltativi (anche se non concessi) venivano automaticamente valorizzati a “sì” nei sistemi informatici della società, indipendentemente dalle scelte effettuate dall’utente quando ha compilato la form sul sito.
VERIFICHE SPECIFICHE SUI SINGOLI INTERESSATI
Inoltre, gli ispettori hanno chiesto analisi specifiche sui singoli interessati:
– Verifiche specifiche sui consensi di 3 interessati che avevano inviato segnalazioni e reclami al Garante per ricezione di messaggi di marketing nonostante l’opposizione, andando a verificare le informazioni relative ai loro consensi salvati nel database di backend della società, scoprendo che per 2 segnalanti il consenso marketing risultava revocato, mentre per il terzo non era mai stato fornito il consenso, nonostante fosse stato oggetto di attività di telemarketing, avendo così subito un trattamento illecito.
– Di dare evidenza dello storico dei consensi e dell’utilizzo in campagne promozionali su una lista di 863 utenze cellulari.
MANCATA PROVA DI VALIDITÀ DEL CONSENSO MARKETING
Alla fine dell’attività ispettiva, per quanto riguarda i consensi esaminati è risultato che:
– per 9.700 utenti è stato registrato un consenso che non ne comprova la reale volontà
– per 2.155 di questi è stato registrato un consenso che non era mai stato espresso
PERCHÉ IL CRM NON VA USATO PER LA GESTIONE DEI CONSENSI
Più del 95% delle sanzioni del Garante è innescato da un cliente che lamenta un utilizzo illecito dei propri dati personali, come successo nel caso esaminato qui. Per il GDPR l’onere della prova è in capo all’azienda, a cui spetta di dimostrare la validità dei consensi che detiene, e dei trattamenti che fa sui dati personali.
Utilizzare il CRM anche per gestire la privacy dei propri clienti, come qualsiasi altro strumento non specifico per la cyber data protection, espone l’azienda a rischi inutili. Gestire la Data Protection con il CRM è come nominare il DPO in casa: la criticità è nel conflitto di interessi tra Marketing/Business e Data Protection.
Il nodo sta nel fatto che il CRM non è progettato per gestire i consensi, ma le “opzioni” utilizzate per filtrare le informazioni in base alle esigenze di marketing. Mentre i Consensi sono di fatto Certificati Legali della Privacy necessari a tutelare l’azienda da contestazioni, denunce ed ispezioni. Approfondisci qui perché usare il CRM per gestire la privacy non è una buona idea.
Per la cyber data protection servono soluzioni specifiche: PrivacyOS che è in grado di garantirti una reale e solida tutela da contestazioni, denunce ed ispezioni rispetto ai software generici.
CONTATTACI PER UNA CONSULENZA GRATUITA CON I NOSTRI ESPERTI DI CYBER DATA PROTECTION
Senza impegno, in una rapida call di 30 minuti uno dei nostri consulenti di cyber data protection può analizzare insieme a te i flussi di dati personali e consensi che gestisce la tua azienda, le finalità utilizzate per il trattamento dei dati e la tua architettura informativa attuale, per valutare insieme gli eventuali punti di miglioramento per la tutela della tua azienda da contestazioni e ispezioni sulla Gestione Consensi.