Privacy&

2021/4

Sabrina Piselli

Il recente intervento del Garante nei confronti di SKY

Con il provvedimento a contenuto inibitorio e correttivo, del 16 settembre 2021 , adottato nei confronti di Sky Italia, il Garante Privacy ha realizzato un nuovo rilevante intervento nell’attività di contrasto del fenomeno del telemarketing indesiderato, comminando anche una sanzione di oltre 3 milioni e duecentomila euro. Come osserva l’Autrice, il citato provvedimento - come altri recenti provvedimenti del Garante nel settore del marketing - non riguarda solo le chiamate promozionali indesiderate, ma anche altri interessanti aspetti del marketing, come la compravendita di liste di dati per effettuare campagne promozionali e i connessi ineludibili adempimenti a carico dei cessionari, o anche l’obbligo di controllo dell'intera ‘filiera’ del trattamento commissionato alle società di call center. Si segnala anche come il Garante nell’occasione abbia ritenuto di dover facilitare l'esercizio del diritto di opposizione da parte dell’interessato, prevedendo tra i canali di ricezione delle relative richieste anche la p.e.c. indicata nel registro delle imprese. Il commento si distingue anche per un’apposita riflessione sulla logica di applicazione delle sanzioni del GDPR.

Scarica articolo in PDF

1. Introduzione: dispositivo del Garante e cenni istruttori

Con il provvedimento a contenuto inibitorio e correttivo, del 16 settembre 2021[1], adottato nei confronti di Sky Italia, si è registrato un nuovo rilevante intervento del Garante per la protezione dei dati per contrastare il fenomeno del telemarketing indesiderato, unitamente alla contestuale adozione di un’ordinanza ingiunzione per il pagamento di una sanzione superiore a 3 milioni e duecento mila euro.

È bene fin d’ora chiarire che il citato provvedimento – come altri recenti provvedimenti del Garante nel settore del marketing – non riguarda solo le chiamate promozionali indesiderate, ma anche – come vedremo meglio di seguito – altri interessanti aspetti del marketing, come la compravendita di liste di dati per effettuare campagne promozionali.

L’Autorità in particolare ha vietato a Sky Italia l’ulteriore trattamento dei dati a fini promozionali realizzato con liste acquisite da altre società, in assenza delle verifiche sul consenso alla comunicazione dei dati, del rilascio di un’idonea informativa al momento del primo contatto e all’acquisizione di un previo consenso per l’invio di comunicazioni promozionali effettuate da un operatore umano.

Alla società sono state inoltre prescritte diverse misure per conformarsi alla normativa europea e nazionale[2], dando a Sky  un termine di 30 giorni  dalla notifica del provvedimento in commento, per adeguare i trattamenti in materia di telemarketing[3], anzitutto al fine di prevedere che i contatti promozionali svolti mediante i partner/fornitori vengano preceduti dalla designazione degli stessi quali responsabili di tutte le fasi del trattamento, poi anche per ribadire che la Società, in qualità di titolare, ha l’obbligo di vigilare sul loro operato e verificare la corretta gestione dei contatti promozionali, nel più complesso ambito della ‘filiera’ del trattamento.

Inoltre, il Garante ha prescritto alla Società di facilitare l’esercizio del diritto di opposizione prevedendo tra i canali di possibile ricezione delle relative richieste anche la p.e.c. come indicata nel registro delle imprese: indirizzo che finora la Società non aveva ritenuto valido quale modalità di contatto per questioni relative al trattamento dei dati.

Il provvedimento del Garante giunge al termine di una complessa attività istruttoria avviata a seguito di decine di segnalazioni e reclami di persone che lamentavano la ricezione di telefonate promozionali indesiderate, sia direttamente sia tramite call center di altre società.

A differenza di quanto ritenuto da Sky, infatti, il consenso a comunicare i propri dati a terzi, dato dagli utenti alla società fornitrice delle liste, non la autorizzava a utilizzare i nominativi a fini promozionali. Per svolgere correttamente l’attività di telemarketing Sky, all’inizio della telefonata, avrebbe dovuto fornire all’utente una propria informativa spiegando anche la provenienza dei dati e – solo dopo aver ottenuto essa stessa il consenso – procedere con la proposta commerciale.

Soprattutto Sky, ha sottolineato il Garante, avrebbe dovuto, prima di effettuare una qualunque operazione, controllare attraverso le proprie black list che le persone da contattare non avessero espresso il loro diniego a ricevere telefonate pubblicitarie dei suoi prodotti.

Nel determinare l’ammontare della sanzione, l’Autorità ha tenuto conto della tipologia delle violazioni riscontrate, che si riferiscono a condotte “di sistema” radicate nelle procedure societarie e del fatto che Sky, da molti anni oramai presente sul mercato italiano e di riflesso nelle case degli italiani, non è risultato aver impostato le proprie scelte basilari nel rispetto dei principi strutturali del GDPR.

Procediamo di seguito ad individuare ed esaminare le principali questioni in fatto e in diritto affrontate dal Garante con il presente provvedimento.

2. La questione dell’utilizzo di liste di dati acquisite da terzi

Deve premettersi che le misure di rafforzamento adottate dalla Società e le ulteriori iniziative intraprese – tra le quali l’interruzione, a partire dall’inizio del 2020, dell’attività di cessione di anagrafiche prospect da parte di terzi soggetti titolari autonomi del trattamento di Data Base consensati alla cessione dati per finalità di marketing di terzi – certamente dimostrano la presa di coscienza da parte di quest’ultima della gravità del fenomeno delle chiamate promozionali illecite, e la volontà di arginarlo.

Tuttavia, ad avviso del Garante, non possono non evidenziarsi i limiti e le criticità riscontrati in merito ad alcune delle procedure adottate da Sky.

In primo luogo, con riferimento al trattamento di dati personali effettuato da Sky successivamente all’acquisizione delle liste di contattabilità da fornitori, si rileva che, se il consenso prestato dagli interessati ai predetti fornitori costituisce idonea base giuridica per la comunicazione di dati da titolare (i fornitori) a titolare (Sky), ciò non può valere anche in relazione al successivo trattamento in forza del quale Sky ha poi contattato gli interessati.

In particolare il Garante, con riguardo al (mancato) adempimento informativo, osserva che “Nel caso di specie, la Società non ha dimostrato di aver fornito agli interessati, destinatari di contatti promozionali da parte di un soggetto al quale non avevano rilasciato espressamente il consenso al trattamento dei dati per finalità promozionali, un’idonea informativa che li rendesse edotti, tra l’altro, ‘che il dato è stato raccolto presso terzi ed indicando il titolare originario del dato’, consentendogli, ad esempio, di revocare il consenso originariamente prestato al Terzo.”

Ulteriormente, il Garante, ha accertato che “lo script prodotto da Sky fa riferimento a ipotesi di contatto di persone presenti nei database di Sky ovvero negli elenchi telefonici (“nominativo Sky” e “nominativo estratto da elenchi telefonici”) e non contiene alcuna indicazione in merito al caso in esame in cui Sky ha effettuato i contatti promozionali sulla base dei contratti di cessione dei dati personali sottoscritti con Terzi. Tantomeno ciò risulta dalla memoria difensiva, contenente un’informativa privacy prospect in cui, sebbene si espliciti che la Società utilizza dati “forniti a Sky da società terze alle quali [l’interessato] ha fornito apposito consenso alla cessione dei dati per finalità di marketing ad aziende facenti parti delle categorie merceologiche indicate all’interno dell’informativa privacy erogata da tali società terze”, non è stata chiarita l’esatta origine del dato e inoltre non si comprende in quale occasione e con quali modalità tale informativa verrebbe comunicata all’interessato...

Vale rammentare che il regime di semplificazione previsto dalle note Linee guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013 prevede che:

  • “qualora l’interessato rilasci il ... consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale”;
  • e inoltre, se sono “stati forniti all’interessato anche gli altri elementi previsti all’art. 13 del Codice”, questi [i soggetti terzi] potranno effettuare attività promozionale senza rilasciare “agli interessati un’ulteriore informativa”;
  • “tale regime di semplificazione, come è evidente, fa riferimento esclusivamente alle “attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2”.

 

Alla luce di tali premesse Sky, per le attività promozionali effettuate mediante contatti con operatore umano, non può avvalersi del regime di semplificazione in questione, ma, nel corso del contatto promozionale, dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali comunicati alla Società stessa(in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento) e solo dopo aver acquisito il consenso potrà procedere ad effettuare la proposta promozionale[4].

In realtà, tuttavia, tale interpretazione – a modesto avviso della scrivente – non pare del tutto in linea con la ratio stessa delle menzionate Linee Guida, che parrebbe essere quella di agevolare lo scambio di dati e con esso gli scambi economici (ratio comunque chiaramente esplicitata dal GDPR fin dalla sua stessa rubrica e alla quale occorre dunque ispirare l’interpretazione attuale anche dei provvedimenti generali del Garante prima dell’avvento del Regolamento), con particolare riferimento alle attività di compravendita e fornitura di servizi, purché, restino ferme le ulteriori condizioni essenziali, di seguito evidenziate:

  • l’aver rilasciato il cedente un’informativa idonea che faccia riferimento alle singole imprese/società destinatarie dei dati, quali autonomi titolari del trattamento, per lo svolgimento delle loro proprie finalità, o almeno alle macrocategorie socio-economiche di afferenza delle società destinatarie del passaggio dei dati;
  • l’aver acquisito, da parte del cedente, un consenso specifico per la finalità promozionale, distinto da quello per la profilazione e ancor prima da quello contrattuale (la c.d. “accettazione di termini e servizi”).

 

Condivisibile risulta un’altra valutazione operata dal Garante, con specifico riferimento all’acquisizione delle liste di contattabilità da soggetti terzi. Il Garante non ha infatti ritenuto legittima la difesa di Sky in base alla quale la medesima, cessionaria di dati per finalità promozionale, “non sarebbe tenuta a verificare la corretta acquisizione da parte dei medesimi soggetti terzi del consenso per la comunicazione dei dati né ad effettuare operazioni di scrematura dei predetti dati rispetto a quelli inseriti nelle proprie black list.”

Come ha ribadito il Garante, se la campagna promozionale è indirizzata a promuovere servizi di una determinata società (nel nostro caso: Sky) che abbia ricevuto i dati di contatto da parte di soggetti Terzi, “è onere della stessa Sky verificare che i soggetti che vengono contattati siano soggetti ‘consensati’ e, cosa ancora più importante, non siano persone che abbiano espresso un’inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi della Società. Se così non fosse, le norme relative al diritto di opposizione per i trattamenti pubblicitari potrebbero essere facilmente eluse, poiché la revoca del consenso effettuata nei confronti di un titolare non determinerebbe la cessazione dei contatti promozionali. Ciò, oltre a determinare un risultato giuridicamente illogico (lo svuotamento del diritto di opposizione), comporterebbe l’ulteriore grave conseguenza che l’interessato non potrebbe più controllare la sorte dei suoi dati, posto che nemmeno una chiara opposizione ai contatti promozionali rivolta a un titolare potrebbe portare alla definitiva cessazione di tali contatti.” È evidente l’approccio precauzionale, oltre che sostanziale, rispetto all’interpretazione della normativa relativa ai diritti degli interessati, nell’ambito di una visione ordinamentale coerente e chiara.

Un apposito cenno meritano anche i provvedimenti richiamati dalla Società[5]. Infatti, in vero, tali provvedimenti non sembrano in alcun modo giovare alla difesa della Società, ma anzi contribuiscono a fondare la correttezza argomentativa del provvedimento in esame nell’odierno contributo.

Infatti, il primo si riferisce a doglianze relative a chiamate promozionali indesiderate avvenute senza aver manifestato alcun consenso e, in alcuni casi, nonostante l’iscrizione delle rispettive utenze nel cd. Registro delle opposizioni.

Il secondo già chiaramente prevedeva che chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; inoltre, nel momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa affinché l’interessato possa esercitare i diritti riconosciuti dalla legge. E si badi, secondo l’Autorità, la verifica non va fatta a campione, ma andrebbe – di regola– effettuata su ogni singolo dato di contatto, prima del suo utilizzo per la finalità promozionale.

L’Autorità prende atto che Sky –contrariamente alla corretta impostazione sopra indicata – ha invece dichiarato: – di aver “comunque effettuato controlli a campione sui consensi raccolti”. In particolare, in sede di audizione, Sky ha precisato di aver dato luogo dal 2013 al giugno 2021 a “16 audit di terze parti”, aggiungendo di aver “progressivamente abbandonato l’utilizzo di contratti di cessione dati (‘Cessione Leads’), preferendo … modalità meno invasive delle telefonate, tra cui l’SMS”. 

E qui non si può non notare, un erroneo convincimento della Società, pur non censurato dal provvedimento in parola: ossia che le modalità automatizzate siano meno invasive delle telefonate. In realtà infatti – anche se le telefonate con operatore fisico sono la modalità ancora oggi più impiegata e quindi anche oggetto della maggior parte delle doglianze pervenienti all’Autorità– sono le email, gli sms e le telefonate preregistrate – non consentendo all’interessato di interloquire con un operatore umano – ad essere più invasive, ed infatti abbisognano sempre del consenso preventivo. In tale ottica, ammettono l’unica eccezione del c.d soft spam (art. 130, comma 4, Codice) e non invece il meccanismo di opt–out previsto dalla disciplina del registro delle opposizioni.

Il provvedimento, in un’ottica decisamente equilibrata, comunque riconosce l’impegno di Sky nel cercare di arginare il fenomeno delle chiamate indesiderate, tuttavia, senza poter trascurare che “numerosi contatti sono stati posti in essere in violazione delle disposizioni in materia di informativa, consenso e accountability”.

3. Le concrete modalità del contatto promozionale

Come osserva il Garante nel provvedimento in esame, Sky avrebbe smentito la doglianza espressa da alcuni segnalanti di essere stati destinatari di numerose telefonate da parte dei call-center della Società nell’arco di pochi giorni, eccependo che il sistema consente di effettuare nei confronti del medesimo interessato al “massimo 28 tentativi di chiamata per anno”. Al riguardo, deve rilevarsi che tale impostazione oltre a contrastare con quanto dichiarato da diversi segnalanti, appare in ogni caso idonea a determinare un rilevante disagio per l’interessato soprattutto perché, oltre al siffatto sistema, va considerato che la Società non è riuscita a comprovare la procedura in base alla quale i call–center acquisivano e registravano le opposizioni espresse dagli interessati nel corso del contatto telefonico.

