Il 31 gennaio 2024, la CNIL ha inflitto a FORIOU una multa di 310.000 euro per aver utilizzato i dati forniti da intermediari di dati per scopi commerciali, senza assicurarsi che le persone interessate avessero dato il loro valido consenso ad essere contattate.
Il contesto
FORIOU effettua campagne di sensibilizzazione telefonica per promuovere i programmi e le carte fedeltà che commercializza. FORIOU acquista dati da data broker e da editori di siti web di concorsi e test di prodotti.
Sulla base delle osservazioni fatte durante le ispezioni, la Sezione ristretta – l’organo della CNIL responsabile dell’imposizione delle sanzioni – ha ritenuto che l’aspetto ingannevole dei moduli di raccolta dei dati utilizzati dagli intermediari incaricati di raccogliere i dati rendesse impossibile ottenere un consenso valido da parte delle persone interessate. Il FORIOU non aveva quindi alcuna base giuridica per utilizzare questi dati a fini di canvassing, in violazione delle disposizioni dell’articolo 6 del Regolamento generale sulla protezione dei dati (GDPR).
La Commissione ha inflitto una multa di 310.000 euro, che è stata resa pubblica.
L’importo della multa, che rappresenta circa l’1% del fatturato dell’azienda, è stato deciso alla luce della gravità della violazione e della responsabilità assunta dall’organizzazione che utilizza i dati raccolti.
Mancanza di consenso libero e inequivocabile e informazioni insufficienti
Per realizzare le sue campagne di canvassing telefonico, FORIOU acquista i dati dei potenziali clienti da diversi broker di dati. I dati vengono raccolti dagli intermediari tramite moduli di partecipazione a concorsi o test di prodotti online su vari siti web.
Il gruppo ristretto ritiene che l’aspetto ingannevole di questi moduli renda impossibile ottenere un consenso libero e inequivocabile, in conformità con i requisiti del GDPR, che costituirebbe la base per le operazioni di canvassing dell’azienda.
Esempi di moduli utilizzati dai broker:
In effetti, il risalto dato ai pulsanti che richiedono la trasmissione dei dati a fini di prospezione commerciale (per dimensioni, colore, titolo e posizione), rispetto ai link ipertestuali che consentono agli utenti di partecipare al gioco senza accettare tale trasmissione (di dimensioni molto più ridotte e che si confondono con il corpo del testo), incoraggia fortemente gli utenti ad accettare.
Spetta all’azienda, in quanto utilizzatrice dei dati raccolti, assicurarsi che le persone interessate abbiano espresso un consenso valido. A questo proposito, il comitato ristretto ha osservato che, sebbene la società abbia imposto alcuni requisiti contrattuali ai suoi fornitori di dati a monte, non è stato effettuato un controllo efficace di tali requisiti a valle. A questo proposito, la CNIL ha rilevato una percentuale significativa di file prospect non conformi.
Inoltre, i moduli di concorso da cui venivano raccolti i dati dei potenziali clienti non menzionavano sistematicamente FORIOU nell’elenco dei partner suscettibili di avvicinare le persone interessate.