L’Autorità, dopo aver simulato una procedura di iscrizione al sito web del titolare del trattamento, conferendo alcuni dati anagrafici, ha constatato che veniva acquisito un unico consenso per finalità di marketing e di profilazione inidoneo a costituire una corretta base giuridica. Come noto, il consenso affinché possa rappresentare una idonea base giuridica, deve essere informato, specifico, libero, esplicito e inequivocabile.
Per quanto riguarda l’utilizzo di liste c.d. “consensate” ottenute da un soggetto terzo, a sua volta cessionario di tali anagrafiche sulla base di un consenso viziato rilasciato all’iniziale titolare del trattamento, osserva il Garante che è necessario in capo al titolare del trattamento procedere a richiedere e acquisire un nuovo consenso alla propria attività promozionale.
Questa “mancanza” è in contrasto con i principi di accountability e di privacy by design poiché la società non risulta essersi occupata, come invece necessario, di verificare l’effettiva conformità alla normativa dei consensi acquisiti dal fornitore.
Il Garante osserva che è necessario in capo al titolare del trattamento procedere a richiedere e acquisire un nuovo consenso alla propria attività promozionale.
L’Autorità Garante inoltre impone a tutti gli attori del trattamento dei dati personali comportamenti coerenti con la finalità di comprovare in ogni momento la loro liceità. Ogni titolare deve quindi poter garantire il rispetto dei dati forniti. Deve poi saper dimostrare di aver adeguatamente registrato e contestualizzato i dinieghi espressi dagli interessati alla ricezione di ulteriori comunicazioni promozionali; circostanza, questa, che non ricorre nel caso di specie.
Qualora i dati forniti non dovessero essere tutelati in maniera appropriata o non si fosse in grado di fornire spiegazioni sul perché della richiesta di determinati dati, ci potrebbero essere sanzioni fino a cinque milioni di euro.
(G.S)