Al riguardo val la pena ancora osservare che, tale censura potrebbe configurare anche un’ulteriore violazione: quella del fondamentale principio della correttezza del trattamento[6], avente propria autonoma dignità rispetto a quello di liceità del trattamento. Principio che, potremmo ben dire, può conoscere vita autonoma rispetto a puntuali adempimenti, come quelli relativi all’idonea informativa e al consenso libero e specifico per il marketing, attenendo alle modalità proprie della condotta di trattamento (come la frequenza e l’esecuzione dell’operazione di trattamento). In altri termini, parliamo di una violazione del principio (civilistico e costituzionale) di buona fede ‘oggettiva’[7], quale dovere, nell’esercizio dei propri diritti, di salvaguardare anche i diritti di controparte o terzi, nell’ambito di un opportuno e delicato bilanciamento fra diritto alla protezione dei dati e libertà d’iniziativa economica, di cui il marketing è indispensabile volano[8]. 

Ebbene, in un caso specifico recentemente affrontato dal Garante (Planet Group, call center di Tim) la mancanza di correttezza, in concreto, è stata ravvisata nell’elevata frequenza di alcuni contatti promozionali, tanto che un utente è risultato esser stato contattato, peraltro nonostante la sua opposizione, anche 155 volte in un solo mese[9]. A dir di più, occorre sottolineare che tale ulteriore inadempimento ha comportato, in via opportunamente comparativa, l’applicazione di una sanzione più elevata rispetto ad altri 2 call center (Plurima e Mediacom), ove tale particolare modalità comportamentale non è stata invece ravvisata

Tornando al provvedimento Sky, è bene evidenziare le seguenti criticità rilevate dal Garante, che possiamo ritenere collegate e reciprocamente aggravate da un evidente fil rouge: la  mancata verifica della legittimità della comunicazione dei dati da Wind Tre S.p.A. al list provider che ha poi rifornito Sky ; l’omesso controllo sull’informativa resa dai fornitori agli interessati al momento del primo contatto; il non aver correttamente nominato i fornitori quali responsabili del trattamento; il non aver adottato procedure di filtraggio delle liste di contattabilità poste nella disponibilità del soggetto che ha svolto i contatti promozionali; ciò, nell’ambito di un disegno dei trattamenti complessivamente carente.

4. La titolarità del trattamento e il ruolo dei vari attori della filiera della campagna promozi...

Dall’istruttoria svolta è emerso che Sky ha sottoscritto contratti di advertising con alcuni fornitori per lo svolgimento di “un’attività promo pubblicitaria... che si realizzerà attraverso una serie di campagne pubblicitarie… per promuovere la sottoscrizione di contratti televisivi a pagamento di Sky... tramite SMS rivolti ad un target di clienti” del fornitore, che hanno espresso consenso al marketing di terzi. Tale attività promozionale “è finalizzata a sollecitare i clienti, una volta ricevuta la comunicazione pubblicitaria, a inviare un SMS con testo ‘OK’ a una numerazione [del fornitore] per essere ricontattati da Sky. Solo successivamente al rilascio del suddetto consenso, [il fornitore] si impegna a comunicare a Sky il numero dell’utenza cellulare... dei clienti che hanno autorizzato ad essere ricontattati da un operatore telefonico Sky per la promozione dell’offerta”.

Al riguardo, si può condividere la valutazione negativa del Garante con riferimento all’impostazione di Sky secondo cui in una prima fase “i partner sono classificati titolari autonomi” in quanto “si occupano … dei trattamenti... per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi”.

Nel caso di specie,  come puntualmente rilevato dall’Autorità, “la campagna promozionale effettuata dai partner/fornitori per conto di Sky non è costituita dalla mera illustrazione dei servizi e dei prodotti della Società, ma dall’invio di sms promozionali finalizzati ad ottenere un flusso di informazioni di ritorno verso questi ultimi (la risposta positiva del soggetto contattato a ricevere la promozione di Sky) e una comunicazione dei dati di contatto alla stessa Sky, a fronte di un opt-in (l’SMS di “OK”)”.

Ciò, con un evidente intervento di Sky nelle finalità e modalità del trattamento, e quindi con il conseguente ed ineludibile corollario dell’imputazione della titolarità anzitutto alla società committente.

Secondo il provvedimento in commento, i partner/fornitori, che trasmettono sms promozionali ai propri interessati al fine di promuovere dei servizi per conto di Sky nonché al fine di “sollecitare i clienti...a inviare un SMS con testo OK’ per essere ricontattati da Sky”, operano di fatto, e a tutti gli effetti, come se fossero stati ‘preposti dal titolare al trattamento di dati personali’, dunque in piena e sostanziale aderenza alla definizione del ‘responsabile’, di cui al chiaro disposto dell’art. 28  GDPR[10].

In vero, dice in modo convincente il Garante, “una differente impostazione, oltre a rappresentare una marcata forzatura delle regole in materia di protezione dei dati personali laddove arbitrariamente si modificano ruoli e responsabilità dei vari soggetti che concorrono a realizzare un trattamento che invece deve considerarsi unitario, principalmente a garanzia degli interessati, renderebbe il committente della campagna pubblicitaria, in questo caso Sky, del tutto estraneo e “irresponsabile” da scelte e processi che sono ricompresi a pieno titolo nella campagna medesima e che hanno quale unica finalità e conseguenza quella di far confluire, proprio nei database del committente, informazioni personali dei c.d. “prospect” al fine di veicolare nei confronti degli stessi una articolata proposta commerciale relativa ai propri servizi. La conseguenza di tale impostazione è idonea a impedire all’interessato il pieno controllo dei propri dati e un compiuto esercizio dei diritti nei confronti del soggetto nell’interesse del quale i trattamenti sono svolti.”

Prima di proseguire occorre però chiedersi se il provvedimento generale precedentemente citato in nota e in vero ormai parecchio datato (2011) – intervenuto a dare chiarimenti e indicazioni con riguardo alla gestione della filiera del telemarketing – possa/debba ritenersi tuttora valido (a dispetto del notevole lasso di tempo trascorso).

Orbene, le sue statuizioni, a modesto parere della scrivente, mutatis mutandis con limitato riferimento ai parametri normativi aggiornati dal GDPR, possono ritenersi tuttora validi, considerato in particolare che i ruoli del trattamento erano già disciplinati dal codice del 2003 e ancor prima dalla direttiva fondamentale 46/1995/CE, emanata dal Parlamento europeo e del Consiglio, il 24 ottobre 1995, già – al pari proprio del GDPR– dichiaratamente finalizzata alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati nella Comunità.

Possiamo dunque riprendere – applicando anche al caso di Sky – quanto stabilito dal provvedimento generale del 2011, ossia che le agenzie in outsourcing “non possono essere considerate quali titolari autonomi, dal momento che all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:

  • assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;
  • impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;
  • svolgere funzioni di controllo rispetto all’operato degli outsourcer medesimi”.

 

In un equo contemperamento fra libertà d’impresa ed iniziativa economica di cui all’art. 41 Cost., da un lato, diritto alla protezione dei dati personali, dall’altro, il medesimo provvedimento stabilisce che:

“È … sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia – come nei casi esaminati – il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali … già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice (ora dell’art. 28 del GDPR), ricevano anche una espressa e formale designazione in tal senso,”.

