In un clima di crescente preoccupazione per la protezione della privacy degli utenti, il Garante per la Protezione dei Dati Personali ha recentemente preso misure severe contro pratiche di telemarketing invasive, imponendo sanzioni pecuniarie a due importanti fornitori del settore energetico. Gli illeciti trattamenti di dati personali, che hanno incluso telefonate non autorizzate e attivazioni di contratti non richieste, hanno portato a multe di 100.000 euro per ciascun operatore.
Volume consigliato per l’approfondimento: I ricorsi al Garante della privacy
Indice
1. Le sanzioni del Garante contro il telemarketing
Il provvedimento segue numerose segnalazioni e reclami—2 reclami e 56 segnalazioni—da parte di consumatori che hanno ricevuto comunicazioni telefoniche indesiderate. Un’indagine approfondita da parte dell’Autorità ha evidenziato che le chiamate erano dirette prevalentemente verso soggetti già iscritti al Registro pubblico delle opposizioni, il quale dovrebbe teoricamente offrire un rifugio sicuro contro il contatto non sollecitato, ma che purtroppo si conferma come una misura rimasta sulla carta, del tutto insufficiente per proteggere i cittadini dalla molestia del telemarketing invasivo, spesso attuato addirittura senza operatore, ma con messaggi telefonici preregistrati.
I risultati degli accertamenti hanno mostrato come i call center operassero con liste di contatti ottenute sia tramite società terze che dalla propria rete di agenti, procedendo alla sottoscrizione di contratti energetici senza il consenso esplicito degli utenti. Durante un controllo casuale condotto in una sola settimana, si è scoperto che 106 utenti erano stati contattati in maniera illecita e avevano sottoscritto, senza rendersene conto, contratti di fornitura di energia.
Data la gravità delle violazioni e il numero di interessati coinvolti, il Garante ha imposto non solo sanzioni pecuniarie, ma anche l’attuazione di misure tecniche e organizzative adeguate per assicurare un trattamento dei dati personali in conformità con la normativa vigente in materia di privacy. Queste misure richiederanno una revisione e un rafforzamento dei protocolli di sicurezza lungo tutta la filiera operativa dei fornitori.
Questo intervento del Garante per la Protezione dei Dati Personali riafferma l’importanza della conformità alle leggi sulla protezione dei dati personali e sottolinea l’essenzialità di una gestione etica e legale del telemarketing nel rispetto dei diritti dei consumatori. Per gli operatori del settore, questo rappresenta un chiaro segnale che la negligenza nei confronti delle normative sulla privacy non solo può portare a gravi conseguenze finanziarie, ma mina anche la fiducia dei consumatori, essenziale per il successo a lungo termine nel mercato energetico.
Il telemarketing rappresenta un’area di tensione tra le esigenze commerciali delle aziende e i diritti alla privacy degli individui. Con l’avvento del Regolamento Generale sulla Protezione dei Dati (GDPR), che ha da poco festeggiato il suo sesto compleanno, sono state stabilite regole stringenti riguardo il trattamento dei dati personali, che includono la gestione delle comunicazioni di telemarketing, ma pare tuttora permanere una generalizzata noncuranza di dette regole.
Ecco un approfondimento sui principi del GDPR pertinenti al telemarketing, la necessità del consenso e il bilanciamento tra gli interessi commerciali e i diritti degli individui. Volume consigliato per l’approfondimento: I ricorsi al Garante della privacy
I ricorsi al Garante della privacy
Giunto alla seconda edizione, il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete. L’opera si completa con una parte di formulario, disponibile online, contenente gli schemi degli atti da redigere per approntare la tutela dei diritti dinanzi all’Autorità competente. Un approfondimento è dedicato alle sanzioni del Garante, che stanno trovando in queste settimane le prime applicazioni, a seguito dell’entrata in vigore della nuova normativa. Michele Iaselli Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II, nonché Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore in numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Michele Iaselli | Maggioli Editore 2022
23.75 €
2. Principi del GDPR sulla protezione dei dati
Il GDPR si fonda su principi chiave che garantiscono la protezione dei dati personali. Tra questi ricordiamo la triade liceità, correttezza e trasparenza, che dovrebbero improntare tutta la filiera del trattamento, dalla raccolta del dato, alla sua distruzione.
Altri principi cardine sono:
Limitazione della finalità: i dati devono essere raccolti per scopi specifici, espliciti e legittimi, e non ulteriormente trattati in modo incompatibile con tali scopi.
Minimizzazione dei dati: i dati raccolti devono essere adeguati, pertinenti e limitati a ciò che è necessario rispetto agli scopi per cui sono trattati.
Esattezza: i dati devono essere accurati e, se necessario, aggiornati.
Limitazione della conservazione: i dati devono essere conservati in una forma che permetta l’identificazione degli interessati per un periodo non superiore al necessario per i fini per cui i dati personali sono trattati. Come dire, niente è per sempre, nemmeno un trattamento di dati personali.
Integrità e riservatezza: i dati devono essere trattati in modo da garantire una sicurezza adeguata, inclusa la protezione contro il trattamento non autorizzato o illecito.
3. Necessità del consenso e caratteristiche
Il consenso è una delle basi giuridiche previste dal GDPR; ma non l’unica e nemmeno la più tutelante per l’interessato. Sta al titolare del trattamento scegliere la base giuridica più adeguata che rende legittimo il trattamento attuato, sulla scorta del principio di accountability, ma ci sono alcuni contesti in cui non c’è possibilità di scelta e il consenso è l’unica soluzione possibile.
Il marketing e il telemarketing fanno parte di questa “riserva” di base giuridica. Perché questi tipi di trattamento siano leciti, il titolare deve raccogliere il consenso presso gli interessati, e perché il consenso sia legittimo, esso deve avere alcune caratteristiche, ossia deve essere:
Esplicito e informato: l’interessato deve essere chiaramente informato su chi sta raccogliendo i dati, per quali scopi e come saranno trattati.
Specifico: il consenso deve essere dato rispetto a scopi specifici; il consenso vago o per scopi generici non è valido.
Liberamente prestato: non deve esserci alcuna pressione o condizione imposta all’interessato per ottenere il consenso.
Revocabile in qualsiasi momento: l’interessato deve avere la possibilità di ritirare il proprio consenso in qualsiasi momento, con la stessa facilità con cui lo ha dato (e non con le difficoltà che spesso i titolari pongono alla revoca di consensi prestati con leggerezza nel primo dopoguerra, difficoltà degne di giochi senza frontiere!)
Potrebbero interessarti anche:
4. Conciliare business e diritti fondamentali
La sfida per le aziende che fanno del telemarketing un pilastro del proprio modello di business è quella, niente affatto semplice, di bilanciare le proprie strategie e le proprie (legittime) esigenze di fatturato con i diritti e le libertà degli interessati.
Non è un’impresa semplice, considerato anche il fatto che molti DPO, per levarsi d’impiccio e risolvere i problemi alla radice, tendono a bloccare qualsiasi iniziativa e a dire no un po’ troppo spesso. Il ruolo del DPO, invece, risulta cruciale proprio in questi contesti, in cui è essenziale proteggere gli interessati, ma anche non essere di ostacolo all’azienda. Solo così la privacy ed il rispetto della normativa sulla protezione dei dati risulterà un valore aggiunto per l’imprenditore e non un inutile balzello burocratico e solo così le aziende potranno porsi in un mercato di concorrenza corretta e lecita.
Tra i sistemi correttivi che le aziende possono adottare in questo ambito, possiamo includere:
Adozione di approccio basato sul rischio e accountability: l’applicazione dei principi di privacy by design e by default, che integrano la protezione dei dati personali sin dalla fase di progettazione e come impostazione predefinita dei sistemi e dei processi aziendali dovrebbe essere alla base di ogni scelta aziendale di marketing.
Misure tecniche ed organizzative adeguate: per garantire la sicurezza dei dati, prevenire violazioni e assicurare che solo i dati necessari siano trattati, nonché il rispetto dei principi del trattamento previsti dal GDPR.
Garantire trasparenza e comunicazione chiara: le aziende devono informare chiaramente gli individui su come i loro dati vengono utilizzati, fornendo opzioni chiare per il consenso e per il suo ritiro.
L’introduzione del GDPR rappresenta una pietra miliare nel campo della protezione dei dati, stabilendo standard rigorosi che le aziende dovrebbero osservare. Queste norme non sono solo un imperativo legale, ma riflettono anche un impegno etico verso il rispetto della privacy individuale. Nel bilanciare le esigenze commerciali con i diritti fondamentali degli individui, il GDPR non solo protegge gli interessati, ma sfida le aziende a innovare e a ripensare le proprie strategie in modi che valorizzino la trasparenza e la fiducia. Affrontare queste sfide non è semplicemente una questione di conformità; è un’opportunità per le aziende di dimostrare il loro impegno verso un’etica aziendale responsabile, che può a sua volta rafforzare la loro posizione nel mercato e migliorare le relazioni con i clienti.
Scrivi un commento
Accedi per poter inserire un commento