Social Network, GDPR e sanzioni del Garante: il caso dell’uso non conforme di LinkedIn
29 marzo 2023Ultimo aggiornamento 11 dicembre 2024Tempo di lettura stimato: 4'
In un articolo precedente sul tema marketing, GDPR e provvedimenti del Garante, abbiamo approfondito la sanzione comminata dall’autorità ad alcune aziende a causa dell’acquisizione illecita di banche dati per attività promozionali veicolate tramite newsletter. Dove, “la multa” non ha riguardato solo il titolare del trattamento, ma anche i responsabili esterni e i list provider.
Questa volta, esaminiamo una delle altre attività vulnerabili – e quindi più esposte al rischio di sanzione - tipiche dell’ambito marketing: l’uso dei Social Network e in particolare di LinkedIn.
Il Garante italiano per la protezione dei dati è intervenuto ammonendo e sanzionando un'agenzia immobiliare che proponeva i suoi servizi alla proprietaria di un immobile, usando i contatti di LinkedIn.
In questo caso, l’autorità ha rivolto un ammonimento all'agenzia, invitandola ad adottare idonee misure organizzative. Il Garante ha ritenuto la misura sufficiente e proporzionata, considerando il fatto che si trattava di una piccola impresa esposta alla crisi economica causata dalla pandemia, che non risultavano ulteriori procedimenti a suo ricarico e si è trattato di un solo contatto diretto alla reclamante.
L'agenzia comunque ha dovuto subire una sanzione di 5.000 euro per non aver fornito riscontro alle reiterate richieste di informazioni del Garante, rendendo necessaria la notifica tramite il nucleo speciale privacy della Guardia di Finanza.
Il punto, quindi, è anche fare attenzione a usare il social in maniera conforme, rispetto alle sue finalità.
C’è Social e Social. Nel senso che è molto importante che l'azienda scelga il social giusto, in funzione del suo core business. Per esempio, alcune aziende fanno pubblicità solo su Instagram, altre hanno deciso di farla su TikTok, altre ancora non possono farla su TikTok e usano ancora Facebook o LinkedIn. In ogni caso, il dipartimento marketing deve fare una valutazione e decidere quale social usare. Poi, la seconda questione, è comprendere la finalità di ogni social.
Per esempio, LinkedIn è un social che ha come finalità lo scambio di contatti al fine di fornire opportunità di lavoro. Non mira a vendere nulla.
Quindi, nel momento in cui siamo su un social come LinkedIn, dobbiamo chiederci se contattare un certo utente si può fare, dato il contesto in cui ci troviamo.
Nel caso preso in esame, l’agenzia aveva contattato la reclamante non per un’opportunità di lavoro, ma per venderle un immobile. E il Garante a questo proposito ci ricorda che:
“LinkedIn è una piattaforma che ha come finalità lo scambio di contatti al fine di fornire opportunità di lavoro e non prevede che gli utenti del social network possano utilizzare la piattaforma per inviare messaggi ad altri utenti, con lo scopo di vendere prodotti e servizi, anche se in ciò consiste la propria attività lavorativa.”
Quando si parla di social network, è opportuno creare delle Social Media Policy, facendo in modo che i dipendenti sappiano come utilizzare questi social all'interno dell'organizzazione aziendale, per i loro rapporti e per i rapporti con il loro superiore gerarchico.
I titolari del trattamento, infatti, sono tenuti a darsi delle policy di condotta sull'utilizzo dei social, come avviene, per esempio, con la messaggistica e in particolare con WhatsApp (ai miei clienti consiglio sempre di fare attenzione ad aprire un gruppo WhatsApp aziendale e a verificare che i numeri di telefono non siano in chiaro).
È importante che il titolare dimostri la sua accountability, anche adottato queste policy.
Nella pratica, però, accade spesso che si debba fare uno sforzo per riuscire a farle entrare nel circuito aziendale…
Hai appena letto l’articolo tratto da un intervento dell’Avvocato Francesca Bassa su Raise Academy, che si conclude con una riflessione: è molto difficile far rispettare le policy ai dipendenti.
Perché? Perché non sono consapevoli!
Se non sei consapevole del fatto che non si può contattare una persona su LinkedIn allo scopo di vendere qualcosa, non sei neanche consapevole dell’uso che fai di quel social.
Esempio. Prendi Peppino, che tutti i sabati va in discoteca e una volta invita anche Francesco e Antonio. Si fanno un selfie, ubriachi. Il giorno dopo Peppino pubblica la foto sui social – su LinkedIn magari… - taggando gli altri due, perché pensa che sia una goliardata fra colleghi. Solo che gli utenti vedono benissimo che Peppino, Francesco e Antonio lavorano tutti per la ditta XYZ…
Queste cose non si fanno. Ma capita. Capita perché non si è consapevoli.
Per essere consapevoli, la base – sottolineiamo “la base” – è la formazione.
Finora abbiamo visto due casi di intervento del Garante in materia di marketing e GDPR. Vuoi sapere quali altre sanzioni sono state comminate? Hai 2 possibilità:
1 – Aspettare il prossimo articolo del blog! Parleremo di cookie e di Google Analytics.
2 – Puoi iscriverti subito alla Raise, seguire tutti i corsi con i massimi esperti e iniziare a metterti al riparo dal rischio di ricevere una sanzione…
Perché la formazione completa e aggiornata su GDPR, privacy e cybersecurity è su Raise Academy, l'Accademia di Formazione Efficace di PrivacyLab che coinvolge consulenti e professionisti del GDPR, grazie al connubio tra tecnologia, presenza, competenza, contatto, condivisione e diffusione.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.