Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.



Le recenti sanzioni telemarketing in Italia

PrintMailRate-it

Il Garante per la protezione dei dati personali ha pesantemente sanzionato le pratiche di telemarketing abusivo, in particolare con due recentissimi provvedimenti, uno dell’11 Dicembre 2019 ad Eni Gas e Luce (EGL) con una sanzione di 11,5 mln di euro e l’altro a TIM S.p.A. con una sanzione da 28 mln di euro il 15 Gennaio 2020.


CON RIFERIMENTO ALLE SANZIONI COMMINATE AD ENI GAS E LUCE (EGL), PER COMPLESSIVI 11,5 MILIONI DI EURO, RIGUARDANTI RISPETTIVAMENTE:

  1. trattamenti illeciti di dati personali nell'ambito di attività promozionali (in particolare per le attività di telemarketing e teleselling)
  2. attivazione di contratti non richiesti.

Il Garante ha riscontrato condotte illecite, in merito al “trattamento illecito di dati personali nell'ambito di attività promozionali”, consistenti:
  • nell’acquisizione di dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati: il Garante non ha considerato lecita la cessione dei contatti prospect a EGL da parte di C4b S.r.l. che a sua volta li aveva acquisiti da Facile.it (soggetto che aveva originariamente raccolto il consenso dei prospect ad essere contattati da terzi per finalità di marketing). Affermazione che mira ad evitare che da un singolo consenso possa propagarsi una serie infinita di passaggi. Questa impostazione dell’Autorità sembra suggerire che d’ora in avanti si dovrà individuare una nuova base giuridica che giustifichi il passaggio dal titolare originario al nuovo titolare, non potendo più fare affidamento sul consenso al marketing di terze parti rilasciato dall’interessato;
  • in ritardi nell’aggiornamento dello stato dei consensi: episodi di disallineamento del CRM e della black-list + ritardi da parte di EGL nel recepire le richieste di alcuni interessati che avevano espresso la volontà di non essere contattati;
  • nella mancanza di audit list provider: i dati personali presenti nelle liste acquisite da EGL tramite i list provider non sono oggetto di controlli, nemmeno a campione, idonei a comprovare il rispetto, in fase di raccolta, delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso, e alle verifiche sul Registro pubblico delle opposizioni.
  • nella mancata giustificazione dei contatti telefonici collegati a presunte attività di “caring”: che, ha sancito il Garante, non ricomprende condotte riconducibili al teleselling e al telemarketing, ma che si applica ogniqualvolta si realizzi un contatto del cliente finalizzato alla risoluzione di problematiche amministrative, ovvero per la necessità di aggiornare i dati del medesimo, oppure nel caso in cui il cliente abbia contattato per almeno tre volte negli ultimi cinque giorni il call center.
Alla luce dei rilievi effettuati, il Garante ha quindi richiesto a EGL:
  • la realizzazione di meccanismi volti ad automatizzare i flussi di dati dal CRM alla black-list;
  • l’implementazione di procedure e sistemi (anche attraverso accessi ad aree dedicate dei database dei list provider e degli editori ovvero l’utilizzo di strumenti di controllo) al fine di verificare, anche tramite un campione rilevante, prima dell’inizio della campagna promozionale, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite.
 

CON RIFERIMENTO AL PROVVEDIMENTO N. 7 DEL 15 GENNAIO 2020 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI HA IRROGATO A TIM S.P.A. UNA SANZIONE DI 28 MLN DI EURO PER NUMEROSI TRATTAMENTI ILLECITI DI DATI LEGATI ALL’ATTIVITÀ DI MARKETING. 


