Se il dubbio secondo Cartesio è l’inizio della conoscenza “Dubium sapientiae initium” e la Corte Costituzionale avvisa che la legge non ammette ignoranza “Ignorantia legis non excusat”, le tre scimmie sagge presenti nel santuario shintoista di Nikko “non vedere il male, non sentire il male e non parlare del male” perdono di valore.
Il Garante preferisce far rispettare la legge a discapito dell’apprezzamento dell’arte e lo dimostra sanzionando un fornitore di servizi di marketing che, in qualità di responsabile del trattamento, non ha garantito che un sub-responsabile del trattamento rispettasse i principi fondamentali del GDPR.
La vicenda che coinvolge Razmataz e Flowers
Tutto nasce a maggio 2022 quando l’autorità di vigilanza vuole vederci chiaro e invia a Razmataz, società che promuove attività culturali e ha affidato comunicazioni di marketing all’azienda Flowers, una richiesta di informazioni a cui nessuno risponde.
La spiegazione della mancata risposta è sorprendente quanto banale: Razmataz sostiene di non avere accesso ai dati di contatto dei destinatari e quindi di non aver svolto alcuna attività di protezione dei dati.
Secondo Razmataz, sono i clienti ad aver fornito le istruzioni a Flowers per l’invio delle comunicazioni, limitando a Razmataz l’esclusivo ruolo di ponte tra i due soggetti.
La presa di posizione del Garante nella vicenda
Il Garante ha respinto le argomentazioni attribuendo a Razmataz il ruolo di responsabile del trattamento che colpevolmente non ha condotto opportuni controlli sul livello di protezione dei dati garantito da Flowers.
Un comportamento che ha determinato la violazione dell’articolo 5, 6 e 28 del GDPR.
“Il responsabile del trattamento dei dati è pienamente responsabile nei confronti del titolare del trattamento per l'adempimento degli obblighi di un sub-responsabile.”
Le campagne hanno effettivamente comportato un trattamento illecito di dati personali in quanto non è stato raccolto preventivamente il consenso degli interessati”.
La multa del Garante nei confronti di Razmataz
A imporre una sanzione economica da parte del Garante Privacy nei confronti di Razmataz sono stati i seguenti fattori:
- L'ampia portata del trattamento che coinvolge un numero elevato di interessati;
- La negligenza della condotta, nel non rispondere alla richiesta di informazioni inviata dal Garante;
- La mancanza di misure per attenuare o eliminare le conseguenze della violazione.
Nonostante le caratteristiche sopra elencate, il Garante ha deciso di sanzionare solamente con una multa da 1.000€ Razmataz dopo aver tenuto in considerazione le diverse attenuanti. Tra cui:
- L'assenza di precedenti infrazioni;
- La natura dei dati personali in questione (in particolare l'assenza di categorie particolari di dati);
- La complessa situazione finanziaria del Paese a seguito della pandemia;
- Il limitato fatturato dell'azienda.