Breve focus sulle questioni affrontate in tema di trattamenti dei dati personali con specifico riguardo al fenomeno del telemarketing.                                      

1. INTRODUZIONE.

Dopo l’articolo del 29 luglio scorso, in cui – nell’illustrare la Relazione del Garante Privacy per l’anno 2021 – mi sono occupato del tema relativo al diritto di accesso del lavoratore ai propri dati personali nell’ambito del rapporto di lavoro, oggi approfondisco la parte del citato documento dedicata al marketing.

Nello specifico, il presente lavoro intende focalizzare l’attenzione sul fenomeno del telemarketing che, tra gli argomenti oggetto delle pronunce del Garante, occupa una posizione di primario rilievo anche per la sua attualità e per il fatto di coinvolgere ogni giorno un numero estremamente elevato di interessati.

2. FOCUS. IL TELEMARKETING SELVAGGIO.

Del telemarketing si parla al capitolo 12 della Relazione, intitolato, appunto, a “Marketing e trattamento dei dati personali”.

In particolare, al paragrafo 12.1 del documento, il Garante sottolinea come tutto il marketing indesiderato, oltre a ledere la tranquillità individuale dell’interessato, crei “un indotto di illiceità che investe numerose fasi del trattamento dati, quali la formazione delle banche dati, la comunicazione dei dati, i criteri di acquisizione del consenso, l’esercizio dei diritti degli interessati, la sicurezza nelle comunicazioni elettroniche”, e come tale indotto esponga l’interessato al rischio di perdita del controllo dei propri dati personali e di un loro utilizzo illecito.  

La stessa Autorità, al paragrafo 12.2, rileva che le attività di telemarketing hanno dato origine al più alto numero di segnalazioni e reclami ricevuti per contatti indesiderati con finalità commerciali o promozionali, individuando alcune caratteristiche ricorrenti in quello che definisce come “telemarketing selvaggio”, prima tra tutte la non riconducibilità al Registro degli operatori di comunicazione – al quale debbono obbligatoriamente iscriversi tutti gli operatori di call center – di gran parte delle numerazioni da cui provengono le chiamate indesiderate, spesso disconosciute dalla stessa rete di vendita delle compagnie committenti, che tuttavia realizzano un rilevante volume d’affari attraverso attività in gran parte illegittime. 

In tal senso, il Garante fa riferimento al proprio provvedimento n.112 del 25 marzo 2021 (doc. web n. 9570997), con cui applicava una sanzione di € 4.501.868,00 ad una importante compagnia telefonica che non aveva “posto in essere adeguati controlli della filiera di raccolta dei dati personali utilizzati per il primo contatto di potenziali clienti, rendendo quindi possibile il realizzarsi di condotte illecite di trattamenti di dati con finalità promozionali, in violazione del principio di responsabilizzazione stabilito dall’art. 5, par. 2, del RGDP”. 

Risultava, infatti, che gran parte dei contatti illeciti (circa il 70%) era stato effettuato tramite numerazioni non facenti parte della rete di vendita e non presenti nel Registro degli operatori di comunicazione.

Inoltre, poiché l’acquisizione delle liste anagrafiche utilizzate dalla rete di vendita della compagnia telefonica avveniva attraverso molteplici passaggi tra diversi titolari del trattamento ma senza l’acquisizione del consenso degli interessati alla comunicazione dei propri dati personali, oppure in partnership con altre aziende, (modalità, questa, non sufficiente a garantire la liceità della comunicazione dei dati tra i titolari del trattamento), l’Autorità disponeva, oltre alla richiamata sanzione pecuniaria, anche il divieto dei trattamenti con utilizzo delle liste di anagrafiche in tal modo acquisite, e, al fine di arginare il fenomeno, suggeriva al titolare del trattamento di attuare sistemi di blocco delle procedure di attivazione di offerte o servizi per le quali mancasse la garanzia che l’attività promozionale, già dal primo contatto, fosse stata eseguita nel rispetto delle norme e dei diritti degli interessati.

Nello stesso paragrafo 12.2, il Garante, richiamando un altro provvedimento, il n. 332 del 16 settembre 2021 (doc. web n. 9706389),con cui applicava una sanzione pecuniaria di € 3.296.326,00 ad una nota Pay TV, pone in evidenza un ulteriore aspetto del cosiddetto marketing selvaggio, ovvero quello afferente ai mancati controlli da parte del titolare del trattamento sulle liste di contattabilità dei potenziali clienti acquisite da soggetti terzi. 

Nell’istruttoria precedente all’adozione del richiamato provvedimento, avviata a seguito di decine di segnalazioni per telefonate indesiderate provenienti dalla rete di vendita della nota piattaforma televisiva, infatti, l’Autorità contestava al titolare che tale carenza di controlli aveva di fatto reso possibile che fossero raggiunti da comunicazioni promozionali anche soggetti che avevano espresso la propria opposizione ai trattamenti per finalità pubblicitarie o che non vi avevano acconsentito, ed imponeva all’azienda il divieto di ogni ulteriore trattamento effettuato mediante liste acquisite da terzi in assenza di efficaci verifiche sulla liceità della comunicazione dei dati, di idonea informativa e di un legittimo consenso.

