{{feedLink}}

Trova qualcuno che ti guardi come il Garante guarda i data broker.

spam Christian Bernieri - Tempo di lettura: 8 min.
(Aggiornato il )

Questo è amore, in una delle sue svariate forme! Non c'è altra spiegazione.

Le api amano il bello, lo sanno riconoscere ovunque. Un'ape, davanti ad un fetente letamaio, ignorerà ogni cosa e vedrà subito quel minuscolo fiorellino appena spuntato dalla merda, colorato, delicatamente profumato. Anche se la puzza lo sovrasta, l'ape andrà da lui senza senza alcuna esitazione, si ciberà del suo nettare e ne ricaverà miele. 

Al contrario, una mosca, non saprebbe cosa fare con quel piccolo miracolo botanico. Una mosca, in un immenso prato fiorito, sarà attirata unicamente da ciò che ama: quel puzzoso caghino fumante, appena lasciato da una simpatica e alleggerita bestiola di passaggio. La mosca cerca quello, il caghino, non gli interessa null'altro e lo saprà riconoscere ovunque, anche nel giardino dell'Eden. Il caghino è la sua vita!

Ecco, il Garante è esattamente così, il Garante ama intensamente.

 

Nel 2025, ci fu un certo clamore causato dalla disponibilità online dei contatti (email e cellulare) di alcune persone famose e soggetti istituzionali, tra i quali persino il Presidente della Repubblica (Sergio Mattarella) e il Presidente del Consiglio (Giorgia Meloni), dei Ministri della difesa e degli Interni. Si mossero anche il COPSAIR e la procura della repubblica. Un bel polverone.

Il polverone, anziché diminuire, aumentò nei mesi successivi, costringendo il Garante a rilasciare un comunicato per rassicurare sul fatto che la sua implacabile e incisiva azione di enforcement fosse vigorosamente sostenuta da agguerriti funzionari.

 

Oggi, dopo un annetto, arrivano i frutti di cotanto ardore istruttorio: due aziende sanzionate per aver usato i dati venduti da Lusha. Non Lusha, attenzione, il data broker non è stato né sanzionato né ha ricevuto alcun provvedimento dal Garante (non ancora), bensì è stato bastonato chi ha commesso l'imperdonabile errore di acquistare i suoi servizi.

Ecco, a questo punto, ciascuno dovrebbe liberamente valutare se il Garante abbia più affinità con l'ape o con la mosca e immaginare per chi batta forte il suo cuore.

 

Provvedimento sanzionatorio verso FEGI

Provvedimento sanzionatorio verso VENTIVE

 

I due provvedimenti partono entrambi da segnalazioni (reclami) di gente scocciata dall'abuso dei loro dati personali, gente che ha ricevuto email, telefonate, spam molesto, senza aver dato alcun consenso e senza conoscere le aziende che li stavano contattando.

Al netto di alcune differenze nelle modalità di contatto, nelle singole vicende, il garante ha individuato le medesime violazioni, perfettamente sovrapponibili e colpiscono il cuore del modello di business basato sul data scraping (estrazione automatica di dati dal web):

 

  1. Assenza di idonea base giuridica (Art. 5, par. 1, lett. a e Art. 6 del GDPR; Art. 130 del Codice Privacy): entrambe le società hanno effettuato trattamenti di marketing senza un consenso preventivo, libero e specifico degli interessati.

 

  1. Violazione del principio di trasparenza (Art. 5, par. 1, lett. a e Art. 14 del GDPR): poiché i dati non erano stati raccolti direttamente presso l'interessato, le società avrebbero dovuto fornire l'informativa, prevista dalla legge, al primo contatto utile, specificando chiaramente l'origine (la fonte Lusha), cosa che non è avvenuta.

 

Per FEGI c'è una aggravante:  il Garante ha aggiunto una sanzione legata alla violazione dell'Art. 130, commi 2, 3 e 3-bis del Codice,  per effettuare telemarketing non solo è obbligatorio il consenso (anche se i dati provengono da elenchi "conoscibili da chiunque"), ma è necessario inoltre verificare i dati son il Registro Pubblico delle Opposizioni (RPO). FeGi non ha eseguito tale verifica sulle liste acquistate da Lusha.

 

In effetti, le due aziende, davanti al Garante, si sono comportate in modo molto differente.

Ventive ha sostenuto di aver fatto "legittimo affidamento" sulle certificazioni e sulle rassicurazioni di Lusha (il provider dichiarava di agire in conformità alle leggi e di raccogliere i dati in base al proprio "legittimo interesse"). Una volta emerso il problema con il reclamo, Ventive ha interrotto l'abbonamento a Lusha, cancellato tutti i 300 contatti acquistati e nominato un consulente privacy. Nonostante l'approccio collaborativo e la genuina contrizione per l'errore commesso, il Garante ha implacabilmente sanzionato l'azienda sulla base di un principio fermo: il principio di accountability (responsabilizzazione) che vieta di appaltare la conformità a terzi.

Ti sei fidato delle certificazioni e delle rassicurazioni di Lusha? Cazzi tuoi!

FEGI, al contrario, ha fatto l'opossum: dopo un sommario riscontro iniziale, in cui dichiarava di aver prelevato da Lusha 700 numeri di telefono e 400 e-mail, la società è letteralmente sparita, non presentando alcuna memoria difensiva né comparendo in audizione a seguito della formale contestazione delle violazioni.