Alla luce di tutto ciò, può ben convenirsi sulla conseguenza trattane dall’Autorità per il caso di Sky, valorizzando l’impianto dei principi statuiti dal GDPR, garantendone il necessario coordinamento con il sistema dei ruoli e delle relative mansioni nonché delle connesse (ineludibili, perlomeno nella rigorosa ottica del GDPR ) responsabilità, ed in particolare che:

“Dalla designazione a responsabile del trattamento … deriva l’obbligo del titolare di vigilare sull’operato di quest'ultimo. I nuovi principi dettati del Regolamento inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione (accountability) e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.”[11]

Nella fattispecie, Sky agendo di fatto come “titolare anche con riferimento alla cosiddetta prima fase della campagna promozionale avrebbe potuto, rectius: dovuto verificare che i soggetti contattati avessero ottenuto l’informativa e rilasciato un idoneo consenso alla ricezione di SMS promozionali ed anche che non fossero inseriti nelle black list della Società”[12].

Ciò, sulla base del chiaro presupposto che di regola un dato di contatto presente in black list sottende, in sede di raccolta dei dati oppure in altro momento (magari in occasione di una campagna di telemarketing) un’opzione negativa, da parte dell’interessato, alla finalità promozionale; ovvero, la revoca del consenso originariamente prestato.

Tornando al ragionamento del Garante, “Successivamente … a fronte dell’OK espresso dagli interessati, Sky avrebbe potuto contattare questi ultimi ma, in occasione del contatto avrebbe dovuto fornire gli elementi di cui all’art. 14 del Regolamento e acquisire il consenso per il contatto promozionale con operatore umano, cosa che sulla base della documentazione fornita dalla Società non risulta sia avvenuta.”

A ben vedere, l’orientamento espresso dal Garante sul punto può dirsi coerente con quanto stabilito l’11 marzo scorso con i 3 provvedimenti adottati nei confronti di tre società di call center di Tim[13], valorizzando anche in tal caso la posizione del committente, muovendo da elementi fattuali che complessivamente denotavano la determinazione, o perlomeno la condivisione, da parte di Tim di finalità e modalità del trattamento, e comunque l'incameramento a beneficio della stessa società committente, dei contratti stipulati dai call center contattando utenze cosiddette ‘fuori lista’.

Infatti, in tale occasione i 3 call center – in vero debitamente nominati ‘responsabili’ da Tim per quanto riguarda il trattamento delle liste di Tim stessa nell’ambito delle campagne promozionali commissionate –che avevano utilizzato anche proprie liste di dati, sono stati ritenuti dal Garante come titolari di fatto,  dei trattamenti promozionali relativi alle numerazioni “fuori lista” o “referenziate”, con la conseguente applicabilità di principi ed obblighi in materia di protezione dei dati in capo tanto alla committente quanto ai call center[14].

In base agli atti, infatti – come osservato dall’Autorità nei tre rispettivi provvedimenti – tali call center hanno contribuito a stabilire sia le finalità promozionali sia le modalità di contatto[15], organizzando quest’ultime in assenza di istruzioni operative formalizzate dalla committente; modalità di fatto poi accettate da Tim, che ha recepito i contratti conclusi e introitato le relative utilità.  Essi risultano aver operato eccedendo, di fatto, rispetto al ruolo di mero responsabile “del trattamento formalmente affidato per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM”[16]. Ciò anche in considerazione della circostanza che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica[17].

Infatti, con specifico riguardo alle telefonate effettuate nei confronti di utenze “fuori lista”, è risultato che sono stati contattati soggetti “referenziati”, in base “a una costante prassi operativa riconducibile a una cosciente scelta aziendale della tre società in questione, e non riferibile ad eccezionali iniziative dal personale operativo presso le medesime”.

Al contempo, è però chiaro come – anche qui potendo aderire alla valutazione fatta dall’Autorità – vada distinto il ruolo dei call center che hanno eseguito le campagne promozionali da quello del committente, “invero preponderante e ben più incisivo, con riguardo alle dinamiche e prassi operative condivise nonché all’introitamento dei profitti derivanti dalle campagne promozionali”, soprattutto con riferimento alla determinazione del quantum delle sanzioni.

5. Le numerazioni non riconducibili alla rete di vendita della Società

Il Garante ha deciso di accogliere le difese di Sky con riguardo alla disciplina della gestione del consenso e della sua revoca, ma con limitato riferimento “ai contatti telefonici effettuati da numerazioni non riconducibili alla rete di vendita della Società”.

Infatti, l’Autorità ha valutato positivamente il processo di contact policy – come descritto da Sky che si è chiaramente assunta la responsabilità anche della sua veridicità ai sensi dell’art. 168 del Codice – relativo al contrasto dei contatti pubblicitari illeciti ad opera di soggetti estranei alla rete commerciale di Sky. In particolare, la Società, “a differenza di altre società, ha evidenziato di aver centralizzato sul proprio sistema le liste per l’attività di telemarketing alle quali i c.d. telesellers accedono per effettuare le chiamate. “Peraltro, tutte le chiamate rivolte agli interessati risultano effettuate da un’unica numerazione uscente … e Sky definisce e controlla continuamente le logiche di contatto, guidando e verificando l’operatività in termini di assegnazione di contatto ad ogni teleseller/call center (ossia, ai fornitori designati responsabili esterni)”.

Come rilevato dalla Società, la centralizzazione della gestione delle campagne dovrebbe permettere di evitare, o comunque di contenere, una serie di attività, con finalità evidentemente pubblicitaria, particolarmente insidiose sul fronte del diritto alla protezione dei dati, perché non facilmente controllabili e verificabili e dunque connotate da un intrinseco rischio di violazione:

  • il fenomeno delle chiamate non controllate;
  • quello delle chiamate fuori lista;
  • quello delle chiamate manuali.

 

Al riguardo, ben sappiamo che le chiamate manuali e/o fuori lista sono proprio quelle che possono comportare, più facilmente e con maggiore frequenza statistica, possibili violazione dei fondamentali presidi dell’informativa e del consenso, fisiologicamente sfuggendo – alla luce di condotte delle società committente, perlomeno, colpose – all’effettiva capacità di controllo da parte delle committenti stesse.

Al riguardo, paradigmatico è stato il caso del provvedimento adottato dal Garante il 15 gennaio 2020 n. 7[18], nei confronti di Tim S.p.a., che , come osservato in precedenza dalla sottoscritta[19], contiene un vero e proprio testo di rinnovate Linee Guida sul marketing, compreso il telemarketing ed altre modalità di trattamento per la finalità pubblicitaria, come: la raccolta dei dati on line[20] e mediante app per finalità varie come il marketing, la geolocalizzazione o la comunicazione di dati a terzi; –l’attività di marketing mediante modalità automatizzate; – la conservazione dei dati e, in via correlata, l'episodico illegittimo utilizzo (per finalità di marketing) dei dati dei clienti di altri operatori, detenuti da Tim in quanto gestore delle reti[21]

Il macro–provvedimento suindicato ha fatto emergere, e ‘certificato’, varie ricorrenti criticità individuabili nella prassi operativa del telemarketing. Fra queste, va sicuramente menzionata l’assenza, perlomeno nella fattispecie, di qualunque policy, anche solo informale, per la corretta gestione di tali tipologie di utenze fuori lista, c.d. ‘referenziate’, perché suggerite da soggetti a loro volta legittimamente contattati in quanto estratti da Tim dalle proprie liste debitamente ‘consensate’. Ciò, lasciando di fatto l’operatività concreta di tali dati alla varie possibili scelte delle diverse società di call center contrattualizzate da Tim e comportando così, in più casi, contatti effettuati senza l’acquisizione del necessario preventivo consenso o la necessaria previa verifica dei dati presso il RPO; contatti non giustificabili neanche in base ad un’applicazione alquanto smagliata e debole della trama normativa relativa al legittimo interesse quale base giuridica idonea ai sensi dell’art. 6 GDPR, in particolare in difetto di tutte le necessarie condizioni e garanzie stabilite dal legislatore comunitario  e dal Gruppo dei Garanti europeo ex art. 29 direttiva 95/46/Ce (ora con l’entrata in vigore del GDPR : Comitato europeo per la protezione dei dati)[22].

