Garante privacy: il titolare del trattamento deve vigilare sull’operato dei concessionari dei servizi

Un cittadino ha presentato un reclamo all’Autorità Garante della privacy lamentando la ricezione di una comunicazione indesiderata relativa alla vendita di biglietti per uno spettacolo promosso dalla società che ha in gestione un Teatro comunale, senza che il reclamante avesse in alcun modo conferito il consenso alla ricezione di tale tipologia di comunicazione.

Nelle proprie memorie difensive, la società ha chiesto l’archiviazione del procedimento avviato nei suoi confronti, in quanto, non avrebbe mai avuto la materiale disponibilità dei dati personali del reclamante, in quanto la stessa avrebbe affidato, a una seconda società, il servizio promozionale della stagione teatrale, società che di fatto ha inviato la e-mail indesiderata.

Dall’istruttoria, è emerso che tale incarico sarebbe stato conferito alla società in forma orale a fronte di un compenso, tenuto conto delle garanzie offerte dalla società nel settore della promozione di spettacoli ed eventi culturali e avendo ottenuto preventivamente rassicurazioni sul fatto che la stessa avrebbe prestato il servizio in via professionale e abituale e nella piena aderenza ai dettami del GDPR. La società ha ritenuto che non vi fosse la necessità di esercitare un potere di controllo e di impartire istruzioni in merito al trattamento dei dati personali che andasse oltre le interlocuzioni verbali funzionali all’accordo.

Il Garante, con il provvedimento generale del 15 giugno 2011, aveva già chiarito che i contatti a carattere promozionale sono effettuati in nome, comunque per conto e nell’interesse, della società preponente.

Il proponente, essendo il soggetto che determina la finalità promozionale del trattamento ed i mezzi per la sua effettuazione, oltre ad essere il soggetto nel cui interesse il trattamento è effettuato, si configura quale titolare del trattamento. Invece, il soggetto che, per conto di questi, concretamente svolge il servizio, può essere, a seconda del concreto atteggiarsi dei ruoli fra le parti, un contitolare o un responsabile del trattamento.

Pertanto, pur rivendicando la propria estraneità rispetto alla raccolta dei dati del reclamante, risulta che la comunicazione ricevuta dal reclamante sia stata effettuata in nome e nell’interesse della società che, per tali ragioni, va ritenuta titolare avendo, in concreto, determinato le decisioni in ordine alle finalità e modalità del trattamento, pur non preoccupandosi di verificarne l’attuazione da parte del partner incaricato dell’attività promozionale.

Ciò che emerge è sicuramente un quadro di non adeguato controllo da parte della società nei trattamenti finalizzati alla realizzazione della campagna promozionale. L’Autorità ha più volte evidenziato che i principi dettati dal Regolamento inquadrano le competenze del titolare in un’ottica di responsabilizzazione (accountability) ed impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.

L’Autorità ha ingiunto alla società, qualora intenda in futuro avvalersi di terzi per attività promozionali, di adottare idonee procedure volte a verificare costantemente che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia e, in particolare, di acquisire previamente un consenso libero, specifico, inequivocabile e documentato degli interessati per l’invio di comunicazioni commerciali.

Nella valutazione complessiva di quanto accaduto, l’Autorità ha tenuto conto dell’eccezionalità di tale campagna promozionale, rispetto alle ordinarie modalità pubblicitarie dell’attività teatrale (sito internet, cartellonistica stradale, inseriti sui quotidiani, locandine), ridimensionando di fatto la posizione della società, il cui oggetto sociale si colloca al di fuori del consueto circuito promozionale che investe gli operatori di marketing, rendendo difficile per la stessa percepire come l’incarico a terzi avesse comportato un trattamento dei dati personali soggetto agli adempimenti previsti dalla normativa in materia.