Il Garante privacy sanziona la società Sky s.r.l. per “telemarketing selvaggio”

 

Garante per la protezione dei dati personali: Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. – 16 settembre 2021

  1. I fatti e l’attività istruttoria del Garante

Il Garante per la protezione dei dati personali aveva avviato una complessa attività istruttoria a seguito di decine di segnalazioni e reclami di persone che lamentavano numerose chiamate indesiderate effettuate da Sky s.r.l. e da call center di altre società per promuovere la vendita di servizi della società stessa.

Da gennaio 2020 a giugno 2021 il Garante aveva inviato alla società due richieste di informazioni cumulative relative a 37 fascicoli, oltre ai vari reclami e segnalazioni ricevuti dall’Ufficio.

Dunque, il Garante, avviato il procedimento ex art. 166, co. 5 del GDPR,, aveva proceduto a contestare alla società le violazioni di quanto disposto, innanzitutto, negli artt. 5, 6, e 7 del GDPR: in particolare, Sky, secondo il Garante, aveva effettuato il trattamento dei dati personali degli utenti in assenza di un prescritto consenso degli interessati e in assenza di un’idonea informativa; inoltre, aveva agito violando il c.d. principio di accountability (in virtù del quale il GDPR dispone che il titolare del trattamento deve adottare politiche e misure adeguate per garantire ed essere in grado di dimostrare che il trattamento dei dati effettuato è conforme a quanto disposto nello stesso Regolamento); inoltre, la società non aveva verificato la legittimità del trasferimento dei dati da Wind Tre S.p.A. a Brands Up.

Infine, il Garante aveva contestato la violazione degli artt. 5, 6, 7, 12, 13 e 21 del GDPR per le modalità di attivazione, rilascio dell’informativa e revoca del servizio “call me now” e, inoltre, poiché aveva effettuato contatti telefonici in assenza di un presupposto di liceità e per non aver predisposto un sistema adeguato attraverso il quale gli interessati potevano esercitare i loro diritti, compreso il diritto di opposizione.

In altri termini, le contestazioni mosse dal Garante riguardavano il fatto che Sky avesse effettuato delle chiamate agli utenti senza il consenso degli stessi e senza una preventiva informativa privacy, utilizzando liste non verificate che erano state acquisite da altre società terze.

A fronte di tali contestazioni, la società aveva affermato che gli stessi utenti nel fornire i propri dati alle suddette società (terze o “fornitrici”) avevano prestato il loro consenso alla cessione dei dati personali a terzi per fini di marketing. In base a ciò, Sky sosteneva di aver legittimamente contattato gli interessati e di aver agito, dunque, in conformità alle disposizioni dettate in materia dalla normativa in materia di protezione dei dati personali.

Secondo il Garante, tuttavia, la società avrebbe dovuto acquisire i dati, a lei forniti dalle società terze, previo consenso degli interessati e i successivi trattamenti avrebbero dovuto essere preceduti da un’adeguata informativa ai sensi dell’art. 14 del GDPR, secondo la quale nel caso in cui i dati possano essere legittimamente comunicati ad un altro destinatario, l’interessato stesso deve essere informato di tale comunicazione e deve essere adeguatamente informato delle diverse finalità dell’ulteriore trattamento che potrà compiere il terzo cui vengono comunicati i dati.

A tal proposito, all’esito dell’istruttoria effettuata, invece, il Garante ha ritenuto che la società non avesse proceduto a controllare i consensi degli interessati e non avesse neppure tenuto conto dell’opposizione prestata dagli interessati a fronte delle reiterate chiamate da parte dei call center.

A tale ultimo proposito, infatti, la società avrebbe dovuto controllare, attraverso le sue black list, se gli interessati avevano espresso la propria contrarietà a ricevere contatti telefonici per la comunicazione di promozioni pubblicitarie.

Su tale ultima contestazione, la società si era giustificata sostenendo che i “fornitori” agivano in qualità di titolari del trattamento in quanto gli interessati venivano previamente informati della comunicazione pubblicitaria tramite SMS/MMS e, rispondendo “OK” a tali messaggi, davano il consenso ad essere successivamente contattati dagli operatori della società per la promozione dei servizi di Sky.

