Telemarketing: sanzione di 79 milioni di euro a nota società energetica

Il Garante Privacy ha inflitto a una nota società energetica una sanzione record di 79 milioni di euro per gravi carenze nei trattamenti dei dati personali di numerosi utenti, realizzati a fini di telemarketing. Si tratta della sanzione più alta irrogata in Italia.

La sanzione alla nota società energetica è immediatamente successivo alla pubblicazione delle motivazioni con cui il Tribunale di Roma ha annullato il provvedimento del Garante Privacy, impugnato dalla stessa società, perché tardivo (su questo, si veda: Il Tribunale di Roma annulla il provvedimento del Garante Privacy perché tardivo).

Il procedimento trae origine da un’indagine della Guardia di Finanza nei confronti di quattro società che ha portato a sanzioni da 1,8 milioni alle stesse, con conseguente confisca delle banche dati utilizzate per le attività illecite per pratiche di telemarketing aggressivo, e acquisizione illecita di dati personali, utilizzati per stipulare contratti di fornitura senza il consenso degli interessati.

In particolare, sarebbe emerso che alcune di queste società svolgevano attività finalizzate a promuovere i servizi di compagnie del settore dell’energia elettrica e del gas e apparivano focalizzate essenzialmente alla promozione dei servizi della nota società energetica, nonostante, come affermato dal Garante stesso, non risultasse esserci “alcun contratto di collaborazione o per prestazione di servizi in essere con [la nota società energetica] e quindi alcuna autorizzazione a stipulare contratti per conto della medesima”.

All’esito di quanto accertato nei confronti delle società indicate sopra, il Garante ordinava un’ispezione proprio nei confronti della nota società energetica, volta a verificare il rapporto tra le società promotrici, e la nota società energetica.

Da queste ispezioni, sarebbero emerse le seguenti violazioni:

1. Violazione degli artt. 5, par. 1, lett. f), e 32 del GDPR, per aver omesso di realizzare un’adeguata valutazione dei rischi connessi alla piattaforma di CRM e, conseguentemente, per aver omesso di adottare, nei confronti della rete di agenti ufficiali, le misure adeguate a garantire un corretto utilizzo delle credenziali di accesso al sistema aziendale e ad evitare la condivisione delle credenziali stesse fra più soggetti, consentendo così l’introduzione nel sistema informativo e contrattuale di proposte di contratto acquisite da soggetti non autorizzati al trattamento dei dati personali e all’accesso nei sistemi della Società;
2. Violazione degli artt. 5, par. 2, 24, par. 1 e 25 del GDPR per aver omesso di intraprendere, rispetto all’operato scorretto di alcune agenzie che, di fatto, agivano con lo scopo di procacciare contratti della nota società energetica, una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza dei sistemi nonché trasparenza del trattamento e centralità dell’interessato);
3. Violazione dell’art. 28 del GDPR per (i) da un lato, aver stipulato dei contratti con le proprie agenzie che prevedono in maniera formalistica una ripartizione di responsabilità non rispondente alla concreta articolazione della filiera del trattamento e carente sotto il profilo degli obblighi di controllo in capo al titolare del trattamento e (ii) dall’altro, per non aver stipulato (o curato che fossero stipulati) i necessari atti giuridici con le società sopra menzionate.

Il provvedimento che dispone la sanzione risulta particolarmente importante, soprattutto a seguito della nota sentenza del Tribunale di Roma, che ha sempre riguardato la società energetica. Il Garante, infatti, pone una maggior attenzione agli aspetti sostanziali della vicenda, più che a quelli formali (“Nonostante le argomentazioni della Società si siano concentrate in massima parte (70 punti su complessivi 129) su aspetti di legittimità formale dell’istruttoria anziché sulla sostanza degli addebiti, l’Autorità ritiene necessario invertire tale ordine di esposizione concentrando in primo luogo l’attenzione non già sulle ricadute formali dell’indagine del Garante ma su quelle, ben più gravi e sostanziali, che possono derivare da un’inidonea configurazione delle misure di sicurezza a salvaguardia del patrimonio informativo [della società] e dei suoi clienti”).

Da ciò emerge che il Garante non apprezza memorie difensive incentrate sugli aspetti procedurali o di legittimità formale, ma, anzi, pone una particolare attenzione ai soli aspetti sostanziali. Pertanto, nel predisporre le proprie difese le Società dovranno riportare una struttura difensiva particolarmente forte da un punto di vista sostanziale, per evitare un inasprimento delle sanzioni da parte del Garante.

Su questo argomento, può essere interessante: “Infografica sul codice di condotta privacy sul telemarketing e teleselling”