Invio newsletter senza consenso: il Garante francese sanziona per 600.000 AccorHotels. Attivato il meccanismo di cooperazione tra autorità garanti di più Stati

L'istruttoria del Garante francese

Il Garante francese ha avviato l'istruttoria dopo aver ricevuto molteplici reclami in merito alle difficoltà, denunciate da più utenti, di esercitare i proprio diritti verso Accor. Accor è una nota catena alberghiera presente in tutta Europa. Il Garante francese ha anche sottolineato come reclami per le stesse motivazioni siano arrivati sul tavolo di più autorità europee di protezione dei dati.

L'istruttoria ha fatto emergere come Accor aggiungesse automaticamente alle liste dei destinatari delle proprie newsletter tutte le persone che prenotavano direttamente con Accor o con uno dei marchi del gurppo. Ciò avveniva tramite una raccolta consensi "truffaldina". Gli utenti, al momento di prenotare, trovavano pre selezionata la casella del consenso alla ricezione di comunicazioni di marketing da parte della catena alberghiera.

Non finisce qui. La CNIL ha ricostruito come una lunga serie di problemi tecnici impedissse ai clienti di esercitare il diritto di opposizione al trattamento dati. Non era prevista cioè la possibilità opporsi alla ricezione di messaggi di direct marketing.

Le violazioni riscontrate dal Garante francese

La CNIL, in dettaglio, ha ritenuto Accor responsabile di queste violazioni: 

• mancata acquisizione del consenso dell'interessato per trattamento dati personali a finalità di marketing. L'invio di newsletter senza consenso o con consenso non espresso liberamente è aperta violazione dei principi del GDPR;
• assenza di ogni forma di comunicazione, agli interessati, delle informative e di tutti i dati che il GDPR impone di comunicare al momento di creare gli account. Il consenso non è neppure citato come base giuridica per il trattamento dati (art 12 e 13 GDPR);
• violazione del diritto di accesso, entro i tempi previsti, degli interessati ai propri dati (art 12 e 15 GDPR);
• mancato riscontro alle richieste di opposizione al trattamento dati da parte degli interessati (art 12 e 21 GDPR);
• scarsa protezione dei dati personali: il sito web consente l'uso di password non sicure (art 32 GDPR).

Invio newsletter senza consenso: la sanzione e il meccanismo One Stop Shop 

Il Garante francese ha emesso un progetto di decisione alle altre autorità europee di protezione dati interessate. La sanzione è stata commisurata tenendo presente le violazioni del diritto di accesso ai dati, di opposizione e l'invio di newsletter senza consenso.

Questo è il meccanismo cosiddetto One Stop Shop, pensato per garantire un'applicazione armoniosa e uniforme in tutta l'UE. La CNIL ha quindi comunicato il progetto di decisione rispetto alla sanzione da infliggere ad Accor alle altre autorità garanti riguardate. Una di queste autorità si è dichiarata in disaccordo con la proposta. In particolare ha ritenuto inadeguata e insufficiente l'ammontare della sanzione proposta.

L' art.64 del GDPR parla chiaro e consente il ricorso all'EDPB (comitato europeo di protezione dei dati) in caso di divergenze tra autorità garanti. Così il progetto di decisione e l'opposizione dell'altra autorità Garante finiscono sul tavolo dell'EDPB. L'EDPB ha accolto le motivazioni alla base dell'opposizione alla decisione del Garante francese e ha aumentato l'ammontare della sanzione portandola a 600.000 euro.

Per approfondire > Privacy e protezione dati: istituito il registro centralizzato europeo