i provvedimenti

Trattamento dati per marketing, come farlo bene per il Garante Privacy

HomeMercati digitali
Indirizzo copiato

Le conclusioni del Garante privacy in due importanti provvedimenti in tema di trattamento di dati personali volti all’acquisizione di leads e al conseguente marketing – Bakeca e Ediscom – ci aiutano a far luce sulla disciplina e su alcune contraddizioni nella gestione dei rapporti tra aziende protagoniste delle operazioni di cessione di dati personali e…

Pubblicato il 2 ago 2023
Gabriella D’Amico

Dipartimento Data Protection Rödl & Partner

Tommaso Mauri

Dipartimento Data Protection Rödl & Partner

Customer,Care,,Care,For,Employees,,Labor,Union,,Life,Insurance,And

Nel corso dei primi mesi del 2023, in conformità con il piano ispettivo del primo semestre dell’anno, l’Autorità Garante per la Protezione dei Dati Personali (di seguito, “Autorità”) ha emanato una serie di provvedimenti che mirano a disciplinare le modalità attraverso le quali possono svolgersi i trattamenti marketing con particolare interesse rispetto al processo di acquisizione dei dati personali oggetto di tale trattamento, ossia la leads acquisition.

Digital marketing a norma di Gdpr, ecco come fare (su web e social)

Proprio in considerazione delle novità apportate dai predetti provvedimenti, appare utile in questo momento storico soffermarsi sui nuovi scenari di trattamento emersi, non solo per fornire spunti interessanti nei confronti degli operatori del settore, ma anche per condividere informazioni utili a beneficio degli stessi soggetti interessati, i cui dati personali sempre più spesso vengono trattati al fine di veicolare a messaggi pubblicitari per la promozione di beni e prodotti di consumo.

Alla luce di quanto sopra, tenuto conto di quanto espresso dal Regolamento (EU) 679/2016 (di seguito, “GDPR”), dal D. Lgs n. 196/2003 come novellato dal D. Lgs n. 101/2018 (di seguito, “Codice Privacy”) e dalle linee guida di c.d. soft law emanate dall’European Data Protection Board (di seguito, “EDPB”), quali sono ad esempio le Linee guida 7/2020 EDPB “sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR”, nonché dei provvedimenti dell’Autorità che si intenderà esaminare, facciamo luce sulla disciplina e su alcune apparenti contraddizioni ad oggi sussistenti nella gestione dei rapporti tra aziende protagoniste delle operazioni di cessione di dati personali e di attività di marketing. Nel tentativo di perseguire questo obiettivo, ci si concentrerà sull’individuazione di quelli che sono i ruoli delle aziende coinvolte dalle attività menzionate, nonché sull’analisi degli accorgimenti e delle misure di controllo che i titolari del trattamento sono chiamati a implementare. A chiusura del cerchio, si tenterà di fornire un possibile workaround da tenere in considerazioni per garantire lo svolgimento di un trattamento quanto più incline a quelle che sono le indicazioni e le prescrizioni fornite dall’Autorità.

(Dipartimento Data Protection Rödl & Partner – Avv. Nadia Martini)

Il processo di leads acquisition

Nel complesso mondo delle attività di trattamento di dati personali secondo quelli che sono i dettami del GDPR e del Codice Privacy, un ruolo particolare – specialmente nel corso degli anni recenti – lo ricoprono le iniziative legate al marketing e, ancor prima, tutte quelle attività strettamente rilevanti nei processi di c.d. leads acquisition. Consci del fatto che i trattamenti di dati personali di cui alle attività di marketing hanno l’obiettivo di promuovere determinati prodotti e servizi non solo a clienti già acquisiti, ma anche a potenziali nuovi clienti (prospect), approfondiamo l’attività di acquisizione delle leads (di seguito, anche “anagrafiche consensate” o database consensati”). Entrambi i processi menzionati, infatti, secondo diverse accezioni e nel rispetto delle relative peculiarità, sono stati affrontati e approfonditi nel corso di complesse attività istruttoria condotte dall’Autorità nei primi mesi del 2023 nei confronti di aziende leader del settore.

