Quando si acquisiscono banche dati per fare campagne di e-mail marketing, bisogna dimostrare la loro conformità al GDPR

banche dati invio e-mail marketing

Se un’azienda decide di avviare una campagna promozionale tramite posta elettronica utilizzando banche dati acquisite da agenzie di marketing o broker, è sempre opportuno accertarsi di essere poi in grado di dimostrare che gli interessati inseriti nelle banche dati, abbiano dato il consenso a cedere i loro dati a terzi, e che questi siano stati messi a conoscenza di quali siano le società a cui vengono ceduti i propri dati.


La EDF prima azienda di energia elettrica francese, lo ha imparato a sue spese, dopo aver condotto una campagna promozionale tramite e-mail tra il 2020 e il 2021. Quando hanno iniziato ad arrivare i reclami ed è intervenuta l’autorità francese la società non è stata in grado di dimostrare come avrebbe ottenuto un valido consenso dagli interessati, limitandosi ad esibire un modulo standard utilizzato dal broker per la raccolta di dati dai potenziali clienti che avrebbero dato la loro autorizzazione a condividere le loro informazioni con altri partner commerciali.


A seguito di questi numerosi reclami ricevuti da utenti che cercavano di opporsi all’invio di comunicazioni promozionali da parte della società di energia elettrica, Il Garante della Privacy francese (CNIL) ha avviato delle indagini nel quale la EDF ha ammesso di non aver effettivamente verificato i moduli di consenso utilizzati, e neanche di aver effettuato alcuna verifica della regolarità delle banche dati acquisite dai broker di dati, e alla fine dell’istruttoria l’autorità ha precisato che l’elenco dei partner a cui sarebbero stati comunicati i dati avrebbe dovuto essere stato messo a disposizione degli interessati direttamente nell’informativa, o almeno tramite un link ad una pagina online.


Per questo la CNIL ha contestato la violazione del Codice sulle comunicazioni postali ed elettroniche francese e dell’art. 7 del GDPR, in cui il Regolamento richiede che “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al trattamento dei propri dati personali”, oltre al mancato rispetto degli obblighi di informazione (artt. 13 e 14 del GDPR), quello del rispetto dell'esercizio dei diritti di accesso (art. 15) e quello di opposizione dell'interessato (art. 21) a ricevere le comunicazioni commerciali, riscontrando inoltre anche carenze sulle misure di sicurezza previste dall’art.32 del Regolamento UE per la conservazione delle password di accesso al portale senza adeguata protezione.

Nonostante la collaborazione mostrata durante le indagini dell’autorità, e anche tutte le azioni intraprese nel corso del procedimento per conformarsi alla normativa, la EDF non ha potuto evitare una sanzione amministrativa da 600.000 euro, il cui importo è stato comunque determinato dalla CNIL tenendo conto di tali attenuanti.

Hai dei dubbi sulla conformità delle danche dati che utilizzi per le tue campagne promozionali? Contattaci.

Servizi CPT