Telemarketing aggressivo: l’Autorità Garante per la protezione dei dati personali sanziona una compagnia telefonica per 12 milioni 250 mila euro

Cyber, Privacy and Data Innovation Alert | December.02.2020

a cura di: Ivan Rotunno, Giulia Rivarola di Roccella e Martina Acquaro

Lo scorso 12 novembre l’Autorità Garante per la protezione dei dati personali ha inflitto una sanzione di 12.251.601 euro a una compagnia telefonica, per aver illecitamente trattato i dati di milioni di utenti con lo scopo di svolgere attività di marketing diretto, in violazione delle norme che disciplinano il consenso e alcuni dei principi fondamentali sanciti dal GDPR.   

L’attività istruttoria, iniziata lo scorso luglio a seguito della ricezione di numerose segnalazioni e reclami da parte degli utenti della compagnia, ha riguardato le operazioni di telemarketing della funzione commerciale per la promozione dei servizi di telefonia e internet.

Le criticità evidenziate dal Garante

Nel corso del procedimento, il Garante ha riscontrato numerose illiceità da parte dell’azienda ai danni sia dell’intera base clienti della stessa, che dei potenziali utenti del settore delle comunicazioni elettroniche.

Le criticità emerse hanno riguardato, non solo la violazione delle norme che disciplinano il consenso, ma anche la violazione di due dei principi cardine sanciti dal GDPR: il principio di accountability (Art. 5 e Art. 24 GDPR) e il principio di privacy by design (Art. 25, paragrafo1, GDPR[2]).

In base all’art. 83 del Regolamento, il mancato rispetto dei principi fondamentali della normativa in materia di protezione dei dati personali espone il titolare alla sanzione massima prevista dal GDPR fino a 20 milioni di euro o al 4% del fatturato globale annuo.

Il principio di responsabilizzazione del titolare trattamento rappresenta una norma cardine dell’impianto normativo attuale in materia di privacy, secondo cui il titolare del trattamento è tenuto a definire il proprio modello aziendale nel rispetto dei principi della Data Governance, adottando tutti gli strumenti e i presidi che ritiene idonei a garantire un livello di protezione dei dati e delle informazioni personali adeguato.

L’accountability prevista dal Regolamento, infatti, ha introdotto una sorta di inversione dell’onere della prova, per cui spetta al data controller dimostrare e rendicontare il proprio operato, attraverso l’adozione di un modello organizzativo privacy compliant al GDPR.

Per quanto attiene, invece, al principio di privacy by design, questo prevede un obbligo per le aziende e le organizzazioni di mettere in atto, fin dalla fase della progettazione delle attività di trattamento, misure tecniche e organizzative che assicurino il rispetto dei principi fondamentali sanciti dal legislatore europeo.

Nel corso dell’istruttoria, il Garante ha riscontrato il mancato rispetto degli obblighi di trasparenza, di correttezza e di liceità del trattamento di cui agli artt. 5 e 6 GDPR.

In particolare, è emerso che la compagnia telefonica non aveva mai provveduto a richiedere il consenso al trattamento dei dati personali agli utenti, i cui dati di contatto erano contenuti in liste anagrafiche di altre aziende con cui il titolare intratteneva rapporti commerciali.

Per questo, a seguito degli accertamenti svolti, l’Ufficio dell’Autorità ha proceduto con sei diverse contestazioni nei confronti della compagnia telefonica:

  • “violazione degli artt. 5, parr. 1 e 2, e 25, par. 1, del Regolamento, poiché la Società non ha provveduto, anche alla luce del rilevante numero di segnalazioni e reclami nonché di contatti promozionali in ordine ai quali ha disconosciuto la provenienza, a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database della compagnia telefonica. La violazione coinvolge l’intera base clienti della società;
  • violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service - IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso la compagnia telefonica è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019;
  • violazione degli artt. 5, 6 e 7 e 21 del Regolamento, anche in relazione all’art. 130, commi 1, 2, 3 e 3-bis del Codice, con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, che la compagnia telefonica ha attribuito a generici errori umani o non documentati disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione.

Oltre alle illiceità relative al mancato rispetto dei principi di cui agli artt. 5 e 6 del Regolamento, la società ha ricevuto specifiche sanzioni in ordine all’attuazione di misure di sicurezza giudicate inadeguate rispetto ai rischi per i diritti e le libertà degli interessati e alle condotte omissive circa l’obbligo di notifica ex art. 33 GDPR di un data breach, avvenuto nel periodo di novembre 2019, e dell’obbligo di assistenza e riscontro alle richieste di esercizio dei diritti da parte degli utenti interessati.

Nel provvedimento, l’Autorità ha precisato che le contestazioni hanno riguardato:

  • le violazioni degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, per assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
  • la violazione dell’art. 33, par. 1, del Regolamento, per aver omesso di presentare al Garante la notificazione di una violazione di dati personali, con riferimento alle circostanze riportate nella nota del 14 novembre 2019;
  • la violazione degli artt. 15, par. 1, e 16 del Regolamento, per aver omesso di dare piena attuazione a richieste di esercizio dei diritti degli interessati[3].

Dal punto di vista attuativo, il Garante ha ordinato alla compagnia telefonica di adottare una serie di misure atte a rispettare la disciplina prevista per il consenso attraverso la progettazione di sistemi compliant alla normativa privacy. La Società non potrà, pertanto, svolgere trattamenti di telemarketing senza aver raccolto da parte degli interessati un consenso libero specifico e preventivo rispetto all’attività stessa.

La compagnia telefonica dovrà, inoltre, predisporre delle misure di sicurezza adeguate a garantire la sicurezza dei propri database di modo da escludere, o diminuire, qualsivoglia accesso abusivo o trattamento non in linea con la finalità di raccolta.

Ancora, il titolare dovrà “adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione[4]”.

La Società dovrà, infine, dare riscontro alle numerose richieste inevase di esercizio dei diritti degli interessati, in ottemperanza all’art. 12 del Regolamento.

Nell’irrogare la sanzione, il Garante ha sottolineato come il telemarketing aggressivo costituisca un fenomeno di grande preoccupazione per l’autorità che, nel corso degli ultimi 15 anni, ha condotto molte attività istruttorie e procedimenti a tutela degli utenti soggetti a campagne promozionali irrispettose delle normative e dei principi in materia di protezione dei dati personali.

In linea generale deve premettersi che le condotte sopra illustrate in materia di telemarketing rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate indesiderate con finalità promozionali. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia, adottati prima dell’entrata in vigore del Regolamento, sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato un sensibile miglioramento del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimo[5].



[1] Articolo 24 GDPR “Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario.

2. Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in materia di protezione dei dati da parte del titolare del trattamento.

3. L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come elemento per dimostrare il rispetto degli obblighi del titolare del trattamento

[2] Articolo 25 GDPR, paragrafo 1,“Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.

[3] Garante per la protezione dei dati personali, Provvedimento del 12 novembre 2020 [9485681].

[4] Si veda il Provvedimento del 12 novembre 2020 [9485681] dell’Autorità Garante per la protezione dei dati personali, nella parte di ingiunzione alla lettera b).

[5] Si veda il punto 2.2. del Provvedimento del 12 novembre 2020 [9485681] dell’Autorità Garante per la protezione dei dati personali.