Capita spesso di ricevere e-mail a fini marketing per cui o non abbiamo dato il consenso o l’abbiamo revocato e ciò nonostante continuiamo a riceverle.
Di recente sono stata contattata anche da una signora che lamentava di aver ricevuto più e-mail da una RSA indirizzate, oltre che alla stessa, ad altri soggetti di cui era visibile l’indirizzo elettronico.
Entrambi i casi succitati rappresentano violazioni al GDPR e al diritto della privacy, in quanto l’indirizzo e-mail ai sensi dell’art. 4 n.1 del GDPR, è un dato personale, poiché permette di risalire a un soggetto individuato.
Vediamo in dettaglio le due ipotesi, rispondendo alle domande più comuni che vengono poste dai clienti.
Quando è lecito inviare e-mail ai fini marketing?
Quando l’interessato ha prestato specifico consenso (che va sempre documentato) al trattamento dei dati personali ai fini del marketing (non basta quindi un generico consenso al trattamento dati).
Deve essere sempre data la possibilità di revocare lo stesso, indicandone le modalità.
Come posso impedire che il mio indirizzo e-mail sia utilizzato a fini di marketing?
Se l’indirizzo dell’e-mail è pubblico, si può impedire l’utilizzo attraverso l’iscrizione del registro pubblico delle opposizioni, accedendo al seguente link
Il servizio è gratuito (e fra poco sarà esteso anche ai numeri di cellulare e alle voci dell’operatore registrate).
Se l’interessato ha prestato il consenso precedentemente, l’iscrizione successiva al registro si considera come revoca.
Costituisce violazione della privacy l’e-mail indirizzata a più destinatari “in chiaro”?
L’invio di e-mail a più destinatari con indirizzo in chiaro, salvo che sia stato prestato il consenso, è lesivo della privacy e riservatezza in quanto anche l’indirizzo e-mail ai sensi dell’art. 4 n.1 del GDPR è un dato personale.
Ciò anche se il contenuto dell’e-mail non rilevi dati personali (es. giorni di chiusura di una palestra.
Nello specifico, si considerano violati l’art. 5 del GDPR che disciplina come devono essere trattati i dati personali e l’art. 4 n.12 GDPR che sanziona la violazione di dati personali quando il dato stesso è divulgato senza autorizzazione.
La lesione è tanto più grave in base al contenuto: sarà minore nel caso di e-mail standard non contenente dati e ovviamente maggiore nel caso in cui contenga dati sensibili (es. dati sanitari, cartelle cliniche ecc.).
Pertanto, se si deve inviare un’e-mail a più destinatari, è necessario utilizzare nella selezione degli indirizzi, l’opzione “CCN”, in modo tale che, per ciascun soggetto, gli altri riferimenti siano oscurati e non l’opzione “CC”.
Che rimedi esperire nel caso di violazione della privacy in questo caso?
Si delineano due possibili strade, alternative o cumulative:
1) segnalazione al Garante della Privacy ai sensi dell’art. 77 GDPR e dell’art. 144 del Codice della Privacy. L’Autorità valuterà la gravità della violazione e irrogherà le misure necessarie (si potrà andare dal richiamo, all’ammonimento, a una sanzione pecuniaria);
2) azione di risarcimento danni ai sensi dell’art. 82 GDPR, che stabilisce che “chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento, ha il diritto di ottenere il risarcimento del danno“.
In conclusione, sono molteplici le violazioni, soprattutto nel mondo digitale, data la volatilità dei dati, che vengono commesse in danno al diritto alla riservatezza e molte sono le aziende e gli operatori che non sono ancora in regola con quanto prescritto dal GDPR e dal Codice della Privacy.
Al fine di evitare importanti sanzioni da parte del Garante della Privacy e risarcimenti danni in favore dei soggetti lesi, è consigliabile rivolgersi a esperto della materia, al fine di stabilire procedure conformi alla legge e apportare cambiamenti nell’organizzazione e nella gestione delle verifiche di conformità.
Se hai dubbi, contattaci.
Categorie: Contrattualistica, Internet, Privacy, Protezione dei dati personali