Cazzi tuoi, con avvitamento carpiato! 

 

Per il Garante, entrambe le aziende hanno commesso il medesimo errore: sono sanzionate per aver adottato il modello di compliance formale tipico delle piattaforme di lead generation.

In effetti, la posizione di questi spammer assomiglia a quella di un automobilista ubriaco che, dopo una seratona, al posto di blocco della polizia dicesse: "ma, agente, non è possibile, il barman mi ha assicurato che il cocktail era leggerissimo!"

 

Piccola guida per sopravvivere ai data broker.

Regola numero 1: i data broker venderebbero anche propria madre, spacciandola per onesta ed immacolata.

Regola numero 2: il "legittimo interesse" alla raccolta dei dati non si estende a chi acquista i dati. Quello è un trattamento diverso ed è illecito, se manda una base di legittimazione.

Regola numero 3: l'unica base di legittimazione utilizzabile per il marketing è il CONSENSO.

Regola numero 4: se hai il consenso, verifica a cosa si riferisce. Un consenso generico, non specificamente rilasciato per fini di marketing, non specifico per il tuo comparto merceologico... semplicemente non conta nulla.

Regola numero 5: le certificazioni, le promesse, le rassicurazioni dei data broker non contano niente. Nemmeno i bollini "gdpr compiant" o i banner "a norma di privacy". L'affidamento acritico a tali garanzie formali, senza controlli sostanziali sulla fonte dei dati, non esclude la colpa della Società, qualificando tale condotta come una mancanza di adeguata diligenza professionale

Regola numero 6: il fatto che "lo fanno tutti" non ti salverà.

Regola numero 7: contatta un DPO

Regola numero 8: ascolta ciò che il DPO di ha detto, anche se non ti piace affatto.

Regola numero 9: leggi le clausole scritte in piccolo... 

 

Già, perché, a guardare bene, l'inculata c'è: in una sottopagina della sezione blog, scritta in piccolo, solo in inglese, con termini melliflui e cosparsi di vaselina. Basta leggere.

fonte: https://info.lusha.com/en/articles/633727-how-can-i-ensure-compliance-with-privacy-laws-when-using-lusha-s-data-for-b2b-outreach

Bene. Ora che abbiamo ghigliottinato la testa di due aziende che, senza DPO, hanno fatto ciò che farebbe chiunque, abbiamo migliorato il mondo? Io non credo.

Non sono affatto sicuro che sia ragionevole sanzionare ogni singolo utente di un servizio nato per frodare l'intero ecosistema della protezione dei dati personali. Forse avrebbe più senso agire sui trafficanti e sugli spacciatori piuttosto che accanirsi su un paio di consumatori occasionali sfigati raccattati dalla municipale al parchetto.

Mi auguro che non sia finita qui, mi auguro che il Garante argini l'emergenza in atto e riesca a rivolgere il proprio sguardo al problema, anziché prendersela con un pugno di scazzabubboli, peraltro solo se costretto dalla stampa e dal fatto che qualcuno si lamenta con reclamo.

 

Personalmente, mi piacerebbe poter vedere i conti di un qualsiasi data broker, come Lusha, per capire quanto sia stata redditizia l'inerzia biblica e l'incredibile tempistica, di scala geologica, che caratterizza l'attività del Garante. Spero che le sanzioni a Lusha, se mai arriveranno, possano essere sufficienti a bilanciare il fatturato accumulato in questi anni, passati a vendere merda a palate, senza sosta, impunemente, prendendo per il culo e facendo le pernacchie all'intero sistema, alla gente comune e alle aziende per bene.

 Prosit.

PS: lo so, era da un po che non scrivevo nulla, ma la vita, a volte, è una puttana.

 

 

 

Su questo blog ci sono altri 199 articoli.
Esplora, cerca, curiosa in giro...

 

Restiamo in contatto!
Clicca qui ed iscriviti alla NEWSLETTER

Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili, prendi in considerazione l'idea di sostenere il mio lavoro.

Puoi farlo in tre modi:
- Condividendo sui tuoi social. Così facendo aiuterai altre persone a trovarlo.
- Dicendomi cosa ne pensi, mi aiuterai a migliorare,
- Con una donazione. Aiuterai me a dedicare tempo al Blog.

Un messaggio speciale per i colleghi professionisti della privacy: il confronto è essenziale per migliorarsi, fammi sapere la tua opinione. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ti ha ispirato nell'ambito di una riunione? Ti ha agevolato nella stesura di un parere? O, semplicemente, ti ha evitato un brutto scivolone con un cliente?
Se la risposta è sì... allora una birra virtuale è d'obbligo!

Clicca qui per inviare una donazione

...un caffè, una birra, una pizza, una cena elegante...

 

 

 

Christian Bernieri

“A fucking good DPO” - Data Protection advocate. IAPP CIPP/E.

Consulente privacy (oppure) DPO. Mai le due cose contemporaneamente!

Principal Consultant presso SGST srl

Su Twitter (X) ero @prevenzione ma  ho cancellato tutto. "Io li odio i nazisti dell'Illinois."  (cit.)

Sono su BLUESKY, sono @garantepiracy.it

Sono anche su Linkedin

Se mi cerchi fisicamente, mi puoi trovare qui: φ 42° 21,5′ N - λ 10° 3,85′ E

Puoi mandarmi messaggi diretti e anonimi via Signal

Altri post correlati

Letture totali:  

...