La newsletter del Garante del 28 giugno 2023 (doc. web n. 9903191) menziona alcuni provvedimenti adottati dall’Autorità ricchi di spunti non solo in ambito marketing ma anche come occasione per ribadire o precisare regole generali applicabili in numerosi contesti operativi.
La lettura di questi provvedimenti offre molteplici evidenze di comportamenti non conformi, talvolta anche dolosi, fornisce indicazioni di azioni correttive e prassi raccomandate per rimediare alle carenze registrate; in filigrana, si riconoscono circostanze o atteggiamenti diffusi nella realtà quotidiana, che rappresentano chiari sensori di violazioni in atto. Riconoscerne la presenza nell’intreccio dei processi di un’organizzazione è condizione essenziale di consapevolezza in grado di innescare i pertinenti piani di rimedio.
Pertanto, ripercorrere queste vicende contenziose ha il duplice scopo di approfondire il significato delle pertinenti prescrizioni di legge e di fare tesoro di errate condotte o scelte operative altrui.
Provvedimenti GPDP
Tre sono i provvedimenti dell’Autorità italiana resi noti tramite la newsletter del 28/6/2023 tra loro in qualche modo correlati:
- Provvedimento del 27/4/2023 (doc. web n. 9902472) (Benetton) su tempi della notifica di violazioni, consenso, revoca e conservazione dei dati per finalità di marketing, cookies, adeguatezza delle misure di sicurezza
- Provvedimento del 17/5/2023 (doc. web n. 9899880) (Grizzaffi Management) riguardo alle fonti di dati per finalità di marketing, e-mail marketing, valore giuridico del link di disiscrizione
- Provvedimento del 17/5/2023 (doc. web n. 9903067) (Trovanumeri.com) con riferimento all’anonimato del titolare, form di cancellazione non funzionante e modalità per rendere agevole l’esercizio dei diritti, creazione di un elenco telefonico online, immissione di dati personali da pubblicare sul web senza verifica di identità, web scraping.
Piano ispettivo, accertamento cartolare e in loco
Le vicende sottostanti al provvedimento Benetton forniscono indicazioni esperienziali in merito agli inneschi e alle modalità esecutive di attività ispettive dell’Autorità. Non è infrequente che l’imprenditore richieda al consulente previsioni e informazioni in merito alla possibilità di ispezioni indirizzate verso l’organizzazione di riferimento. Quali, in generale, sono le circostanze per le quali l’azienda o l’ente possa essere oggetto di verifiche; quali sono i presumibili ambiti di indagine.
Comprensibilmente, la risposta non ha alcun fondamento giuridico e mira solo a descrivere all’interlocutore quali sono le principali categorie di innesco dell’attività ispettiva dell’Autorità: reclami o segnalazioni, piani ispettivi programmati, informazioni acquisite in altre circostanze e meritevoli di approfondimento (es. notizie di stampa, notifiche di data breach, ulteriori accertamenti presso terzi).
A questo riguardo, merita un certo interesse lo svolgimento degli accertamenti effettuati dall’Autorità nel caso Benetton. Inizialmente, l’attività rientrava nell’ambito dei controlli programmati dal Garante, oggetto di pubblica deliberazione, e ha riguardato il trattamento di dati personali per finalità di marketing e profilazione; questa prima fase si è svolta prima con accessi in loco presso i locali dell’azienda e, successivamente, con approfondimenti cartolari. Questi ultimi si sono concentrati in particolare sulla gestione dei cookie.
In seguito, «al fine di verificare la concreta implementazione di alcune misure prospettate dalla Società con la memoria difensiva (…), nonché al fine di un accertamento, anche di tipo tecnico, sui sistemi e data base societari e a più ampio raggio sui trattamenti per finalità di marketing e profilazione», l’Autorità effettua un secondo accertamento in loco presso la sede societaria. In tale circostanza, da un lato si è presa «cognizione diretta delle misure implementate dalla Società, constatando la raggiunta conformità» riguardo agli addebiti iniziali relativi alla gestione dei cookie, ma dall’altro lato, «[i]n base alla disamina complessiva delle verifiche effettuate, nonché dei chiarimenti forniti dalla Società nella medesima circostanza, sono emerse tuttavia» nuove possibili violazioni debitamente notificate all’azienda titolare.
Pertanto, l’ambito dell’indagine iniziale, concentratasi sulla gestione dei cookie di tracciamento, ha avuto esito favorevole per l’azienda, in quanto il Garante ha constatato «l’intervento correttivo- sistematico e radicale- apportato dalla Società nella revisione dei detti trattamenti», quindi, procedendo all’archiviazione della prima contestazione. Di converso, la seconda ispezione – effettuata per approfondire alcuni aspetti rilevati nella precedente – ha evidenziato nuove lacune in relazione ai trattamenti a fini marketing operati dall’Azienda, in relazione ai quali il Garante ha comunicato all’Azienda una presunta violazione che, successivamente, ha portato all’ordinanza di irrogazione della sanzione pecuniaria.
Continua…