Ciò rappresentato, possiamo rilevare che la procedura centralizzata adottata da Sky consentirebbe di garantire una politica  “omogenea, nel trattamento del contatto, vincolando i call center al rispetto di criteri relativi alle modalità di contatto (orari delle chiamate, frequenza di contatto, numero massimo di tentativo di contatto)  di sapere sempre ed avere costante evidenza di avere o meno effettuato delle chiamate (e di poter quindi in ogni momento dimostrare di non averle effettuate e legittimamente disconoscerle)”, con una buona applicazione e valorizzazione in concreto dei fondamentali principi di accountability e privacy by design.

Inoltre, la centralizzazione delle anagrafiche appare, almeno astrattamente, idonea “a escludere che da contatti promozionali effettuati fuori dalla rete di vendita della Società possano derivare contratti poi registrati nei database di Sky.

A ciò deve aggiungersi la circostanza, nel caso di Sky, del numero limitato di soggetti contattati da utenze telefoniche poi disconosciute dalla Società. Orbene, al riguardo, va subito evidenziato che, ai fini dell’applicazione dei provvedimenti correttivi previsti dall’art. 58 del GDPR e delle sanzioni amministrative di cui all’art. 83 del GDPR, la numerosità di doglianze/violazioni/interessati non incide tanto sull’an quanto invece sul quantum della sanzione o ancora sul tipo di provvedimento adottato (meramente inibitorio o anche correttivo), dato che, in concreto,  numeri consistenti possono portare a prescrizioni particolarmente puntuali e stringenti e a sanzioni di elevato importo. In vero, dunque, alla luce di tale precisazione, il presente provvedimento del Garante – se consideriamo la varietà e gravità delle violazioni riscontrate e la rilevanza socio-economica della Società – non appare eccessivamente severo ma correttamente proporzionato agli aspetti qualitativi e quantitativi delle violazioni rilevate nella fattispecie esaminata e ‘disciplinata’ dall’Autorità.

6. Il servizio “Call me now”

II servizio “Call me now” consente un ricontatto pianificato del prospect client direttamente tramite il sito web di Sky (Call me Now Sky), o anche a seguito di accordi commerciali o partnership (Call me now Partner).

Come si evince dal provvedimento in commento, dalla documentazione prodotta dalla Società in riscontro alle richieste di informazioni formulate dall’Autorità, emergeva inizialmente la carenza di un’informativa ad hoc in relazione al servizio “Call me now”, nonché emergeva la carenza di un sistema che consentisse all’utente di interrompere agevolmente il flusso di chiamate derivanti dal suo “clic” sul tasto “Richiamami”, così da consentirgli, in concreto, di esercitare il suo diritto di opposizione al trattamento.

Il Garante ha poi preso atto dei chiarimenti successivamente forniti dalla Società al riguardo.  Infatti, dalla documentazione prodotta in sede di memoria difensiva, è risultato invece che la Società ha un’informativa ad hoc in relazione a tali servizi, in cui ha spiegato il funzionamento, le modalità di trattamento dei dati e di ricontatto dell’utente. L’informativa, infatti, si preoccupa di avvisare l’utente che, attivando il servizio, “Sky ti richiamerà una sola volta seguendo esclusivamente le indicazioni da te fornite e non procederà ad ulteriori successivi ricontatti”.

L’Autorità Garante, alla luce di quanto rappresentato dalla Società, dal momento che in questo caso non è previsto un “flusso di chiamate” a seguito della richiesta dell’utente di essere ricontattato bensì una sola chiamata, con costante approccio casistico, ha ritenuto proporzionata la procedura di disattivazione del servizio tramite l’invio di una e-mail.

7. La gestione dei diritti degli interessati

L’Autorità, nel caso in commento, ha accertato l’effettuazione di un contatto promozionale nonostante l’interessato avesse esercitato il diritto di opposizione attraverso l’indirizzo p.e.c. ufficiale della Società e, pertanto, ha constatato che la Società non ha adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato”, ai sensi dell’art. 12, comma 2, del GDPR, tra cui il diritto di opposizione, evidenziando altresì che la presente violazione appare riconducibile ad una criticità di sistema, e quindi di tipo strutturale nell’ambito dell’impostazione dei trattamenti da parte della Società.

In particolare, il Garante – accertato che l’indirizzo p.e.c., utilizzato del reclamante per formalizzare la sua richiesta, corrisponde ad una utenza di posta elettronica certificata della Società (peraltro indicata quale indirizzo ufficiale di contatto nel registro delle imprese) – ha ritenuto essere del tutto ingiustificato il mancato riscontro ad una missiva regolarmente pervenuta tramite mail certificata nei sistemi societari[23]. La procedura implementata da Sky per consentire agli interessati di opporsi ai contatti promozionali – osserva il Garante – non essendo supportata da una verifica dei principali canali di comunicazione della Società (ossia l’indirizzo di posta elettronica certificata della Società), risulta non essere idonea a fornire agli utenti alcun utile contributo.

Inoltre, la circostanza che la richiesta di opposizione dell’interessato, nel caso di specie, sia stata registrata e gestita a distanza di sette mesi e solo successivamente alla richiesta di informazioni formulata dall’Autorità ha sollevato, in quest’ultima, dubbi in merito alla gestione di tutte le eventuali ulteriori richieste di esercizio dei diritti, da parte degli interessati, indirizzate alla Società attraverso l’indirizzo p.e.c. indicato nel registro delle imprese.

Peraltro, a modesto avviso della scrivente, in considerazione della necessità di una tutela sostanziale dell’esercizio di un diritto, è senz’altro condivisibile quanto ritenuto dal Garante, ossia che la mancata adozione di un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione, comporta la contestuale violazione delle disposizioni del Regolamento, contenute negli artt. 5, 6, 7, 12 par. 2 e 21, con l’emersione di un particolare disvalore della condotta tenuta dal titolare.

È da sottolineare, al contempo, per una completa e quindi corretta rappresentazione delle valutazioni dell’Autorità, come il Garante abbia dato atto che, in linea generale, le misure di rafforzamento adottate dalla Società “con l’aggiunta ai canali utilizzabili da parte dell’interessato anche della pec,  il rafforzamento dell’automatismo di smistamento in uso [nonché] azioni formative dedicate al personale dedicato alla gestione della casella pec” certamente dimostrano la fattiva collaborazione della Società con la Autorità.

8. Il decisum del Garante

Prima di parlare della parte sanzionatoria del provvedimento oggetto di commento, pare opportuno, se non necessario, vedere come l’Autorità sia intervenuta a regolare e correggere i trattamenti di dati di Sky, per garantirne la correttezza e legittimità mediante il pieno adeguamento alla normativa.

