You may be trying to access this site from a secured browser on the server. Please enable scripts and reload this page.
Home
Internal
Global
Contatto
de
|
en
|
it
Rödl & Partner Italia e Studio Gottardo per la partnership tra Officine MTM S.p.A. e Gruppo Dawang Metals |
In tutto il mondo
It looks like your browser does not have JavaScript enabled. Please turn on JavaScript and try again.
✕
Mondiale
Algeria
Angola
Arabia Saudita
Argentina
Australia
Austria
Azerbaigian
Bahrain
Belgio
Bielorussia
Bosnia ed Erzegovina
Botswana
Brasile
Bulgaria
Cambogia
Canada
Cile
Cina
Cipro
Colombia
Corea del Sud
Costa Rica
Croazia
Danimarca
Ecuador
Egitto
Emirati Arabi Uniti
Estonia
Etiopia
Finlandia
Flippine
Francia
Georgia
Germania
Ghana
Giappone
Grecia
Hong Kong
India
Indonesia
Irlanda
Italia
Kazakistan
Kenya
Kuwait
Lettonia
Libia
Liechtenstein
Lituania
Lussemburgo
Macedonia del Nord
Malesia
Marocco
Mauritius
Messico
Moldavia
Mongolia
Mozambico
Myanmar
Namibia
Nigeria
Norvegia
Nuova Zelanda
Oman
Paesi Bassi
Pakistan
Perù
Polonia
Portogallo
Qatar
Regno Unito
Repubblica Ceca
Romania
Serbia
Singapore
Slovacchia
Slovenia
Spagna
Sudafrica
Svezia
Svizzera
Taiwan
Tanzania
Thailandia
Tunisia
Turchia
Ucraina
Uganda
Ungheria
Uruguay
USA
Uzbekistan
Vietnam
Zambia
I nostri uffici Rödl & Partner
German Professional Services Alliance -
GPSA
�������������������������������������������������������������
(I colori appaiono al passaggio del mouse)
Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra
Cookie Policy
.
Servizi
Servizi legali
Compliance 231
Contenzioso societario e commerciale
Contrattualistica commerciale
Diritto alimentare
Diritto amministrativo
Diritto bancario
Diritto e consulenza del lavoro
Diritto farmaceutico e dei dispositivi medici
Diritto Penale
Diritto societario
Proprietà intellettuale
Servizi fiscali
Consulenza fiscale
Consulenza fiscale internazionale
Contenzioso fiscale
Transfer pricing
VAT & Indirect Taxes
Servizi interdisciplinari
Data Protection, Cyber Security & Innovation
E-commerce & Digital Law
Il percorso di quotazione per le PMI
Internazionalizzazione
M&A
Mobilità internazionale
Ristrutturazione e Procedure Concorsuali
Sostenibilità
Valuation
Whistleblowing
Revisione contabile
BPO & Tax Compliance
Formazione
Industry
Approfondimenti
Professionisti
Media
Rödl E-Book
RÖDL REPLAY - I NOSTRI WEBINAR
Newsletter
Legal Newsletter
Tax Newsletter
Data Protection Bites
Comunicati stampa
Comunicati operazioni
Rödl E-Book
Rödl & Partner sulla stampa online
Eventi
Su di noi
Currently selected
E-Book INTERNATIONAL VAT GUIDELINES
Uno studio internazionale
Le nostre sedi
Impegno sociale
Whistleblowing
Codice Etico
Modello 231
Sostenibilità
Carriera
Media
Archivio
Le recenti sanzioni telemarketing in Italia
Recent
Italian (Italy)
Currently selected
Consulenza legale, Consulenza fiscale, Audit, Servizi in outsourcing
Approfondimenti
Carriera
Cookie Policy
Cookie Policy
Eventi
Home
Informativa Privacy
Media
Privacy Policy
Professionisti
Servizi
Uno studio internazionale
Profile
Error 404!
Error 401!
Privacy
Disclaimer
Copyright
Le recenti sanzioni telemarketing in Italia
Page Content
Il Garante per la protezione dei dati personali ha pesantemente sanzionato le pratiche di telemarketing abusivo, in particolare con due recentissimi provvedimenti, uno dell’11 Dicembre 2019 ad Eni Gas e Luce (EGL) con una sanzione di 11,5 mln di euro e l’altro a TIM S.p.A. con una sanzione da 28 mln di euro il 15 Gennaio 2020.
