NUOVA MAXISANZIONE DEL GARANTE PRIVACY PER PRATICHE DI TELEMARKETING “AGGRESSIVO”

E’ oramai nota la particolare attenzione che il Garante per la Protezione dei Dati Personali ha sempre riservato al telemarketing, e cioè alle comunicazioni promozionali (spesso indesiderate) effettuate mediante chiamate con operatore e varie forme di messaggistica – sms, messaggi WhatsApp etc..

In linea di principio, queste attività sono giuridicamente lecite soltanto a fronte del consenso specifico, informato e liberamente manifestato dall’interessato all’utilizzo dei propri dati personali per la ricezione di tali comunicazioni.

L’entrata in vigore del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) non ha stravolto questo sfondo normativo, ma ha fornito alle Autorità di Controllo poteri sanzionatori ben più incisivi di quelli stabiliti nel previgente Codice Privacy e ha stabilito, altresì, obblighi più ampi e particolarmente stringenti in capo alle imprese che intendono fare ricorso a tali strumenti di autopromozione.

E’ in questo contesto che si inscrive il recente provvedimento del 12 novembre 2020, a mezzo del quale il Garante per la Protezione dei Dati Personali ha ingiunto ad una primaria Società di telecomunicazioni il pagamento di una sanzione di oltre 12 milioni di Euro per aver trattato illecitamente i dati personali di numerosissimi utenti a fini di telemarketing ed ordinato l’adozione di una serie di misure correttive tese ad assicurare la compliance alle regole vigenti in materia.

L’attenzione dell’Autorità è stata sollecitata dalle numerose segnalazioni e reclami pervenute da utenti che lamentavano di aver ricevuto frequenti contatti telefonici indesiderati, tesi a promuovere servizi di telefonia e di connettività internet, effettuati dalla Società e dalla relativa rete di vendita.

Nel corso dell’attività istruttoria il Garante ha riscontrato plurime violazioni della disciplina in materia, a partire dall’utilizzo, a fini promozionali, di liste di contatti ricevute da fornitori terzi senza che questi avessero ottenuto dagli interessati il necessario consenso alla relativa comunicazione alla Società, nonché dall’effettuazione di attività di telemarketing nei confronti di utenti che avevano manifestato il proprio diniego alla ricezione di tali messaggi.

Richiamando i principi di privacy by design e privacy by default stabiliti dall’art. 25 del Regolamento, l’Autorità ha quindi rilevato l’omessa implementazione di meccanismi di controllo della “…filiera dei dati personali raccolti fin dal momento del primo contatto con il potenziale cliente, idonei ad escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizioni di contratti poi confluiti nei database” della Società.

In particolare, il Garante ha evidenziato come numerosi contatti promozionali con potenziali clienti fossero stati dapprima effettuati mediante l’utilizzo di numerazioni fittizie e/o non censite nell’apposito registro, non facenti capo alla rete ufficiale di vendita o altrimenti autorizzate dalla Società ma riconducibili, piuttosto, ad un “sottobosco di call center abusivi” operanti in spregio della disciplina in materia.

il Garante ha poi stigmatizzato l’omessa implementazione di misure di sicurezza dei sistemi di gestione della clientela adeguate a proteggere questi ultimi da tentativi di contatto – specie in seguito alla segnalazione di guasti – effettuati da sedicenti operatori “ufficiali” e presumibilmente motivate da scopi di spamming, phishing o di realizzazione di altre attività non meno illecite.

Infine, l’Autorità ha censurato l’omessa notificazione di un data breach e la mancata piena soddisfazione di alcune richieste di esercizio dei diritti attribuiti agli interessati dal GDPR.

In conclusione, merita di esser segnalato come l’Autorità abbia ordinato alla Società, quale misura aggiuntiva rispetto alla sanzione pecuniaria milionaria irrogata, di adeguare i trattamenti in materia di telemarketing in modo da prevedere e comprovare che “…l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione”.

Dott. Valerio Laganà