Il 4 aprile 2024, l’Autorità francese per la protezione dei dati (CNIL) ha multato HUBSIDE.STORE per 525.000 euro per aver utilizzato i dati forniti da intermediari di dati per scopi commerciali, senza assicurarsi che le persone interessate avessero dato il loro valido consenso ad essere contattate.
Il contesto
HUBSIDE.STORE effettua campagne di canvassing telefonico e via SMS per promuovere i prodotti venduti nei suoi negozi (telefoni cellulari, computer, ecc.). I dati dei potenziali clienti vengono acquistati da broker di dati, editori di concorsi e siti di test di prodotti.
Sulla base delle osservazioni fatte durante le ispezioni, la Sezione ristretta – l’organo della CNIL responsabile dell’imposizione delle sanzioni – ha ritenuto che l’aspetto ingannevole dei moduli di raccolta dei dati utilizzati dagli intermediari che si occupano della raccolta dei dati non permettesse di ottenere un consenso valido dalle persone interessate. HUBSIDE.STORE non poteva quindi svolgere legalmente le sue operazioni di canvassing via SMS (violazione delle disposizioni dell’articolo L. 34-5 del Codice delle Poste e delle Comunicazioni Elettroniche o CPCE) e via telefono (violazione delle disposizioni dell’articolo 6 del Regolamento Generale sulla Protezione dei Dati o RGPD).
Inoltre, il collegio ristretto ha ritenuto che, nel corso delle operazioni di canvassing telefonico, l’azienda non abbia permesso alle persone di essere sufficientemente informate, in violazione dell’articolo 14 del RGPD.
Ha comminato una multa di 525.000 euro, che è stata resa pubblica. L’ammenda è stata comminata in collaborazione con le autorità di vigilanza europee interessate (Belgio, Italia, Spagna e Portogallo) nell’ambito dello sportello unico, in quanto HUBSIDE STORE tratta dati di clienti e potenziali clienti in diversi Stati membri dell’UE.
L’importo della multa, che rappresenta circa il 2% del fatturato dell’azienda, è stato deciso in base alla gravità delle violazioni e alla responsabilità assunta dall’organizzazione che utilizza i dati raccolti. La commissione ristretta ha anche tenuto conto del fatto che HUBSIDE.STORE ha fatto ampio ricorso al canvassing commerciale.
Le violazioni sanzionate
Inosservanza dell’obbligo di ottenere il consenso delle persone per ricevere il canvassing commerciale per via elettronica (articolo L.34-5 del CPCE).
Per realizzare le sue campagne di SMS canvassing, HUBSIDE.STORE acquista i dati dei prospect da diversi broker di dati. I dati vengono raccolti dai broker tramite moduli di iscrizione a concorsi o test di prodotti online su vari siti web.
Il panel ristretto ritiene che l’aspetto ingannevole di questi moduli non consenta di ottenere un consenso libero e inequivocabile, in conformità con i requisiti del RGPD, che costituirebbe la base per le operazioni di SMS canvassing della società.
Esempi di moduli:
In effetti, il risalto dato ai pulsanti che richiedono la trasmissione dei dati a fini di promozione commerciale (per dimensioni, colore, titolo e posizione), rispetto ai link ipertestuali che consentono agli utenti di partecipare al gioco senza accettare tale trasmissione (di dimensioni molto più ridotte e che si confondono con il corpo del testo), incoraggia fortemente gli utenti ad accettare.
Spetta all’azienda, in quanto utilizzatrice dei dati raccolti, assicurarsi che le persone interessate abbiano espresso un consenso valido. A questo proposito, il comitato ristretto ha osservato che, sebbene l’azienda avesse imposto alcuni requisiti contrattuali ai suoi fornitori di dati a monte, non vi era un controllo effettivo di tali requisiti a valle. La CNIL ha riscontrato che una percentuale significativa di file prospect non era conforme.
Mancato rispetto dell’obbligo di avere una base giuridica per il trattamento effettuato (articolo 6 del RGPD)
Per quanto riguarda il canvassing commerciale per telefono, il comitato ristretto ha sottolineato che, sebbene tale canvassing possa essere basato sui legittimi interessi dell’azienda, è a condizione che gli interessati, al momento della raccolta dei loro dati, siano informati del fatto che potrebbero ricevere offerte di canvassing commerciale da parte di tale azienda.
Tuttavia, la CNIL ha osservato che i moduli di concorso da cui venivano raccolti i dati dei potenziali clienti non menzionavano sistematicamente HUBSIDE.STORE nell’elenco dei partner suscettibili di avvicinare gli interessati.
Mancato rispetto dell’obbligo di informazione (articolo 14 del GDPR)
Dalle verifiche effettuate è emerso che le persone contattate telefonicamente non disponevano di tutte le informazioni necessarie sulla raccolta e sull’utilizzo dei loro dati personali (ad esempio, l’identità e i dati di contatto dell’organizzazione, le finalità di utilizzo dei dati, i periodi di conservazione, la fonte dei dati, i loro diritti o addirittura il diritto di presentare un reclamo alla CNIL).
Il comitato ristretto ha sottolineato che queste informazioni sono essenziali per consentire alle persone interessate di esercitare i propri diritti, ad esempio accedere ai propri dati, rettificarli o opporsi a ulteriori sollecitazioni in modo semplice e gratuito.