Il Garante Privacy sanziona per 45.000 euro un rivenditore auto online per e-mail pubblicitarie inviate senza consenso e mancato controllo dei partner

Il Garante per la protezione dei dati personali ha sanzionato (vedi provvedimento) con 45.000 euro una società di rivendita auto online per l’invio di e-mail promozionali senza il consenso degli interessati e per mancato controllo sui propri partner commerciali.

L’indagine è nata dal reclamo di un utente che riceveva numerosi messaggi pubblicitari da indirizzi riconducibili a soggetti terzi mai autorizzati. Il Garante ha accertato che la società non aveva regolamentato correttamente i rapporti con i partner pubblicitari, consentendo trattamenti di dati personali non conformi al GDPR.

È stato ribadito che il titolare del trattamento deve garantire e poter dimostrare la liceità dei consensi raccolti, adottando sistemi di verifica che assicurano una conferma esplicita dell’adesione alle comunicazioni commerciali.

La sanzione è stata aggravata anche dal mancato riscontro alle richieste di opposizione dell’interessato: l’inserimento in black list operato dalla società non impediva ai partner di proseguire le campagne pubblicitarie.
Considerato che l’azienda ha successivamente interrotto le attività di marketing via e-mail e risolto i contratti con i partner, il Garante non ha disposto ulteriori misure correttive.

Il quadro normativo aggiornato a oggi

Lo scenario italiano ed europeo sull’invio di e-mail promozionali senza consenso, il trattamento dei dati personali da parte del titolare e dei partner commerciali, e la responsabilità in capo all’azienda che opera campagne di marketing digitale sono ormai consolidati e caratterizzati da principi imprescindibili.

Base normativa principale

Ai sensi del Regolamento (UE) 2016/679 (GDPR) il trattamento dei dati personali, compresi gli indirizzi e-mail, richiede una base giuridica valida: il consenso espresso oppure una deroga specifica. A tal proposito l’art. 6-1 a) del GDPR impone che il trattamento sia lecito solo se l’interessato ha espresso il consenso per una o più specifiche finalità.
Sul piano nazionale, l’art. 130 del Codice in materia di protezione dei dati personali (d.lgs. 196/2003 e succ. modificazioni) disciplina le comunicazioni indesiderate, stabilendo che l’invio di e-mail a fini promozionali richiede – di regola – il consenso preventivo dell’interessato.

Deroga “soft-spam” e limiti operativi

Vi è però una deroga, nota come “soft-spam”, prevista dal comma 4 dell’art. 130 del Codice Privacy, che consente l’invio di comunicazioni promozionali senza nuovo consenso solo se le seguenti condizioni sono tutte rispettate:

• l’indirizzo è stato raccolto nel contesto di una vendita di beni o servizi a titolo oneroso;

• l’e-mail promozionale riguarda prodotti o servizi analoghi a quelli già acquistati;

• l’informativa è stata fornita al momento della raccolta e l’interessato non ha manifestato opposizione;

• l’e-mail consente un opt-out agevole in ogni invio.
  Tuttavia, la recente giurisprudenza e i provvedimenti del Garante per la protezione dei dati personali hanno chiarito che questa deroga è di stretta interpretazione e non ammette scorciatoie.

Ruolo del titolare del trattamento e dei partner commerciali

Il titolare del trattamento – ad esempio l’azienda che effettua l’invio di email promozionali – ha l’obbligo di garantire che i consensi siano realmente acquisiti, specifici per la finalità di marketing, dimostrabili e che la filiera dei partner commerciali operi in conformità alle norme (culpa in eligendo/vigilando). La mancata regolamentazione dei rapporti con i partner pubblicitari può costituire una grave violazione del GDPR, integrando responsabilità anche di gestione interna.

Sanzioni e casi pratici

Il Garante ha sottolineato che l’invio di e-mail promozionali senza il consenso degli interessati costituisce trattamento illecito, anche se presente link di disiscrizione. Da un recente provvedimento la sanzione è stata comminata a società che inviavano comunicazioni a destinatari che non avevano dato alcuna adesione né erano clienti con precedente acquisto.
Inoltre, l’acquisizione di indirizzi e-mail pubblicati online o reperibili liberamente non equivale al consenso: la semplice reperibilità di un dato non legittima il trattamento promozionale.

Implicazioni per chi opera marketing digitale

Le principali implicazioni per le aziende che vogliono effettuare campagne di email marketing a norma sono:

• acquisire un consenso esplicito, specifico e documentabile, prima di inviare comunicazioni promozionali;

• fornire al momento della raccolta un’informativa completa, con indicazione della finalità marketing;

• predisporre una procedura di opt-out semplice e immediata in ogni e-mail inviata;

• regolamentare e controllare i partner commerciali che gestiscono, trattano o utilizzano i dati personali per finalità di marketing, garantendo audit e governance della filiera;

• verificare che non sia inviata promozione a soggetti che hanno esercitato il diritto di opposizione (art. 21 GDPR) o che siano iscritti in registri di opposizione (es. Registro Pubblico delle Opposizioni) e che persistano invii nonostante la richiesta di cancellazione costituiscono aggravanti ai fini sanzionatori.

