ll Garante per la protezione dei dati personali ha recentemente sanzionato un importante operatore di broadcasting per una serie di violazioni legate ad attività promozionali e di telemarketing, in contrasto con la normativa in materia di protezione dei dati personali.
Il procedimento è stato avviato dopo una serie di segnalazioni (275) pervenute al Garante. È emerso che la Società non aveva adottato adeguati controlli sul consenso relativo alle campagne di marketing telefonico e via SMS, e non aveva consultato il Registro Pubblico delle Opposizioni (RPO) per verificare l’idoneità delle utenze contattate.
Tra le comunicazioni – non richieste – poste in essere dalla società figuravano nello specifico: “teleselling outbound” effettuato in forza del consenso al marketing prestato in occasione della sottoscrizione di precedenti contratti, “direct e-mail marketing” a seguito di una richiesta di ricontatto dell’interessato tramite email promozionali, e infine SMS nell’ambito del servizio di ricontatto. Parte delle attività di telemarketing come emerge da Provvedimento, è stata effettuata contattando utenti iscritti al Registro Pubblico delle Opposizioni (RPO), in violazione dell’art. 130 commi 3 e 3 bis del Codice Privacy italiano, che vieta l’invio di comunicazioni promozionali a numerazioni iscritte nell’RPO, salvo consenso esplicito dell’interessato.
L’istruttoria ha rivelato in primo luogo che alcune comunicazioni promozionali attraverso SMS erano state effettuate in assenza di consenso degli interessati, in quanto la Società aveva qualificato l’attività in maniera errata, considerandola “comunicazione di servizio” e quindi basando il trattamento su un suo legittimo interesse.
In secondo luogo il Garante ha riscontrato l’inadeguatezza delle modalità di conservazione per la registrazione dei consensi tramite file Excel, strumento ritenuto inidoneo per comprovare la manifestazione inequivocabile di volontà degli interessati in relazione al trattamento dei dati personali. Tali file risultano infatti privi di misure di protezione dell’integrità dei dati, ragioni per cui sono risultati non accettabili alla valutazione anche in sede probatoria.
Il provvedimento analizza poi la tematica del consenso, su cui il garante evidenzia che “(…) il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) (…)”. In tale sede, il Garante ha rilevato che la Società acquisiva un unico consenso, cumulativamente per finalità distinte quali il marketing diretto da parte del titolare e la comunicazione a terzi. La condotta ha configurato una violazione del principio di specificità del consenso, in quanto il consenso non può essere “accorpato” in una formulazione unitaria che non consenta all’interessato di esprimere una scelta libera e autonoma rispetto alle diverse finalità di trattamento, salvo la deroga di cui all’art 130 comma 4 del Codice della Privacy, che legittima l’invio di comunicazioni promozionali, senza richiesta del consenso esplicito dell’utente, a condizione che i dati siano stati raccolti durante una vendita precedente di prodotti o servizi analoghi a quelli già acquistati, previa informativa sulla possibilità di opporsi al trattamento.
Il Garante inoltre accertata:
- L’assenza di verifiche periodiche sull’idoneità dei consensi acquisiti in epoca antecedente il GDPR come emerso nel caso dei contatti promozionali basati su consensi raccolti fino a dieci anni prima, in contrasto con il principio di accountability ai sensi dell’art. 5, par. 2, e art. 24 del GDPR;
- la mancanza di informative riportanti indicazioni chiare sui tempi di conservazione dei dati personali in contrasto con il principio di limitazione della conservazione (art. 5, par. 1, lett. E GDPR).
L’Autorità Garante ha, oltre alla commisurazione di una sanzione economica, ingiunto alla Società di adeguarsi alle disposizioni in merito all’acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, da parte degli interessati per l’invio di comunicazioni commerciali. Inoltre, la Società dovrà:
- effettuare controlli a campione al fine di accertare la liceità delle utenze contattate;
- registrare in modo chiaro e sicuro le modalità e i tempi di acquisizione dei consensi attraverso sistemi tecnologici avanzati;
- in assenza di consensi espliciti evitare qualsiasi trattamento promozionale.