In tale prospettiva, risulta imprescindibile osservare come con il GDPR, ed in particolare con il principio di accountability (art. 24), si sia ristretta la sfera discrezionale ed operativa connessa al potere correttivo del Garante (riconosciuto già dal Codice previgente mediante lo strumento delle prescrizioni)[24]. Nella detta ottica, evidentemente l’accountability viene in rilievo anzitutto come principio di auto–responsabilizzazione a 360°, più che come capacità di comprovare, al momento opportuno (in particolare in sede di controllo da parte del Garante) gli adempimenti della normativa privacy.

Nella fattispecie, si distingue, in senso logico-giuridico, anzitutto il divieto di proseguire il trattamento con finalità promozionale effettuato mediante liste acquisite da soggetti terzi in assenza di tre condizioni operative, tutte necessarie (per non far scattare l’inibizione): 1 – delle verifiche sul consenso alla comunicazione dei dati; 2 – del rilascio di un’idonea informativa al momento del primo contatto; 3 – dell’acquisizione di un consenso per comunicazioni promozionali effettuate da operatori umani.

Le misure correttive in particolare hanno riguardato invece:

 

a.       la modifica della policy in materia di telemarketing al fine di prevedere che i contatti promozionali svolti mediante i partner/fornitori siano preceduti dalla designazione degli stessi quali responsabili in relazione a tutte le fasi del trattamento;

b.       l’agevolazione dell’esercizio del diritto di opposizione, “prevedendo tra i canali di ricezione delle relative richieste anche la p.e.c. indicata nel registro delle imprese.”

 

Nel caso di Sky, dunque, l’Autorità – differentemente da altri interventi[25]– è giunta ad individuare una precisa modalità gestionale tale da garantire gli interessati nell’esercizio dei diritti previsti dal GDPR, ossia la posta elettronica certificata, facendolo il perno di una formale prescrizione e non di una misura semplicemente suggerita come opportuna o preferibile. In quanto si tratta di prescrizione, il suo valore vincolante è certo e contestabile solo per il tramite del ricorso all’autorità giudiziaria ordinaria, non consentendo né un diniego da parte della Società, né la scelta di modalità, differenti, ed alternative alla pec, quali l’utilizzo delle aree riservate sul portale on line oppure la posta elettronica ordinaria.

9. La logica di applicazione delle sanzioni pecuniarie

Per una migliore panoramica dell’attività sanzionatoria del Garante, e del relativo trend, si ricorda altresì che sono state adottati pochi mesi prima del provv. Sky (e precisamente l’11 marzo 2021), per le tre società di call center di Tim spa, sanzioni di importo differente, in modo opportunamente comparato, considerando e tenendo in debito conto anche il differente livello di gravità delle medesime violazioni riscontrate (attinenti, in particolare, alla disciplina del consenso e del principio di liceità del trattamento), in termini sia quantitativi (numero delle utenze contattate in assenza di idonea base giuridica ex artt. 6-7 del Regolamento), sia qualitativi[26].

Come dimostrano tali recenti provvedimenti, con specifico riferimento al quantum delle sanzioni applicate[27], l’Autorità si è ben calata nella realtà socio-economica attuale, provvedendo al fondamentale bilanciamento, a livello trasversale, di diritti e libertà fondamentali. Bilanciamento che costituisce sua prerogativa istituzionale e che riflette il consolidato orientamento giurisprudenziale, anche della Consulta, in base al quale nessun diritto fondamentale, anche se direttamente attinente alla persona (qual è il diritto alla protezione dei dati), può vantare un carattere assoluto e ‘tiranno’, ma si deve sempre confrontare con gli altri diritti e libertà che rilevino contestualmente nella medesima fattispecie. Con la conseguenza di dover accettare un certo livello di compressione che si renda, di volta in volta, necessario per poter dar tutela agli altri diritti, fra cui sicuramente si pone quello all’iniziativa economica, incontrando però un limite tendenzialmente invalicabile nel nucleo essenziale del diritto ‘mediato’ (nel caso del diritto alla protezione dei dati, il nucleo pare potersi individuare nella dimensione ‘rimediale’ dei diritti degli interessati).

Tornando alla fattispecie oggetto di commento, per la determinazione del massimo edittale della sanzione pecuniaria, l’Autorità ha ritenuto di dover fare riferimento al fatturato di Sky Italia S.r.l. (anziché del gruppo societario complessivo), in accordo con i precedenti provvedimenti adottati dall’Autorità.

Per la determinazione dell’ammontare della sanzione il Garante ha condivisibilmente valorizzato gli elementi indicati nell’art. 83, par. 2, del Regolamento, ed in particolare:

  1. quale fattore aggravante, il carattere di gravità delle violazioni[28], che si riferiscono a condotte “di sistema” quindi radicate nelle procedure societarie; 
  2. quale fattore aggravante, il carattere significativamente negligente delle condotte[29], posto che le costanti interlocuzioni di Sky con l’Autorità e la presenza della Società nel mercato da molti anni avrebbero dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo;
  3. quale fattore attenuante, le misure adottate – di cui si è detto sopra – dalla Società per mitigare gli effetti delle condotte contestate[30];
  4. quale fattore attenuante, la cooperazione con l’Autorità[31] nel corso dell’istruttoria preliminare, anche in ragione delle dimensioni della Società e della complessità dei trattamenti, cosicché una concreta collaborazione ha reso più agevole lo svolgimento delle attività di indagine in particolare nel delicato periodo di emergenza pandemica.

 

Dalla lettura del provvedimento Sky non si evince però in vero come le citate circostanze attenuanti ed aggravanti abbiano inciso sul quantum finale della sanzione e neanche come siano state valutate nel rapporto fra loro, cioè secondo una logica di equivalenza o di prevalenza delle une o delle altre.

Emerge al contempo, tuttavia, un’applicazione opportunamente comparata nonché sostanzialmente equitativa con le altre sanzioni applicate alle TELCO (TIM, Vodafone, Wind, Tre, Fastweb), pur non esplicitata nel testo.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività[32] e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al dichiarato, ed in vero apprezzabile “fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società”, l’Autorità ha infine applicato a Sky Italia S.r.l. la sanzione  di euro 3.296.326,00 pari al 2,5% della sanzione massima edittale.

Anche in questo caso, come per le altre TELCO, l’Autorità ha ritenuto necessario applicare anche la sanzione accessoria della pubblicazione sul sito istituzionale del Garante del provvedimento[33], “tenuto conto della invasività dei trattamenti con operatore umano nell’ambito del telemarketing nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame”, rinnovando il riferimento a considerazioni già presenti nelle altre analoghe circostanze. Ciò, anche ad attestare la peculiarità delle tipologie di pregiudizi collegati o comunque collegabili al telemarketing indesiderato, ossia la numerosità degli interessati coinvolti e soprattutto il carattere molesto di tale trattamento rispetto alla vita quotidiana dei soggetti destinatari–‘interessati’ ai sensi del GDPR.

