Con provvedimento n. 184 del 13 aprile 2023 (“Provvedimento”), il Garante per la Protezione dei Dati Personali (“Garante”) ha adottato l’inedita sanzione della confisca dei supporti contenenti dati personali illecitamente trattati, agendo nei confronti di un fenomeno che si presenta tutt’altro che nuovo e isolato nella realtà della promozione e vendita di prodotti e servizi.
Che il tema del telemarketing sia di particolare importanza in relazione alla tutela dei dati personali emerge dai numerosi provvedimenti emessi dal Garante in materia, dall’impatto che l’attività può avere sulla vita privata degli interessati e dalla recente approvazione del Codice di Condotta per le attività di telemarketing e teleselling.
A ciò si aggiunga che per proteggersi da attività promozionali invasive, i cittadini possono iscrivere numeri di telefono fissi e mobili nel Registro Pubblico delle Opposizioni che consente di impedirne il trattamento per fini di invio di materiale pubblicitario, vendita diretta, comunicazione commerciale o per il compimento di ricerche di mercato.
La peculiarità del Provvedimento è da individuarsi nella sanzione amministrativa accessoria della confisca disposta, per la prima volta, dal Garante; ad avviso di chi scrive la condotta e la sistematica inosservanza delle prescrizioni in materia di protezione dei dati personali da parte dei soggetti destinatari del Provvedimento ha indotto il Garante a ritenere che l’unica via percorribile per impedire il perpetrarsi dell’attività illecita sarebbe stata quella di privare i destinatari degli strumenti per realizzarla.
Come si è arrivati alla confisca dei supporti utilizzati per l’illecita attività di marketing?
L’emanazione del Provvedimento nei confronti di Mas S.r.l. (“Mas”), Mas S.r.l.s., Sesta Impresa S.r.l. (“Sesta Impresa”) e Arnia società cooperativa (“Arnia”), che hanno operato, a diverso titolo, per la promozione dei servizi di compagnie del settore dell’energia elettrica e del gas (Enel Energia S.p.A., Hera Comm S.p.A.), è seguita all’accertamento di illecite operazioni di trattamento di dati personali.
In particolare, le attività non conformi al dettato normativo aventi ad oggetto i dati personali dei lead e dei clienti delle compagnie energetiche sono state: acquisizione, comunicazione e condivisione, cui si aggiunge la mancata corretta designazione dei soggetti coinvolti nel trattamento, l’assenza di idonea base giuridica e la grave carenza delle misure di sicurezza adottate. Sotto questo ultimo profilo è significativo rilevare che Arnia accedesse ai sistemi delle compagnie energetiche con credenziali di soggetti terzi per caricare i contratti (e i dati personali) dei nuovi clienti acquisiti tramite l’attività della rete dei soggetti coinvolti.
È emerso che Mas e Mas S.r.l.s svolgevano attività promozionale finalizzata alla vendita dei servizi di Enel Energia S.p.a. e di Hera Comm S.p.A. utilizzando e condividendo tra loro (utilizzavano i medesimi ambienti operativi e collaboratori) liste di contatti illecitamente acquisite.
I dati personali contenuti nelle proposte di contratto venivano così trasmessi da Mas e da Mas S.r.l.s. a Sesta Impresa senza una opportuna individuazione dei ruoli e designazione dei soggetti coinvolti nelle operazioni di trattamento dei dati personali dei clienti delle compagnie.
Sesta Impresa operava quale sub-mandataria di diverse compagnie energetiche in forza di contratti stipulati con diverse agenzie, a loro volta legate contrattualmente con le compagnie e si occupava di individuare procacciatori d’affari (che trattavano i dati personali dei clienti senza alcuna designazione) presenti sul territorio in considerazione dei contatti telefonici realizzati da Arnia per l’attivazione di nuovi contratti.
Arnia offriva a Sesta Impresa servizi aventi ad oggetto attività di call center e di data entry nei sistemi informatici delle compagnie energetiche pur essendo priva di un’idonea designazione per trattare i dati personali dei clienti che venivano trattati e trasferiti in assenza di un’idonea base giuridica e accedeva ai sistemi delle compagnie per l’inserimento dei contratti utilizzando credenziali di soggetti terzi.
Secondo quanto accertato dal Garante le quattro società attinte dal Provvedimento, pur non agendo quali responsabili o sub-responsabili del trattamento delle compagnie energetiche, riuscivano a far sottoscrivere ai clienti le proposte contrattuali e ad introdurle nel patrimonio informativo delle compagnie così da incassare le relative provvigioni.
Ai fini dell’emanazione del Provvedimento, oltre alle circostanze fattuali da cui risulta una pressoché totale noncuranza delle prescrizioni dettate dalla normativa in materia di protezione dei dati personali, è stata considerata dal Garante la condotta delle parti tenuta durante il procedimento.
