Marketing: Garante privacy, no all’uso di modalità ingannevoli per la raccolta dei dati dai siti web. Sanzionata una digital company
Il Garante esegue ispezione nella sede societaria secondo il Piano Ispettivo 2021 e sulla base di alcuni reclami
Questa vicenda inizia da un’attività ispettiva del Garante Privacy nella sede legale di una società di marketing online. L’ispezione avviene sia in seguito a reclami di alcuni interessati sia perchè coerente col Piano Ispettivo previsto dal Garante Privacy per il 2° semestre del 2021. Finalità dell’attività ispettiva è quella di verificare
- le banche dati usate dalla Società a fini di marketing;
- i criteri di selezione dei fornitori;
- la capacità di dare riscontro all’esercizio dei diritti degli interessati.
La società oggetto di ispezione è specializzata in campagne promozionali via SMS ed email e, recentemente, anche via chiamate automatizzate. In pratica veicola messaggi pubblicitari ai soggetti iscritti nelle proprie liste per conto di commttenti terzi.
L’attività viene solitamente svolta direttamente dalla società senza trasmissione dei dati al committente. Più raramente, la società noleggia liste per il telemarketing, estraendo i destinatari della campagna dal proprio database secondo i criteri richiesti dal committente. Per renderci conto delle dimensioni, la società può contare su un database contenente i dati di 21 milioni di interessati. Dati raccolti direttamente dalla società, ma anche da parte di terzi.
Le fonti di provenienza dei dati e la gestione delle liste contatti
Il Garante, in corso di attività ispettiva, ha verificato attentamente la fonte dei dati contenuti nel gigantesco database aziendale. In dettaglio nel database si trovano:
- dati raccolti direttamente dalla società tramite altri portali che ha in gestione. Parliamo di portali di news, cucina, concorsi a premi ecc… Dati che sono inseriti direttamente in database alla compilazione, da parte degli utenti, di uno qualsiasi dei form presenti sui vari portali gestiti dall’azienda. Non risulta alcun meccanismo di opt-in;
- dati acquisiti da fornitori terzi, per i quali la società opera come titolare autonomo. Emerge che la società acquista intere liste di dati prodotte da fornitori che li hanno raccolti tramite portali dedicati a concorsi a premi o per la ricerca di offerte;
- dati acquisiti da soggetti terzi che vogliono monetizzare i propri database costruiti per erogare servizi. In questo caso il database viene offerto in noleggio e i ricavi sono ripartiti tra la società e il fornitore della lista.
In fatto di riscontro alle richieste degli interessati, si legge nel provvedimento del Garante che
“la Società ha dichiarato di provvedere a registrare le richieste di cancellazione / revoca del consenso nel database inserendo contestualmente i dati in blacklist al fine di evitare di reimportare i medesimi dati all’acquisizione di nuove liste da parte di terzi. Nei casi in cui XXX opera come responsabile del trattamento […] le richieste degli interessati vengono comunicate anche ai rispettivi titolari.
L’attività istruttoria del Garante
L’attività istruttoria ha consentito al Garante di verificare origine e trattamento dei dati di una serie di interessati, con particolare attenzione ai dati appartenenti ad alcuni cittadini che avevano presentato reclamo all’autorità. In quasi tutti i casi è emerso come i dati in oggetto provenissero da terzi, in dettaglio un fornitore terzo con sede in Germania.
In dettaglio la società ha spiegato che:
“la suddetta XX, agendo quale intermediario (data broker), aveva veicolato liste formate da soggetti terzi (list editor) che, in base a quanto è stato acquisito in atti, erano tutti con sede extra UE (XX, XX e XX). La Società ha precisato di non aver alcun contatto diretto con i fornitori di tali liste essendo queste veicolate solo per il tramite della XX”.
La contrattualistica visionata ha consentito al Garante di verificare come le Condizioni Generali prevedessero che XX cedesse in maniera permanete, alla società in oggetto di provvedimento, l’uso di tali anagrafiche. Garantendone però liceità e l’esistenza di un idoneo consenso al trattamento. Ecco quindi che l’attenzione del Garante si è concentrata sui portali utilizzati dalla società e dai partner per raccogliere dati personali e relativi consensi al trattamento.