A titolo di premessa, occorre illustrare brevemente quello che è il processo di leads acquisition. Partendo dal concetto di leads, va chiarito che, con tale termine, si intende definire le anagrafiche di soggetti interessati che, a seconda dei casi, hanno manifestato il proprio interesse a ricevere comunicazioni commerciali su beni e prodotti di una determinata azienda. Nel processo di leads acquisition, queste anagrafiche vengono solitamente raccolte da parte di un soggetto che ha come proprio core business proprio quello di raccogliere dati personali di interessati consensati al trattamento per finalità di marketing per poi, successivamente, cederli ad una terza parte che, a fronte del pagamento di un determinato importo di denaro, le acquisisce. A questo punto, tradizionalmente, sulle anagrafiche oggetto di cessione vengono svolte operazioni di marketing che possono riguardare sia prodotti e beni propri del soggetto che acquisisce le leads che prodotti e beni di soggetti terzi, i quali ad esempio appaltano tale attività alla parte che acquisisce le leads.

Resta fermo che, affinché l’intero impianto di trattamento appena descritto, che coinvolge più attori sulla scena ognuno per la propria attività, sia svolto nel rispetto di quanto previsto dal GDPR, è necessario acquisire uno specifico ed espresso consenso presso ciascun soggetto interessato i cui dati personali sono oggetto di cessione. In conformità all’ormai consolidato pensiero dell’Autorità e dell’EDPB, infatti, non è considerata come lecita la pratica di raccogliere i c.d. consensi aggregati, ovvero consensi posti alla base di più di un’attività di trattamento; pertanto, al fine di procedere in maniera lecita a tale cessione di leads, sarà necessario, da parte del cedente, aver acquisito uno specifico consenso alla cessione di dati a terzi per finalità di marketing, autonomo e distinto da un eventuale altro consenso acquisito dallo stesso per svolgere attività di marketing in proprio (c.d. marketing di prima parte).

Nello scenario sopra descritto, va da sé che la presenza di un soggetto disposto a cedere una determinata quantità di dati personali (attività svolta dai c.d. list provider) implica la contestuale presenza di un secondo soggetto che è disposto ad acquisirla. Ed è proprio in questo scenario che fanno la propria comparsa i c.d. players del mercato che – in conformità all’attività di business perseguita – acquisiscono da terze parti i suddetti database consensati. Tali organizzazioni ricoprono il ruolo di veri e propri intermediari, acquisendo dati personali con l’obiettivo di sfruttarli, organizzarli e valorizzarli a proprio vantaggio (economico, naturalmente).

Attraverso l’analisi e la valutazione delle conclusioni cui è giunta l’Autorità nei provvedimenti che saranno oggetto di disamina, nelle righe che seguono si tenterà di fornire – a beneficio delle organizzazioni che fanno dei processi di leads acquisition uno degli elementi fondanti il proprio core business – un quadro dei processi che occorre osservare per garantire la compliance dell’intera attività svolta.

I ruoli delle parti nei contratti di gestione di database e i provvedimenti del Garante Privacy

Come anticipato, ci soffermeremo sulle conclusioni raggiunte dall’Autorità in due importanti provvedimenti in tema di trattamento di dati personali volti all’acquisizione di leads e al conseguente marketing e, in particolare, analizzeremo il provvedimento dell’11 gennaio 2023 (doc. web 9861941) e il provvedimento del 23 febbraio 2023 (doc. web 9870014), emanati, rispettivamente, nei confronti della Società Bakeca S.p.A. (di seguito, “Bakeca”) e della Società Ediscom S.p.A. (di seguito, “Ediscom”).

In entrambe le decisioni, rispetto ai relativi profili di interesse, l’Autorità ha ingiunto e invitato le predette società a conformare i propri processi di business a quelle che sono le prescrizioni del GDPR e le indicazioni contenute nei più risalenti provvedimenti dell’Autorità stessa.

