Blog

Il Garante della privacy sanziona una società per illecito telemarketing.

Viola e Blu Chiaro E-Sport Illustrativo Gaming Logo Gaming (2560 × 1707 px) (23)
Aziende / Business / privacy

Il Garante della privacy sanziona una società per illecito telemarketing.

Il Garante privacy ha comminato una sanzione pari a 70mila euro ad una società produttrice di caffè per aver promosso il proprio marchio attraverso telefonate indesiderate, insistenti e concentrate nel tempo, rivolte per lo più ad utenti iscritti nel Registro pubblico delle opposizioni (Rpo).

L’Autorità si è attivata a seguito di numerose segnalazioni e reclami di utenti che lamentavano di aver ricevuto le chiamate anche da numerazioni telefoniche contraffatte. In molti casi le telefonate indesiderate seguivano l’acquisto del caffè. Alla richiesta di informazioni da parte dell’Autorità, la società ha risposto che l’attività di marketing telefonico riguardava dati personali degli utenti acquisiti con diverse modalità: tramite il form presente nel proprio sito internet, mediante il passaparola dei clienti, il programma “Presenta un amico” e liste di contatti raccolti da società terze.

1.    Il caso.

L’istruttoria condotta dall’Autorità fa emergere diverse violazioni, a partire dall’uso dei dati per finalità di marketing senza aver acquisito il consenso degli utenti e senza aver loro fornito una apposita informativa (assente nel corso delle telefonate e insufficiente quella presente sul sito internet poiché l’attività promozionale non era indicata tra le finalità perseguite dalla società).

Inoltre, la stessa violazione aveva peraltro riguardato anche utenti che avevano acquistato il caffè attraverso il call center dal momento che l’ordine di acquisito era considerato come prova del consenso al marketing. La società inoltre non aveva attivato controlli preventivi per verificare se le utenze presenti nel proprio database fossero iscritte nel Registro pubblico delle opposizioni e aveva del tutto omesso controlli sul processo di acquisizione dei dati da parte delle società terze.

In sintesi, sono state imputate alla società le presunte violazioni delle seguenti disposizioni:

  • artt. 5 par. 1 lett. a), 6, 7, 13 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento” o “GDPR”) e art. 130 del Codice, per aver effettuato le telefonate promozionali in assenza di informativa e consenso;
  • artt. 12, 15 e 21 del Regolamento, per non aver soddisfatto le istanze di esercizio dei diritti formulate da alcuni interessati e per non aver comprovato la registrazione della relativa opposizione;
  • art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130 comma 3 del Codice, per aver svolto attività di telemarketing senza aver consultato il Registro delle opposizioni a cadenza mensile o comunque prima di ogni campagna;
  • artt. 5 parr. 1 e 2, 6 par. 1 lett. a), 7 del Regolamento, per aver introitato nei sistemi aziendali liste di anagrafiche provenienti da soggetti terzi per finalità di marketing senza aver verificato l’acquisizione di un consenso libero, specifico, documentato ed informato degli interessati;
  • artt. 12 par. 1, 5 par. 1 lett. a) del Regolamento, per non aver fornito nel sito internet un’informativa trasparente sugli effettivi trattamenti effettuati, non risultando chiaramente indicata l’attività di marketing, pur venendo in concreto svolta;
  • artt. 5 par. 1 lett. a), 6 par. 1 lett. a), 7 del Regolamento, per non aver acquisito un consenso specifico al marketing in ordine al trattamento dei dati personali raccolti mediante sito internet;
  • artt. 5 par. 2, 24 parr. 1 e 2, 25 del Regolamento, per non aver adottato adeguate misure organizzative volte a tenere traccia delle attività di trattamento unitamente all’incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme.

