Marketing and ‘Chinese Boxes’: In the Event of a Breach of Privacy, Is the Commissioner Also Liable for the Companies He Uses?

Entrusting a promotional campaign to a marketing company may also entail liability for the commissioner in the event of a breach of privacy legislation.

In fact, on 25 November 2021, the Authority for Personal Data Protection, at the request of two complainants who complained about the continuous receipt of unwanted messages, sanctioned two companies involved in a promotional campaign, during which millions of advertising text messages were sent to potential customers, whose data came from unverified lists.

In particular, the promotional campaign was carried out through a succession of steps along the lines of the ‘Chinese boxes’: the client company had appointed a company operating in the field of marketing; this, in turn, had turned to other suppliers, who had acquired the databases from third parties, using web platforms, through which the data of the persons concerned had been materially collected (for example, deriving from participation in competitions or registration for online services).

As a result of the investigation, it emerged that the data came from unverified lists made up of foreign entities, two of which – one based in Switzerland and the other based in Florida – had not even appointed a representative in the EU thus violating the GDPR.

The Authority has, therefore, sanctioned the client of the advertising campaign for € 400,000.00, because – although it was not involved in the material sending of text messages – it had not carried out the appropriate checks on the proper execution of the order, or that the company had complied with the instructions set out in the contract. In particular, the control carried out by the client (the data controller) on the work of the manager was not considered adequate, nor was it apparent that the client had requested from the appointed company – and examined – the documentation proving the existence of the requirements of the lawfulness of the treatment (for example, it did not appear that the client had ever asked the company in charge of the marketing campaign to document the origin of personal data processed).

At the end of the preliminary investigation, the Authority also ordered the commissioner, where in the future he used third parties to send promotional messages, to adopt appropriate procedures to properly regulate contractual relations with data processors, carrying out the necessary checks, providing adequate information to data subjects and adopting procedures to ensure full and effective feedback on the exercise of rights.

The Authority has also sanctioned for € 200,000.00 also the society in charge of the marketing campaign, to which it had forbidden the processing of personal data without the requisites of legitimacy, insofar as the lawfulness of the original acquisition had not been concretely verified. In fact, the Authority observed that although it falls on the data controller (the commissioner) every burden of control on the activity of the person in charge, it is also true that the person in charge of the processing has, however, his specific obligation to execute the instructions received correctly.

In the case in question, the client had contractually agreed with the company in charge of the marketing activity to carry out three promotional campaigns with specific quality requirements, requesting to carry out controls on the correct creation of the lists and the acquisition of the required consents to the processing. In the opinion of the Authority, the information provided by the company in charge of the promotional campaign concerning the publishers and the data collection methods already revealed elements of doubtful conformity with the level of quality expected by the data controller.

Finally, the third company was fined €90,000.00 for failing to respond to the Authority’s requests during the investigation.

In determining the sanctions, the Authority took into account the companies’ turnover, the degree of cooperation provided, and the seriousness of the violations committed.

****

MARKETING E “SCATOLE CINESI”: IN CASO DI VIOLAZIONE DELLA PRIVACY, IL COMMITTENTE RISPONDE ANCHE PER LE SOCIETÀ DI CUI SI AVVALE?

L’affidamento di una campagna promozionale a società di marketing, in caso di violazione della normativa in materia di privacy da parte di queste ultime, può comportare delle responsabilità anche per il committente.

Difatti, il 25 novembre 2021 il Garante per la protezione dei dati personali, su richiesta di due reclamanti che lamentavano la continua ricezione di messaggi indesiderati, ha sanzionato due società coinvolte in una campagna promozionale, nel corso della quale erano stati inviati milioni di sms pubblicitari a potenziali clienti, i cui dati provenivano da liste non verificate.

In particolare, la campagna promozionale si era svolta attraverso una successione di passaggi sul modello delle “scatole cinesi”: la società committente aveva incaricato un’azienda operante in ambito marketing; questa, a sua volta, si era rivolta ad altri fornitori, che avevano acquisito le banche dati da terzi, utilizzando piattaforme web, attraverso le quali erano stati materialmente raccolti i dati degli interessati (ad esempio, derivanti dalla partecipazione a concorsi o dalla registrazione a servizi online).

All’esito dell’istruttoria è emerso che i dati degli interessati provenivano da liste non verificate, costituite da soggetti esteri, due dei quali – uno con sede in Svizzera e l’altro con sede in Florida – non avevano neanche nominato un proprio rappresentante nell’Unione, così violando il GDPR.

L’Autorità ha, pertanto, sanzionato la committente della campagna pubblicitaria per € 400.000,00, in quanto – pur essendo rimasta estranea al materiale invio degli sms – non aveva svolto le opportune verifiche sulla corretta esecuzione della commessa, ovvero che la società incaricata si fosse attenuta alle istruzioni previste nel contratto. In particolare, il controllo eseguito dalla committente (titolare del trattamento) sull’operato del responsabile non è stato ritenuto adeguato, nè risultava che la committente avesse richiesto alla società incaricata – ed esaminato – la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento (ad esempio, non risultava che la committente avesse mai richiesto alla società incaricata della campagna di marketing di documentare la provenienza dei dati personali trattati).

Al termine dell’istruttoria, il Garante ha altresì ingiunto alla committente, laddove si fosse avvalsa in futuro di terzi per l’invio di messaggi promozionali, di adottare idonee procedure volte a regolare correttamente i rapporti contrattuali con i responsabili del trattamento, effettuando i dovuti controlli, predisponendo un’adeguata informativa per gli interessati ed adottando delle procedure idonee a garantire un pieno ed effettivo riscontro all’esercizio dei diritti.

Il Garante ha inoltre sanzionato per € 200.000,00 anche la società incaricata della campagna di marketing, alla quale ha vietato il trattamento di dati personali privi dei requisiti di legittimità, in quanto non ne era stata verificata in concreto la liceità dell’originaria acquisizione. Infatti, ha osservato l’Autorità, pur ricadendo sul titolare del trattamento (la committente) ogni onere di controllo sull’attività del responsabile, è pur vero che il responsabile dal trattamento ha comunque un proprio specifico obbligo di eseguire correttamente le istruzioni ricevute.

Nel caso in questione, la committente aveva concordato contrattualmente con la società incaricata dell’attività di marketing la realizzazione di tre campagne promozionali con determinati requisiti di qualità, richiedendo di effettuare controlli sulla corretta realizzazione delle liste e sull’acquisizione dei previsti consensi al trattamento. Ebbene, secondo il Garante, le informazioni possedute dalla società incaricata della campagna promozionale in merito agli editori e alle modalità di raccolta dei dati lasciavano rinvenire già elementi di dubbia conformità al livello di qualità atteso dal titolare.

Infine, anche la terza società è stata sanzionata per € 90.000,00, per non aver dato riscontro alle richieste dell’Autorità nel corso dell’istruttoria.

Nella determinazione delle sanzioni, il Garante ha tenuto conto del fatturato delle società, del grado di collaborazione prestata e della gravità delle violazioni commesse.

For more information on this, please contact:

Avv.Pierangela Rodilosso
Senior Associate
E: rodilosso@pglegal.it