Il provvedimento rivolto a Bakeca

Per quel che concerne il provvedimento rivolto a Bakeca, la decisione di specie appare quantomai rilevante in quanto – fra i tanti trattamenti contestati – pone al centro del dibattito il tema connesso alla definizione dei ruoli del trattamento ricoperti dai singoli attori del processo di acquisizione, cessione e sfruttamento delle leads.

Per comprendere appieno le conclusioni cui è giunta l’Autorità attraverso un complesso ragionamento di matrice giurisprudenziale, occorre anzitutto comprendere quello che è il business principale di Bakeca. Quest’ultima è una società che fa della vendita di servizi connessi alla pubblicazione di annunci economici la propria attività commerciale principale, cui accompagna – in misura minore – l’utilizzo per finalità di marketing dei dati personali raccolti dai soggetti iscritti al portale www.bakeca.it e dei soggetti, non necessariamente iscritti al predetto portale, che fruiscono dei servizi per pubblicare annunci o rispondere ad essi. Proprio in riferimento alla finalità di marketing, Bakeca utilizza i dati personali raccolti – previa acquisizione di consenso specifico e informato presso soggetti interessati – per finalità di marketing proprie oppure per attività di cessione a terzi per loro autonome finalità di marketing (c.d. marketing di prodotti terzi).

In occasione delle cessioni dei dati a terzi, Bakeca, di norma, instaura un rapporto contrattuale con la terza parte che riceve il set di dati personali sulla base del c.d. modello di “gestione di database”, nell’ambito del quale, in ottica privacy, Bakeca opererebbe come titolare del trattamento – in quanto soggetto che in prima persona si occupa della raccolta dei dati e dei relativi consensi – e il soggetto terzo cui è affidato in gestione il database, in qualità di responsabile del trattamento – per via dell’attività di valorizzazione e organizzazione dei dati personali oggetto del database ceduto.

Fatta questa doverosa premessa, si può ora analizzare la decisione sul punto a cui è giunta l’Autorità. Secondo quest’ultima, infatti, non risulta condivisibile l’inquadramento del rapporto tra le parti operata da Bakeca sulla scia della dicotomia titolare-responsabile, in quanto il soggetto che riceve il database di dati da parte di quest’ultima svolgerebbe attività di trattamento secondo proprie e autonome finalità. In tal senso, secondo l’Autorità, l’attività di gestione e valorizzazione del database non può pertanto definirsi correttamente come un’attività svolta per conto di Bakeca, in quanto l’arricchimento dei dati ricevuti è un’attività commerciale che viene svolta in funzione del processo di veicolazione dell’attività promozionale su prodotti di determinato committente, che in tal senso detiene rapporti contrattuali esclusivamente con il terzo che riceve i dati personali da Bakeca.

Secondo l’Autorità, pertanto, il rapporto che intercorre tra Bakeca e i propri partner è verosimilmente riconducibile al novero dei rapporti tra titolari autonomi del trattamento. Di riflesso, il ragionamento svolto dall’Autorità porta la stessa ad affermare che la nomina a responsabile del trattamento del partner dovrebbe essere conferita dal committente per il quale viene realizzata l’attività promozionale sul database acquisito da Bakeca. E in tal senso, l’Autorità richiama a fondamento della propria tesi anche le Linee guida 7/2020 dell’EDPB, secondo le quali – indipendentemente dalla qualificazione contrattuale dei ruoli – è titolare del trattamento il soggetto che determina le finalità e i mezzi del trattamento.

Morale della storia, se l’attività di gestione/valorizzazione di database rientra nel novero dei trattamenti di dati personali svolti da soggetti inquadrabili come autonomi titolari – e non responsabili – del trattamento, bisogna inevitabilmente concludere che tale attività possa essere svolta solo a fronte di consensi alla cessione dei dati a terzi per finalità di marketing, e non anche a fronte di consensi al trattamento marketing su prodotti terzi (che pure la stessa Bakeca raccoglie e che, a questo punto, sembrerebbero non poter essere più utilizzati se non da Bakeca stessa).