Collegamento all’infortunistica stradale e profilazione dati

Nel contesto di uno studio legale specializzato in infortunistica stradale, occorre considerare che la gestione dei dati personali dei clienti-vittime, delle assicurazioni, dei partner medici e degli investigatori comporta obblighi analoghi: ogni comunicazione, profilazione o marketing collegato all’assistenza legale o alle convenzioni deve rispettare il GDPR e le norme sulla privacy. Se, ad esempio, uno studio invia e-mail promozionali per servizi di risarcimento senza un consenso specifico – anche in un contesto di infortunio stradale – può incorrere nelle medesime responsabilità e sanzioni previste per qualunque altra azienda. Questo porta all’esigenza che lo studio legale, spesso parte offesa da traffico di contatti, abbia una governance della privacy ben strutturata.

Esempio reale di vita quotidiana

Immaginiamo il signor Rossi che, a seguito di un incidente stradale, si rivolge allo studio legale per assistenza in infortunistica stradale. Nel modulo online lo studio raccoglie il suo indirizzo e-mail per inviargli aggiornamenti sul caso e offerte di altri servizi (ad esempio consulenza assicurativa). Se lo studio invia successivamente comunicazioni promozionali (newsletter, offerte) senza aver fatto espressamente sottoscrivere al signor Rossi un consenso valido per la finalità “marketing”, rischia di dover affrontare una sanzione da parte del Garante per l’invio di e-mail pubblicitarie senza consenso. Allo stesso modo, se lo studio condivide i dati del signor Rossi con partner commerciali (ad esempio agenzie investigativa o medica) senza aver regolamentato e verificato i relativi contratti di trattamento e senza aver garantito un controllo sulla filiera, può essere considerato corresponsabile del trattamento illecito. Questo scenario mostra come l’infortunistica stradale e la protezione dei dati personali siano strettamente connesse: lo studio legale deve quindi gestire sia l’aspetto risarcitorio sia quello della privacy.

Domande Frequenti

1. Serve sempre il consenso per inviare e-mail promozionali aziendali?
   Sì: salvo la deroga “soft-spam”, l’invio di comunicazioni commerciali richiede il consenso esplicito dell’interessato.

2. La semplice presenza di un link di disiscrizione rende legale l’invio?
   No: il link opt-out non legittima un invio che parte senza un valido consenso o senza rispettare la deroga fiscale.

3. Si può inviare e-mail promozionali a indirizzi pubblici reperiti online?
   No: la pubblicazione dell’indirizzo non equivale al consenso per finalità marketing.

4. Cos’è la deroga “soft-spam”?
   È una eccezione che consente l’invio di e-mail promozionali senza nuovo consenso se l’indirizzo è stato raccolto in un contesto di vendita precedente e l’offerta riguarda prodotti o servizi analoghi.

5. Quali sono le responsabilità del titolare del trattamento in presenza di partner commerciali?
   Deve garantire la selezione e il controllo dei partner, la regolamentazione contrattuale del trattamento e la tracciabilità delle operazioni.

6. Cosa succede se un destinatario esercita il diritto di opposizione all’invio di marketing?
   L’azienda deve immediatamente interrompere l’invio e garantire che anche i partner non proseguano le campagne. La mancata opposizione può aggravare la sanzione.

7. Quali sanzioni rischia chi invia e-mail senza consenso?
   Il Garante per la protezione dei dati personali può irrogare sanzioni amministrative nei confronti dell’azienda, in base all’art. 58 del GDPR e dell’art. 130 del Codice Privacy.

8. Lo studio legale che segue casi di infortunistica stradale deve preoccuparsi di GDPR?
   Sì: quando lo studio raccoglie o utilizza dati personali (vittime, testimoni, partner) per finalità di comunicazione o marketing, deve rispettare le regole del GDPR e della privacy.

9. Il consenso deve essere raccolto solo per la prima comunicazione?
   No: il consenso deve essere specifico, libero, informato e verificabile; deve essere richiesto per ogni finalità promozionale distinta e documentato.

10. L’inserimento in “black list” dell’interessato è sufficiente a evitare la responsabilità dei partner?
    No: se lo studio o l’azienda non controlla efficacemente che anche i partner rispettino la richiesta di opposizione, può essere ritenuta responsabile per violazione della governance della filiera.

Sei hai bisogno di una consulenza legale CLICCA QUI