Oggetto: Principio di Accountability: il Titolare del trattamento è responsabile della normativa privacy rispetto all’intera filiera
La sottoscrizione di contratti di fornitura aventi ad oggetto i dati personali di utenti da contattare è certamente un’attività diffusa tra le imprese interessate ad organizzare efficienti campagne di marketing per promuovere i propri prodotti e servizi sul mercato.
I dati così acquisiti devono, però, essere trattati nel rispetto dei principi privacy di cui al Regolamento UE n. 679/2016 e al D.lgs. n. 196/2003 così come ribadito dal Provv. n. 138 del 13 marzo 2025 del Garante Privacy, che ha analizzato la condotta di una società immobiliare che, dopo aver stipulato un contratto di agenzia avente ad oggetto la fornitura di dati (ben 5.000 utenze), ha utilizzato i numeri di telefono per inviare messaggi promozionali ed effettuare telemarketing.
In particolare, il Garante Privacy ha contestato alla società immobiliare committente la violazione del principio di liceità del trattamento dei dati perché, prima di utilizzare i contatti ricevuti dall’intermediario per inviare messaggi ed effettuare telemarketing, non era stato eseguito un appropriato controllo sull’esistenza dei presupposti legittimanti l’attività di marketing.
Il titolare del trattamento (società immobiliare committente nel caso di specie) è, infatti, obbligato ai sensi del principio di accountability ad organizzare il trattamento dei dati personali, predisponendo le adeguate misure per: informare gli interessati; acquisire il consenso laddove necessario; adottare le adeguate misure di sicurezza; utilizzare i dati per il tempo necessario e sufficiente al
raggiungimento delle finalità predeterminate.
Ebbene, dal provvedimento del garante Privacy n. 138/2025 emerge chiaramente che i suddetti obblighi sussistono in qualunque fase del trattamento, anche se i dati degli utenti da contattare per finalità di marketing sono stati forniti da un intermediario e non ottenuti
direttamente dal Titolare del trattamento.
Per comprendere meglio la vicenda è utile effettuare un distinguo tra il marketing che avviene per mezzi di comunicazione elettronica (email, sms, messaggi whatsapp) e il telemarketing per mezzo di chiamate con operatore.
Per lo svolgimento di marketing tramite l’invio di comunicazioni elettroniche è necessario ottenere l’espresso consenso dell’interessato, ai sensi dell’art. 130, co. 1 e 2, del D.lgs. n. 196/2003. E, laddove, si voglia condividere i dati così ottenuti con terze parti per permettere anche a queste ultime di utilizzare gli stessi dati per effettuare marketing, è necessario ottenere un autonomo e distinto consenso al marketing da parte di terzi.
Quindi, all’interessato deve essere chiesto al momento dell’invio dell’informativa privacy sia un consenso per il marketing diretto, sia un consenso per il marketing da parte di terze.
Pertanto, senza questo secondo consenso:
1. chi ha chiesto i dati e ottenuto il solo consenso al marketing diretto non potrebbe poi trasferire i contatti a terzi;
2. i terzi che ricevono i contatti non potrebbero utilizzarli per inviare comunicazioni elettroniche promozionali.
Invece, nel caso in cui i dati siano utilizzati per effettuare chiamate telefoniche a contenuto promozionale e con operatore non è necessario un espresso consenso dell’interessato, ma è imprescindibile per chi vuole effettuare telemarketing accertare che i soggetti che si intende chiamare non siano iscritti al Registro delle opposizioni ai sensi dell’art. 130, co. 3 e 3 bis, D.lgs. n. 196/2003.
Ebbene, nel caso portato all’attenzione del Garante Privacy, quest’ultimo ha ritenuto insufficiente il legittimo affidamento riposto dalla società committente nella società fornitrice di dati, rimproverando alla stessa società committente di non aver verificato:
• il rilascio di una completa informativa agli utenti di cui sono stati forniti i contatti;
• l’esistenza dei presupposti legittimanti l’attività di marketing e, quindi, (i) l’apposito rilascio del consenso per il marketing da parte di soggetti terzi tramite comunicazioni elettroniche e (ii) la non iscrizione nel Registro delle opposizioni del soggetto che si intende contattare tramite telefonate con operatore.
In merito alla tipologia di controllo preliminare che la società committente avrebbe dovuto effettuare, il Garante Privacy ha precisato che sarebbe stato sufficiente un controllo a campione sulle 5000 utenze oggetto di fornitura.
Alla società committente è stato altresì contestato di non aver predisposto un canale efficiente per la gestione delle istanze di esercizio dei diritti degli interessati (es.: accesso ai dati, cancellazione dei dati, opposizione al trattamento). Infatti, nel caso analizzato dal Garante Privacy la procedura di accesso attivata da un utente, che non aveva mai rilasciato il proprio consenso alla ricezione di comunicazioni elettroniche a contenuto promozionale, si era dimostrata troppo farraginosa, necessitando anche del coinvolgimento del fornitore dei dati.
In definitiva con il provvedimento del 13 marzo 2025 n. 138 il Garante Privacy ha ritenuto violato il principio di accountability (o “responsabilizzazione”) da parte della società committente che non ha verificato il rispetto della normativa privacy nell’intera filiera del trattamento, compresa la fase precedente alla stipula del contratto di fornitura delle utenze.
Alla società committente è stata irrogata una sanzione pecuniaria pari a € 10.000,00.
