Per realizzare le proprie campagne di marketing, spesso le imprese ricorrono all’acquisto di banche di dati profilate, contenenti dati personali di soggetti che, sulla base di parametri prestabiliti, rientrano nel target di possibili futuri clienti (prospect). Sebbene tale pratica sia di per sé lecita, va tenuto presente che l’operazione deve rispettare taluni requisiti a garanzia dei soggetti-persone fisiche i cui dati vengono compravenduti per essere utilizzati per attività promozionali (interessati). Il Garante europeo per la protezione dei dati (EDPB) ha chiarito che le imprese che intendano raccogliere dati personali anche (o soltanto) per finalità di vendita a terzi, devono fornire agli interessati un’idonea informativa ai sensi dell’art. 13 GDPR, in cui siano individuati con precisione i destinatari a cui la banca dati verrà trasferita e acquisire il consenso a questo specifico trattamento di dati personali (comunicazione dei dati a terzi per loro finalità di marketing).

Le imprese “riceventi” (ossia quelle che acquistano la banca dati), a loro volta, devono informare gli interessati sulla provenienza dei dati (ossia, da chi li hanno comprati o comunque ricevuti, di modo che ciascun interessato sia messo nelle condizioni di rivolgersi all’azienda che li ha venduti per chiedere spiegazioni o esercitare i suoi diritti) ed acquisire il loro consenso al trattamento per finalità di marketing. Inoltre, la società acquirente non può accontentarsi di fare legittimo affidamento sul fatto che la cedente abbia correttamente raccolto i dati e sia autorizzata dagli interessati alla cessione.

Il Garante privacy, infatti, ha chiarito che l’acquirente ha l’onere di verificare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica e al successivo utilizzo ai fini di invio di materiale pubblicitario. Nel caso in cui si appurasse che così non è, ferma la responsabilità civilistica per inadempimento contrattuale da parte della cedente, i dati non potranno essere trattati e utilizzati per le attività promozionali ipotizzate e, in caso di utilizzo, la cessionaria ne sarebbe responsabile, esponendosi (così come la cedente) al rischio sanzione per violazione del GDPR.

È dunque fondamentale, laddove si pianifichi il ricorso all’acquisto di record per le proprie campagne promozionali, scegliere con attenzione il fornitore dei dati ed esaminare (ed eventualmente ridiscutere) con cura la proposta contrattuale sottoposta. È anche quantomai opportuno, a valle della conclusione del contratto, effettuare attività di verifica (almeno a campione, laddove la mole di dati renda irrealistico il controllo “uno per uno”) della liceità della cessione (dunque, del trattamento che essa comporta), adottando procedure in tal senso e tenendo traccia dei controlli effettuati per poter giustificare il proprio operato in caso di verifiche da parte delle Autorità.