Viola la privacy il titolare del trattamento che compie telemarketing senza controllare l’origine dei dati e l’esistenza del consenso degli interessati.
Per approfondimenti in materia vedi il volume: Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
1. I fatti
Un reclamante lamentava al Garante per la protezione dei dati personali di aver ricevuto una telefonata indesiderata nella quale veniva fatta la promozione di servizi di manutenzione caldaie da parte di una società.
Il reclamante riferiva di non aver mai dato il proprio consenso alla ricezione di una comunicazione di tal genere e sosteneva inoltre che la società, alla quale aveva chiesto di conoscere in che modo la stessa avesse avuto la disponibilità dei suoi dati, avesse dato un riscontro generico ed evasivo, senza indicare in maniera specifica come avrebbe acquisito detti dati personali dell’interessato.
Nella propria risposta, infatti, la società aveva dichiarato di aver ricevuto i dati personali dell’interessato da società terze che svolgevano l’attività di commercializzare dei pacchetti di dati personali contenenti i numeri di telefono e i nomi di utenti, che erano stati raccolti in occasione di contratti gas e luce.
In considerazione di tale genericità nella risposta, il Garante invitava la società a fornire informazioni per poter avere maggiori elementi per valutare l’effettivo rilascio del consenso da parte del reclamante e in generale l’origine dei suoi dati personali.
La società forniva riscontro soltanto alcuni mesi dopo, motivando tale ritardo con l’esigenza di approfondire la normativa per cercare di comprendere i motivi del reclamo da parte dell’interessato, e dichiarando di aver acquisito i dati da una società terza, da cui aveva comprato una lista di anagrafiche e di numerazioni contattabili per finalità di marketing. Inoltre, la società asseriva che la società terza avesse garantito che i nominativi presenti nell’elenco appartenevano a soggetti che avevano prestato il proprio consenso al trattamento per finalità di marketing. Infine, a sostegno della propria posizione, la società aveva inviato, non solo al garante, ma anche al reclamante un file excel contenente i nominativi e i numeri di telefono dei soggetti contattabili che aveva acquistato dalla società terza.
Il Garante apriva quindi il procedimento sanzionatorio nei confronti della società, ritenendo che la stessa avesse violato diverse disposizioni della normativa privacy.
In particolare, contestava di aver acquisito liste anagrafiche dalla società terza senza il consenso degli interessati, di non aver fornito a questi ultimi la necessaria informativa privacy, di non aver dato un completo riscontro al reclamante rispetto alla sua richiesta di accesso ai dati ed infine di aver comunicato al reclamante dati personali di soggetti terzi (contenuti nella lista del file excel) senza il consenso di detti terzi.
La società inviava delle memorie difensive in cui sosteneva di essere stata in buona fede nel conferire l’incarico alla società terza e di aver ottenuto rassicurazioni da parte di quest’ultima che le utenze inserite nella lista del file excel appartenevano tutte a soggetti che avevano prestato il proprio consenso.
In secondo luogo, la società faceva presente che l’attività svolta consisteva solo in telefonate ai numeri indicati nella lista con la promozione di servizi di manutenzione delle caldaie e che, qualora l’interessato si dichiarava non interessato a detti servizi, il numero e il nominativo veniva depennato.
Infine, la società affermava che l’attività di marketing non era più in atto.
Potrebbero interessarti anche:
2. Le valutazioni del Garante
Preso atto di quanto emerso dall’istruttoria, il Garante ha rilevato che il titolare del trattamento non ha adottato alcuna precauzione nell’acquisizione dei dati dalla società terza e non ha neanche fornito la documentazione idonea a dimostrare le modalità con cui era stato raccolto il consenso degli interessati da parte della società terza (e in generale la liceità del trattamento).
Secondo il Garante, la società si è limitata ad affidarsi a quanto riferito dalla società terza circa la presenza del consenso degli interessati, senza però esercitare alcun potere di controllo in merito. In particolare, la società non ha dimostrato di aver chiesto alla società terza la documentazione che dimostrasse la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti dagli interessati. Né detta società ha dimostrato di aver effettuato dette verifiche in altro modo.
Per quanto riguarda le ulteriori difese formulate dalla società, il Garante ha ritenuto che l’eventuale registrazione del diniego espresso dall’interessato nel corso del contatto telefonico non può sanare la carenza del consenso preventivo, quale base giuridica dell’attività promozionale.
In considerazione di quanto sopra, i contatti effettuati dalla società per la promozione di propri prodotti e servizi sono risultati in contrasto con il fondamentale principio di autodeterminazione dell’interessato in ordine al trattamento dei suoi dati personali, che si manifesta proprio nel correlato adempimento del consenso preventivo, libero, specifico e documentato per la citata finalità commerciale.
In secondo luogo, la società non ha reso al reclamante la necessaria informativa, né al momento in cui ha posto in essere il contatto telefonico, né dopo che lo stesso reclamante aveva formulato l’istanza di accesso ai propri dati.
Sul punto, inoltre, il Garante ha evidenziato che la mancanza di informativa sui trattamenti effettuati, renderebbe comunque invalido anche l’eventuale consenso che fosse stato manifestato dagli interessati alla società terza (che aveva venduto il pacchetto dati).
In terzo luogo, il Garante ha confermato l’illiceità della condotta della società nella misura in cui non ha fornito un riscontro completo alla richiesta di accesso ai propri dati da parte del reclamante.
Infine, il Garante ha confermato che l’invio, da parte della società, anche al reclamante del file excel contenente i dati personali di altre diverse migliaia di interessati, comporta una ulteriore violazione della normativa in materia di privacy. Infatti, la società avrebbe dovuto limitare il riscontro a favore del reclamante ai soli suoi dati personali.
3. Il parere del Garante
In considerazione di tutto quanto sopra, quindi, il Garante ha accertato che la condotta posta in essere dalla società ha comportato plurime violazioni della normativa privacy e conseguentemente ha ritenuto necessario ingiungere alla società, per ogni futura attività di marketing, di adottare delle idonee procedure volte a definire e regolare il ruolo dei partner contrattuali nell’ambito del trattamento dei dati, di verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati), fornire agli interessati un’idonea informativa e garantire un pieno ed effettivo riscontro all’esercizio dei diritti.
Inoltre, il Garante ha comminato alla società una sanzione amministrativa pecuniaria dell’importo di €.3.000,00 (tremila).
Volume consigliato
Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto.
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
Scrivi un commento
Accedi per poter inserire un commento