L’Autorità garante per la protezione dei dati personali conferma ancora una volta l’attenzione verso il telemarketing, comminando una sanzione di 300.000 euro a una società fornitrice di energia elettrica e gas per trattamento illecito di dati personali a fini promozionali.
Il Garante Privacy ha avviato un procedimento nei confronti della società, a seguito di 82 segnalazioni relative a chiamate indesiderate effettuate senza adeguata base giuridica e ha richiesto informazioni specifiche rispettivamente su gestione delle attività di marketing, telemarketing e teleselling, nonché sul relativo trattamento dei dati personali, e sulla compliance alla normativa privacy. La società ha spiegato che, sebbene le segnalazioni non abbiano portato a contratti effettivi, alcuni dei contatti erano legittimati dal consenso, mentre altri erano riconducibili a comportamenti non conformi da parte di sub-agenzie. La società ha illustrato il processo di vendita tramite teleselling e altre modalità, come il “virtual sales outbound rec”e ha dettagliato le misure di monitoraggio adottate per garantire la compliance alla normativa privacy. Nel corso dell'istruttoria, sono emerse ulteriori segnalazioni di utenti che lamentavano chiamate indesiderate da numeri non iscritti al registro delle opposizioni (RPO) e senza una base giuridica adeguata. Pertanto, il Garante Privacy ha deciso di includere queste segnalazioni nel procedimento così da garantire un esame completo delle questioni sollevate. Alla fine dell'istruttoria, è stato rilevato che il contatto di numeri iscritti al RPO viola l'articolo 130 del Codice Privacy nonché il GDPR, che richiedono il consenso per il trattamento dei dati personali a fini promozionali. Inoltre, è emerso che la Società procedeva con l'attivazione di contratti con clienti che spesso annullavano rapidamente la fornitura, persistendo quindi in pratiche di telemarketing illegittime. Il nodo del c.d. consenso omnibus Uno degli aspetti principali del provvedimento in oggetto riguarda la modalità di richiesta di consenso per cessione dei dati a terzi per comunicazioni commerciali. La formula utilizzata dalla società relativa alla richiesta di consenso per cessione dei dati per finalità di marketing e promozionali con indicazione di vasta e distinta categoria di destinatari (ad esempio, settori come turismo, moda, finanza, energia, etc.) non consente di ottenere un consenso libero, specifico e differenziato, come previsto dagli articoli 4, punto 11, 6 e 7 del GDPR. Infatti, tale formulazione generica costringe l'interessato a dare un consenso unitario per la cessione dei propri dati a tutti questi soggetti, senza permettergli di scegliere liberamente né le categorie merceologiche né i canali tramite cui ricevere le comunicazioni. Ciò rende difficile per l'interessato esercitare i propri diritti e impedisce una manifestazione di volontà consapevole e inequivocabile, generando una diffusione incontrollata dei dati. Secondo le linee guida numero 5/2020 del Comitato Europeo sulla protezione dei dati personali (EDPB) sul consenso, il consenso può essere considerato libero solo se l'interessato ha il controllo effettivo sui propri dati e una reale possibilità di scelta. Se il consenso è condizionato a condizioni generali non negoziabili, o se non è separato per ciascun trattamento distinto, non è considerato valido. Nel caso specifico, l'uso di formule generiche per acquisire il consenso e il trasferimento dei dati a una vasta gamma di destinatari impedisce all'interessato di manifestare una scelta chiara e specifica per le singole finalità di marketing. L'interessato deve poter esprimere un consenso granulare, ad esempio selezionando categorie di destinatari o tipi di comunicazioni promozionali che desidera ricevere. L'uso di moduli per raccogliere il consenso al trattamento dei dati personali in relazione alla cessione a terzi per scopi di marketing, che pur non presentano consensi preselezionati, risulta problematico se sono formulati in modo troppo ampio e generico riguardo al numero e alla tipologia dei destinatari. Sebbene questi moduli non impongano consensi già pre-flaggati, non consentono, ad esempio, di scegliere la categoria merceologica delle comunicazioni promozionali da ricevere (ad esempio, telefonia, energia, assicurazioni, moda, automobili, ecc.). Difatti, il Garante Privacy ha espressamente sottolineato che «l'utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (p.e. telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l'iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per forme informative che ostacolino l'esercizio dei diritti riconosciuti all'interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali». L'uso di formulazioni, tecniche grafiche o tecnologiche che possano influenzare il comportamento dell'utente, ad esempio in relazione alla comprensione delle modalità e finalità del trattamento o alla gestione del consenso, o che siano studiate per manipolare la volontà dell'interessato, non sono conformi alla normativa attuale e compromettono anche la legittimità dei trattamenti basati sui dati raccolti con tali modalità. In sintesi, il modulo utilizzato dalla società per la richiesta del consenso di marketing di terzi non consente una gestione adeguata del consenso in conformità alla normativa privacy vigente, limitando la libertà di scelta dell'interessato e il suo controllo sui dati personali. Violazioni Il Garante Privacy ha rilevato ed accertato le seguenti violazioni: a) articolo 5,6,7,24,32 e 25 del GDPR, nonché dell'articolo 130 del Codice Privacy per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione (mancanza idonea base giuridica e misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, nonché di confermare che il trattamento effettuato nel rispetto della normativa privacy; b) articolo 5,24,25,28,29 e 32 del GDPR per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all'organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all'individuazione, formazione, direzione e monitoraggio sull'operato dei soggetti designati (cd. culpa in eligendo e culpa in vigilando); c) articolo 5, 6, 7, 9, 12 e 13, nonché dell'articolo 111 bis Codice Privacy per avere effettuato trattamenti di dati personali in assenza della previa e corretta individuazione della base giuridica del trattamento e del conferimento della informativa privacy. Sanzione e ulteriori misure Oltre alla sanzione amministrativa, il Garante Privacy ha imposto rispettivamente: divieto di ulteriore trattamento dei dati personali dei reclamanti; comunicazione degli esiti del procedimento ai 68 interessati, i cui dati anagrafici sono confluiti nei sistemi della Società a seguito di contatti illeciti; adeguati controlli presso la propria rete di vendita e adeguate implementazioni di sistemi così da evitare che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti. Conclusioni Con questo provvedimento, il Garante Privacy ha definitivamente sancito che le formulazioni troppo generiche di richieste di consenso per comunicazioni promozionali di terzi, in cui vengono menzionate indistintamente le categorie merceologiche, violano la normativa privacy, privilegiando un approccio che consenta all'interessato di esprimere un consenso libero, distinto, selezionando la singola categoria merceologica.
Provvedimento del 16 gennaio 2025, numero 7