L’autorità tedesca per la protezione dei dati LfDI Baden-Württemberg ha sanzionato per circa 1,2 milioni di euro per aver inviato comunicazioni di marketing senza consenso a circa 500 clienti. L’importo della sanzione è pari a circa € 3.000 per ogni cliente.
La società aveva acquisito i dati di contatto attraverso specifiche operazioni a premi, con richiesta di consenso per ricevere comunicazioni di marketing. Tuttavia, qualcosa deve essere andato storto durante le operazioni. Nel comminare la sanzione l’autorità tedesca ha considerato alcune attenuanti, come la collaborazione da parte della società oggetto d’indagine e l’adozione di misure tecniche e organizzative per evitare che ciò accadesse di nuovo.
Rischi di questo tipo sono inevitabili, ma l’importante è adottare un approccio proattivo, che attraverso un sistema di gestione possa garantire al titolare del trattamento il monitoraggio e miglioramento continuativo dei processi interni. Non è sufficiente chiedere il consenso ai clienti. Il consenso in particolare è una base giuridica che necessita di molte attenzioni, mentre spesso viene utilizzata come una sorta di scarico di responsabilità. Il GDPR, in piena fase di rodaggio, sta già scardinando questo preconcetto.
Il consenso non è uno scarico di responsabilità sul cliente, ma anzi, una presa di responsabilità da parte del titolare, che deve curarne tutto il ciclo vita e assicurare che le aspettative e diritti dei clienti siano rispettati in ogni fase del trattamento. Una lezione costata cara alla società tedesca, che avrebbero potuto risparmiarsi se avessero prestato attenzione al principio di accountability.
Il comunicato ufficiale (in tedesco) è disponibile a questo link: https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-aok-baden-wuerttemberg-wirksamer-datenschutz-erfordert-regelmaessige-kontrolle-und-anpassung/