Il provvedimento Ediscom

Detto del provvedimento Bakeca – il quale non si è concluso con una sanzione bensì solo con un’ammonizione – è tempo ora di soffermarsi su quanto evidenziato dall’Autorità nel provvedimento ingiuntivo e sanzionatorio emanato verso Ediscom, che ha visto quest’ultima obbligata al pagamento della somma di Euro 300.000.

Ediscom è una società che si occupa di svolgere campagne promozionali tramite sms, e-mail e chiamate automatizzate per clienti di medie-grandi dimensioni. Nello specifico, il business di Ediscom consiste nel veicolare messaggi promozionali ai soggetti presenti nella propria banca dati aventi ad oggetto proposte commerciali di aziende committenti. In via residua, Ediscom offre anche il servizio di noleggio di liste di dati personali per l’attività di telemarketing.

Per svolgere le predette attività, Ediscom utilizza un proprio database che è composto da dati personali raccolti attraverso tre flussi principali (c.d. entry points), ossia:

  1. dati personali raccolti da Ediscom attraverso i portali web di cui è titolare;
  2. dati personali acquisiti da soggetti terzi fornitori di database (c.d. list provider, quale è ad esempio Bakeca secondo il provvedimento esaminato in precedenza);
  3. dati personali acquisiti da soggetti terzi che intendono monetizzare i propri database costituiti per l’erogazione di servizi di varia natura, sulla base di un rapporto commerciale definito in termini di “gestione di database” per conto di terzi. In tal scenario, è importante considerare che il database rimane di proprietà del soggetto che lo ha formato ed Ediscom si impegna a valorizzarlo e ad arricchirlo utilizzato in dati in esso contenuti per veicolare messaggi promozioni di terze parti, suoi clienti.

Alla luce della disciplina sui ruoli del trattamento delle parti in gioco impostata Ediscom, si evince che:

  • rispetto al trattamento dei dati personali acquisiti da soggetti terzi fornitori di database, Ediscom agisce come titolare autonomo. In tal senso, il rapporto sottostante l’accordo commerciale sottoscritto tra le parti per la cessione dei dati personali è definito in termini di autonoma titolarità;
  • rispetto al trattamento dei dati personali acquisiti da soggetti terzi che intendono monetizzare i propri database costituiti per l’erogazione di servizi di varia natura, Ediscom agisce come responsabile del trattamento e il fornitore del database come titolare del trattamento.

Alla luce delle indicazioni fornite da Ediscom, in conformità all’individuazione dei rapporti commerciali e privacy come sopra rappresentati, l’Autorità ha constatato che:

  • nel rapporto di acquisizione di dati personali da terzi fornitori, Ediscom si qualifica correttamente come titolare autonomo del trattamento;
  • nel rapporto commerciale di cui all’attività di “gestione di database” per conto di terzi, non è condivisibile la qualificazione di responsabile del trattamento fornita da Ediscom.

Nello specifico, infatti, e a supporto della propria tesi, l’Autorità evidenzia che nel rapporto commerciale di “gestione di database” Ediscom è da considerare titolare autonomo in quanto l’attività di acquisizione di dati è finalizzata all’arricchimento del proprio database, che successivamente è utilizzato per offrire servizi promozionali ai propri clienti. A tal proposito, a nulla rileva la causa dell’acquisto del set di dati dal fornitore terzo rispetto al corretto inquadramento dei ruoli privacy attribuibili agli attori in gioco, essendo invece necessario valutare quale sia la finalità del trattamento svolto rispetto ai predetti dati personali oggetto di acquisizione: in tale scenario, infatti, è Ediscom a stabilire lo scopo del trattamento, che consiste nello sfruttamento commerciale della banca dati acquisiti attraverso la veicolazione di messaggi promozionali di propri clienti.

Rispetto a tutto quanto considerato – e limitatamente ai profili di illiceità del trattamento svolto che interessano in questa sede – l’Autorità, congiuntamente alla sanzione erogata per gli ulteriori profili di non conformità rilevati, ha pertanto ammonito Ediscom con riguardo alla necessità di regolarizzare il rapporto commerciali instaurati rispetto ad una corretta definizione dei ruoli del trattamento.

