Telemarketing e tutela dei dati personali

Il Garante nei confronti di Eni Gas e Luce S.p.A. e di TIM S.p.A.

Dopo un primo periodo di silenzio, il Garante per la protezione dei dati personali nazionale ha inflitto due sanzioni, per un totale di circa quaranta milioni di euro, nei confronti di Eni Gas e Luce S.p.A. e TIM S.p.A. (di seguito, rispettivamente, “EGL” e “TIM”) che hanno portato il nostro Paese ad aggiudicarsi il (triste) secondo gradino del podio nel “campionato” dei provvedimenti sanzionatori comminati ai sensi del Regolamento (UE) 2016/679 (“GDPR”)[1].

Sono diverse le condotte che l’Authority ha reputato illegittime: il trattamento di dati personali per finalità di telemarketing e per la conclusione di contratti per la fornitura di energia elettrica e gas non richiesti dagli interessati, il mancato riscontro alle richieste formulate dai clienti in relazione all’esercizio dei diritti loro attribuiti dal GDPR, l’errata formulazione del consenso per il trattamento di dati per finalità commerciali, la tardiva gestione di violazioni di dati personali e l’inadeguatezza dei sistemi informatici utilizzati. 

Più nel dettaglio, con un primo provvedimento, il Garante ha comminato a EGL[2] una sanzione amministrativa pari a circa Euro 8,5 milioni, contestando a quest’ultima entità l’illecito trattamento di dati personali – raccolti da diverse fonti – per finalità di telemarketing e teleselling.

 A tal proposito, dall’istruttoria condotta dall’Autorità, è emerso che i list provider non erano soggetti ad alcun tipo di controllo, nemmeno “a campione”, volto a verificare la sussistenza dei presupposti di liceità del trattamento, ossia, il rilascio dell’informativa privacy ai sensi dell’art. 13, GDPR, la raccolta di un consenso specifico ed espresso dell’interessato e la mancata iscrizione dell’utenza contattata sul Registro pubblico delle opposizioni.

Ciò ha comportato il trattamento illegittimo di dati personali sia di prospect sia di clienti del titolare. Da una parte, infatti, le chiamate promozionali sono state effettuate verso soggetti che non avevano prestato il proprio consenso; dall’altra parte, invece, EGL ha contattato telefonicamente numerazioni iscritte nel Registro pubblico delle opposizioni.

Con particolare riferimento ai dati presenti nella customer base di EGL, l’Autorità avrebbe riscontrato l’assenza di meccanismi idonei a recepire le manifestazioni di volontà degli interessati di non essere contattati. Infatti, a causa dell’improprio e/o tardivo aggiornamento del database e della black list, EGL non è stata in grado di dare seguito alla revoca del consenso ovvero all’esercizio del diritto di opposizione da parte degli interessati.

Inoltre, tra le contestazioni mosse nei confronti di EGL, vi sarebbe anche il mancato rispetto delle regole applicabili in materia di retention period. Segnatamente, i dati personali raccolti per l’esecuzione del contratto stipulato con l’interessato sarebbero stati conservati per un periodo superiore al termine di prescrizione decennale applicabile in tale contesto e ritenuto ragionevole dal Garante.

In sintesi, alla luce delle risultanze dell’istruttoria del Garante, EGL avrebbe contattato, in modo indiscriminato, prospect e clienti per finalità pubblicitarie in assenza di un’opportuna condizione di liceità, non tenendo conto delle espressioni di volontà degli interessati e violando le regole in materia di conservazione dei dati personali.

Sempre nei confronti di EGL, l’Autorità ha inflitto una seconda sanzione – per un ammontare pari a Euro 2 milioni – per il trattamento illecito di dati personali riferiti a n. 7200 soggetti per finalità connesse alla conclusione di contratti di cui gli interessati non avevano contezza.

Anche in questo caso, l’Authority ha dunque stabilito l’inadeguatezza della struttura data protection implementata da EGL. Per un verso, infatti, la società non si sarebbe dotata di nessuna policy per lo svolgimento di attività di monitoraggio e controllo sulle operazioni di trattamento affidate ai responsabili, i quali, peraltro, avrebbero agito in violazione dei principi di cui al GDPR. Per l’altro verso, la documentazione contrattuale non sarebbe risultata aggiornata, specie nella parte relativa all’informativa sul trattamento dei dati personali e alla normativa applicabile ai sensi del Regolamento. 

A distanza di poche settimane dalla “stangata” che ha colpito EGL, l’Authority ha “colpito” di nuovo infliggendo a TIM, con provvedimento datato 15 gennaio 2020, una sanzione pari a circa 27 milioni di Euro[3].

 Al termine di una lunga e approfondita istruttoria, TIM è stata ritenuta colpevole per aver violato diverse disposizioni del Regolamento.

 L’Autorità ha, in primo luogo, rilevato che la società avrebbe contattato – per finalità commerciali in assenza di una valida base giuridica – prospect e clienti di un altro operatore telefonico.

Al riguardo, con particolare riferimento alla prima categoria di interessati, sarebbero state riscontrate incongruenze tra le liste di contattabilità esibite da TIM all’Autorità e quelle effettivamente utilizzate dai call center. Ciò, nell’ottica del Garante, sarebbe indice dell’assenza di un controllo effettivo del titolare sull’operato dei soggetti che agiscono in qualità di responsabili ex art. 28, GDPR.

 La conferma di tale evidenza si evincerebbe dalle violazioni perpetrate dai suddetti call center i quali avrebbero, inter alia, contattato alcuni interessati fino a 155 volte in un mese in palese contrasto con le policy applicate – ma solo in astratto – da TIM.

 Sempre in tale contesto, TIM avrebbe contattato per finalità commerciali e pubblicitarie (addirittura) gli interessati che avevano esercitato il diritto di opposizione al trattamento dei propri dati personali o che non erano presenti nelle liste di contattabilità (c.d. “fuorilista”).

 Dall’attività ispettiva condotta dal nucleo privacy della Guardia di Finanza sarebbero, poi, emerse gravi irregolarità in relazione alla modulistica caricata sui canali online, sito web e mobile apps, nonché alla documentazione cartacea utilizzata ai fini della raccolta dei dati personali.

 Infatti, da un lato, TIM non avrebbe fornito agli interessati informazioni corrette e trasparenti sul trattamento dei dati personali a essi riferiti e, dall’altro lato, avrebbe raccolto il consenso in modo capzioso e in contrasto con i requisiti normativi applicabili.

 Un consenso “unico e indistinto al trattamento dei dati per svariate finalità” che, pertanto, avrebbe difettato di specificità e granularità. Requisiti essenziali ai sensi dell’art. 7, GDPR.

 Tra le condotte “incriminate”, sarebbe altresì stata riscontrata una mala gestio dei data breach: ritardo nel rilevamento della violazione e, laddove necessaria, assenza della successiva comunicazione all’Autorità.

 In conclusione, al netto dello specifico contenuto dei provvedimenti, vale la pena evidenziare come anche nel nostro Paese l’Authority abbia “inaugurato” la stagione delle sanzioni milionarie che si ricorderanno non solo (e non tanto) per l’ammontare della pena pecuniaria quanto, piuttosto, per gli spunti di riflessione che ne derivano in tema di accountability.

Who’s the next?