Con tre provvedimenti emessi l’11 marzo 2021 [n. 9577042; n. 9577065; n. 9577371], il Garante per la protezione dei dati personali ha sanzionato tre compagnie di call center – Plurima s.r.l., Mediacom s.r.l. e Planet Group s.p.a. – per un importo complessivo di 100.000,00 euro, a seguito di un trattamento illecito dei dati personali degli utenti nell’ambito di attività promozionali e, segnatamente, attività di telemarketing aggressivo.
Sanzioni Garante Privacy a tre call center, che c’è da imparare per evitarle
I fatti
Dall’attività istruttoria e ispettiva del Garante è emerso che le tre società avevano contattato telefonicamente soggetti non inclusi nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze “fuori lista” riferibili a persone che non avevano fornito un libero e specifico consenso a essere contattate per finalità commerciali o, addirittura, a utenti suggeriti da familiari o conoscenti (“contatti referenziati”).
Nel primo caso, l’Ufficio ha constatato che Plurima – nel periodo compreso fra il mese di agosto 2018 e il 30 settembre 2019 – aveva contattato, per conto di Tim, 1.253 utenze tecniche “referenziate”, asseritamente suggerite dai soggetti contattati, questi ultimi presenti nelle liste Tim.
Nel secondo caso, è risultato che Mediacom – tra l’1 gennaio 2016 e il 30 settembre 2019 – ha contattato un numero complessivo di 15.410 utenze telefoniche “referenziate” per più committenti, e in particolare 11.232 per conto di Tim, in assenza di “istruzioni dettagliate” da parte della medesima.
Nell’ultimo caso, Planet Group, – nel periodo compreso fra il 1 gennaio 2016 e il 13 dicembre 2019 – ha contattato, per conto dei propri committenti (tra cui Tim) 47.981 utenze telefoniche “referenziate”.
I principi rilevanti
Dai fatti emerge che, da parte delle summenzionate compagnie di call center, non sono state assicurate sufficienti e idonee garanzie al trattamento sotto il duplice profilo dell’accountability e della privacy by default, come prescritto dal Capo IV del Regolamento europeo n.679/2016 (di seguito “GDPR” o “Regolamento”) che prescrive l’adozione di modalità e limiti al trattamento dei dati, mediante una valutazione oggettiva che consenta di stabilire se esso comporti un rischio più o meno elevato per gli utenti. Le compagnie sanzionate dal Garante si sono dimostrate gravemente carenti nello sviluppo di un approccio preventivo che, tenuto conto dello stato dell’arte, dei costi di attuazione, del contesto e delle finalità di trattamento, avrebbe dovuto garantire il rispetto della normativa e la tutela dei diritti dei soggetti interessati. Sarebbe stato altamente opportuno, anche al fine di scongiurare il pericolo dell’emissione di provvedimenti sanzionatori, porre in essere misure idonee quali la preventiva verifica dell’iscrizione al registro delle opposizioni dell’utenza telefonica e l’inserimento nelle cosiddette black list per gli utenti che avevano manifestato la volontà di non essere più disturbati.
La qualificazione giuridica
In virtù delle attività nei confronti dei soggetti “referenziati” e “fuori lista, le predette società, contribuendo a stabilire sia le finalità promozionali che le modalità di contatto, organizzandole senza istruzioni operative da parte della committente – la quale le ha di fatto accettate recependo i contratti conclusi e incassando le relative utilità – hanno agito eccedendo rispetto al ruolo di mero responsabile del trattamento, operando quale titolare o contitolare del trattamento medesimo. Peraltro, anche a voler comunque considerare le società quali semplici responsabili del trattamento, l’illiceità della condotta perpetrata non sarebbe in discussione, perché le chiamate a utenti “fuori lista” e “referenziati” costituiscono prassi operativa rispondente a una precisa scelta aziendale.
La base giuridica per il trattamento del soggetto referenziato o fuori lista
Già con il provvedimento del 15 gennaio 2020 nei confronti di Tim s.p.a. [n. 9256486] il Garante ha precisato che “non può invocarsi quale base giuridica… quella del legittimo interesse alle attività di marketing, magari unitamente al presunto interesse del soggetto ‘referenziante’, che coinvolge nella promozione l’amico o il parente. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali…In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”.
Detto provvedimento è stato richiamato, in più punti, dalle ordinanze ingiuntive in esame, confermando che per il trattamento dei dati dei soggetti “fuori lista” o “referenziati” è necessario il consenso preventivo. Tale assunto trova fondamento nella necessità di ponderare attentamente l’impatto del trattamento sui diritti degli utenti, al fine di individuare preventivamente e correttamente la base giuridica da comunicare all’utente. Il Garante ha chiaramente precisato che il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo, quando sia stata intaccata la validità del consenso, per cui, a meno che non ricorrano le ipotesi espressamente previste di “soft spam” e di “opt-out” per i dati presenti negli elenchi pubblici, la base giuridica corretta è sempre quella della manifestazione del consenso, in conformità ai requisiti indicati dal GDPR. Di qui, l’importanza che le società siano preparate a comprovare la liceità del trattamento, mediante, ad esempio, la predisposizione di sistemi di controllo volti a verificare la legittimità del contratto di fornitura delle liste, l’idoneità dell’informativa sottoposta agli interessati, le modalità di acquisizione del consenso; potrebbe rivelarsi utile, come poc’anzi anticipato, porre in essere delle operazioni che permettano di confrontare le utenze da contattare con quelle inserite all’interno delle “black list” e del registro delle opposizioni, in modo da escluderle preventivamente.
La sanzione amministrativa
Per queste ragioni, il Garante ha comminato, non solo la sanzione amministrativa pecuniaria ex art. 83, par. 5 GDPR, ma ha anche indicato una percentuale della sanzione edittale massima che è pari allo 0,40% nel caso Planet Group s.p.a. e allo 0,075% nel caso Mediacom s.r.l., sanzionate rispettivamente al pagamento di €80.000 e €15.000.
Conclusioni
Alla luce di quanto esposto, si auspica un sempre più penetrante controllo dell’operato delle compagnie telefoniche, al fine di circoscrivere e reprimere le pratiche di telemarketing “aggressivo”. Un contributo concreto – anche in attesa dell’agognata approvazione, da parte del legislatore europeo, del Regolamento sulla confidenzialità delle comunicazioni elettroniche (e-privacy Regulation) – potrebbe rinvenirsi nello Schema del Decreto di Riforma del Registro Pubblico delle Opposizioni, recante disposizioni per il funzionamento del registro stesso, da adottare in attuazione dell’articolo 1, comma 15, della legge 11 gennaio 2018, n. 5 e ancora “in itinere”. Detto schema ha ricevuto i pareri favorevoli delle Commissioni Parlamentari di Camera e Senato, oltre a quello del Garante, ed è volto, tra l’altro, a estendere le previsioni di tale registro a tutte le numerazioni nazionali fisse e mobili, che siano o meno riportate negli elenchi di contraenti di cui all’articolo 129 del d.lgs.n.196/2003, pur mantenendo l’impianto sanzionatorio vigente, di cui al combinato disposto degli articoli 83, paragrafo 5 GDPR e 166, comma 2, d.lgs.n.196/2003, quindi l’irrogazione di una sanzione amministrativa pecuniaria fino a 20 milioni di euro che, per le imprese, può raggiungere il 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
