Il Garante per la privacy ha sanzionato (10 mila euro) recentemente un’azienda che trasmetteva e-mail promozionali senza consenso estraendo i nominativi da diversi elenchi pubblici utilizzando impropriamente la base giuridica del legittimo interesse (provvedimento n. 202 del 17 maggio 2023, doc. web n. 9899880). Ecco i punti della decisione che i player del settore assicurativo devono attentamente considerare per la compliance GDPR:
- l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente, essendo ammessa come unica deroga il rilascio dell’indirizzo e-mail da parte dell’interessato nel contesto di una vendita di beni o servizi analoghi;
- a presenza di un link per disiscriversi nelle e-mail promozionali inviate senza consenso non ha alcuna rilevanza secondo il Garante poiché, prima ancora del suo contenuto e delle eventuali misure di contenimento del danno, è lo stesso invio dell’e-mail ad essere illecito;
- senza il consenso non è possibile inviare comunicazioni promozionali con strumenti automatizzati neanche nel caso in cui i dati personali siano tratti da registri pubblici, elenchi, siti web atti o documenti conosciuti o conoscibili da chiunque (ivi compresi gli indirizzi pec contenuti nell’indice nazionale degli indirizzi pec delle imprese e dei professionisti);
- la presenza dei dati in elenchi pubblici o in fonti liberamente accessibili, come i siti web o i social network, non ne autorizza l’utilizzo per finalità promozionali poiché tali finalità sono incompatibili con quelle originarie e pertanto non rientranti fra le legittime aspettative degli interessati.
| P. IVA 02917600302 |