Il caso ha avuto origine dalla segnalazione dell’utente, il quale dichiarava di ricevere e-mail promozionali senza aver fornito alcun consenso, disconoscendo persino gli indirizzi IP indicati nei log di iscrizione forniti dalla società. Nonostante le sue richieste di esercizio dei diritti, il riscontro da parte della società fu tardivo, e la società inizialmente disconobbe il proprio ruolo di titolare, attribuendo la responsabilità ai partner.

Il Garante ha qualificato la società come titolare del trattamento con tutte le connesse responsabilità, basandosi sul fatto che il contenuto promozionale era indubbiamente riferito alla stessa realtà aziendale e i link nelle e-mail riconducevano alla sua landing page. La normativa, richiamando l’art. 4 del Regolamento (UE) 2016/679 (GDPR), definisce “Titolare” chi determina le finalità e i mezzi del trattamento. Il Garante ha ribadito che, anche se l’attività è materialmente svolta da terzi, la società committente, nel cui interesse il trattamento è effettuato, si configura come titolare.

La contestazione delle violazioni ha riguardato diverse disposizioni del GDPR e del Codice Privacy. Innanzitutto, è stata accertata la violazione dell’art. 28 del Regolamento per non aver correttamente disciplinato i rapporti con i responsabili del trattamento.

È stata anche contestata la violazione dell’art. 6, par. 1, lett. a) del Regolamento e dell’art. 130, comma 2 del Codice, relativa all’invio di comunicazioni promozionali senza un idoneo consenso. Il Garante ha ribadito che la mera presentazione di file di log recanti dati spesso disconosciuti dagli interessati e privi di requisiti di immodificabilità non è sufficiente a dimostrare l’effettiva volontà dell’interessato. Il provvedimento evidenzia come la documentazione del consenso tramite modalità double opt-in (: è una procedura utilizzata nell’email marketing per confermare l’iscrizione di un utente a una mailing list. Dopo che un utente ha inserito il proprio indirizzo e-mail in un modulo di iscrizione, riceve una e-mail di conferma con un link da cliccare per validare l’iscrizione. Solo dopo aver cliccato su questo secondo link, l’indirizzo e-mail viene aggiunto alla lista attiva, da cui si possono inviare e-mail) offra maggiori garanzie e sia considerata, allo stato dell’arte, una misura minima di protezione per l’interessato e per lo stesso titolare, in linea con l’obbligo di dimostrare il consenso ai sensi dell’art. 7 GDPR. Inoltre, un consenso alla comunicazione a terzi deve essere specifico e non può autorizzare un trasferimento a una “catena infinita” di soggetti.

Infine, la violazione dell’art. 12, par. 2 del Regolamento è stata accertata per non aver agevolato l’esercizio dei diritti da parte del reclamante. La richiesta era inizialmente finita nella casella spam del DPO, rendendo difficile l’esercizio del suo diritto di opposizione.

Nonostante la società abbia interrotto i rapporti contrattuali problematici e l’attività promozionale via e-mail tramite terzi, il Garante ha ritenuto necessarie delle sanzioni. È stata applicata una sanzione amministrativa pecuniaria di 45.000,00 euro e la pubblicazione del provvedimento sul sito del Garante. La quantificazione della sanzione ha tenuto conto di fattori aggravanti, come la gravità e la negligenza della violazione, e attenuanti, come le misure adottate dalla società per mitigare il danno, l’assenza di precedenti procedimenti e la cooperazione con l’Autorità.