Come devono muoversi le aziende per far fronte alle prescrizioni del Garante

Alla luce delle conclusioni a cui è pervenuta l’Autorità all’esito dei procedimenti nei confronti di Bakeca ed Ediscom, è possibile fornire alcune macro-indicazioni per i titolari del trattamento impegnati nello svolgimento delle medesime attività.

A tal proposito, nel rispetto di quanto indicato dall’Autorità nei provvedimenti Bakeca ed Ediscom, è bene tenere a mente che:

  • prima di procedere alla raccolta dei dati personali (ad esempio, tramite appositi form online), occorre fornire ai soggetti interessati adeguata informativa sul trattamento dei propri dati personali. Pertanto, laddove la raccolta comporti la successiva cessione del dato ad una terza parte, il titolare del trattamento dovrà indicare chiaramente tale attività all’interno delle finalità del trattamento, fornendo altresì indicazione delle terze parti destinatarie dei dati o, in alternativa, delle categorie merceologiche di appartenenza delle stesse;
  • è necessaria, in quanto richiesto già dal GDPR e dal Codice Privacy, l’individuazione di una corretta base giuridica per ciascuna attività di trattamento svolta. In particolare, nell’ambito dell’attività di cessione di leads, i titolari del trattamento che, in prima battuta, raccolgono i dati personali oggetto delle successive cessioni, saranno tenuti ad acquisire un consenso specifico ed espresso da ciascun soggetto interessato, pena la qualificazione di un trattamento illegittimo. È bene tenere a mente che l’Autorità, nel provvedimento sanzionatorio verso Ediscom, ha ribadito il fatto che – nei contratti stipulati per l’attività di ”gestione di database” – l’acquisizione di un consenso alla trasmissione a terzi, originariamente ottenuto dalla parte che ha creato il database oggetto di cessione, non può rendere legittimi anche i successivi trasferimenti svolti. In tal senso, infatti, non è ammissibile l’acquisizione e la validità di un unico consenso all’infinito per tutti i soggetti, successivi al primo, cui vengono comunicati i dati;
  • occorre documentare correttamente la volontà dell’interessato in tema di acquisizione del consenso, in conformità a quanto statuito dall’Autorità (in particolare, nel provvedimento Ediscom). A tal proposito, è bene segnalare che l’utilizzo del c.d. double opt in – consistente in un meccanismo di conferma del consenso acquisito che si base sull’invio di un’email di convalida – rappresenta una misura caldamente raccomandata dall’Autorità per accertare a livello documentale l’effettiva volontà dell’interessato. Peraltro, da un punto di vista più tecnico, ricordiamo che la documentazione del consenso acquisito attraverso il solo indirizzo IP di registrazione non è considerata dall’Autorità come una misura sufficiente a dimostrare la volontà dell’interessato: in questo caso, meglio produrre anche i relativi file di log e, in linea generale, qualsiasi evidenza che sia in grado tecnicamente di rendere immodificabile la volontà espressa;
  • occorre regolamentare i rapporti privacy sussistenti con le terze parti rispetto alle quali vengono sottoscritti accordi commerciali, siano essi qualificabili in termini di cessione di database per finalità di arricchimento/gestione o in termini di affiliazione con partners. In tale contesto, per non incappare in profili di illiceità alla luce di quanto affermato dall’Autorità nei provvedimenti verso Ediscom e Bakeca, servirà concentrare gli sforzi di valutazione sulla concreta attività di trattamento svolta dagli attori in gioco, tenuto conto del fatto che non è la materiale apprensione dei dati a determinare il ruolo effettivamente svolto nel trattamento; solo adottando questo approccio, infatti, si potrà correttamente individuare il soggetto che determina le finalità e i mezzi del trattamento (che vestirà i panni del titolare) e, laddove applicabile, il soggetto che svolge attività di trattamento per conto del titolare (che vestirà i panni del responsabile).