2.    I chiarimenti del Garante.

Si evidenzino di seguito le valutazioni di ordine giuridico poste dall’Autorità rispetto alle singole questioni oggetto di contestazione:

  • Contatti telefonici, informativa e consenso. Le segnalazioni e i reclami pervenuti, considerati complessivamente, restituiscono un quadro di non adeguato controllo delle norme in materia di protezione di dati personali. Anche le ulteriori modalità di acquisizione dei dati personali descritte nel corso dell’audizione (passaparola; form on-line; inbound) sono risultate realizzate in assenza di un’idonea base giuridica. Pertanto, dal momento che i contatti telefonici per finalità di marketing hanno riguardato utenze reperite con le descritte modalità, il Garante ha confermato quanto osservato nell’atto di avvio del procedimento in merito alla sussistenza della violazione degli artt. 5 par. 1 lett. a), 6, 7, 13 del Regolamento e 130 del Codice per non aver acquisito il previo consenso degli interessati né per aver reso a quest’ultimi, in occasione delle suddette telefonate, la necessaria informativa in ordine al trattamento dei dati.
  • Dati provenienti da List Provider e consenso degli interessati. Sulla base dei contratti esaminati e contando sugli esiti positivi della collaborazione instaurata con i list provider, non emerge che la Società abbia richiesto ai partner (né, conseguentemente, esaminato) la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento. Di conseguenza, la mancata verifica della presenza o meno di un consenso originario, unitamente all’assenza di riscontri probatori atti a documentarne l’acquisizione, riverberano i loro effetti sulla legittimità dell’attività promozionale della Società. Pertanto il Garante ha confermato la violazione degli artt. 5 parr. 1 e 2, 6 par. 1 lett. a) e 7 del Regolamento.
  • Trattamenti dati on-line.   Sul punto, il Garante precisa che, dall’analisi dell’informativa privacy rinvenibile sul sito aziendale, il marketing diretto – non menzionato tra le finalità perseguite dalla Società (facenti riferimento principalmente all’esecuzione dei servizi richiesti dagli interessati) – costituisce, in realtà, il core business aziendale realizzabile mediante i diversi strumenti di acquisizione dei dati (c.d. “multicanalità”), tra i quali è ricompreso il sito internet. Alla luce di quanto sopra, è stata ritenuta integrata la violazione degli artt. 5 par. 1 lett. a), 6 par. 1 lett. a), 7 e 12 par. 1 del Regolamento.
  • Esercizio dei diritti. Rispetto a tale punto, l’Autorità conferma la violazione degli artt. 12, 15 e 21 del Regolamento, per non aver fornito un completo riscontro alla richiesta di esercizio del diritto di accesso presentata da alcuni interessati, limitandosi la Società a ricondurre la condotta lamentata alla digitazione casuale dei numeri contattati e cercando di porvi rimedio mediante assicurazioni verbali circa l’inserimento dei nominativi e delle relative utenze nella “wrong list” di cui, tuttavia, non è stata data evidenza.
  • Contatti telefonici senza preventiva consultazione del Registro Pubblico delle Opposizioni. La Società avrebbe dovuto sottoporre la lista di anagrafiche nella propria disponibilità al riscontro del Registro Pubblico delle Opposizioni, cosa che avrebbe consentito di escludere alcuni degli interessati, che avevano correttamente formulato la propria opposizione, dal novero dei soggetti contattabili. Si ritiene, pertanto, integrata la violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice.
  • Accountability.  Per finire, il Garante afferma come i fatti descritti non possono essere qualificati come di carattere eccezionale ma paiono denotare una sistematica carenza di misure organizzative e di controllo da parte della Società anche in riferimento all’obbligo di comprovare il rispetto delle norme (accountability del titolare). Pertanto, si ritiene confermata la violazione degli artt. 5 par. 2, 24 parr. 1 e 2, e 25 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (accountability) finalizzata a comprovare il rispetto delle norme in materia di protezione dei dati personali.

3.    Considerazioni conclusive.

Alla luce delle gravi violazioni riscontrate, l’Autorità ha pertanto inflitto alla società una multa di 70mila euro per trattamento illecito di dati personali.

La società inoltre dovrà cancellare i dati acquisiti illecitamente per finalità di marketing e attivare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli utenti avvenga nel rispetto della normativa privacy lungo tutta la filiera.

Per scaricare il provvedimento del Garante, clicca qui: Provvedimento del 12 ottobre 2023 [9949453] – Garante Privacy

Avv. Adamo Brunetti

My Agile Privacy
Questo sito utilizza cookies indispensabili per il suo funzionamento. Cliccando Accetta, autorizzi l'uso di tutti i cookies.
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy