Prospezione commerciale: sanzione pubblica nei confronti di PERFORMECLIC
Sentiamo spesso affermare, da alcuni (sprovveduti) “Titolari del Trattamento” che, siccome sono piccole realtà, l’attenzione alle norme che regolano l’utilizzo dei dati personali, è qualcosa che non li riguarda più di tanto.
Della serie “figuriamoci se le autorità vengono a pescare me” e altre affermazioni del genere.
Il 7 dicembre 2020, il Garante Francese (CNIL) ha sanzionato la società “PERFOMECLIC” per, tra le altre cose, la prospezione commerciale via e-mail senza evidenza del consenso al trattamento di dati personali e per non aver fornito informazioni soddisfacenti durante l’istruttoria.
PERFOMECLIC è una piccolissimo azienda che impiega due dipendenti ed è attiva nell’attività della c.d. prospezione commerciale, effettuata per lo più via email, per conto di terzi.
A far partire tutto è stata l’associazione SIGNAL SPAM, attiva nella raccolta delle segnalazioni di utenti Internet circa e-mail non richieste, che ha informato la CNIL che questa piccola società denominata PERFOMECLIC appariva in cima alla classifica delle aziende che emettono il maggior numero di messaggi segnalati come “spam” dagli utenti di Internet in Francia.
La CNIL, che ha effettuato controlli, ha riscontrato carenze nella gestione dei dati delle persone intervistate.
I problemi emersi
L’organismo sanzionatorio della CNIL, ha ritenuto che PERFOMECLIC ha violato il Codice delle comunicazioni elettroniche (CPCE) e cinque aspetti riguardanti il GDPR:
- violazione dell’obbligo di ottenere il consenso prima di inviare e-mail di prospezione, ai sensi dell’articolo L. 34-5 del CPCE, nella misura in cui la società non è in grado di dimostrare l’esistenza di un valido consenso delle persone contattate;
- violazione del principio di minimizzazione dei dati (articolo 5.1.c della GDPR), nella misura in cui la società conserva i dati non necessari per inviare prospezioni commerciali, in questo caso il numero di telefono degli interessati;
- violazione della conservazione dei dati (articolo 5.1.e della GDPR), la società che conserva i dati di lead per un periodo di tempo eccessivo, vale a dire più di tre anni dalla semplice apertura delle e-mail di prospezione, senza ulteriori azioni da parte delle persone interessate (ad esempio, senza fare clic su nessuno dei link nelle e-mail di prospezione);
- violazione dell’obbligo di informare adeguatamente i singoli interessati (articolo 14 della GDPR) attraverso una informativa privacy;
- violazione del diritto di opposizione delle persone (articolo 21 della GDPR), la società non consente a coloro che sono stati contattati di opporsi efficacemente all’uso dei loro dati;
- violazione del quadro contrattuale dei rapporti con un subappaltatore (articolo 28 della GDPR), a causa dell’assenza di clausole obbligatorie nel contratto tra la società e suoi fornitori.
La sanzione inflitta
CNIL ha sanzionato PERFORMECLIC per 7.300 euro. In particolare, ha tenuto conto delle dimensioni e della situazione finanziaria della società al fine di emettere un’ammenda dissuasiva e proporzionata.
Oltre a questa multa, è imposto all’azienda di sanare le non conformità entro 2 mesi. In caso contrario, la società sarà soggetta al pagamento di una penale di 1.000 euro per ogni giorno di ritardo.
Nel rendere pubblica la sua decisione, la CNIL ha sottolineato l’importanza dell’obbligo di ottenere il consenso delle persone interessate prima di inviare e-mail di prospezione e di essere in grado di dimostrare la raccolta dei consensi ottenuti.
Voi come raccogliere e conservate i consensi al trattamento?
E che dire delle informative privacy, sono coerenti e adeguate?
Link alla Deliberazione CNIL: DELIBERAZIONE SAN-2020-016 del 7 dicembre 2020