Mas, Mas S.r.l.s. e Sesta Impresa non hanno presentato difese mentre per Arnia l’audizione ha riguardato esclusivamente il mancato riscontro alla richiesta di informazioni formulata dal Garante (Arnia aveva richiesto una proroga del termine per la consegna della documentazione richiesta in sede ispettiva).
Con il Provvedimento, il Garante ha:
- vietato a Mas, Mas S.r.l.s., Sesta Impresa e Arnia ogni ulteriore contatto promozionale, l’utilizzo delle anagrafiche acquisite da Mas e Mas S.r.l.s. e dei database nella titolarità di Arnia, l’attività di data-entry dei contratti per l’attivazione di servizi energetici;
- disposto la confisca dei supporti informatici e cartacei contenenti i dati anagrafici illecitamente acquisiti da Mas S.r.l.s. e delle liste di anagrafiche e dei moduli cartacei che compongono i database detenuti da Arnia;
- ingiunto di pagare le seguenti sanzioni amministrative pecuniarie: € 500.000 a Mas, € 200.000 a Mas S.r.l.s., € 300.000 a Sesta Impresa, € 800.000 ad Arnia.
Il Garante chiarisce l’iter motivazionale sotteso all’irrogazione della sanzione della confisca. Da un lato, la palese violazione da parte delle società della normativa in materia di protezione dei dati personali e la conseguente pericolosità dei futuri trattamenti dei dati personali dei clienti, dall’altro, la tutela dell’elevato numero di interessati coinvolti dalle operazioni illecite di trattamento.
La confisca non rientra espressamente tra i poteri (di indagine, correttivi, autorizzativi e consultivi) attribuiti dall’art. 58 del Regolamento UE 679/2016 (“GDPR”) all’Autorità di controllo. Nell’ordinamento italiano, l’art. 166, comma 7 del d.lgs. 196/2003 (“Codice Privacy”) dispone l’applicabilità della sanzione amministrativa della confisca di cui all’art. 20, comma 3 della L. n. 689/1981.
La costante attenzione del Garante contro il fenomeno del telemarketing illegale è evidente se si considerano i provvedimenti correttivi e sanzionatori nn. 181, 182, 183 anch’essi (come quello qui esaminato) del 13 aprile 2023 con cui sono state sanzionate, nel settore telefonico, Tim S.p.A. per € 7.631.175 e, nel settore energetico, Green Network S.p.A. per € 237.800 e Sorgenia S.p.A. per € 676.956.
Quanto alla prima società è stata contestata una non adeguata sorveglianza sui call center abusivi, l’inadeguato riscontro all’esercizio dei diritti degli interessati e l’erronea pubblicazione di dati personali nei pubblici elenchi telefonici.
Alle società del settore energetico, invece, è stato contestato di non aver tracciato adeguatamente le operazioni svolte sulle piattaforme di caricamento delle proposte contrattuali e di non avere dimostrato la piena contezza dei trattamenti svolti nella filiera del telemarketing.
Dall’analisi di tutti i provvedimenti citati emerge che manca una corretta definizione dei ruoli dei soggetti coinvolti nel trattamento dei dati personali dei clienti per finalità di marketing e la conseguente designazione e l’allocazione delle responsabilità ai sensi della normativa vigente.
Le stesse società committenti spesso sono prive di un adeguato controllo della catena delle operazioni e dei soggetti che portano alla conclusione dei contratti con i clienti.
L’attività di telemarketing è finalizzata alla ricerca di nuovi clienti e alla sottoscrizione di nuovi contratti da parte della società che fornisce i beni e i servizi oggetto della promozione.
È una fase cruciale del rapporto contrattuale con il cliente che, se gestita imprudentemente, può portare a risultati diametralmente opposti rispetto a quelli perseguiti.
La valutazione effettuata dal cliente è un unicum inscindibile tra la qualità del prodotto/servizio cercato e la condotta del fornitore. Come può un titolare del trattamento garantire la sicurezza del trattamento dei dati personali del cliente laddove, come spesso accade, non sia a conoscenza della totalità dei soggetti coinvolti nelle operazioni di trattamento?
Gli strumenti normativi per riportare l’attività nel perimetro di liceità sono previsti dal GDPR e dalla normativa nazionale e sono a disposizione dei titolari del trattamento unitamente ai plurimi accertamenti effettuati dal Garante in materia.
Una compiuta regolamentazione in ambito protezione dati personali dei rapporti della filiera dei soggetti coinvolti nell’attività di marketing dei prodotti/servizi del titolare è fondamentale per garantire la compliance aziendale, da un lato, e la fidelizzazione del cliente, dall’altro. Ciò è ancora più importante quando l’attività di marketing venga effettuata tramite sistemi di intelligenza artificiale coniugando potenzialità e tutela degli utenti.