Si scrive telemarketing selvaggio ma si legge privacy by design: la sanzione da 7.631.175 euro imposta a Tim dall’Autorità Garante per il trattamento dei dati personali con ordinanza ingiunzione del 13 aprile 2023 (pubblicata con comunicato stampa del 9 giugno) si basa, principalmente, sulla violazione dell’articolo 24 del GDPR. Vediamo perché.
Le contestazioni mosse a Tim
La nota società di telecomunicazioni è stata oggetto di numerose segnalazioni e reclami, fondamentalmente per tre ordini di ragioni.
- In primo luogo, per un numero considerevole di chiamate, anche da canali non ufficiali – cosiddetto sottobosco – di telemarketing, spesso, anche, con voci preregistrate. Si sono verificati, addirittura, casi di denuncia penale per il reato di atti persecutori.
- In secondo luogo, per violazioni varie degli articoli da 15 a 22 del GDPR, per violazioni varie dei diritti degli interessati; su tutte, l’impossibilità e/o la difficoltà di accedere all’informativa sulla gestione del trattamento dei dati personali.
- Da ultimo veniva contestato un data breach.
Le violazioni relative al telemarketing e le difese di Tim
Le violazioni che il Garante ipotizzava riguardavano gli articolo 5 – accountability – e 24 privacy by design.
In corso di procedimento, Tim ha affermato di aver adottato numerose misure per mitigare l’impatto delle situazioni che hanno portato ai reclami e, in particolare:
- “un monitoraggio capillare e verifiche periodiche, basate su 3 diversi livelli, della propria Forza Vendita, anche al fine di prendere i provvedimenti opportuni (diffide, penali, risoluzioni contrattuali);
- una consistente riduzione dei telesellers ed agenzie contrattualizzate con una diminuzione percentuale del 46,6% per il canale consumer, a seguito della razionalizzazione dei canali attuata anche in ottica di riduzione del rischio di non conformità alla normativa;
- un flusso automatizzato che consente, in base alle istruzioni privacy e a quelle operative aggiornate messe a disposizione della Forza Vendita, di recepire tutte le opposizioni al trattamento ricevute e confrontarle con i dinieghi presenti nelle black-list di Tim;
- un meccanismo di notifica automatica per comunicare i dinieghi espressi al customer care di Tim a tutti quei soggetti della Forza Vendita consumer che hanno tali numerazioni in lista;
- un meccanismo di controllo automatico di tutte le informazioni fornite dalla Forza Vendita in base alle istruzioni privacy e a quelle operative impartite da Tim e che in automatico genera specifici report di coerenza;
inoltre, sempre in via suppletiva alle indicazioni ricevute nel citato provvedimento, “a comprova della sua estrema attenzione al fenomeno delle chiamate indesiderate”, Tim ha affermato di aver:
- approvato un nuovo modello contrattuale per tutti i partner in ambito consumer e business con l’obiettivo di rafforzare l’impianto sanzionatorio in caso di violazioni riconducibili all’ambito privacy; modello che sarebbe stato pienamente adottato dagli outsourcer di customer care e dai telesales consumer;
- adottato, per tutte le agenzie consumer e business contrattualizzate (sia vecchie che nuove), un piano di incentivazione che garantisce a Tim il diritto di non riconoscere il compenso sui contratti attivati e non conformi ai criteri di contattabilità previsti dalle istruzioni privacy;
- posto in essere l’analisi sistematica dei log telefonici generati dalla barra telefonica della Forza Vendita; qualora nel corso delle verifiche vengano rilevate anomalie, le stesse sono pesate con un tool standardizzato (c.d. “valutometro”), che permette di graduare i provvedimenti da avviare nei confronti della Forza Vendita (dalla lettera di sensibilizzazione alla risoluzione del contratto in essere nei casi più gravi)”.
La valutazione del Garante sulla privacy by design
All’esito dell’istruttoria, anche in seguito all’audizione dei rappresentanti di Tim, il Garante ha comunque rilevato la violazione sistematica degli articoli 5 e 24 del GDPR, per difetto di progettazione e di impostazione di adeguati sistemi di controllo.
Sulla privacy by design il Garante si sofferma in modo specifico ed analitico.
“A tale riguardo, l’Autorità non ha mancato, in altre occasioni, di richiamare, proprio in una logica preventiva e di rispetto della privacy by design, la possibilità di ricorrere a scelte societarie e organizzative volte, ad esempio, a inibire l’attivazione contrattuale di offerte o servizi quando esse non siano certamente riconducibili ad attività svolte nel rispetto delle norme e dei diritti degli interessati fin dal momento del primo contatto e dell’origine del dato (cfr. i già menzionati provv.ti 12 novembre 2020 e 25 marzo 2021).
Un contratto acquisito in violazione della disciplina in materia di protezione dei dati personali, non dovrebbe trovare ingresso nei sistemi delle compagnie, poiché lo stesso risulterebbe originato da un fatto illecito e in palese violazione dell’art. 2-decies del Codice, secondo il quale “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati…”.
Si è consapevoli dell’apparente contrastante esigenza di andare incontro comunque alla volontà negoziale dell’interessato, ma tale obiettivo può essere raggiunto semmai dopo una procedura di sanatoria che verifichi necessariamente quella stessa volontà, una volta che sia stata prospettata, anche successivamente al contraente l’illiceità del contatto originario.
Ed è solo attuando misure punitive, all’esito della suddetta procedura di verifica, ed evitando la corresponsione delle provvigioni nei confronti di chi abbia presentato alla compagnia un contratto affetto da tali vizi che l’alimentazione illecita proveniente dal “sottobosco” può essere arginata.
La Società, acquisendo nei propri sistemi i dati personali dei soggetti che, dopo essere stati contattati hanno aderito alle offerte proposte, dovrebbe adottare misure di particolare garanzia al fine di comprovare che tali contratti siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso. Gli interventi del Garante sopra menzionati e la parallela attività del legislatore nazionale in materia di chiamate indesiderate (da ultimo, con il rafforzamento delle tutele apprestate dal Registro Pubblico delle Opposizioni) danno atto del livello raggiunto dall’insofferenza degli utenti che impone di pretendere un innalzamento delle misure di garanzia da parte di chi beneficia di tali attività economiche, tenuto conto che, allo stato dell’arte, sono già disponibili ulteriori e più avanzate soluzioni di carattere tecnico e organizzativo.
Le numerose attività istruttorie condotte negli anni dal Garante in materia di telemarketing così come le parallele interlocuzioni portate avanti con i vari titolari del trattamento, hanno consentito di concludere, come dati di esperienza, che l’implementazione di procedure che governano le attività di telemarketing e di teleselling non può costituire da sola un valido argine alle diffusissime pratiche di contatti indebiti se ad essa non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni.
Da quanto sopra evidenziato, dunque, pur dando atto delle importanti misure implementate da Tim, emerge ancora un quadro non soddisfacente sotto il profilo del rispetto dei principi di accountability confermando la violazione degli artt. 5, par. 2 e 24 del Regolamento (…omissis)”.
In altri termini, la progettazione del sistema di trattamento dei dati personali doveva prevedere non solo controlli e penali per le violazioni, ma anche una procedura per evitare che venissero comunque impiegati contatti provenienti da liste non autorizzate.
La privacy by design, quindi, irrompe nel contesto dei rapporti contrattuali e delle modalità operative come parte essenziale del contratto con il teleseller.
Conclusioni
Privacy by design non è solo una locuzione con cui si intende, nella pratica, un documento che descrive l’organigramma e le misure prese dalla società per trattare i dati, eventualmente con qualche valutazione del rischio.
È un principio che impone una progettazione “profonda” del sistema operativo della società, che risponde oggettivamente per le violazioni commesse per suo conto da responsabili e sub responsabili.
La compliance effettiva consiste sia nell’impostare un organigramma chiaro, sia nel progettare un sistema contrattuale che determini una effettiva possibilità di controllo e di intervento per evitare violazioni, dopo aver – possibilmente – effettuato una valutazione dei rischi, meglio se corredata da DPIA.
Da ultimo, l’impianto contrattuale è oggettivamente complesso da gestire: la prassi vede spesso il responsabile esterno – questo sono i teleseller – nominato con atto ad hoc, ma senza che nel contratto che regola i rapporti sostanziali si gestiscano in modo corretto i rapporti reciproci e la gestione dei subresponsabili.
Sul punto, è sempre necessario far riferimento alle Linee guida dell’EDPB numero 7/2020 sui concetti di titolare e responsabile del trattamento e, soprattutto, alle Linee guida 4/19 sull’articolo 25 del GDPR – privacy by design e by default.
