Dettaglio news
Vecchi consensi e GDPR: il Garante sanziona Carrefour Banque


giovedì 26 novembre 2020
Avv. Gianni Dell’Aiuto





Quando ha ricevuto un messaggio promozionale da Carrefour Banque nel Dicembre 2018, un signore, definito interessato ai sensi del GDPR, si è rivolto al mittente per sapere su quali basi fosse stata inviata la comunicazione che, evidentemente, non era gradita. Carrefour ha candidamente ammesso che il consenso risaliva al 2007, quando era stato sottoscritto un contratto con il destinatario che, probabilmente, considerava quel consenso ancora valida, nonostante fosse stato rilasciato dieci anni prima. 

Il reclamante riteneva insufficienti le risposte ottenute, anche in ordine alle modalità di cancellazione e chiedeva al Garante di ingiungere al Titolare del Trattamento di soddisfare le richieste di esercizio dei suoi diritti, vietare forme di trattamento e rivolgere alla Società avvertimenti o ammonimenti in merito alle possibili violazioni riscontrate.

Nella fattispecie, il Garante non otteneva risposte - se non tardive - al secondo sollecito da parte di Carrefour Banque e incaricava delle attività ispettive la Guardia di Finanza. La Banca si giustificava con problemi legati all’organizzazione per non aver risposto alla prima richiesta e, in merito alla seconda, di ritenere la pratica già conclusa. In relazione all’invio del SMS incriminato, lo giustificava sulla base di un contratto concluso effettivamente dieci anni prima tra il reclamante e una sua società che era successivamente confluita nella banca resistente. 

Esibiva inoltre un atto con cui l’interessato acconsentiva nell’ordine:
I) all’eventuale comunicazione a terzi dei dati per attività di recupero crediti;
II) all’effettuazione di ricerche di mercato;
III) all’invio di comunicazioni promozionali anche con modalità automatizzate.

Una formula unica e fin troppo omnicomprensiva per le diverse finalità di trattamento enunciate.

Il Garante ha ovviamente ritenuto questa formula inidonea a comprovare l’acquisizione di un consenso libero e specifico per la ricezione di messaggi promozionali con modalità automatizzate perché non prevede una distinzione per le singole finalità e non consente l’espressione di uno specifico consenso: la volontà dell’interessato non è espressa in quanto non era possibile una scelta esplicita tra consenso e diniego. Pur dando atto che il consenso all’invio di messaggi non è condizionato alla sussistenza di un rapporto contrattuale, l’invio era privo di basi giuridiche che lo giustificassero. L’invio di un unico messaggio, attività sporadica, è stato ritenuto una violazione minore ai sensi del GDPR anche considerato che la banca aveva dichiarato di avere cessato queste modalità di promozione.

Interessante la parte del provvedimento con cui viene censurato il comportamento della banca, che ha risposto alla richiesta con cui l’interessato chiedeva giustificazione dell’invio del messaggio solo con una generica affermazione che lo stesso si svolgeva ai sensi del GDPR previa autorizzazione. Sul punto il Garante ha posto in evidenza come sarebbe stato necessario l’invio di una prova del consenso. In conclusione il Garante si è limitato a vietare all’istituto di inviare messaggi promozionali in assenza di un esplicito consenso e ad ammonirlo sulla necessità di una migliore e più accurata collaborazione a fronte delle richieste del Garante, il che si sostanzia in una revisione di elementi dell’organizzazione aziendale. Un costo che potrebbe essere non indifferente e incidere su processi forse consolidati ma probabilmente erronei.

Importante anche una considerazione che potrebbe sfuggire: ai sensi del GDPR chi può rivolgersi al Garante per segnalare irregolarità o reclami è “chiunque”. Anche un solo cliente può far avviare un procedimento con i costi anche legali che determina oltre al rischio di sanzioni. E attenzione ai consensi ottenuti ante GDPR.

Qui è disponibile il Provvedimento completo - https://bit.ly/3l8W3GE




CONDIVIDI QUESTA PAGINA!