10. Osservazioni conclusive

L’impostazione complessivamente seguita dall’Autorità per Sky, come per i 3 suddetti call center, può dirsi anzitutto di tipo ‘casistico’, in quanto attenta ai profili comuni delle rispettive fattispecie ma anche ai loro tratti peculiari. Conseguentemente, essa può ritenersi anche sufficientemente ragionevole (oltre che comprovata con specifico riguardo agli elementi acquisiti dall’Ufficio) – tale dunque da impedire all’interprete di ravvisare illogiche disparità di trattamento – e soprattutto idonea a guidare gli operatori del settore (non solo i titolari del trattamento, ma anche i legali, i consulenti, i DPO, ognuno chiaramente nei limiti delle proprie funzioni) verso una corretta gestione delle quotidiane attività di marketing, a partire dall’organizzazione delle campagne mediante strutture esterne di call center. Ciò, senza ledere in modo eccessivo l’accountability – quale auto-responsabilità e prima ancora quale irriducibile potere gestorio ed organizzativo dell’impresa– delle società coinvolte nel trattamento.

Come già osservato in precedenti occasioni, può ben dirsi che anche il provvedimento Sky, pur adottato nei confronti di specifiche società del settore TELCO, in ragione dei chiarimenti forniti, si pone come fonte di vere e proprie Linee Guida per gli operatori del settore su come intendere alcuni istituti ed adempimenti[34], alimentando una corretta cultura in materia di protezione dei dati[35]

Va affermandosi un modello di Autorità efficiente quanto trasparente, nonostante i conflitti di competenza che – perlomeno concettualmente ma anche nella gestione delle istruttorie nonché nell’adozione dei correlati provvedimenti – di recente son emersi con altre Istituzioni pubbliche come Authorities, in particolare con AGCM rispetto a questioni  ‘centrali’, come la ‘commerciabilità’ dei dati personali, ed adempimenti ‘strutturali’, quali informativa e consenso[36], nell’ambito della vigente normativa in materia di protezione dei dati o, ancor più di recente, con AGCOM  rispetto al contenuto della disciplina attuativa della riforma del RPO, declamata per principi dalla Legge n. 5/2018[37].

Peraltro, ciò spesso si abbina ad evidenti discrasie ordinamentali, difficilmente risolvibili e riconducibili ad unità, in ragione di approcci ed orientamenti non solo fra loro incoerenti, ma profondamente differenti.

Anche in questo caso mi sembra di poter condividere lo sforzo del Garante teso a garantire il principio di certezza del diritto e dei traffici giuridici-economici, attraverso prassi applicative coerenti ed auspicabilmente uniformi a livello nazionale ed anche al superiore livello europeo.

Il Garante italiano, non solo in ragione del suo costante attivismo su tematiche centrali e nuove come l’AI e le piattaforme social gestite dagli over the top, ma anche grazie a tale prassi di attenta ed equilibrata applicazione delle norme e degli strumenti del GDPR, pare potersi porre a modello di efficienza e di uniformizzazione sempre maggiore a livello europeo.

1

Doc. web n. 9706389 in www.gpdp.it.

2

V. newsletter “Garante Telemarketing selvaggio, il Garante privacy sanziona Sky Italia”, 19 ottobre 2021, in www.gpdp.it.

3

Ai sensi dell’art. 58, par. 2, lett. d) del GDPR.

4

Ciò, peraltro, risulta dal combinato disposto delle più disposizioni del GDPR: artt. 6, 7 e 14, par. 3, lett. b).

5

Provvedimento n. 280 del 9 maggio 2018, doc. web. 9025666 e provvedimento di carattere generale del 29 maggio 2003.

6

V. art.5, par.1, lett. a), GDPR.

7

Parametro normativo di necessario riferimento è quello dato dagli artt. 1175 e 1375 c.c.

8

Sul punto sia consentito il rinvio a S. Piselli, Il recente intervento del Garante sul telemarketing effettuato dai call center, in Privacy &, n.2/2021.

9

Come osserva l’Autorità nel provvedimento dell’11 marzo 2021, vs. Planet Group: “in ragione di modalità che appaiono invasive dei fondamentali diritti alla riservatezza e alla tranquillità individuale”.

10

V. il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web n. 1821257.

11

In questo senso milita il chiaro disposto dell’art. 24 del GDPR di finalità e modalità del trattamento.

12

Provv. vs Sky in commento, al par 2.2.2.

13

Newsletter 27/04/21 - Telemarketing selvaggio: Garante sanziona tre call center, in www.gdpd.it.

14

Con riguardo ai suddetti effetti, dunque, secondo il condivisibile parere dell’Autorità, non assume rilievo distinguere fra la posizione di titolare autonomo e quella di titolare congiunto con la committente.

15

V. art. 28 del Regolamento.

16

Per un’altra chiara applicazione di tipo ‘fattuale’ e ‘sostanziale’ dei ruoli privacy (al di là di quelli formalizzati nei contratti), v. provv. 26 ottobre 2017, doc. web 732090, par. 3.2, ricco di riferimenti anche ai lavori europei: “ … con riguardo all´invio della comunicazione a contenuto promozionale, in prima battuta deve ritenersi che Venchi sia co-titolare del trattamento, avendo la Società in concreto determinato, secondo quanto stabilito dal Codice (cfr. art. 4, comma 1, lett. f), «anche unitamente ad altro titolare» (nel caso di specie il detentore del database contenente anche l´indirizzo e-mail del reclamante nonché autore dell´invio delle comunicazioni promozionali), «le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati […]». Invio avvenuto, per il tramite della catena di (sub-)contratti, nei quali peraltro alcuna previsione si rinviene in relazione al trattamento dei dati riferiti ai destinatari delle mail promozionali. In tal senso depone la circostanza secondo cui le decisioni concernenti il trattamento dei dati utilizzati nelle campagne di marketing materialmente inviati da altra società, peraltro nel caso di specie stabilita in un Paese terzo, sono state adottate, sulla base di una successione di accordi contrattuali "a cascata", attuativi del più ampio accordo stipulato con XY da V. che, in qualità di committente, si poneva come beneficiario delle campagne promozionali effettuate nel proprio interesse e a proprio nome. In tal modo la Società ha in concreto (co-)determinato le finalità del trattamento: come previsto dal menzionato art. 4, del Codice, essa ha infatti dato impulso all´invio delle comunicazioni a contenuto promozionale (nel caso di specie quelle oggetto del reclamo) e ha altresì individuato modalità e strumenti del trattamento in concreto effettuato (al riguardo v. anche Gruppo di lavoro articolo 29 per la protezione dei dati, WP 169, Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento adottato il 16 febbraio 2010, p. 8 ss.). Ciò, senza peraltro che la Società risulti aver posto in essere alcuna preliminare verifica circa il rispetto delle condizioni previste dalla disciplina di protezione dei dati in relazione all´invio delle comunicazioni a contenuto promozionale (ivi comprese le modalità utilizzate dal partner contrattuale per acquisire il consenso degli interessati, oggetto di censura al punto successivo), né aver in alcun modo disciplinato contrattualmente il ruolo dei partner contrattuali chiamati ad effettuare l´invio delle comunicazioni promozionali…..Indice ulteriore della ritenuta co-titolarità nel trattamento in questione può poi desumersi dal contenuto della comunicazione commerciale, inequivocabilmente diretta a promuovere prodotti commercializzati dalla Società, e peraltro recante oltre al marchio  societario anche la locuzione «ricevi questa mail in quanto iscritto al sito Venchi» che, seppur frutto di errore (come dichiarato da V), inequivocabilmente associa la ricezione del messaggio promozionale ad un´iniziativa della Società (circostanza peraltro reale, essendo la stessa riconducibile tra le prestazioni dedotte da Venchi in contratto).”

17

V. provv. 15 gennaio 2020, cit., par. 3.

 

18

Doc. web n. 9256486, in www.garanteprivacy.it.

