Il Garante per la protezione dei dati personali, dopo aver sanzionato le compagnie telefoniche che avevano commissionato a tre call center delle campagne promozionali senza adeguati controlli, si è rivolto anche a questi ultimi, imponendo loro di rispettare la privacy degli utenti e la volontà degli stessi di non essere più disturbati, in aggiunta a sanzioni pecuniarie.
A seguito di alcune verifiche effettuate dall’Autorità, è infatti emerso che i tre call center avevano contattato migliaia di utenti non inclusi nelle liste ufficiali fornite dal committente e che, pertanto, non avevano fornito il proprio consenso a essere contattati per promozioni commerciali, iscrivendosi nel Registro pubblico delle opposizioni. In molti avevano anche più volte manifestato agli operatori telefonici la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list. Alcuni numeri telefonici utilizzati per le chiamate commerciali, in aggiunta, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata. Il Garante ha poi rilevato la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr), violando così il principio di privacy by design.
Per quanto concerne l’ammontare delle sanzioni, l’Autorità ha tenuto conto del differente livello di gravità delle violazioni commesse dai tre call center, della cooperazione offerta e del periodo di grave crisi socio-economica collegata all’emergenza pandemica. Il primo call center ha commesso il maggior numero di violazioni, disturbando un numero più significativo di persone e con un’elevata frequenza, e dovrà quindi pagare una sanzione di 80.000 euro.
Al secondo call center è stata comminata una sanzione di 15.000 euro, a fronte di alcune criticità di sistema, relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze. Tuttavia, durante l’istruttoria, la società ha affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy.
Il terzo call center, invece, essendosi adoperato per gestire il problema delle liste di utenze telefoniche “referenziate” tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze, dovrà pagare una sanzione di 5.000 euro.
In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse e ha vietato l’ulteriore utilizzo dei dati trattati illecitamente per finalità di marketing, prescrivendo la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.
Il diritto degli utenti di opporsi all’utilizzo dei propri dati a fini commerciali è stato ribadito dal Garante anche in un’altra occasione. Nel caso di specie, l’Autorità ha ammonito una società per non aver dato riscontro alle richieste di alcuni utenti che non volevano ricevere email promozionali, prescrivendole l’adozione delle misure organizzative necessarie a fornire una risposta immediata a chi si oppone al direct marketing. Alla società è stata, inoltre, inflitta una sanzione di 30.000 euro e imposto il divieto di trattamento dei dati senza consenso e per le violazioni riscontrate .
I reclamanti, in particolare, lamentavano la ricezione di email promozionali inviate senza consenso e nonostante una loro opposizione, nonché l’impossibilità di interrompere gli invii tramite il tasto unsubscribe presente nelle email, senza ricevere alcun riscontro a fronte delle loro richieste di esercizio dei diritti. La società si era difesa sostenendo che la mancata risposta era dovuta al fatto che la casella di posta pec non era stata monitorata per diversi mesi a causa di problemi organizzativi e che comunque gli utenti avrebbero dovuto esercitare i loro diritti avvalendosi del modulo presente al link “contattaci”, come indicato nell’informativa privacy pubblicata nel sito web.
Tuttavia, dall’esame delle email ricevute dai reclamanti, alcune delle quali risalenti anche al 2018, è emerso che l’unico modo di individuare in maniera certa un canale di comunicazione era l’indirizzo pec, rinvenibile nei pubblici registri, pertanto il Garante ha ritenuto insufficienti tali giustificazioni. Inoltre, il tasto unsubscribe presente in calce alle mail non era funzionante, come dimostrato dal fatto che uno dei reclamanti aveva continuato a ricevere i messaggi indesiderati, nonostante il suo utilizzo.
A fronte dell’assenza di indicazioni chiare all’interno delle stesse email promozionali sulle modalità per contattare la società e della mancanza di adeguate misure tecniche in grado di consentire il funzionamento del tasto unsubscribe nonché il corretto monitoraggio della casella di posta pec, il Garante ha ritenuto l’impossibilità per i reclamanti esercitare i propri diritti.