Un bilancio

Indubbiamente i provvedimenti contro Bakeca e Ediscom rappresentano un ulteriore passo in avanti che l’Autorità ha deciso di compiere per tentare di disciplinare i flussi di cessione di dati, nell’ottica di fornire strumenti idonei ai titolari del trattamento per porre in essere i successivi trattamenti di marketing nel rispetto di quelli che sono i diritti e le libertà dei soggetti interessati.

Senonché, confrontando quanto emerso nei predetti provvedimenti con ulteriori decisioni dell’Autorità più risalenti nel tempo – quale è, ad esempio, il procedimento nei confronti di Sky Italia Srl del 16 settembre 2021 – si intravedono aspetti di apparente conflitto e disallineamento per quel che concerne la disciplina dei ruoli privacy da attribuire alle parti di una determinata filiera produttiva e, in tal senso, è opportuno che tali elementi vengano nel seguito evidenziati, al fine di ipotizzare possibili soluzioni di workaround.

In tal senso, riassumendo in estrema sintesi quanto affermato dall’Autorità nei provvedimenti contro Bakeca ed Ediscom, possiamo ritenere che:

  • nei processi di leads acquisition, il soggetto che materialmente crea il database oggetto di cessione e il soggetto ricevente agiscono quali titolari autonomi del trattamento e la cessione dovrà avvenire previa stipula di regolare accordo per la comunicazione dati tra titolari autonomi;
  • nei processi di trattamento di dati personali per finalità di marketing, successivi al momento di acquisizione delle leads, il soggetto che materialmente esegue l’attività – quale è ad esempio il veicolare messaggi promozionali di prodotti e servizi – per conto di committenti terzi, assume il ruolo di responsabile del trattamento, con conseguente obbligo di formalizzare detto ruolo con apposita nomina a responsabile del trattamento.

Tale gestione, se considerata in valore assoluto, dovrebbe pertanto rappresentare quella giuridicamente più corretta. Senonché, come anticipato, occorre tenere fermo quanto rappresentato dall’Autorità nel provvedimento sanzionatorio di settembre 2021 nei confronti di Sky.

In breve, rispetto all’attività promozionale di prodotti Sky svolta da quest’ultima attraverso propri fornitori e partners – ossia soggetti che svolgono l’attività di “gestione di database” (Ediscom) e soggetti creatori di database consensati (Bakeca) – l’Autorità ha contestato la disciplina dei ruoli al tempo applicata da Sky. In particolare, non è stata condivisa l’impostazione  secondo cui le terze parti coinvolte nel processo di raccolta dei dati personali dei soggetti interessati che hanno espresso il consenso a ricevere comunicazioni marketing di prodotti di Sky, agirebbero sempre nelle vesti di titolari del trattamento.

Nel ragionamento di Sky, infatti, tali terze parti acquisirebbero i dati per proprie autonome finalità, quali sono ad esempio l’arricchimento del database di proprietà e l’invio di SMS promozionali per marketing di prodotti terzi ai propri soggetti interessati che hanno presto il relativo consenso. L’Autorità, tuttavia, valorizzando il fatto che l’intero processo sopra rappresentato viene svolto dai fornitori rappresentati al fine di fornire un flusso di informazioni di ritorno a beneficio di Sky, ha inteso definire i rapporti di specie in termini di responsabilità del trattamento. Difatti, i fornitori utilizzati da Sky agirebbero nel suo interesse e per suo conto, rispettando le istruzioni da questi conferite e condividendo le informazioni di ritorno per la campagna di ri-contatto finalizzate alla vendita di prodotti e servizi Sky.