19

Sia consentito di rinviare a S. Piselli, Il recente provvedimento del Garante verso TIM come possibile nuove ‘linea guida’ per il marketing?, in questa Rivista, n. 1/2020.

20

In particolare, sul sito web societario mediante il programma di fedeltà (“Tim Party”); profilo che invero sottende anche una questione particolarmente attuale e rilevante: ossia quella della ‘monetizzazione’ dei dati, rectius: del consenso al marketing.

21

Al contempo, il provvedimento in questione si pronuncia sui seguenti rilevanti temi giuridici ed economici:  - l'attuazione in concreto dei nuovi, e apparentemente fumosi, principi di privacy by design ed accountability (“auto-responsabilita”); - il  legittimo interesse al marketing, e in particolare se ed entro quali limiti tale presupposto giuridico possa fungere da base … per i trattamenti promozionali, in alternativa al consenso; - la declinazione del principio del consenso informato nell'ambito delle app;  - la (in) negoziabilità del libero e specifico consenso privacy, che si inserisce nella più ampia questione della commerciabilità e del valore economico dei dati personali, ammessa in altri ordinamenti come quello statunitense;  - la possibile contitolarità - e comunque la  responsabilità anche ai fini delle pesanti sanzioni pecuniarie ex art. 83 Regolamento - fra committente e call center di società terze, incaricate di effettuare le campagne promozionali;- l’applicazione delle menzionate sanzioni pecuniarie, fra le prime comminate dall’Autorità, con riguardo non solo al più ingente importo finora stabilito dal Garante italiano (circa 28 milioni di euro), ma anche ai criteri utilizzati per il calcolo in concreto di tale importo.

22

Vale a dire: “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”, previo un necessario test di bilanciamento avente ad oggetto tali diritti e libertà contrapposte e purché tale base giuridica sia stata chiaramente indicata nell’informativa rilasciata agli interessati ai sensi dell’art. 13 del GDPR.

 

23

Cfr., tra l’altro, il citato provv.  n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681: ordinanza ingiunzione nel confronti di Vodafone,  emessa a seguito di un procedimento che ha avuto origine da una istruttoria avviata dall’Autorità a seguito della ricezione di segnalazioni e reclami inviati da interessati che lamentavano continui contatti telefonici indesiderati effettuati da Vodafone e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.  Nell’ambito di una istruttoria molto ampia e complessa un insieme di reclami (nel numero di quattro) è risultato afferire alla corretta gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento. Nel provvedimento il Garante spiega “che in un caso..., Vodafone non ha fornito riscontro alle richieste del reclamante rappresentando che lo stesso avrebbe indirizzato le sue missive ad un indirizzo di posta elettronica certificata non corretto. Tuttavia” continua il Garante “è stato evidenziato che l’indirizzo PEC …, utilizzato per veicolare la richiesta del reclamante, corrisponde ad una utenza di posta elettronica certificata della Società (ancorché deputata alla gestione dei recessi contrattuali) e pertanto è stato considerato del tutto ingiustificato il mancato riscontro ad una missiva regolarmente pervenuta tramite mail certificata nei sistemi societari. Peraltro, si è osservato che l’indirizzo di posta certificata di cui sopra risulta essere stato utilizzato da altro reclamante … al quale Vodafone ha fornito, in prima battuta, un regolare riscontro”.

24

V. art. 143, comma 1, lett. a) e b), Codice, D.Lgs. n. 196/2003, prima dell’entrata in vigore del D.Lgs. n. 101/2018.

25

V. i casi di Tim spa o Planet Group, dove l’Autorità ha rinvenuto analoghe criticità: v. i relativi provvedimenti, cit.

26

Infatti, in particolare è stata ravvisata per Planet Group - differentemente dalle altre due - anche la violazione dei principi di correttezza e del diritto di opposizione degli interessati (talora contattati 155 volte in un solo mese.

27

Non a caso le sanzioni comminate nella detta occasione ai 3 call center (5.000 euro, Plurima; 15.000, Mediacom; 80.000, Planet Group) risultano d’importo notevolmente inferiore a quello applicato a Tim spa, con il menzionato macro-provvedimento del 15 gennaio 2020 (circa 28 milioni di euro).

 

28

V. art. 83, par. 2, lett. a) del Regolamento.

29

art. 83, par. 2, lett. b) del Regolamento.

30

V. art. 83, par. 2, lett. c), del Regolamento. 

31

V. art. 83, par. 2, lett. f) del Regolamento.

32

V. art. 83, par. 1, del Regolamento.

33

Ai sensi dell’art. 166, comma 7 del Codice e art. 16 del Regolamento interno del Garante n. 1/2019.

34

Al riguardo sia consentito di rinviare a S. Piselli, Il recente provvedimento del Garante verso TIM come possibile nuove ‘linea guida’ per il marketing?, cit., ibid.

36

Al riguardo v. TAR Lazio, Sez. I, 10 gennaio 2020 n. 260, sent., che ha parzialmente accolto il ricorso proposto dalla società Facebook Ireland Limited nei confronti del provvedimento, inibitorio e sanzionatorio, dell’Autorità garante della concorrenza e del mercato n. 27432, adottato in data 29 novembre 2018 con il quale, valorizzando i concetti di informativa adeguata e di consenso idoneo del consumatore, aveva stabilito che la pratica commerciale posta in essere da Facebook Inc e Facebook Ireland Ltd costituiva una pratica commerciale scorretta ai sensi degli artt. 21 e 22 del Codice del consumo, peraltro irrogando alle società in questione, in solido, una sanzione amministrativa pecuniaria di 5.000.000 euro. Tuttavia, nel corso dell’istruttoria Facebook Ireland opponeva all’Autorità, in prima battuta, il proprio difetto di legittimazione passiva (in quanto soggetto completamente estraneo alla fornitura del servizio in Italia), la carenza di potere in capo all’Autorità di contestare le suddette attività (in quanto trattasi di questioni attinenti alla gestione di dati personali, e, per di più, non è coinvolto l’interesse economico del singolo utente, ma, coerentemente con la natura privacy delle questioni, esclusivamente la tutela di diritti della persona, di carattere non patrimoniale e come tali extra commercium), oltre all’assenza di qualsivoglia elemento utile a considerare alla stregua di pratica commerciali scorrette o ingannevoli le attività effettuate, considerato che era sempre stata osservata e resa la piena e corretta informazione agli utenti. La vicenda è stata poi sottoposta anche al Consiglio di Stato, che, con sentenza n. 2631/2021 del 29 marzo 2021, ha stabilito che Facebook non può pubblicizzare il proprio servizio come gratuito e l’utente deve essere informato sulla commercializzazione dei suoi dati, respingendo pertanto il ricorso presentato da Facebook Ireland Limited. Secondo il Consiglio di Stato, Facebook lascia supporre che sia possibile ottenere immediatamente e in modo gratuito i vantaggi offerti dalla piattaforma, omettendo però di comunicare che, invece, tale fruizione è condizionata dalla condivisione dei dati dell’utente con partner commerciali terzi per finalità di profilazione e di marketing.

37

Legge 11 gennaio 2018 n. 5, “Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato”. V. contributo “La saga del Registro opposizioni…”, “Pareri opposti da Agcom e Garante Privacy”, 22 ottobre 2021, in www.corrierecomunicazioni.it, con il Mise impegnato invano a sbloccare l’impasse.