In ragione di tutte le contestazioni di cui sopra, il Garante ha ritenuto non soddisfacenti le giustificazioni fornite dalla società e ha quindi proseguito il procedimento sanzionatorio, concedendo a Sky un termine per il deposito di memorie difensive in ordine alle contestazioni mosse dall’autorità.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

  1. Le memorie difensive della società Sky s.r.l.

Nelle proprie memorie difensive, in primo luogo, Sky ha evidenziato le sue politiche di trattamento dei dati personali degli utenti, sostenendo che le stesse sono sempre state caratterizzate da standard elevati di conformità alla normativa vigente in materia di protezione dei dati personali.

Dopodiché la società ha proceduto a esporre le proprie difese in merito alle contestazioni dell’Autorità. Innanzitutto, la stessa ha affermato che non è suo compito verificare la conformità al principio di accountability delle procedure di trattamento effettuate dalle società terze/fornitrici ed inoltre che attuare operazioni di controllo e verifica in relazione ad ogni contatto trasmesso sarebbe un’operazione impossibile. La società ha sostenuto, infatti, che in base al GDPR, non vi è nessuna norma in virtù della quale la società, in qualità di cessionaria dei dati, sarebbe gravata dall’onere di verifica e controllo dei contatti che gli vengono comunicati dalle altre società.

A tal proposito, la società  ha quindi sostenuto di aver attuato il trattamento dei dati personali lecitamente, in quanto i contratti stipulati con le società terze ed in virtù dei quali le erano state fornite le liste dei contatti degli interessati contenevano espressamente la menzione di “cessione dati a terzi” e dei consensi degli interessati già documentati.

Inoltre, sulla contestazione relativa all’omessa informativa, Sky ha affermato che la stessa sarebbe esente da responsabilità in quanto la società non ha alcun controllo sui dati del trattamento effettuato dal titolare cedente che risulta essere l’unico responsabile ex art. 24 del GDPR: in base al quale, il titolare del trattamento è tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con le disposizioni del GDPR.

Su questo tema, la società ha, infine, affermato che il numero di chiamate effettuate per la promozione dei suoi servizi non ha mai superato il numero di tre, in conformità a quanto previsto nella Contact Policy di Sky e nel rispetto dell’interessato.

La società si è  inoltre difesa affermando che le società terze, che promuovono i suoi servizi, agiscono in qualità di titolari autonomi del trattamento ai sensi dell’art. 4 del GDPR e, perciò, rispondono ai sensi di quanto prescritto nell’art. 82 dello stesso. In questo caso, dunque, Sky ha ritenuto di essere esente totalmente da ogni responsabilità in quanto non sarebbe obbligata a vigilare sull’operato di dette società terze né sarebbe tenuta a scambiare le sue black list con detti soggetti.

  1. Le violazioni riscontrate

Dopo aver esposto le difese che erano state presentate dalla società, il Garante ha ribadito le violazioni perpetrate dalla medesima e che le stesse non possono ritenersi superate e giustificate in base alle suddette argomentazioni difensive.

In particolare, una delle principali violazioni riscontrate dal Garante riguarda il trattamento dei dati contenuti nelle liste di contattabilità, ossia le liste che vengono fornite dalle società terze contenenti i contatti degli interessati.

In primo luogo, l’Autorità ha riscontrato la violazione degli artt. 5, parr. 1 e 2, art. 6 par. 1 e art. 7, 14, 21 del GDPR in quanto il consenso che è stato prestato dagli interessati alle società terze non costituisce ideona base giuridica per il trattamento degli stessi da parte di Sky, nonostante gli stessi siano stati acquisiti dalla società legittimamente. Infatti, non è stato dimostrato dalla società di aver fornito agli interessati, destinatari dei contatti promozionali, un’idonea informativa per renderli non solo adeguatamente edotti dell’ulteriore trattamento da parte della stessa Sky, ma anche per informali del possibile esercizio del diritto di revoca del consenso che avevano originariamente prestato alla società fornitrice.

Sul punto, inoltre, il Garante ha sottolineato che Sky, per le suddette attività promozionali, non può avvalersi del regime di semplificazione previsto dal proprio provvedimento del 2013[1], cui si era appellata la società nelle memorie difensive: secondo il Garante, invece, nel corso del primo contatto promozionale, la società è tenuta a fornire una propria informativa, che contenga elementi in grado di risalire all’origine dei dati comunicati alla società fornitrice, e successivamente deve acquisire il consenso dell’interessato e poi procedere all’attività promozionale.

Non avendo la società dimostrato il rispetto di tale procedura, il trattamento è stato compiuto in violazione della normativa.

