Ancora gravi sanzioni dal Garante Privacy nel telemarketing e nell’acquisizione di liste

Torna a pronunciarsi in materia di telemarketing selvaggio e acquisizione di liste anagrafiche senza previa acquisizione del consenso il Garante per la protezione dei dati personali (“Garante Privacy”), sia nell’ambito di attività ispettive avviate d’ufficio, sia a seguito dei numerosi reclami proposti da coloro che lamentano la ricezione di chiamate indesiderate.
Ad aver subito pesanti sanzioni sono non solo aziende dei settori energia e telecomunicazioni (con importi fino a Euro 892.738, Euro 347.520 e Euro 300.000) ma anche un’azienda attiva nei servizi immobiliari, condannata al pagamento di una somma di Euro 100.000 (parametrata al fatturato e attenuata solo dall’atteggiamento collaborativo e dall’assenza di precedenti).
Le principali violazioni riscontrate
Numerose le criticità rilevate e le violazioni contestate dal Garante, riguardanti principalmente le modalità di acquisizione dei dati, sia direttamente che tramite i partner, ai fini dello svolgimento di attività promozionali e il mancato svolgimento di verifiche sulla filiera di trattamento, ma anche i più generali obblighi gravanti su ciascun titolare, ad esempio quelli di formare e istruire il personale, nonché selezionare i propri agenti e fornitori solo previa verifica della loro compliance alla normativa privacy e sicurezza. Vediamo sinteticamente le principali contestazioni:
- Telefonate promozionali in assenza di un’adeguata base giuridica: Le aziende svolgevano chiamate commerciali senza il consenso espresso degli utenti o comunque non documentato.
- Acquisizione di dati senza lo svolgimento di verifiche sui partner e/o sui dati acquisiti: in molti casi, le liste acquisite erano state formate da soggetti extra-UE senza adeguate garanzie, i consensi non erano adeguatamente dimostrati e i tempi di conservazione troppo estesi o addirittura non indicati.
- Invalidità dei consensi raccolti dai partner per la cessione a terzi poiché NON GRANULARI: nonostante le liste acquisite fossero formate da utenti che avevano espresso il consenso per la cessione a terzi, il Garante ha ritenuto che l’uso di formule di consenso generiche e non granulari in ordine alla platea numerosa e indistinta di soggetti (operanti in settori anche molto diversi tra loro o addirittura a call center plurimandatari), a cui i dati potessero essere ceduti, non consentisse agli utenti di conferire un consenso libero e specifico. L’utente a cui viene chiesto il consenso per la cessione dei dati a terzi ma che non sia posto in grado di scegliere a quali terzi cederli, anche per macro-categorie, perde il controllo sui dati e quindi il suo consenso non è valido.
- Mancato svolgimento delle verifiche sui dati acquisiti: in uno dei provvedimenti in commento, il Garante ha accertato l’avvenuta realizzazione di attività di telemarketing mediante l’utilizzo di dati personali raccolti con l’ausilio di un form pubblicato su Facebook nell’ambito di una campagna cd. digital, sebbene l’interessata in questione non avesse mai attivato un account social. Ha quindi contestato il mancato svolgimento di verifiche sulla legittima provenienza dei dati utilizzati per finalità commerciali, nonché sull’identità dei soggetti che rilasciavano i dati.
- Mancato rispetto dell’iscrizione al Registro pubblico delle opposizioni (RPO): in più casi, il Garante ha riscontrato, anche tramite il supporto della Fondazione Ugo Bordoni che gestisce il RPO, il mancato svolgimento delle previe verifiche con il registro;
- Selezione dei fornitori di liste: come già rilevato in numerose occasioni, dalle istruttorie espletate il Garante ha rilevato in generale, nell’ambito della prassi di selezione e monitoraggio dei fornitori, la totale omissione di misure atte ad assicurare la selezione di partner che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate (ritenendo del tutto insufficiente la mera somministrazione di check-list preventive), nonché l’omesso controllo e vigilanza ex post sulle attività di trattamento di dati personali svolte da tali soggetti.
Ulteriori criticità evidenziate dal Garante
Oltre agli aspetti sopra citati, il Garante ha individuato altre violazioni significative:
- Tempi di conservazione dei dati: Le informative dichiaravano che il consenso sarebbe rimasto valido “fino a revoca”, una formulazione – ad avviso del Garante Privacy – troppo generica. L’Autorità ha ribadito che il consenso è, sì, valido fino a revoca ma pur sempre nei limiti temporali definiti e comunicati chiaramente agli utenti nell’informativa.
