Il Garante sanziona una società per telemarketing selvaggio per non aver adottato strumenti di verifica del consenso sulle proposte contrattuali pervenute dagli utenti.
Volume consigliato per approfondire: I ricorsi al Garante della privacy
1. I fatti
Il Garante per la protezione dei dati personali aveva ricevuto diverse segnalazioni in cui veniva lamentata la ricezione di telefonate con finalità promozionali, da parte di una nota società di fornitura di luce e gas, su delle utenze telefoniche riservate e in alcuni casi anche iscritte nel registro delle opposizioni.
A seguito della richiesta di chiarimenti formulata dal garante la società si difendeva, sostenendo, preliminarmente, che esisteva un fenomeno in virtù del quale vi erano soggetti estranei al fornitore del servizio, i quali erano a conoscenza dei dati anagrafici e di contatto degli interessati nonché dei dati della fornitura elettrica o gas e effettuavano contatti telefonici agli interessati presentandosi illegittimamente come “ufficio tariffe” o “ufficio utenti” della società e motivando la telefonata con la possibilità di ridurre il costo della fornitura. La società aggiungeva inoltre che da tale attività, effettuata da soggetti terzi con i quali la medesima non aveva alcun rapporto contrattuale, non solo la società stessa non riceveva alcun beneficio economico in termini di sottoscrizione di contratti (quantomeno per quanto riguarda le forniture “residenziali”), ma addirittura la stessa subiva un grave danno all’immagine a causa dell’uso illegittimo del suo marchio (anche per tale ragione, la società, faceva presente di aver ripetutamente denunciato la pratica in questione nelle sedi competenti).
Ciò detto, la società evidenziava che, dopo aver effettuato delle verifiche interne in ordine alle chiamate indesiderate oggetto delle segnalazioni al garante, era emerso che quasi per dette chiamate erano state effettuate da numeri telefonici che non erano riferibili direttamente alla società negli a soggetti terzi che operavano su incarico della Società medesima. Soltanto in un caso era emerso che il numero telefonico utilizzato per il contatto desiderato era riferibile ad un soggetto terzo che era stato incaricato dalla società (e da quest’ultima nominato responsabile del trattamento dati), ma che l’interessato contattato non aveva mai iscritto il proprio numero nel registro pubblico delle opposizioni. Pertanto, la società riteneva che la mancanza di iscrizione presso il suddetto registro ed invece la presenza del numero di telefono dell’interessato nell’elenco abbonati, rendesse detto numero liberamente utilizzabile.
Inoltre, la società aggiungeva che le modalità di acquisizione della clientela erano di due tipi: per quanto riguarda il settore “residenziale”, l’unico canale utilizzato era quello digitale, cioè tramite il sito Internet ufficiale, con esclusione di qualsiasi attività commerciale telefonica; per quanto riguarda il settore “business”, la società si avvale di n.8 agenzie (tutte selezionate anche con riferimento alle garanzie offerte in termini di rispetto della normativa privacy) incaricate di svolgere attività di promozione fisica nonché attività di promozione tramite il canale telefonico, utilizzando liste di contattabilità appositamente verificate dalla stessa società circa la provenienza dei dati e il consenso al loro trattamento.
Infine, la società rilevava che, per quanto riguarda le telefonate indesiderate oggetto delle segnalazioni al garante, in un solo caso riguardavano forniture c.c. business.
Preso atto delle spiegazioni fornite dalla società, il garante ha ritenuto di non poter archiviare la posizione, in quanto la condotta posta in essere dalla società è stata ritenuta lesiva della normativa in materia di protezione dei dati personali.
Potrebbero interessarti anche:
- I vizi del consenso nel contratto
- L’invalidità del contratto determinata dai vizi nel consenso
- Il contratto nella tradizione romanistica e continentale: la tipicità, il consenso e gli elementi negoziali
2. Le valutazioni del Garante
Per quanto qui di interesse, il garante ha ritenuto che la società abbia violato le disposizioni normative del regolamento europeo per la protezione dei dati personali che stabiliscono il principio di responsabilizzazione del titolare del trattamento nonché il principio della privacy by design, in quanto la società non ha intrapreso un’efficace azione di controllo e contrasto degli indebiti contatti promozionali effettuato in suo nome da soggetti terzi.