 

Per quanto riguarda l’acquisizione delle liste di contattabilità, il Garante ha sostenuto che è onere della stessa società, interessata alla promozione dei suoi servizi, verificare che sia stato prestato adeguato consenso da parte dei soggetti che vengono contattati. Oltretutto, è indispensabile che la società si impegni a verificare che gli interessati non abbiano esercitato il diritto di opposizione, in virtù del quale gli stessi avevano precedentemente espresso la volontà di non ricevere contatti telefonici per attività promozionali.

In considerazione di quanto sopra e nonostante Sky avesse effettuato controlli a campione sui consensi degli interessati e avesse progressivamente abbandonato modalità invasive per la promozione dei suoi servizi (effettuando soltanto tre chiamate per ogni interessato), il Garante ha ritenuto integrata la violazione da parte della società riguardo alle disposizioni in materia di consenso e di conformità al principio di accountability.

Tra le altre contestazioni mosse dal Garante è interessante anche quella relativa alle modalità di svolgimento dell’attività promozionale dei servizi Sky svolta attraverso società terze per suo conto: in particolare, attraverso l’invio di SMS promozionali finalizzati ad ottenere un flusso di informazioni di ritorno verso quest’ultimi e una comunicazione dei dati di contatto alla stessa società Sky. Secondo il Garante, in tale fattispecie, le società che trasmettevano SMS per la promozioni di servizi per conto di Sky hanno operato in piena aderenza alla definizione di responsabile del trattamento, così come emerge dalla normativa: ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4 del GDPR).

Ebbene, a tal proposito, il Garante ha ricordato che il Regolamento sancisce non solo che il rapporto tra titolare e responsabile del trattamento deve essere disciplinato da un contratto o altro atto giuridico a norma del diritto dell’Unione europea o degli Stati membri, ma che in ogni caso resta fermo l’obbligo per il titolare del trattamento di vigilare sull’operato del responsabile.

In considerazione di ciò, il Garante ha ritenuto che Sky, agendo in qualità di titolare anche con riferimento alla fase della campagna promozionale in cui venivano raccolti tramite SMS i dati degli interessati, avrebbe dovuto verificare che i soggetti contattati avessero ottenuto l’informativa e rilasciato un idoneo consenso alla ricezione di SMS promozionali e non fossero inseriti nelle black list della società.

  1. Le sanzioni irrogate

In ragione delle principali violazioni sopra esposte, oltre a quella per cui il Garante ha contestato a Sky di non aver tenuto conto né delle segnalazioni ricevute attraverso l’indirizzo p.e.c. né di aver agevolato gli interessati all’esercizio del diritto di opposizione attraverso un adeguato sistema, l’Autorità ha proceduto all’accertamento dell’illiceità delle condotte poste in essere dalla società con riferimento ai numerosi trattamenti dei dati considerati nella fattispecie.

Nel determinare l’ammontare della sanzione, da un lato, l’Autorità ha tenuto conto della gravità delle violazioni riscontrate, che si riferiscono a condotte “di sistema” radicate nelle procedure societarie e del fatto che Sky, da molti anni presente sul mercato italiano, avrebbe dovuto impostare le proprie scelte di fondo nel rispetto della normativa sulla privacy.

Dall’altro lato, il Garante ha comunque tenuto conto della cooperazione della società nel corso dell’istruttoria, considerando anche che, trattandosi di società di grandi dimensioni, le procedure di trattamento risultano essere molto complesse e ha tenuto conto del fatto che la società ha adottato misure, per calmierare gli effetti delle condotte contestate, che testimoniano uno spirito attento e costruttivo della società stessa.

Ciò premesso il Garante ha inflitto alla società Sky s.r.l. una sanzione amministrativa pecuniaria di oltre tre milioni di euro (precisamente €.3.296.326,00), oltre alla prescrizione dell’obbligo a carico della società di conformarsi alla normativa dettata sia a livello europeo sia a livello nazionale in materia di trattamento dei dati personali.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

 

Note

[1] Il regime di semplificazione previsto dal citato provvedimento dell’Autorità del 4 luglio 2013 per cui “qualora l’interessato rilasci il consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività̀ promozionale con le modalità̀ automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità̀ promozionale” ovvero, se sono “stati forniti all’interessato anche gli altri elementi previsti all’art. 13 del Codice”, questi potranno effettuare nei suoi confronti attività̀ promozionale senza il rilascio “agli interessati un’ulteriore informativa”, fa riferimento esclusivamente alle “attività̀ promozionale con le modalità̀ automatizzate di cui all’art. 130, comma 1 e 2”.

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento