Le sanzioni per violazioni del regolamento sulla protezione dei dati
A nome e per conto dei lettori, continuo a tenere sotto controllo le sanzioni, che vengono gradualmente applicate da varie autorità garanti europee, secondo le linee guida del regolamento generale 679/2016. È infatti dall’esame delle modalità con cui le varie autorità garanti interpretano le disposizioni del regolamento che è possibile trarre alcune indicazioni su come possono essere determinate le sanzioni, che debbono per legge essere “effettive, proporzionali e dissuasive”. Il processo che permette di giungere alla determinazione della sanzione, a fronte di una violazione del regolamento, prevede l’analisi di tutt’una serie di punti e l’aspetto più interessante di questo processo è proprio la graduale classificazione delle modalità di analisi dei vari punti, che l’autorità Garante deve prendere in considerazione.
Risale al 7 maggio 2019 una sanzione applicata dall’autorità Garante britannica, information commissioner Office per 120.000 £, applicata ad una azienda che aveva inviato a raffica messaggi testuali sui servizi offerti. Questa azienda ha inviato più di 3 milioni e mezzo di messaggi di marketing diretti fra il 1 gennaio 2018 al 26 giugno 2018, offrendo i propri specifici servizi. L’autorità Garante britannica ha lanciato una indagine ed è giunta alla conclusione che questa azienda si era appoggiata un responsabile terzo per l’invio di questi messaggi. Tuttavia l’azienda non disponeva di un valido consenso all’invio dei messaggi promozionali, come previsto dal regolamento. L’autorità Garante ha sottolineato che le aziende che utilizzano questo tipo di marketing ad ombrello devono accertarsi di operare nel pieno rispetto della legge, soprattutto perché questi messaggi possono essere veramente invasivi. In fase di istruttoria, l’azienda in questione ha affermato che il consenso per spedire questi messaggi promozionali era stato ottenuto quando gli interessati avevano aderito all’esame di materiale presente su un sito Web. Tuttavia, l’analisi attenta delle privacy policy presenti su questo sito Web ha dimostrato che tale consenso era praticamente obbligatorio, se si voleva accedere ai dati del sito Web. Questo comportamento, come noto, è del tutto illegittimo, perché costituisce una sorta di ricatto nei confronti dei visitatori del sito.
L’autorità Garante si è attivata dopo aver ricevuto 1353 reclami da parte di interessati, che avevano ricevuto questo messaggio. È importante mettere a confronto il numero degli interessati che ha presentato reclamo, rispetto al numero di interessati coinvolti. Anche se il numero degli interessati che ha presentato reclamo rappresenta una minima frazione dei 3 milioni e mezzo di interessati coinvolti, l’autorità Garante ha fatto presente che anche solo una manciata di reclami sarebbe stata sufficiente per attivare gli investigatori dell’information commissioner Office e successivamente applicare la sanzione.
E’ bene ricordare che il regolamento sulla privacy e le comunicazioni elettroniche offre dei diritti specifici agli interessati, in relazione a comunicazioni elettroniche. Vi sono specifiche regole su:
- chiamate di marketing, invio di posta elettronica, messaggi testuali e messaggi facsimile,
- obbligo di mantenere sicura la rete di comunicazione,
- trattamento protetto di dati afferenti alla geolocalizzazione, la fatturazione, all’identificazione dell’apparato da cui proviene la chiamata ed altre attività, che comportano trattamento di dati personali. Colgo l’occasione per segnalare ai lettori che in Italia le sanzioni vengono incamerate dall’autorità Garante, per fini di promozione delle attività informative verso il pubblico, mentre in altri paesi, come il Regno Unito e la Francia, le sanzioni vengono incassate direttamente dallo Stato.