Skip to main content

L’acquisto di banche dati da data broker o terzi per proprie finalità di marketing. Quali sono gli adempimenti privacy?

di Alessandro Amoroso


  1. Premesse

L’utilizzo delle cosiddette “liste fredde”, cioè dati personali raccolti da un data broker o comunque da altri soggetti fornitori (i “Fornitore/i di Banche Dati”) che abbiano raccolto un consenso per la comunicazione (o cessione) ai fini della ricezione di comunicazioni aventi finalità di “marketing” [1] da terzi, richiede di sottoporre tali dati personali a rigorosi controlli, al fine di verificare che questi siano stati legittimamente raccolti e che siano utilizzabili per le proprie finalità di marketing.

Il presente articolo intende riepilogare i punti chiave e gli adempimenti richiesti in tali circostanze [2].

  1. Ruolo delle parti

Innanzitutto, occorre premettere che il quadro fattuale che si intende approfondire nel caso in oggetto riguarda rapporti tra autonomi titolari del trattamento, in quanto chi riceve i dati personali, pone in essere comunicazioni aventi proprie finalità di “marketing”. Ciò non esclude, tuttavia – come spesso avviene nella prassi – che il Fornitore di Banche Dati possa altresì svolgere talune attività in qualità di responsabile del trattamento (ad esempio, svolgere l’effettivo invio delle comunicazioni per conto del soggetto cui comunica i dati personali).

Al riguardo, si ricorda poi che anche laddove il terzo che riceve i dati personali agisse proponendo servizi di un determinato ulteriore soggetto proprio committente (con obiettivo ultimo di far confluire nel database del committente dati personali di nuovi prospect), tale terzo non potrebbe qualificarsi come titolare autonomo ma come responsabile del trattamento del proprio committente [3].

  1. Quadro normativo

Prima di vedere nel dettaglio quali adempimenti sono richiesti, occorre fare alcuni brevi cenni al quadro normativo di riferimento. Innanzitutto, andrebbe distinto se il terzo che riceve i dati personali li intenda utilizzare per (i) comunicazioni mediante sistemi automatizzati di chiamata, chiamata senza l’intervento di un operatore o comunicazioni elettroniche (posta elettronica, SMS o messaggi di altro tipo); o per (ii) comunicazioni mediante mezzi diversi, ad esempio tramite operatore. Mentre nel primo caso, infatti, è richiesto il consenso dell’interessato [4], nel secondo è richiesta appropriata base giuridica nonché previa verifica dell’eventuale iscrizione dell’utenza nel registro delle opposizioni [5].In relazione al caso in questione poi trovano rilevanza le “Linee guida in materia di attività promozionale e contrasto allo spam” emesse dal Garante per la protezione dei dati personali (“Garante”) in data 4 luglio 2013 (di seguito le “Linee Guida”) che, seppur adottate prima dell’entrata in vigore del GDPR, forniscono ancora valide indicazioni per tale fattispecie [6]. Proprio tali Linee Guida, d’altronde, sono ancora la chiave di riferimento in relazione all’interpretazione secondo cui: “Qualora l’interessato rilasci il consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale, senza dover acquisire un nuovo consenso per la finalità promozionale.”

  1. Principali verifiche e adempimenti

Per semplificazione, si intende riportare qui un elenco esemplificativo degli adempimenti richiesti nel caso di utilizzo di dati personali sulla base di un consenso alla comunicazione per la ricezione di comunicazioni aventi finalità di marketing da parte di terzi raccolto da un Fornitore di Banche Dati. Segnatamente, questi sono:

  • Chiarire e definire contrattualmente i ruoli privacy del Fornitore di Banche Dati e del nuovo titolare dei dati, al fine di definire i rispettivi ambiti di responsabilità e i rispettivi obblighi;
  • verificare le informative fornite dal Fornitore di Banche Dati che comunica i dati personali. Al riguardo, si noti che le Linee Guida chiariscono che è necessario che: “Nell’informativa sia indicato ciascuno dei terzi o, in alternativa, le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: “finanza”, editoria”, “abbigliamento”).” Tale indicazione – benché appunto precedente al GDPR – sembrerebbe ancora rilevante, seppur sempre più la determinazione di tali destinatari si ritiene debba essere il più precisa e trasparente possibile (anche in considerazione dell’obbligo del Fornitore di Banche Dati di conoscere tutti i destinatari dei dati personali [7]). Si precisa poi che ai sensi della legge sul registro delle opposizioni: “In caso di cessione a terzi di dati relativi alle numerazioni telefoniche, il titolare del trattamento è tenuto a comunicare agli interessati gli estremi identificativi del soggetto a cui i medesimi dati sono trasferiti.” [8]
  • Verificare le formule di consenso utilizzate dal Fornitore di Banche Dati. Tale consenso – come specificato nelle Linee Guida – deve avere quale specifico oggetto la comunicazione (e/o cessione) a terzi dei dati personali per fini commerciali/promozionali (non potendo consistere in un consenso generico al marketing [9]) e deve essere distinto dal consenso raccolto dal Fornitore di Banche Dati per proprie finalità promozionali/commerciali.
  • Verificare che il Fornitore di Banche Dati sia in grado di dimostrare adeguatamente la messa a disposizione dell’informativa nonché la raccolta del consenso. Al riguardo, il Garante ha più volte ribadito la necessità di svolgere almeno controlli a campione sui consensi forniti e raccolti dal Fornitore di Banche Dati. A seguito di tali controlli andrebbe altresì almeno mantenuta evidenza degli esiti e redatto apposito verbale. Come evidenziato dal Garante (ma anche dall’ICO [10] pre-Brexit), infatti, non è sufficiente una garanzia da parte del Fornitore di Banche Dati che i dati siano stati legittimamente raccolti, sebbene tale garanzia sia certamente opportuna.
  • Nel caso in cui il Fornitore di Banche Dati svolga altresì attività in qualità di responsabile del trattamento (ad esempio, svolgendo attività di individuazione di differenti perimetri per diversi trattamenti), sarà cruciale la verifica che il Fornitore di Banche Dati presti garanzie sufficienti per il rispetto della normativa in materia di protezione di dati personali, la stipula di un apposito contratto di nomina a responsabile del trattamento e lo svolgimento delle attività di revisione, comprese le ispezioni, richieste dall’articolo 28 GDPR;
  • Il soggetto terzo che utilizza i dati personali dovrà altresì verificare che gli interessati siano informati anche dei trattamenti che questo terzo intenda svolgere. A tal fine, più informazioni possibili andrebbero inserite già in sede di raccolta da parte del Fornitore di Banche Dati (come indicano anche le Linee Guida), mentre per quanto l’interessato non sia stato già informato [11], trova applicazione l’articolo 14, paragrafo 3, del GDPR, secondo cui l’informazione andrebbe fornita, entro un tempo ragionevole e comunque entro un mese o, se anteriore, al momento della prima comunicazione (e dovrà includere l’origine dei dati);
  • I dati comunicati devono essere di “prima mano”, in quanto – come sancito dal Garante [12] – non è ammesso che si configuri una catena di comunicazioni, poiché altrimenti l’interessato perderebbe qualsiasi controllo sui dati personali;
  • I dati devono essere stati raccolti in periodi “relativamente recenti” o comunque comunicati entro i termini di conservazione per tale finalità previsti dal Fornitore di Banche Dati (la data di raccolta, infatti, deve essere chiaramente dimostrabile).
  • Eliminare dai soggetti da contattare eventuali soggetti che abbiano già manifestato opposizione o revoca del consenso mediante iscrizione nel registro delle opposizioni o direttamente nei confronti del soggetto che svolge la campagna (cd. blacklist o suppression list);
  • Preparare preventivamente le modalità di gestione nei casi di non accuratezza dei dati e reclami, nonché prevedere procedure che facilitino e rendano agevole l’esercizio dei diritti degli interessati e che rafforzino la trasparenza dei trattamenti;
  • I dati oggetto di comunicazione devono comunque essere sempre necessari, pertinenti e rilevanti e trattati secondo idonei periodi di conservazione;
  • Infine, si tratta di attività di trattamento che si consiglia in ogni caso di sottoporre in genere a valutazione d’impatto, stante il rilevante impatto di tale trattamento sui diritti e le libertà degli interessati.
  1. Conclusioni