Stando così le cose, e leggendo le conclusioni a cui è pervenuta l’Autorità nel procedimento Sky in combinato disposto con quanto rilevato nei procedimenti contro Bakeca e Ediscom, si può ragionevolmente ritenere che, ad oggi, non vi sia una risposta univoca per quel che concerne la corretta individuazione del ruolo del trattamento da attribuire agli attori facenti parte di una specifica filiera produttiva. Infatti, mettendosi nei panni del titolare del trattamento e sposando la logica condivisa dall’Autorità nel procedimento Sky, si dovrebbe:

  • qualificare il fornitore che mette a disposizione il database consensato al marketing di prodotti terzi – e quindi, si badi, non oggetto di cessione (esempio, Bakeca) – come titolare autonomo del trattamento (essendo il soggetto che raccoglie in prima persona i dati per inserirli nel proprio database), con riferimento al momento della raccolta dei dati e dei consensi;
  • qualificare il fornitore intermediario che invia gli SMS promozionali per conto del committente-titolare (ad esempio, Ediscom) quale responsabile del trattamento;
  • qualificare il medesimo fornitore che mette a disposizione il suddetto database al fornitore intermediario in veste di sub responsabile del trattamento, limitatamente all’attività di invio di SMS promozionali svolta dall’intermediario stesso, che per tale attività riveste i panni del responsabile del trattamento.

E questa, sino ai provvedimenti contro Ediscom e Bakeca, pareva essere la corretta configurazione da adottare.

Tuttavia, con i due procedimenti appena citati, l’Autorità ha espressamente qualificato il fornitore di database consensati – ossia Bakeca – in qualità di titolare del trattamento, rendendo a questo punto difficile la qualificazione di sub responsabile resa da Sky in conformità al provvedimento di settembre 2021.

Pertanto, preso atto di tutti i provvedimenti sino ad ora citati, appare ragionevole ritenere che i titolari del trattamento che si servono di più fornitori per lo svolgimento di molteplici attività, debbano in ogni caso individuare i rispettivi ruoli in considerazione di colui che, nel concreto, stabilisce finalità e mezzi del trattamento e di colui che svolge attività per conto di altri, a prescindere dalla qualificazione fornita all’interno dei rispettivi accordi commerciali.

Volendo fornire un possibile workaround sul punto, tenuto conto delle conclusioni formulate dall’Autorità nei procedimenti esaminati, potremmo ragionevolmente individuare:

  • un rapporto tra cedente e cessionario della base dati in termini di titolarità autonoma, con cessione dati da regolare sulla base di idoneo accordo di comunicazione dati;
  • un rapporto tra cessionario della base dati, che svolge attività di marketing per conto del proprio committente, e il committente stesso, in termini di titolarità (il committente) – responsabilità (il cessionario), da regolare con idonea nomina a responsabile ex art 28 GDPR;
  • un rapporto tra cedente della base dati e committente del cessionario, che sfrutta la base dati del cedente per attività di marketing su propri prodotti, per il tramite del soggetto cessionario, in termini di titolarità autonoma (probabilmente non necessariamente da regolare in quanto tra i suddetti soggetti non vi sarebbe, di fatto, alcuna comunicazione dati).

Ad ogni modo, fermo restando i ragionamenti svolti in questa sede, appare quantomeno opportuno che pro futuro l’Autorità intervenga nuovamente sulla disciplina dei ruoli del trattamento applicabile alle operazioni di cessione di dati personali e successive attività di marketing, al fine di fornire chiarimenti e riscontri univoci che siano di supporto agli operatori del mercato e alle aziende che intendono svolgere trattamenti di questo tipo. Ad oggi, infatti, alla luce di quanto analizzato rispetto ai provvedimenti contro Bakeca, Ediscom e Sky, emerge un quadro non del tutto omogeneo per quel che concerne la corretta definizione dei ruoli del trattamento da attribuire alla filiera di attori che prendono parte allo svolgimento attività simili.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati

  • common criteria

    Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

    06 Dic 2023

    di Garibaldi Conte

    Condividi

  • sanità digitale

    Medicina sempre più personalizzata grazie a dati e AI: l'esperienza del Gemelli

    14 Mag 2024

    di Giovanni Arcuri e Antonio Marchetti

    Condividi

  • Medicina

    Neuralink: le promesse e i dubbi sulla tecnologia di Musk

    30 Gen 2024

    di Redazione

    Condividi

Prossimo

Sicurezza dei prodotti ICT: cosa sono i "protection profile" e perché sono il futuro

Articolo 1 di 4