Dalle indagini delle autorità privacy è emerso che la società aveva costituito un consistente database clienti al quale veicolava messaggi, e-mail e chiamate automatizzate per promuovere le aziende sue clienti.
È stato dimostrato che il database era composto solo parzialmente da dati raccolti direttamente dalla digital agency attraverso i propri portali web (concorsi, siti di notizie/curiosità, ricette di cucina etc.), ma che conteneva anche numerosi dati personali acquistati da broker di dati.
Inoltre, anche alcuni dei portali web gestiti dalla società raccoglievano i dati con modalità potenzialmente ingannevoli detti dark patterns (interfacce grafiche appositamente create, percorsi di numerosi click con cui gli utenti erano invogliati o spinti a prestare il consenso al trattamento dei propri dati, richieste di fornire dati di amici o parenti potenzialmente interessati ai servizi etc.) e non sempre la digital agency è stata in grado di dimostrare di aver ottenuto il consenso alle comunicazioni promozionali.
Come aggravanti, poi, anche pratiche come l’obbligo per gli utenti di rispondere a domande sulle loro abitudini di acquisto e i continui inviti a cliccare su un link di scaricamento di un e-book, che rimandava a un sito terzo nel quale erano già riconosciuti i dati dell’utente e precompilati i campi relativi ai consensi privacy.
Tenuto conto delle ripetute violazioni, il Garante ha sanzionato la società e ribadito il divieto di compiere trattamenti illeciti. La società ha definito la controversia pagando metà dell’importo previsto.
Alla luce di tale episodio, ricordiamo che, per la propria e altrui sicurezza, e per non incorrere in pesanti sanzioni, è fondamentale assicurarsi di trattare i dati dei propri utenti secondo i 6 principi di protezione previsti dal GDPR:
