Garante per la protezione dei dati personali: Ordinanza ingiunzione del 11 aprile 2019
Fatto
A seguito di una segnalazione inviata da due interessati, la Guardia di Finanza provvedeva ad effettuare un accertamento ispettivo nei confronti di una società italiana, la quale svolgeva attività di telemarketing e telesseling a favore di più committenti. Dagli accertamenti compiuti emergeva che detta società aveva sottoscritto un accoro con un’altra società italiana che svolgeva attività di agente di vendita a favore di un’altra società italiana che forniva luce e gas e che la società sottoposta alle indagini aveva incaricato una società albanese di contattare telefonicamente i potenziali clienti interessati a sottoscrivere un contratto di fornitura di gas e luce con la società italiana. Gli agenti avevano altresì accertato che la società albanese aveva utilizzato dei numeri telefonici che la stessa aveva raccolto personalmente, per contattare i potenziali clienti, e che non aveva fornito detti dati alle tre società italiane. In particolare, era emerso che la società albanese, dopo aver ottenuto dai potenziali clienti, la conferma del proprio interesse a sottoscrivere i contratti con la società italiana fornitrice di luce e gas, inviava i dati di tali soggetti alla società sottoposta alle indagini, la quale provvedeva a registrare detti potenziali clienti nella piattaforma gestionale del fornitore di luce e gas e poi contattava telefonicamente tali soggetti al fine di ottenere una loro conferma dell’interesse a sottoscrivere il contratto di fornitura e, in caso di risposta affermativa, provvedeva a compilare il relativo contratto cartaceo, a siglarlo e infine a inviarlo alla società agente che a propria volta li avrebbe poi inoltrati alla fornitrice dei servizi di gas e luce.
In ragione di quanto emerso dalle indagini, alla società veniva contestato di non aver reso l’informativa privacy prima della raccolta dei dati effettuata tramite call center, per 78 contratti di fornitura energetica nonché la mancata acquisizione del consenso dell’interessato alla raccolta dei dati per finalità di marketing, per 111 contratti di forniture energetiche, e la mancata acquisizione del consenso dell’interessato al trattamento dei dati per finalità di marketing, per 155 contratti di fornitura energetica.
La società sottoposta al procedimento si difendeva rilevando che il compito di procacciamento dei nuovi clienti era stato affidato alla società albanese, la quale aveva contattato i clienti e aveva anche compilato le proposte di adesione contrattuale, e che la società aveva comunque controllato l’effettiva volontà di concludere il contratto di fornitura dei soggetti indicati in tali proposte ricontattandoli telefonicamente uno per uno. Pertanto, proseguiva la società, il compito di fornire l’informativa privacy e di acquisire il consenso dei soggetti contattati era affidato alla società albanese che gestiva il call center ed in ogni caso, anche qualora fosse stata accertata la responsabilità della società italiana, il Garante avrebbe dovuto applicare una sanzione pecuniaria unitaria per tutte le violazioni riscontrate, applicando il cumulo giuridico delle pene anziché quello materiale, in quanto nel caso di specie le condotte potevano ritenersi tutte parte di un unico “disegno criminoso”.
Approfondisci con:” Come applicare il GDPR e il codice della privacy negli studi”
La decisione del Garante
Il Garante privacy ha ritenuto che le argomentazioni difensive formulate dalla società non fossero idonee ad escluderne la responsabilità e conseguentemente ha confermato parte delle violazioni contestate condannandola, escludendo il cumulo giuridico delle pene, a tante sanzioni pecuniarie per ogni violazione commessa, per un totale di circa due milioni di euro.
Il Garante ha rilevato preliminarmente come dalle indagini compiute dalla Guardia di Finanza sia emerso un quadro diverso rispetto a quanto sostenuto dalla società, in quanto era emerso che non fosse la società albanese a compilare i contratti con i dati dei soggetti che si erano telefonicamente dichiarati interessati a stipulare un contratto di fornitura, bensì era la società sottoposta al procedimento che li compilava utilizzando i dati che gli venivano forniti dalla società albanese.
Ciò detto, il Garante ha rilevato che, a prescindere da chi provvedesse a compilare i contratti di fornitura, la società italiana era obbligata a verificare che tutti i soggetti dei cui dati si trattava avevano ricevuto l’informativa privacy dalla società albanese che li aveva contattati tramite call center e ne aveva raccolto i dati e che gli stessi avessero prestato il proprio consenso al trattamento dei dati medesimi. Ciò in quanto i dati di tali soggetti erano entrati in Italia (ciò comportando l’applicazione della normativa italiana in materia di protezione dei dati personali) attraverso la società italiana.
In secondo luogo, il Garante ha ritenuto che da quanto emerso dalle indagini si poteva desumere che gli interessati non avessero ricevuto l’informativa né prestato il proprio consenso alla raccolta e al trattamento dei loro dati. In particolare, il fatto che i dati fossero stati trasmessi in formato elettronico dalla società albanese a quella italiana, o comunque fossero stati trascritti su dei moduli cartacei privi della sottoscrizione del cliente, dimostra che questi ultimi non hanno avuto modo di prendere visione di alcun modello di informativa privacy. In secondo luogo, il fatto che non fosse presente alcuno script contente detta informativa, che gli operatori del call center avrebbero dovuto leggere agli interessati nel corso dei contatti telefonici, dimostra anch’esso che l’informativa non è stata resa. Infine, il fatto che i potenziali clienti non hanno sottoscritto alcuna proposta di adesione e non sono state effettuate delle registrazioni dei contatti telefonici operati dalla società albanese, porta ad escludere che i trattamenti di dati potessero essere compiuti senza il consenso dell’interessato per l’esecuzione di obblighi contrattuali o per adempimento a specifiche richieste precontrattuali dell’interessato.
Il Garante ha quindi ritenuto che la società italiana sottoposta alle indagini, non avendo ricevuto alcuna designazione quale incaricata del trattamento, debba essere ritenuta una titolare del trattamento e pertanto aveva l’obbligo di acquisire il consenso degli interessati e documentarlo per iscritto.
In considerazione di quanto sopra, il Garante ha ritenuto la società responsabile per non aver fornito l’informativa e per non aver acquisito il consenso degli interessati per il trattamento dei dati, ritenendo invece assorbita in quest’ultima fattispecie (il trattamento dei dati) la mancata acquisizione del consenso degli interessati per la raccolta dei dati (in quanto, secondo il Garante, il trattamento dei dati ricomprende al suo interno anche la loro raccolta).
Per quanto riguarda, invece, la richiesta di applicazione del cumulo giuridico delle sanzioni in base all’unicità del c.d. “disegno criminoso” sottostante alle plurime condotte, il Garante l’ha rigettata – applicando una sanzione per ogni violazione accertata (cioè per ogni proposta contrattuale rinvenuta senza informativa e senza consenso) – in considerazione del fatto che il cumulo giuridico delle sanzioni amministrative è espressamente previsto dalla legge n. 689/1981 solo nei casi di violazioni di “norme di legge in materia di previdenza e assistenza obbligatorie”. Pertanto, secondo il Garante, esso non può applicarsi alle sanzioni previste in materia di trattamento dei dati personali.
Volume consigliato
Scrivi un commento
Accedi per poter inserire un commento