Il Garante per la privacy ha sanzionato (20 mila euro) recentemente un’azienda specializzata nel settore ottico che non aveva controllato efficacemente il partner incaricato di effettuare attività promozionale a suo vantaggio (provvedimento n. 349 del 20 ottobre 2022, doc. web n. 9827153). Tale decisione costituisce un’occasione importante per ripercorrere gli accorgimenti pratici di compliance al GDPR da considerare quando l’intermediario assicurativo affida ad un fornitore l’incarico di realizzare una campagna di marketing e quest’ultimo utilizza liste di indirizzi e-mail da soggetti terzi. In tale fattispecie, il distributore:
- indipendentemente dalla materiale raccolta dei dati, assume il ruolo di titolare del trattamento, con conseguente obbligo di comprovare il rispetto delle norme in materia;
- deve essere in grado di documentare quali sono i criteri adottati per la selezione del partner;
- è tenuto a disciplinare il rapporto con il soggetto delegato alla realizzazione della campagna promozionale, impartendo puntualmente le istruzioni ex art. 28 del GDPR;
- ha l’onere di richiedere al partner (e, conseguentemente, esaminare) la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento e, in particolare, di documentare la provenienza dei dati, le modalità di raccolta e la base giuridica sottesa al loro trattamento per fini di marketing.
.
Quanto illustrato evidenzia, quindi, come gli intermediari assicurativi – qualora intendano avvalersi di terzi per attività promozionali – siano tenuti a controllare efficacemente la filiera dei partner e, in specie, ad adottare idonee procedure volte a verificare costantemente che i dati personali siano trattati solo in presenza del necessario preventivo consenso degli interessati per l’invio di comunicazioni commerciali “compliant” con la normativa.
.
| P. IVA 02917600302 |