Garante Privacy VS Telemarketing: prime sanzioni GDPR per chiamate commerciali indesiderate
Con i provvedimenti n. 232 dell’11 dicembre 2019 e n. 7 del 15 gennaio 2020, il Garante Privacy ha inflitto pesanti sanzioni ad Eni Gas e Luce e Tim, ammontanti, rispettivamente, a 8 milioni di euro e 27,8 milioni di euro.
Le violazioni:
principale oggetto dei provvedimenti sanzionatori è l’attività di telemakerting realizzata da entrambe le società in violazione delle prescrizioni sancite dal GDPR in materia di consenso dell’interessato.
Nel corso dell’istruttoria condotta dal Garante Privacy è emerso che tali società effettuavano, tramite fornitori a cui il servizio era stato affidato in outsourcing, telefonate per scopi commerciali a soggetti che:
- non avevano prestato il proprio consenso;
- che lo avevano revocato; o ancora
- avevano iscritto il proprio numero di telefono all’interno del Registro Pubblico delle Opposizioni (ROC).
Il Garante Privacy, in particolare, ha contestato ad entrambe le società l’assenza di sistemi che garantissero il costante aggiornamento delle proprie liste di contattabilità, idonei a registrare eventuali revoche dei consensi ovvero sopravvenute iscrizioni al ROC.
List provider e successione dei consensi
Con specifico riferimento ad ENI, inoltre, è emerso che la società non aveva tenuto conto del diniego del consenso per trattamenti aventi finalità promo-pubblicitarie registrato nei propri database, quando tale espressione di volontà risultava antecedente al consenso prestato dagli stessi interessati a soggetti terzi che, successivamente, cedevano tali dati a list provider.
Su questo tema il Garante ha specificato che il diniego del consenso per i trattamenti aventi finalità promo-pubblicitarie manifestato da un interessato nei confronti di una specifica società è prevalente rispetto ad una, seppur successiva, generica autorizzazione alla comunicazione dei propri dati personali per finalità di marketing in favore di soggetti terzi.