- Tracciabilità dei consensi nei timestamp: Durante l’istruttoria svolta in uno dei procedimenti in commento, la società aveva prodotto i documenti di prova del consenso rilasciato dall’utente. Tale documentazione riportava gli IP timestamp che verosimilmente attestavano le date di registrazione ai rispettivi siti da cui erano stati raccolti i dati ma non documentavano necessariamente anche la data di rilascio dei singoli consensi (che poteva essere successiva alla registrazione). Il Garante ha quindi contestato l’inadeguatezza della documentazione prodotta (e utilizzata dalla società per verificare la correttezza dei dati acquisiti), dovendo questa essere corredata di una legenda per interpretare i dati registrati nei timestamp, incluso un chiaro riferimento alla data esatta di conferimento di ciascun consenso rispetto alla data di iscrizione al sito.
- Formazione del personale: importanti contestazioni sono state sollevate rispetto alla mancata formazione del personale addetto alle attività di telemarketing. In un caso, è stato ritenuto inidoneo lo svolgimento di un’unica sessione formativa a inizio 2024, non reiterata con periodicità, come richiesto dalla normativa. In un altro procedimento, il Garante aveva rilevato che i consensi rilasciati in fase di attivazione delle forniture di luce e gas erano stati trascritti in maniera errata da un dipendente della società. Errore che è stato contestato anche sotto il profilo del mancato assolvimento agli obblighi di formazione e supervisione dei soggetti incaricati delle attività di telemarketing.
- Mancata notifica di data breach: In uno dei casi, un malfunzionamento del sistema aveva permesso a un utente di accedere ai dati personali di un altro cliente. Il titolare è stato sanzionato per non aver notificato la violazione al Garante, come prescritto dall’art. 33 GDPR, ritenendo insufficiente che fosse stata avviata un’attività interlocutoria in cui era stato richiesto all’utente di distruggere le copie di dati del terzo a cui aveva avuto accidentalmente accesso.
- Informativa tardiva ai candidati: dall’esame del sito web di una delle società destinatarie dei provvedimenti sanzionatori, il Garante ha altresì rilevato l’assenza di un’informativa privacy rivolta ai candidati al momento della raccolta dei loro dati tramite apposito modulo online e a nulla era valsa la difesa della società che si era giustificata sostenendo di fornirla successivamente, in sede di colloquio. Questa modalità impediva infatti, ai candidati, di conoscere le finalità e le modalità del trattamento prima della trasmissione dei propri dati.
- Inadeguatezza della gestione delle istanze di esercizio dei diritti degli interessati: in più occasioni, il Garante ha dovuto rilevare come le società non avessero adottato un processo funzionale a garantire un’evasione tempestiva “e senza ingiustificato ritardo” delle richieste degli interessati, carente anche sotto il profilo della formalizzazione dei ruoli rivestiti dai soggetti coinvolti nel trattamento.
Conclusioni
I provvedimenti in commento confermano l’attenzione dell’Autorità sulle pratiche di marketing scorrette e sull’attivazione di contratti nel settore energetico, due temi che continuano a tornare nei piani ispettivi del Garante Privacy (erano presenti nei due piani del 2024 e si confermano nel primo semestre del 2025), mostrando anche un certo irrigidimento verso il perpetrarsi di talune condotte. Prima fra tutte, l’acquisizione di liste senza il previo svolgimento di adeguate e approfondite verifiche non solo sul fornitore di anagrafiche, ma anche sulle liste fornite. Ma il Garante sembra andare oltre rispetto a quanto fatto finora, poiché richiede una granularità del consenso che dovrebbe spingersi fino a distinguere i mezzi utilizzati per la ricezione delle comunicazioni commerciali, automatizzati e non (che invece non era richiesto ai sensi del provvedimento n. 242 del 15 maggio 2013) nonché i terzi, almeno per macro-categorie, cui i dati possono essere comunicati, per evitare che l’utente che voglia ricevere offerte da soggetti operanti nel settore energetico si veda costretto a ricevere comunicazioni di altri settori, con una “conseguente e indebita intrusione nella propria sfera di riservatezza e un’irrimediabile perdita di controllo sui propri dati personali”.