Sempre nel paragrafo 12.2 della Relazione, a commento del proprio provvedimento n. 217 del 27 maggio 2021 (doc. web n. 9689375), il Garante Privacy evidenzia altri elementi caratteristici del marketing selvaggio, relativi soprattutto alle attività promozionali svolte dalle agenzie immobiliari, ovvero una non corretta raccolta dei dati, anche tramite internet, e un utilizzo degli stessi che confonde le attività scaturenti dal mandato conferito dal cliente tramite la sottoscrizione di un contratto con quelle promozionali, le quali necessitano, invece, di un apposito consenso. 

Nell’istruttoria, avviata a seguito di una segnalazione con cui si lamentava la ricezione di numerose telefonate indesiderate su un’utenza iscritta al Registro pubblico delle opposizioni, emergeva soprattutto la mancata acquisizione da parte della agenzia immobiliare di un consenso adeguatamente informato, libero e specifico per ciascuna delle finalità indicate nelle informative, per cui veniva disposto a suo carico il divieto di trattamento dei dati personali degli interessati in relazione ai quali non si fosse ottenuto un consenso con tali caratteristiche, oltre all’implementazione di misure tecniche ed organizzative atte ad assicurare il trattamento dei soli dati personali in tal modo acquisiti. 

Un altro elemento ricorrente nell’ambito del telemarketing è quello delle telefonate promozionali provenienti da o per conto di soggetti non individuati, o senza indicazione delle numerazioni chiamanti o di altri elementi utili a consentire un’efficace attività di controllo dell’Autorità. 

In tal senso, l’Ufficio, a seguito delle numerose segnalazioni pervenute – tra cui numerosi casi di spoofing, ovvero di utilizzo di numerazioni Voip non riconducibili a reali intestazioni – si è adoperato per rinvenire tali numerazioni nel Registro degli operatori di comunicazione, con l’intento di promuovere un esame organico delle segnalazioni riguardanti il medesimo titolare, il quale, però, spesso si è rivelato irreperibile, trovandosi fuori dal territorio dell’Unione europea e senza aver ottemperato all’obbligo di nominare un rappresentante all’interno della stessa.

Il Garante Privacy dedica, infine, il paragrafo 12.2.1 al telemarketing nel settore energetico. Qui, stante l’approssimarsi della scadenza per il passaggio dal mercato tutelato al mercato libero dell’energia elettrica e del gas, il fenomeno ha registrato un notevole incremento ed una grande diffusione. 

Due sono i provvedimenti sanzionatori presi in esame nella Relazione. 

Il primo (provv. n. 443 del 16 dicembre 2021 – doc. web n. 9735672), posto a carico di una compagnia energetica di primaria importanza che aveva trattato illecitamente i dati personali degli utenti ai fini di telemarketing, giungeva a seguito di centinaia di segnalazioni e reclami di utenti, i quali lamentavano la ricezione di telefonate promozionali indesiderate, evidenziando grandi difficoltà nell’esercizio dei diritti alla protezione dei propri dati personali e, nel complesso, problemi relativi alla gestione degli stessi nell’ambito dei servizi di fornitura energetica. 

Anche in questo caso, l’Autorità, di fronte all’eccezione della compagnia, di estraneità alla maggior parte delle telefonate indesiderate, le opponeva il richiamato principio di responsabilizzazione previsto all’art. 5, par. 2, del GDPR, che richiede “un’opera di costante vigilanza e monitoraggio sull’intera filiera e l’adozione di specifiche misure idonee a contrastare il fenomeno del telemarketing selvaggio”; pertanto, ingiungeva alla compagnia, oltre al pagamento di una multa, di adeguare i trattamenti dei dati con misure e modalità atte a comprovare l’attivazione di ogni offerta, servizio e contratto tramite numerazioni iscritte nel Registro degli operatori della comunicazione, nonché di sviluppare ulteriori misure tecnico-organizzative per dare seguito alle istanze di esercizio dei diritti degli interessati, con particolare riguardo al diritto di opposizione alle finalità promozionali, al fine di fornire loro un riscontro non oltre trenta giorni dalla richiesta. 

Il secondo provvedimento preso in esame (provv. n. 192 del 13 maggio 2021 – doc. web n. 9670025) veniva adottato nei confronti di altra società operante nel settore energetico, non avendo la stessa verificato che vi fosse il consenso per tutti i passaggi dei dati degli interessati nell’ambito dell’attività promozionale. 

Nell’istruttoria, avviata a seguito di diversi reclami e segnalazioni, emergeva che la compagnia aveva trattato dati acquisiti da altra società, che a sua volta li aveva ottenuti, in veste di autonomo titolare del trattamento, da altre due aziende, le quali avevano ricevuto il consenso dei potenziali clienti al telemarketing anche per l’eventualità che lo stesso venisse effettuato da parte di terzi. Consenso che, però, secondo il Garante Privacy, non legittimava il passaggio dei dati dei clienti dalla prima società alla compagnia energetica. 

Avv. Adamo Brunetti