Sanzione privacy di € 1,24 milioni nei confronti di una compagnia di assicurazioni in Germania per attività di marketing senza consenso

Una autorità privacy tedesca ha comminato una sanzione di € 1,24 milioni nei confronti una compagnia di assicurazioni per lo svolgimento di attività di marketing senza il necessario consenso.

Il Garante privacy dello stato federale tedesco del Baden-Württemberg ha emesso una sanzione nei confronti della compagnia di assicurazioni sanitarie AOK Baden-Württemberg (“AOK”) di € 1,24 milioni poiché erano state svolte accidentalmente attività di marketing nei confronti di oltre 500 destinatari in assenza del relativo consenso.

Da quanto emerge dalla ricostruzione pubblicata dall’Autorità, tra il 2015 e il 2019 AOK aveva organizzato in Germania diversi concorsi a premi, in occasione dei quali aveva raccolto i dati personali dei partecipanti – ivi inclusi i dati di contatto e i dati relativi alle coperture assicurative sanitarie – chiedendo altresì a questi ultimi di fornire il consenso al trattamento dei dati personali per l’invio di comunicazioni di marketing. Per garantire la sicurezza del trattamento dei dati personali ai sensi dell’articolo 32 del GDPR, la compagnia assicurativa aveva implementato procedure interne ed effettuato dei corsi di formazione in materia di privacy rivolti al personale.

Tuttavia, le misure tecniche e organizzative adottate non si sono rivelate sufficienti a garantire il rispetto della normativa sul trattamento dei dati personali applicabile. Dalle indagini effettuate dal Garante privacy tedesco, è emerso che erano stati inclusi quali destinatari delle comunicazioni non soltanto i partecipanti ai concorsi a premi che avevano prestato il loro consenso, ma anche oltre 500 interessati che non avevano mai prestato il consenso all’invio di comunicazioni di marketing. A seguito della contestazione, AOK ha immediatamente interrotto tutte le attività di marketing per rivedere le proprie procedure interne e la conformità dei trattamenti con il GDPR, ha creato una task force per la protezione dei dati personali nelle vendite e ha tempestivamente adattato dei processi interni e delle strutture di controllo.

Nonostante l’adozione di queste misure, l’autorità privacy ha emesso la sopra citata sanzione che ha tenuto conto dei seguenti fattori:

  • la risposta tempestiva, proattiva e collaborativa della compagnia assicurativa;
  • le considerevoli dimensioni di AOK, che conta oltre 4,5 milioni di assicurati e circa 230.000 imprese clienti;
  • l’importanza di quest’ultima nell’ambito del sistema sanitario statale in quanto è una compagnia di assicurazione sanitaria pubblica e, quindi, responsabile del mantenimento, del ripristino o del miglioramento dello stato di salute dell’assicurato; e
  • il particolare contesto di emergenza attuale, segnato dalla pandemia da Covid-19.

Alla luce di tutto quanto precede, il Garante privacy tedesco ha ritenuto che una sanzione di € 1,24 milioni fosse adeguata rispetto alle violazioni riscontrate nel contesto di riferimento.