Come noto è finito il periodo di tolleranza per l’applicazione delle sanzioni da parte del Garante. Ed è lo stesso Garante che ce lo ricorda pubblicando nella newsletter del 30 maggio la notizia dell’applicazione di una sanzione di 2 milioni di euro ad una società di telemarketing.
Vediamo brevemente il caso. Una società che svolge attività di telemarketing e teleselling tramite “call center” per conto di più committenti è stata sottoposta ad ispezione a seguito di una segnalazione di alcuni interessati. La società si avvaleva di un’azienda albanese per contattare telefonicamente i potenziali clienti al fine di far loro sottoscrivere contratto per la fornitura di energia elettrica e gas.
I potenziali clienti venivano scelti dall’azienda albanese senza che nessuna delle società committenti validasse la lista, i clienti interessati a concludere un contratto venivano comunicati alla società di telemarketing italiana e registrati nella piattaforma della società di energia elettrica.
La società di telemarketing, quindi, provvedeva a compilare i contratti cartacei. Tali contratti non erano provvisti di sottoscrizione da parte dei clienti cosicché i dipendenti di back-office della società di telemarketing, provvedevano a ricontattare i clienti medesimi chiedendo conferma della volontà di acquisto dei servizi offerti e, laddove ottenuta, apponevano una propria sigla in calce al relativo contratto;
La Guardia di finanza, a seguito dell’accertamento ispettivo, ha provveduto ad assumere sommarie informazioni testimoniali da parte di tutti coloro che risultavano essere stati contattati nell’ambito dell’operazione commerciale sopra descritta rilevando che la società di telemarkegin non aveva reso agli interessati l’informativa necessaria ai sensi dell’art. 13 del Codice (con riferimento a n. 78 contratti per forniture energetiche) e non aveva richiesto agli interessati il consenso di cui all’art. 23 del Codice per la raccolta dei propri dati personali con finalità di marketing (con riferimento a n. 111 contratti) e per il trattamento con le medesime finalità (con riferimento a n. 155 contratti).
Alla società di telemarketing sono, quindi, state rilevate le seguenti principali carenze:
– i dati personali dei potenziali clienti sono “approdati” nel contesto di garanzie previsto dalla normativa italiana attraverso la società italiana di telemarketing, società che aveva il dovere di accertarsi che: a) tutti i soggetti interessati avessero ricevuto un’informativa provvista di tutti gli elementi dell’art. 13 del Codice; b) gli stessi interessati avessero prestato il consenso al trattamento dei propri dati ovvero avessero formalmente acconsentito a procedere al perfezionamento di un contratto per la fornitura di energia elettrica;
– la trasmissione dei dati dei potenziali clienti in formato elettronico da parte della società albanese alla società di telemarketing italiana, ovvero la trasmissione dei modelli cartacei di proposta di adesione privi della sottoscrizione del cliente, costituisce prova evidente che i potenziali clienti non hanno avuto modo di prendere visione di alcun modello di informativa ai sensi dell’art. 13 del Codice. L’assenza di uno script contente la predetta informativa, da leggere agli interessati nel corso dei contatti telefonici, conferma che l’informativa non è stata resa neanche mediante tale strumento. Inoltre, non avendo i potenziali clienti sottoscritto alcuna proposta di adesione e non risultando in atti l’esistenza di registrazioni dei contatti telefonici operati da parte dell’Azienda albanese, i trattamenti di dati personali svolti dalla società di telemarketing non possono essere ricompresi fra quelli per i quali non è necessario acquisire il consenso in base all’art. 24, comma 1, lett. b), del Codice (esecuzione di obblighi contrattuali o adempimento a specifiche richieste precontrattuali ora articolo 6 lettera b) GDPR);
– per tali trattamenti (quali, ad esempio, quelli finalizzati all’ulteriore contatto dei potenziali clienti, operato dalla società), la società di telemarketing che ha operato in assenza di specifiche designazioni a responsabile del trattamento e deve pertanto essere considerata autonomo titolare, aveva l’obbligo di acquisire il consenso dagli interessati e, a tale riguardo, deve rammentarsi che il consenso, ai sensi dell’art. 23, comma 3, del Codice, deve essere “documentato per iscritto”: è pertanto richiesta la forma scritta ad probationem in assenza della quale il consenso non può ritenersi prestato.
Alcune considerazioni in merito alla sanzioni.
I fatti contestati sono stati valutati alla luce del Codice Privacy e non del GDPR in quanto i fatti sono antecedenti all’entrata in vigore del Regolamento. Tuttavia, l’applicazione severa delle sanzioni previste dal Codice porta ugualmente ad una consistente somma in quanto la quantificazione è stata fatta tenendo conto del numero di interessati coinvolti che, nel caso specifico sono molti.
Sicuramente nella quantificazione anche l’atteggiamento del ricorrente che rappresentava una totale disinteressamento delle problematiche sul trattamento dati – che si evince dall’Ordinanza – non ha aiutato ad ottenere un “atteggiamento clemente” del Garante.