Il 12 settembre 2024, il Garante per la protezione dei dati personali (Garante Privacy) ha inflitto una sanzione a un’azienda per violazioni legate alle sue pratiche di telemarketing.
Contesto
L’indagine è scaturita da numerosi reclami relativi a chiamate di telemarketing e messaggi SMS non graditi. Dall’esame condotto, è emerso che l’azienda aveva contattato diversi utenti i cui numeri risultavano iscritti nel Registro Pubblico delle Opposizioni (RPO), uno strumento che consente agli utenti di opporsi a comunicazioni di marketing indesiderate. Questi comportamenti hanno violato disposizioni del GDPR e del Codice Privacy italiano.
La revisione preliminare dei reclami ha rivelato una mancata conformità ai principi di consenso e minimizzazione dei dati. L’azienda ha sostenuto che alcuni utenti avevano prestato il consenso attraverso interazioni quali l’abbonamento ai servizi o l’uso di funzionalità come “Call Me Now.” Tuttavia, le prove fornite sono state giudicate insufficienti a dimostrare che fosse stato raccolto un consenso valido.
Principali rilievi
Il Garante Privacy ha identificato numerose violazioni nelle pratiche dell’azienda:
- Contatti senza consenso valido:
- I registri con i dettagli del consenso forniti dall’azienda non erano idonei a dimostrare che fosse stato raccolto un consenso valido, poiché presentati in formati modificabile (come file Excel).
- In alcuni casi, gli utenti non erano stati informati esplicitamente che i loro dati di contatto sarebbero stati utilizzati per finalità di telemarketing al momento dell’abbonamento a un servizio o dell’utilizzo della funzione “Call Me Now.” Di conseguenza, il consenso non poteva essere considerato né informato né specifico.
- In altri casi, l’azienda si era basata su consensi raccolti diversi anni prima, risalenti in alcuni casi a oltre un decennio. Inoltre, non erano state effettuate verifiche regolari per garantire la validità continua dei consensi, né erano state considerate le eventuali modifiche alle preferenze degli utenti o agli standard normativi.
- Trasparenza insufficiente nella raccolta dati:L’azienda si era affidata a fornitori terzi per la raccolta dei dati degli utenti a fini di marketing, senza verificare che questi seguissero protocolli adeguati per la raccolta di un consenso valido. Di conseguenza, spesso gli utenti prestavano inconsapevolmente il consenso tramite box preselezionati o informative privacy poco chiare.
- Errata classificazione delle comunicazioni: L’azienda aveva inviato un SMS per informare un utente sulla programmazione del proprio servizio di streaming, classificando tale comunicazione come un “messaggio di servizio.” Tuttavia, secondo il Garante Privacy, il messaggio aveva natura promozionale, poiché invitava l’utente a rinnovare l’abbonamento ai servizi di streaming dell’azienda.
In seguito a queste constatazioni, il Garante Privacy ha inflitto all’azienda una multa di 842.062 euro, pari all’1% della sanzione massima potenziale.
Conclusioni
Questo caso evidenzia la vigilanza esercitata dal Garante sulle pratiche di telemarketing messe in atto dalle aziende di tutti i settori.
Per le aziende, questa decisione è importante, in quanto ribadisce l’importanza di controllare regolarmente le pratiche di marketing, monitorando la validità del consenso fornito dall’utente, assicurandosi che i fornitori di dati di terze parti siano conformi quando raccolgono il consenso e rispettando le preferenze di opt-out degli utenti, attraverso un controllo incrociato delle liste di contatti con l’RPO.
Sempre in ambito telemarketing può essere d’interesse l’articolo: “Recenti provvedimenti sanzionatori del Garante Privacy in ambito telemarketing per telefonate senza consenso e attivazione di contratti non richiesti“