A tal proposito, il garante ha ritenuto che il fatto che i numeri utilizzati per chiamare gli interessati non fossero riconducibili direttamente alla società o ai suoi partner commerciali non fosse sufficiente per ritenere esente da responsabilità la società medesima. Infatti, in base al principio di responsabilizzazione del titolare del trattamento, la società avrebbe dovuto necessariamente effettuare una puntuale e costante opera di controllo e di monitoraggio dei contatti telefonici che venivano effettuati in nome e per conto della medesima.
Degli accertamenti compiuti nel corso dell’istruttoria, non si è potuto escludere con certezza che dall’attività di contatto svolta da tali soggetti terzi (asseritamente non legati commercialmente alla società) siano derivati dei vantaggi alla Società medesima in termini di attivazione di servizi o sottoscrizione di nuovi contratti da parte degli utenti.
Inoltre, il garante ha ritenuto che le argomentazioni difensive della società (secondo cui dei soggetti terzi avrebbero speso indebitamente il suo nome) non è stata adeguatamente supportata da elementi probatori concreti dai quali si potesse escludere la responsabilità del titolare. A tal proposito, il garante ha, infatti precisato, che gli interessati che hanno effettuato la segnalazione hanno riferito di essere stato contattato dalla società o dalla sua rete diventi, mentre quest’ultima non ha provato che le telefonate in questione fossero state effettuate da soggetti estranei alla società medesimo.
In considerazione di ciò, la società deve essere riconosciuta quale titolare dei trattamenti oggetto delle segnalazioni al garante.
Conseguentemente, la società – come detto – ha violato il principio di responsabilizzazione e della privacy by design, che imponevano al titolare del trattamento di adottare delle misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di privacy e che gli imponevano altresì di dimostrare, attraverso concreti elementi probatori, che tutte le attività di trattamento effettuate direttamente dal medesimo o da altri soggetti per suo conto fossero conformi alla suddetta disciplina. La violazione dei richiamati principi di deriva dal fatto che la società non ha dimostrato, attraverso strutturati e sistematici meccanismi di rendicontazione, di aver previsto il rischio delle chiamate indesiderate in questione e di aver verificato presso tutti i soggetti intermedi della catena del trattamento dati (quali per esempio le agenzie o le sub agenzie) se le misure adottate per evitare il suddetto rischio fossero efficaci e adeguate rispetto al caso concreto.
Infine, il garante ha rilevato che la società non ha adottato delle adeguate misure volte a verificare che i soggetti che scaricavano all’interno del sito Internet le proposte contrattuali, per quanto riguarda il settore “residenziale”, fossero effettivamente gli interessati e non vi fosse, invece, un coinvolgimento delle agenzie che operano nel settore “business”.
3. La decisione del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha ritenuto che il trattamento dei dati personali effettuato dalla società, come sopra meglio precisato, risulta illecito.
Conseguentemente, il garante ha:
- rivolto alla società un avvertimento al fine di evitare che a), al fine di evitare che le Agenzie e i partner attivi nel settore “business” abbiano alcun genere di coinvolgimento con le operazioni di caricamento delle proposte;
- ingiungere alla società di adottare, nella fase di raccolta dei dati dei potenziali utenti nel settore residenziale, misure idonee ad ottenere l’effettiva verifica della volontà ad essere contattati da parte di tali soggetti;
- ingiungere alla società di adeguare ogni trattamento svolto dalla propria rete di vendita del settore business a modalità di misure idonee a prevedere e comprovare che l’attivazione di offerte di servizi e la successiva registrazione di contratti avvenga solo a seguito di contatti promozionali che siano effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte nel registro degli operatori di comunicazione e nel rispetto delle disposizioni di cui al codice privacy;
- ingiungere alla società di adottare, con riferimento al settore business, misure tecnico organizzative idonee ed univoche a stabilire chiari costanti meccanismi di controllo circa le modalità di utilizzo e l’accesso alla piattaforma informatica deputata all’attivazione dei contratti;
- comminato una sanzione amministrativa pecuniaria a carico della società che, tenuto conto di tutte le circostanze aggravanti attenuata nonché al fatturato della società rilevabile dell’ultimo bilancio pubblicato, è stata determinata in euro 676.956.
Volume consigliato
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
Scrivi un commento
Accedi per poter inserire un commento