Il Garante si imbatte nei “dark patterns”
E’ proprio dalla verifica dei portali usati dalla società e da fornitori terzi per raccogliere i dati che il Garante può verificare come l’apparente correttezza e formalità dei trattamenti in atto (e dei database in uso) non trovasse riscontro nella realtà.
In dettaglio il Garante, nei giorni 21 e 22 Marzo 2022, ha effettuato verifiche d’ufficio sui siti web indicati dalla società come fonti di acquisizione di dati personali. E’ emerso che alcuni di questi siti web fanno riferimento all’informativa privacy della società. Alcuni però non riportavano in home page alcun riferimento all’intestatario del sito né tantomeno ad alcuna informativa privacy. Uno dei siti analizzati mostrava il collegamento all’informativa privacy solo al termine del processo di raccolta dei consensi.
Qui si arriva ai dark patterns: per completezza, rimandiamo al provvedimento completo del Garante. A titolo esemplificativo illustriamo una delle violazioni riscontrate. Ad esempio, nei siti web che consentivano la registrazione senza email di conferma, se l’utente non barrava la casella del consenso per le finalità di marketing, prima di poter andare avanti col processo di iscrizione, si trovava in visualizzazione una schermata che “invitava” a fornire il consenso.
Per approfondire > Cookie banner e dark pattern: la guida dell’EDPB
Nel caso in cui l’utente esprimesse solo il consenso alle finalità di marketing, ma non la comunicazione a terzi per finalità di marketing, si trovava di fronte l’ennesima schermata per indurlo ad esprimere anche il secondo consenso.
Ugualmente, alcuni siti web mostravano pop up con offerte o e-book in omaggio: in cambio l’utente doveva rispondere ad una quantità eccessiva di domande, tutte obbligatorie e assolutamente non correlate al sito web di regisrazione
In alcuni casi invece, l’opzione di negazione del consenso non era proprio visibile o camuffata
Insomma, la verifica dei portali ha permesso di scoprire che, attraverso specifiche interfacce grafiche, call to action, colori, pop up e banner i portali inducessero truffaldinamente gli utenti a concedere i dati personali e il consenso al loro trattamento.
Per saperne di più > Consenso cookie: il design del sito può portare a violare il GDPR
Altre irregolarità riscontrate dal Garante
Oltre al problema dei dark patterns sui portali di raccolta dati, il Garante ha individuato ulteriori problematiche:
- uno dei fornitori dei database non indicava, nell’informativa privacy, i dati di contatto del rappresentate per l’Italia (dato che il titolare è extra-UE);
- alcuni interessati che già avevano richiesto e ottenuto la cancellazione dai database della società, sono stati poi oggetto di nuove comunicazioni. I loro dati e consenso infatti sono stati riacquisiti due anni dopo la cancellazione. In pratica, in molti casi, utenti che hanno chiesto la cancellazione dei dati e ritirato il consenso, sono stati ri-acquisiti all’acquisto di nuovi database in anni successivi;
- i dati di alcuni interessati non sono risultati “corredati” da idoneo e specifico consenso per la comunicazione a terzi per finalità promozionali;
- per alcuni partner non viene fornita alcuna documentazione contrattuale ecc…
Il Garante privacy opta per la sanzione
Il Garante, tenendo conto di quanto rilevato in corso di istruttoria, della difesa della società e delle misure correttive adottate, ha imposto alla società l’interruzione e il divieto riguardo ad alcuni trattamenti dati e ha imposto una sanzione di 300.000 euro.
ll software Acconsento.click è aggiornato alle Nuove Linee Guida del Garante in materia Cookie entrate in vigore il 10 Gennaio 2022 e consente di mettere in conformità i siti web alle Direttiva ePrivacy e al GDPR – Regolamento Europeo per la Protezione dei Dati Personali (GDPR EU 2016/679).