CON RIFERIMENTO ALLE SANZIONI COMMINATE AD ENI GAS E LUCE (EGL), PER COMPLESSIVI 11,5 MILIONI DI EURO, RIGUARDANTI RISPETTIVAMENTE:
trattamenti illeciti di dati personali nell'ambito di attività promozionali (in particolare per le attività di telemarketing e teleselling)
attivazione di contratti non richiesti.
Il Garante ha riscontrato condotte illecite, in merito al “trattamento illecito di dati personali nell'ambito di attività promozionali”, consistenti:
nell’acquisizione di dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati: il Garante non ha considerato lecita la cessione dei contatti prospect a EGL da parte di C4b S.r.l. che a sua volta li aveva acquisiti da Facile.it (soggetto che aveva originariamente raccolto il consenso dei prospect ad essere contattati da terzi per finalità di marketing). Affermazione che mira ad evitare che da un singolo consenso possa propagarsi una serie infinita di passaggi. Questa impostazione dell’Autorità sembra suggerire che d’ora in avanti si dovrà individuare una nuova base giuridica che giustifichi il passaggio dal titolare originario al nuovo titolare, non potendo più fare affidamento sul consenso al marketing di terze parti rilasciato dall’interessato;
in ritardi nell’aggiornamento dello stato dei consensi: episodi di disallineamento del CRM e della black-list + ritardi da parte di EGL nel recepire le richieste di alcuni interessati che avevano espresso la volontà di non essere contattati;
nella mancanza di audit list provider: i dati personali presenti nelle liste acquisite da EGL tramite i list provider non sono oggetto di controlli, nemmeno a campione, idonei a comprovare il rispetto, in fase di raccolta, delle disposizioni relative al rilascio dell’informativa, all’acquisizione del consenso, e alle verifiche sul Registro pubblico delle opposizioni.
nella mancata giustificazione dei contatti telefonici collegati a presunte attività di “caring”: che, ha sancito il Garante, non ricomprende condotte riconducibili al teleselling e al telemarketing, ma che si applica ogniqualvolta si realizzi un contatto del cliente finalizzato alla risoluzione di problematiche amministrative, ovvero per la necessità di aggiornare i dati del medesimo, oppure nel caso in cui il cliente abbia contattato per almeno tre volte negli ultimi cinque giorni il call center.
Alla luce dei rilievi effettuati, il Garante ha quindi richiesto a EGL:
la realizzazione di meccanismi volti ad automatizzare i flussi di dati dal CRM alla black-list;
l’implementazione di procedure e sistemi (anche attraverso accessi ad aree dedicate dei database dei list provider e degli editori ovvero l’utilizzo di strumenti di controllo) al fine di verificare, anche tramite un campione rilevante, prima dell’inizio della campagna promozionale, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite.
CON RIFERIMENTO AL PROVVEDIMENTO N. 7 DEL 15 GENNAIO 2020 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI HA IRROGATO A TIM S.P.A. UNA SANZIONE DI 28 MLN DI EURO PER NUMEROSI TRATTAMENTI ILLECITI DI DATI LEGATI ALL’ATTIVITÀ DI MARKETING.
In particolare, sono state rilevate le seguenti condotte illecite:
contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect”, in assenza del consenso degli interessati, nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, ovvero effettuati nel quadro di contatti di servizio o ancora senza recepire tempestivamente nei propri sistemi l’avvenuto esercizio del diritto di opposizione;
assenza di controllo da parte della Società TIM sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali: da un lato consistente nella mancata implementazione da parte di TIM di procedure gestionali condivise, che consentissero un adeguato controllo da parte della stessa Società quale committente ed anche fornitrice di liste di contattabilità sulla complessiva gestione del trattamento per finalità promozionali, e, dall’altro, il correlato obbligo di render conto delle proprie attività in linea con il principio di accountability. Inoltre, gli eventi in questione hanno evidenziato delle falle nel funzionamento del sistema automatizzato di esclusione dalle liste di contattabilità, confermato da diverse anomalie sui sistemi che non hanno garantito una corretta e coerente rappresentazione della volontà negativa degli interessati;
errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black-list”): mancato aggiornamento delle black-list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari e incongruenze dei dati presenti nelle black-list di TIM rispetto a quelli delle black-list dei suoi partner:
telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica. TIM ha ipotizzato che queste “siano state autonomamente reperite dai Partner con il meccanismo delle lead e delle referenze, e quindi utilizzate ai fini del contatto commerciale sulla base del consenso fornito dall’interessato stesso oppure del bilanciamento di interesse sussistente per i referenziati”, ma non ha fornito alcun elemento ulteriore, né ha documentato tale assunto, come invece richiesto dal principio di accountability;
casi di conservazione, nel CRM (Customer Relationship Management), della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni). Le condotte descritte, prosegue il Garante, denotano un trattamento illecito in quanto effettuato in assenza di idoneo consenso da parte degli interessati oltre che in difformità ai principi di limitazione della conservazione e dell’obbligo di garantire e comprovare il rispetto della disciplina di protezione dei dati in ottemperanza al principio di accountability.
La gestione dei data breach inoltre è risultata inidonea, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati, in particolare, rileva il Garante:
in alcuni casi la Società ha provveduto tardivamente alla individuazione e corretta gestione degli episodi di violazione occorsi, attivando il DPO solo alcuni mesi dopo il rilevamento del problema, nonché all’effettuazione delle comunicazioni a questa Autorità prescritte dalla normativa vigente;
i sistemi che trattano i dati personali della clientela vanno frequentemente incontro a “disallineamenti”, “anomalie” ed “errate associazioni”.
nella gestione di alcune app e programmi, destinati alla clientela, inoltre, sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide. In alcuni casi è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing.
Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni, vietando a TIM:
l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali; dei soggetti presenti in black list; dei “non clienti” che non avevano dato il consenso;
l’uso dei dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.
Fra le prescrizioni, il Garante ha ingiunto a Tim di:
verificare la consistenza delle black-list utilizzate;
acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list;
rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing;
verificare la procedura per l’attivazione di tutte le app, specificando sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso;
implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.
In tale quadro risulta che sia ENI che TIM abbiano violato, sotto più aspetti, il principio di privacy by design, in quanto “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità dei trattamenti, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dai trattamenti” non risulta abbiano messo in atto adeguate “misure tecniche e organizzative adeguate … volte ad … integrare nei trattamenti le necessarie garanzie al fine di soddisfare i requisiti del GDPR e tutelare i diritti degli interessati” e, sotto un diverso profilo, nessuna delle due società risulta aver avuto sufficiente contezza e capacità di render conto di vari fondamentali aspetti dei trattamenti effettuati direttamente o mediante soggetti terzi, evidenziando quindi una non adeguata capacità di comprovare l’esatto adempimento della normativa in materia, risultando così non conformi al fondamentale principio di accountability.
A seguito di queste due prime pronunce molto severe, svariati sono i punti di attenzione per il business, che dovrà quindi tenere in conto:
privacy by design
data breach
misure tecniche ed organizzative sui sistemi
funzionamento app
se applicabile, validità dei consensi prospect acquisiti mediante list provider (esistono catene di consensi che la società acquisisce da parte di fornitori di liste prospect? I contatti acquisiti vengono verificati correttamente con il Registro pubblico delle opposizioni?);
se applicabile, procedura di audit liste e fornitori: oggetto, periodicità, campione, esiti;
se applicabile, funzionamento delle black-list da parte degli operatori di call center;
se applicabile, funzionamento gestione diritti interessato (in particolare, nell'acquisto liste);
se applicabile, contact policy, al fine di evitare chiamate eccessive
Contatti
Nadia Martini
Avvocato
Partner
+39 02 6328 841
Invia richiesta
Profilo
i nostri servizi
DATA PROTECTION, INTELLECTUAL PROPERTY & INFORMATION TECHNOLOGY
DIRITTO DELLA PRIVACY
Turn on more accessible mode
Turn off more accessible mode
Skip Ribbon Commands
Skip to main content
Turn off Animations
Turn on Animations
Deutschland
Weltweit
Search
Menu
