Con due recenti provvedimenti, il Garante per la protezione dei dati personali ha irrogato due sanzioni, di 100.000 euro ciascuna, nei confronti di un gestore che opera nel settore dei contratti di fornitura di luce e gas per trattamento illecito di dati personali e un call center per la realizzazione di campagne di telemarketing in violazione della normativa applicabile al trattamento dei dati personali.
Le pratiche sotto la lente d’ingrandimento del Garante si sostanziano in reiterate comunicazioni commerciali in assenza di consenso degli interessati o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni.
Nel primo provvedimento, il Garante ha avviato delle ispezioni a seguito di numerose segnalazioni e due reclami da parte di utenti che lamentavano la ricezione di telefonate indesiderate e l’attivazione di contratti energetici non richiesti. Dalle indagini dell’Autorità è emerso che le telefonate venivano effettuate senza il consenso degli interessati, spesso indirizzate a utenti iscritti nel Registro pubblico delle opposizioni (Rpo).
Inoltre, dalle indagini, era emerso come le liste di contatti erano ottenute dal call center tramite società terze e la rete di agenti o procacciatori. In aggiunta, da una verifica a campione, è stato rilevato che nell’arco di una settimana il call center aveva contattato illecitamente ben 106 utenti, che avevano poi concluso un contratto di fornitura di energia.
Considerata la gravità delle violazioni, il Garante ha:
- inflitto al call center una sanzione amministrativa pecuniaria di 100.000 euro; e
- ordinato l’adozione di misure tecniche, organizzative e di controllo per garantire che il trattamento dei dati personali degli utenti rispetti la normativa privacy lungo tutta la filiera.
Sulla stessa scia, il Garante ha emanato un secondo provvedimento nei confronti di un call center per la realizzazione di campagne di telemarketing in violazione della normativa applicabile al trattamento dei dati personali. A tal proposito, l’Autorità ha irrogato una sanzione amministrativa di 100.000 euro a un secondo gestore energetico per violazioni simili. Anche in questo caso, le telefonate venivano effettuate senza il consenso degli interessati e utilizzando numeri di utenti iscritti nel Registro pubblico delle opposizioni.
Alcune considerazioni per le aziende
Questi provvedimenti sono particolarmente interessanti per le aziende a cui si applica il GDPR e che intendono trattare dati personali per finalità di marketing poiché sottolinea l’importanza dell’implementazione delle necessarie misure di accountability, specie quando si intende ricorrere a mezzi “invasivi” di promozione commerciale quali appunto il telemarketing.
Pertanto, quando queste intendono procedere con questi trattamenti, sarà necessario individuare la correttamente la base giuridica applicabile al trattamento e rispettare le preferenze espresse dagli utenti iscritti nel Registro Pubblico delle Opposizioni oltre che adottare misure tecniche, organizzative e di controllo per garantire che il trattamento dei dati personali degli utenti rispetti la normativa privacy lungo tutta la filiera.
Infatti, il Garante è particolarmente attento a queste tipologie di trattamento perché considerate particolarmente invasive e sono numerosi i provvedimenti sanzionatori irrogati. Di recente, l’Autorità ha inflitto a una nota società energetica una sanzione record di 79 milioni di euro per gravi carenze nei trattamenti dei dati personali di numerosi utenti, realizzati a fini di telemarketing. Si tratta della sanzione più alta irrogata in Italia. Su questo tema potrebbe interessarvi quindi il seguente articolo “Telemarketing: sanzione di 79 milioni di euro a nota società energetica”.
Autore: Giorgia Carneri