In conclusione, l’acquisto di banche dati aventi ad oggetto una lista di interessati “consensati” da data broker e altri soggetti fornitori di banche dati per proprie finalità di marketing, costituisce ad oggi una delle attività di trattamento cui porre maggiore attenzione e che è da tempo sotto la lente di ingrandimento dell’Autorità Garante per la protezione dei dati personali, che, infatti, l’ha già inclusa in propri passati piani ispettivi [13](certamente continuando a porre su di essa centrale interesse).

Difatti, difficile non riconoscere che sempre di più le organizzazioni e le aziende stanno rinunciando a svolgere campagne di marketing sulle cosiddette “liste fredde”.


[1] Definite dall’articolo 130 del D.lgs. 196/2003, quali aventi finalità di “invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”.

[2] Non sono oggetto di approfondimento, invece, gli adempimenti necessari nel caso in cui si utilizzino dati provenienti da banche dati aperte al pubblico o pubbliche, che meritano una disamina a parte.

[3] Cfr. Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021 [9706389].

[4] D.lgs. 196/2003, articolo 130, comma 1 e 2.

[5] Cfr. legge 5/2018 e D.P.R numero 26 del 27 gennaio 2022. In particolare, ai sensi dell’articolo 1, comma 5, legge 5/2018: “Con l’iscrizione al registro di cui al comma 2 si intendono revocati tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, che autorizzano il trattamento delle proprie numerazioni telefoniche fisse o mobili effettuato per fini di pubblicità o di vendita ovvero per il compimento di ricerche di mercato o di comunicazione commerciale ed è altresì precluso, per le medesime finalità, l’uso delle numerazioni telefoniche cedute a terzi dal titolare del trattamento sulla base dei consensi precedentemente rilasciati. Sono fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali è comunque assicurata, con procedure semplificate, la facoltà di revoca”.

[6] Descritta al paragrafo 2.6.3.

[7] Corte di giustizia dell’Unione europea, C‑154/21, RW v Österreichische Post AG.

[8] Cfr. Art- 1, comma 8, legge 5/2018.

[9] Cfr. ex multis, provv. 11 ottobre 2012, doc. web n. 2089777; provv. 19 maggio 2011, doc. web n. 1823148; provv. 12 maggio 2011, doc. web n. 1813953; provv. 7 ottobre 2010, doc. web n. 1763037; provv. 15 luglio 2010, doc. web n. 1741998; v. anche Trib. Roma 5 ottobre 2011 n. 19281).

[10] ICO (Information Commissioner’s Office), Guidelines on direct marketing, Data Protection Act Privacy and Electronic Communications Regulations, 2018.

[11] In tal caso, infatti, troverebbe applicazione l’articolo 14, comma 5, lettera a) GDPR, secondo cui le informazioni non devono essere fornite se l’interessato già le ha avute.

[12] Cfr. 232/2019 Provvedimento correttivo e sanzionatorio nei confronti di Eni Gas e luce S.p.A. – 11 dicembre 2019 [9244365] – “Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato”.

[13] Cfr. Deliberazione del 22 dicembre 2021 – Attività ispettiva di iniziativa curata dall’Ufficio del Garante, anche per mezzo della Guardia di finanza, limitatamente al periodo gennaio-giugno 2022 [9737049].


Autore:

Alessandro Amoroso

it_IT