Home

Internal

Global

Contatto

Rödl & Partner ha prestato la propria consulenza per il perfezionamento dell'acquisizione del Gruppo italiano FGV da parte di Hettich |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Telemarketing illecito: il Garante Privacy batte un altro colpo

Ultimo aggiornamento del 22.11.2023 | Tempo di lettura ca. 7 minuti

A fronte di un procedimento istruttorio condotto come diretta conseguenza di alcune segnalazioni e reclami presentati nel corso dell’anno 2022, in data 12 ottobre 2023 il Garante Privacy ha sanzionato una società operante nella produzione del caffè (di seguito, “Società”) per un importo complessivo di 70.000 Euro.

Attraverso il provvedimento sanzionatorio di specie, l’Autorità Garante ha accertato, con riferimento alle disposizioni previste dal Regolamento (EU) 2016/679 (di seguito, “GDPR”), l’illiceità del trattamento di dati personali condotto dalla Società nel contesto della propria attività di telemarketing; quest’ultima, infatti, avrebbe promosso e pubblicizzato – attraverso telefonate indesiderate indirizzate, per lo più, verso utenze iscritte al Registro Pubblico delle Opposizioni (di seguito, “RPO”) – il relativo marchio.

Ripercorriamo insieme gli aspetti principali del provvedimento per fornire alcuni spunti operativi sulla corretta gestione dell’attività di telemarketing.

In virtù dei reclami e delle segnalazioni ricevute, l’Autorità ha formulato alla Società due richieste preliminari di informazioni, precisamente in data 22 novembre 2022 e in data 24 febbraio 2023. All’esito, è stato rilevato che:

la Società avrebbe contattato le utenze interessate sulla base di un mero “errore di digitazione casuale”, dichiarando di non detenere i dati personali dei relativi interessati all’interno del proprio database;
l’attività di telemarketing verrebbe svolta manualmente verso contatti raccolti tramite passaparola dei clienti e link sponsorizzati, oltre che per mezzo di processi di c.d. lead generation (ossia quell’attività in base alla quale un’azienda, per promuovere i propri prodotti, acquisisce da soggetti terzi liste di anagrafiche per il successivo contatto di marketing);
tra i canali di raccolta dei dati di contatto degli interessati, la Società sfrutterebbe anche i propri inserzionisti e i c.d. list provider – ossia terze parti che, nel pubblicizzare il marchio mediante inserzioni sui propri siti internet, raccolgono, tramite form on-line, i dati personali degli utenti e li trasmettono, previo compenso economico, alla Società per l’effettuazione della campagna promozionale;
l’attività di telemarketing sarebbe stata svolta attraverso numerazioni chiamanti intestate alla Società e, parallelamente, tramite utenze non regolarmente censite nel Registro degli Operatori di Comunicazione (di seguito, “ROC”), presumibilmente create ad hoc tramite tecniche di spoofing telefonico.

Alla luce di quanto preliminarmente condiviso, l’Autorità Garante ha proseguito la propria attività istruttoria con l’obiettivo di verificare i profili di violazione del GDPR. In particolare, ha accertato quanto segue.

Con riferimento ai canali di acquisizione dei dati personali dei soggetti interessati contattati per finalità promozionali, l’Autorità ha evidenziato che – nel rispetto di quanto previsto dal GDPR e dei principi della normativa privacy – il titolare del trattamento è sempre chiamato a fornire l’informativa e ad acquisire preventivamente il consenso del soggetto destinatario del contatto promozionale, al netto dell’applicazione della disciplina del citato RPO. Sulla base di questa premessa, e in riferimento ai canali di raccolta dei dati dichiarati dalla Società, l’Autorità ha statuito che:

il passaparola non costituisce una valida e lecita modalità di acquisizione del dato personale, in quanto il soggetto che lo fornisce non è (di regola) legittimato a fornire un valido consenso per conto del soggetto interessato, destinatario della comunicazione promozionale;
il modulo d’ordine di acquisto compilato dall’operatore telefonico nel contesto del canale inbound, tramite il quale l’interessato contatta la Società perché desideroso di acquistare uno dei suoi prodotti, non può costituire prova di un espresso consenso al trattamento dei dati per finalità promozionali. Tale modulo, infatti, ha esclusiva valenza nel rapporto contrattuale di vendita che si instaura tra le parti e non può mai rappresentare una garanzia in termini di liceità del trattamento dei dati dell’interessato per le diverse finalità in oggetto;
non è stata richiesta né verificata la documentazione inerente l’origine dei dati e la liceità della base giuridica utilizzata per fini di marketing con riferimento alle anagrafiche acquisite dai list provider, rispetto ai quali la Società si sarebbe limitata ad affidarsi alle garanzie contrattualmente previste e ai buoni rapporti di collaborazione in essere. Peraltro, successivamente all’acquisizione, la Società non avrebbe nemmeno “riscontrato” la lista di anagrafiche con quelle registrate al RPO, omettendo di verificare il tracciamento delle opposizioni rese dai soggetti per i successivi contatti (che in tal senso avrebbero dovuto essere esclusi dalle telefonate). A nulla è valso, a tal proposito, il tentativo di giustificazione addotto dalla Società, la quale avrebbe segnalato all’Autorità alcune problematiche tecniche connesse al RPO che avrebbero impedito la corretta iscrizione da parte della Società: difatti, come anche sottolineato dall’Autorità Garante stessa, l’iscrizione nell’elenco degli operatori autorizzati alla consultazione del RPO è una pre-condizione di liceità del trattamento ai fini di telemarketing.

In merito ai profili di accountability, è emerso che la Società non avrebbe adeguatamente dato riscontro alle richieste di alcuni soggetti interessati, con particolare riferimento alle istanze di opposizione relative ai contatti telefonici. In tal senso, ricevute le doglianze, la Società si sarebbe limitato a ricondurre l’illegittimità della condotta alla digitazione casuale dei numeri telefonici interessati, assicurando verbalmente i soggetti interessati che i rispettivi contatti sarebbero stati inclusi in una “wrong list” quale evidenza dell’opposizione resa. Tuttavia, come rilevato dall’Autorità, la Società non avrebbe fornito copia di tale “wrong list” né, ulteriormente, della “black list” menzionata in sede di audizione; per tali motivi, l’Autorità Garante non è stata in grado di verificare il corretto tracciamento delle modalità e delle tempistiche di acquisizione, nonché revoca, dei consensi prestati, dovendo pertanto confermare la violazione degli art. 12, 15 e 21 del GDPR.

Nemmeno sotto l’aspetto dei c.d. “controlli di filiera” la Società pare avere messo in atto misure di rilevanza concreta. È la conclusione a cui arriva l’Autorità rispetto ad alcuni contatti telefonici svolti tramite utenze intestate alla Società che, a detta di quest’ultima, sarebbero stati indebitamente svolti da un proprio ex partner – il quale, a collaborazione terminata, avrebbe sottratto illecitamente i dati oggetto di contatto dalla banca dati della Società.

Nel ragionamento dell’Autorità, infatti, la Società avrebbe dovuto implementare adeguate misure di sicurezza per la tutela del proprio nome dalla sua indebita spendita da parte di terzi abusivi, rei di alimentare il mercato illecito dei contatti telefonici promozionali. Invece, la Società si sarebbe esclusivamente limitata a diffidare tale ex partner nel non utilizzare contatti provenienti dalla proprio banca dati, senza adottare ulteriori iniziative degne di merito (tra le quali, l’Autorità cita ad esempio la presentazione di regolare denuncia alle Autorità competenti).

Tenuto conto di tutto quanto analizzato e in linea con l’orientamento espresso a più riprese dall’Autorità, è possibile raccomandare alcune misure e adempimenti che le aziende – impegnate nell’attività di marketing telefonico dei propri prodotti e servizi – dovrebbero tenere in considerazione per rendere lecito tale processo. In particolare:

• l’attività di telemarketing deve essere sempre preceduta dall’acquisizione del consenso dell’interessato alla ricezione della chiamata e dall’erogazione di idonea informativa sul trattamento dei dati che comprenda, tra i trattamenti svolti, quello per finalità di telemarketing; in caso di trattamenti di marketing effettuati nel corso di telefonate in modalità inbound, il modulo d’ordine compilato dall’operatore telefonico, di per sé, è valido solo ed esclusivamente a concludere il contratto con il cliente e mai a rappresentare un consenso per finalità di telemarketing;

il “passaparola” non è un valido canale per la raccolta di dati personali soggetti a trattamento (anche telefonico) di marketing. La “composizione casuale” di numerazioni non è qualificabile come attività che esime il titolare del trattamento dal rispetto del GDPR;
è onere del titolare del trattamento storicizzare i consensi acquisiti per finalità di telemarketing, avendo cura di documentare quantomeno, per ragioni di accountability: (i) l’evidenza del consenso, (ii) la data di acquisizione del consenso, (iii) l’identità dell’interessato. La documentazione del consenso dovrebbe avvenire tramite evidenza dei relativi log e attraverso un processo di c.d. double opt in, grazie al quale, inviando una e-mail di conferma all’interessato a consenso acquisito, il titolare è grado di documentare la sua effettiva volontà alla ricezione di chiamate promozionali;
l’operatore telefonico dovrebbe essere istruito rispetto alla corretta modalità di svolgimento dell’attività di telemarketing, che non può prescindere dalla predisposizione di un adeguato script di chiamata contenente idonea informativa (da rendere prima di procedere all’attività promozionale);
in caso di acquisizione delle anagrafiche oggetto di contatto telefonico dai c.d. list provider, il titolare dovrebbe verificare, preliminarmente all’acquisizione, (i) l’origine dei dati, (ii) la base giuridica sottesa al trattamento dei dati per finalità di marketing, iii) la corretta erogazione, da parte del list provider, di informativa privacy contenente, fra le finalità, quella di cessione dati per scopi di marketing a soggetti rientranti in determinate categorie merceologiche, iv) la corretta acquisizione del consenso dell’interessato alla cessione dei propri dati da parte del list provider. Ad anagrafiche acquisite, occorre poi procedere al riscontro con il Registro Pubblico delle Opposizioni al fine di espungere dalla lista i soggetti interessati che hanno correttamente formulato la propria opposizione;
l’esercizio dei diritti da parte degli interessati deve essere sempre gestito in conformità agli artt. 15-22 GDPR e la filiera dell’attività di telemarketing deve essere monitorata costantemente onde evitare operazioni “abusive”, nel rispetto del principio di accountability in capo al titolare del trattamento. A tal proposito, è raccomandabile l’adozione di procedure interne volte a tenere traccia dell’attività di trattamento svolta dalla filiera per evitare contatti promozionali non sorretti da adeguata base giuridica.