Il fatto
Nell’Ordinanza oggetto di commento, il Garante per la protezione dei dati personali è stato chiamato a intervenire nel merito di una questione nata nel 2017 in ragione di numerose doglianze, quantificabili in varie centinaia, contenute in segnalazioni e reclami, che erano state presentate all’Autorità da utenti che avevano ricevuto chiamate promozionali da TIM S.p.a.
In particolare, detti utenti lamentavano la ricezione di numerose chiamate promozionali da parte della società Plurima s.r.l., per conto di TIM S.p.a., avvenute nonostante la mancata prestazione del consenso degli interessati a ricevere le suddette comunicazioni commerciali e in alcuni casi nonostante la loro iscrizione al Registro pubblico delle opposizioni o comunque successivamente al loro esplicito rifiuto di ricevere tali tipologie di comunicazioni.
I suddetti fatti lamentati dai ricorrenti si erano concentrati nel periodo temporale intercorso tra il 2017 e i primi mesi del 2019 e hanno richiesto una complessa attività istruttoria da parte del Garante per verificare la sussistenza di un’eventuale responsabilità della Società Plurima s.r.l., quale partner di Tim, che per suo conto, aveva svolto la suddetta attività di comunicazione.
All’esito dell’attività istruttoria è emerso che: (i) la Società aveva contattato 1253 utenze telefoniche referenziate, ossia non inserite nelle apposite liste di contattabilità ma suggerite da altri utenti individuati e contattati sulla base delle suddette liste di contattabilità; (ii) nei confronti di questi utenti “referenziati” la società non aveva acquisito alcun consenso dell’interessato.
Per questa ragione il Garante ha ritenuto possibile la violazione del principio di liceità del trattamento, secondo quanto disposto dal Regolamento Europeo per la protezione dei dati personali (GDPR).
In considerazione di ciò, l’Ufficio ha deciso di avviare il procedimento amministrativo per la violazione della disciplina privacy e di conseguenza ha prospettato alla Plurima s.r.l. la possibile applicazione delle sanzioni amministrative previste dal citato Regolamento europeo, invitandola a fornire le proprie osservazioni relativamente all’addebito configurato.
Nella sua difesa, la società Plurima ha specificato le modalità con cui il trattamento era stato effettuato nonché il proprio ruolo.
A tal proposito, la società, in primo luogo, ha ritenuto di aver agito in qualità di mero responsabile del trattamento, di aver osservato il mandato di Tim, di aver contattato i soggetti referenziati essendone a conoscenza Tim e di aver agito in virtù del principio di legittimo interesse e in modo tale da assicurare correttezza circa le attività di documentazione e trattamento dei dati.
In secondo luogo, la società ha sostenuto che tale attività non sarebbe da configurare come illecito trattamento, poiché esito di un processo interno di individuazione dei soggetti referenziati, e dunque idonei al trattamento. In merito, la società Plurima forniva indicazioni ben precise riguardo le circostanze temporali dell’acquisizione dei contatti sei soggetti “referenziati”, l’origine del numero “referenziato”, la natura del rapporto amicale o parentale del soggetto che aveva fornito il contatto “referenziato” nonché il nome dell’operatore e del supervisore dell’operazione.
Infine, Plurima s.r.l., ha documentato di aver fornito l’informativa privacy prevista dal citato Regolamento europeo agli interessati al momento del contatto telefonico.
Iscriviti al nostro corso
La decisione del Garante
Preliminarmente l’Autorità ha esaminato la prima difesa della società relativa al suo asserito ruolo di mero responsabile del trattamento.
Secondo il Garante, considerando la complessiva condotta della Società quest’ultima deve essere considerata di fatto come titolare del trattamento (e non mera responsabile), insieme alla società mandante TIM, relativamente al trattamento dei dati delle numerazioni “referenziate” per finalità promozionali.
Secondo il Garante Plurima ha infatti contribuito a stabilire le finalità promozionali e le modalità di contatto, organizzandole anche in assenza di specifiche istruzioni operative fornite dalla stessa TIM, che le ha poi accettate recependo i contratti conclusi da Plurima con i soggetti referenziati e incamerandone gli utili, e risulta così aver ecceduto dalle competenze che il suo ruolo di mero responsabile avrebbe comportato.
In considerazione di tale ruolo di co-titolare del trattamento, gravavano su Plurima tutti gli obblighi in materia di protezione dei dati personali e alla stessa erano applicabili tutti i principi sanciti dalla relativa normativa.
In ogni caso, il Garante ha precisato che il ruolo di mero responsabile del trattamento non avrebbe comunque escluso la illeicità della condotta della società consistente nel non aver acquisito il consenso degli interessati: infatti dall’istruttoria è emerso che i contatti “referenziati” venivano chiamati in base a una costante prassi operativa decisa dalla società e non dipesa da iniziative personali dei suoi dipendenti.
In secondo luogo, il Garante ha evidenziato che, per giustificare il trattamento dati posto in essere da Plurima in assenza del consenso degli interessati, non è possibile invocare come base giuridica l’esistenza del legittimo interesse alle attività di marketing.
Ciò in quanto: (i) il legittimo interesse all’attività di marketing e/o il presunto interesse del soggetto “referenziante” che coinvolge l’amico o il parente nell’offerta fornendo i suoi contatti, sebbene esistente, non può sostituire il consenso dell’interessato quale legittima base giuridica del trattamento dati per finalità di marketing (che infatti non può prescindere dal consenso dell’interessato); infatti, la disciplina in materia di privacy ammette il legittimo interesse come base giuridica soltanto a condizione che non prevalgano gli interessi, i diritti e le libertà fondamentali dell’interessato alla protezione dei dati personali, e prevede che il titolare del trattamento debba effettuare un apposito bilanciamento per verificare che l’interesse legittimo non prevalga illecitamente su tali diritti dell’interessato; (ii) in ogni caso, il titolare del trattamento non può utilizzare in maniera retroattiva il legittimo interesse quale base giuridica del trattamento, per giustificarlo a posteriori qualora risulti carente il consenso dell’interessato; infatti, è necessario che per poter eseguire i trattamenti per finalità di marketing è necessario prima acquisire il consenso degli interessati e fornire a questi ultimi un’informativa privacy nella quale è già stata decisa e indicata la base giuridica del trattamento (non potendosi, quindi, modificarla a posteriori).
In considerazione di tutto quanto sopra, l’Autorità ha ritenuto che la società Plurima si sia resa responsabile di illecito trattamento dei dati personali per mancanza del consenso degli interessati, in violazione della regola per cui i trattamenti per finalità promozionali richiedono un consenso informato, libero, specifico e documentato.
Conseguentemente, l’Autorità Garante ha disposto la limitazione definitiva del trattamento dei dati personali degli interessati, in mancanza di un consenso libero e specifico, ed ha ordinato alla Società di implementare gli strumenti tecnici e organizzativi per assicurare che siano oggetto di attività promozionale solo gli utenti dei quali dispongono un consenso che deve essere, come prima detto, informato, libero, specifico e documentato.
Infine, è stata disposta nei confronti della Società Plurima s.r.l. una sanzione amministrativa pecuniaria pari all’importo di euro 5.000,00 per la violazione sopra indicata, e la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, oltre che l’annotazione nel registro interno dell’autorità delle violazioni e delle misure adottate.
Scrivi un commento
Accedi per poter inserire un commento