Telemarketing indesiderato: sanzione cumulativa di circa 2 milioni di euro del Garante Privacy nei confronti di una società italiana
Il Garante Privacy, a seguito di un’indagine eseguita dalla Guardia di Finanza – Nucleo speciale privacy, lo scorso 11 aprile 2019 ha ingiunto una sanzione di circa 2 milioni di euro ad una società di telemarketing e teleselling, per la sua attività posta in essere in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento Europeo.
In particolare, la società di telemarketing (incaricata da un gruppo di società nel settore energia) si avvaleva della collaborazione di un call center albanese per il procacciamento di nuovi clienti per il mandatario e per offrire loro promozioni contrattuali.
La società di telemarketing, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing, violando congiuntamente gli artt. 13 e 23 del Codice Privacy (prima della riforma dettata dal d.lgs. 101/2018). Consenso che la suddetta società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società di telemarketing che operava in qualità di autonomo Titolare del trattamento, non essendo mai stata designata responsabile da parte del gruppo di società nel settore energia.
Inoltre, durante la fase istruttoria e di indagine, è emerso che il call center albanese contattava i potenziali clienti. Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società di telemarketing per confermare la volontà di proseguire con la stipulazione del contratto.
I potenziali clienti che accettavano la stipula del nuovo contratto non sottoscrivevano alcun modulo di raccolta dati e/o consenso per finalità di marketing. I dati personali dei suddetti interessati venivano raccolti dagli operatori della società di telemarketing che, registrata la volontà della prosecuzione contrattuale, siglavano un modulo utilizzato per tale finalità.
Di conseguenza, tutti gli interessati non avevano la possibilità:
– né di prendere visione dell’informativa privacy, completa di tutti gli elementi richiesti dall’art. 13 del Codice Privacy;
– né di acconsentire per iscritto (forma ab sustantiam richiesta dalla norma privacy) al trattamento dei propri dati per finalità di marketing.
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.
Perché, nonostante l’applicabilità del Regolamento Europeo, il Garante Privacy ha ingiunto una sanzione ai sensi del Codice Privacy (pre d.lgs. 101/2018)? I fatti che costituiscono l’illecito sono stati compiuti nel periodo antecedente all’applicabilità del GDPR e, secondo l’ormai consolidata dottrina giurisprudenziale, è stato tenuto in considerazione e applicato il principio del favor rei nei confronti della società di telemarketing, ossia l’applicazione della pena “più favorevole” al reo.
Pertanto, considerando questa importante sanzione e la scadenza del periodo di tolleranza di adeguamento al GDPR (dettato dal d.lgs. 101/2018), i controlli del Garante Privacy – con l’ausilio della Guardia di Finanza – sono in atto.
Una informativa sbagliata e la mancata raccolta del consenso, ai sensi del Regolamento Europeo, può comportare da sola sanzioni pecuniarie sino ai 2 milioni di euro (e non semplicemente cumulative come in questo caso) ovvero sino al 4% del fatturato dell’anno precedente.