In particolare, sono state rilevate le seguenti condotte illecite:

  • contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect”, in assenza del consenso degli interessati, nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, ovvero effettuati nel quadro di contatti di servizio o ancora senza recepire tempestivamente nei propri sistemi l’avvenuto esercizio del diritto di opposizione;
  • assenza di controllo da parte della Società TIM sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali: da un lato consistente nella mancata implementazione da parte di TIM di procedure gestionali condivise, che consentissero un adeguato controllo da parte della stessa Società quale committente ed anche fornitrice di liste di contattabilità sulla complessiva gestione del trattamento per finalità promozionali, e, dall’altro, il correlato obbligo di render conto delle proprie attività in linea con il principio di accountability. Inoltre, gli eventi in questione hanno evidenziato delle falle nel funzionamento del sistema automatizzato di esclusione dalle liste di contattabilità, confermato da diverse anomalie sui sistemi che non hanno garantito una corretta e coerente rappresentazione della volontà negativa degli interessati;
  • errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black-list”): mancato aggiornamento delle black-list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari e incongruenze dei dati presenti nelle black-list di TIM rispetto a quelli delle black-list dei suoi partner:
  • telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica. TIM ha ipotizzato che queste “siano state autonomamente reperite dai Partner con il meccanismo delle lead e delle referenze, e quindi utilizzate ai fini del contatto commerciale sulla base del consenso fornito dall’interessato stesso oppure del bilanciamento di interesse sussistente per i referenziati”, ma non ha fornito alcun elemento ulteriore, né ha documentato tale assunto, come invece richiesto dal principio di accountability;
  • casi di conservazione, nel CRM (Customer Relationship Management), della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni). Le condotte descritte, prosegue il Garante, denotano un trattamento illecito in quanto effettuato in assenza di idoneo consenso da parte degli interessati oltre che in difformità ai principi di limitazione della conservazione e dell’obbligo di garantire e comprovare il rispetto della disciplina di protezione dei dati in ottemperanza al principio di accountability.
La gestione dei data breach inoltre è risultata inidonea, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati, in particolare, rileva il Garante:

  • in alcuni casi la Società ha provveduto tardivamente alla individuazione e corretta gestione degli episodi di violazione occorsi, attivando il DPO solo alcuni mesi dopo il rilevamento del problema, nonché all’effettuazione delle comunicazioni a questa Autorità prescritte dalla normativa vigente;
  • i sistemi che trattano i dati personali della clientela vanno frequentemente incontro a “disallineamenti”, “anomalie” ed “errate associazioni”.
  • nella gestione di alcune app e programmi, destinati alla clientela, inoltre, sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide. In alcuni casi è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing. 

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni, vietando a TIM:

  • l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali; dei soggetti presenti in black list; dei “non clienti” che non avevano dato il consenso;
  • l’uso dei dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico. 

Fra le prescrizioni, il Garante ha ingiunto a Tim di:

  • verificare la consistenza delle black-list utilizzate;
  • acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list;
  • rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing;
  • verificare la procedura per l’attivazione di tutte le app, specificando sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso;
  • implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.
In tale quadro risulta che sia ENI che TIM abbiano violato, sotto più aspetti, il principio di privacy by design, in quanto “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità dei trattamenti, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dai trattamenti” non risulta abbiano messo in atto adeguate “misure tecniche e organizzative adeguate … volte ad … integrare nei trattamenti le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati” e, sotto un diverso profilo, nessuna delle due società risulta aver avuto sufficiente contezza e capacità di render conto di vari fondamentali aspetti dei trattamenti effettuati direttamente o mediante soggetti terzi, evidenziando quindi una non adeguata capacità di comprovare l’esatto adempimento della normativa in materia, risultando così non conformi al fondamentale principio di accountability.

A seguito di queste due prime pronunce molto severe, svariati sono i punti di attenzione per il business, che dovrà quindi tenere in conto:

  • privacy by design
  • data breach
  • misure tecniche ed organizzative sui sistemi
  • funzionamento app
  • se applicabile, validità dei consensi prospect acquisiti mediante list provider (esistono catene di consensi che la società acquisisce da parte di fornitori di liste prospect? I contatti acquisiti vengono verificati correttamente con il Registro pubblico delle opposizioni?);
  • se applicabile, procedura di audit liste e fornitori: oggetto, periodicità, campione, esiti;
  • se applicabile, funzionamento delle black-list da parte degli operatori di call center;
  • se applicabile, funzionamento gestione diritti interessato (in particolare, nell'acquisto liste);
  • se applicabile, contact policy, al fine di evitare chiamate eccessive
Skip Ribbon Commands
Skip to main content
Deutschland Weltweit Search Menu