Il Garante privacy ha comminato sanzioni nei confronti di tre call center che eseguivano telemarketing senza il consenso degli interessati, facendo seguito alle sanzioni precedentemente emesse contro le principali compagnie telefoniche.
Consenso preventivo per le comunicazioni promozionali, gestione oculata delle liste di contatto, idonee misure tecniche e organizzative volte a tutelare la privacy degli interessati: sono questi i principi fondamentali sui quali il Garante privacy ha condotto verifiche in call center incaricati per attività di telemarketing, a seguito delle sanzioni comminate a compagnie telefoniche che avevano commissionato ad alcuni operatori lo svolgimento di campagne promozionali senza stabilire adeguate misure e controlli.
Le pratiche sotto la lente d’ingrandimento del Garante si sostanziano in reiterate comunicazioni commerciali a) in assenza di consenso degli interessati; oppure b) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero c) anche dopo l’esercizio del diritto di opposizione. All’esito dell’attività istruttoria e ispettiva è emerso che tre call center avevano contattato un elevato numero di utenti non inclusi nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze “fuori lista”.
I numeri telefonici fuori lista risultavano spesso riferibili ad interessati che non avevano fornito un libero e specifico consenso o ad utenze iscritte nel Registro pubblico delle opposizioni. Inoltre, molti dei contatti “fuori lista” avevano più volte manifestato agli operatori dei call center la volontà di esercitare il diritto all’opt-out e di essere inseriti nelle cosiddette black list. Taluni numeri telefonici utilizzati per le comunicazioni promozionali, inoltre, non erano riconducibili a utenze “referenziate” (ad esempio, acquisite da familiari o conoscenti) ma a fonti incerte o non idoneamente documentate.
Nel primo provvedimento, il Garante privacy ha evidenziato la condotta illegittima dell’operatore sostanziatasi in reiterate ed invasive comunicazioni commerciali rivolte agli utenti. A giudizio dell’Autorità, l’aggressività della pratica si evince da comunicazioni effettuate fino a 150 volte in un anno a seguito dell’esercizio dell’opt-out da parte degli utenti interessati. L’importo della sanzione comminata ammonta a 80.000 euro.
Il secondo provvedimento, invece, evidenza gravi carenze in capo all’operatore interessato relative in particolare alla liceità dei dati contenuti nelle liste di contatto acquisite da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Tuttavia, nel corso dell’istruttoria il call center ha comunicato di aver intrapreso un percorso di revisione della propria strategia di marketing in un’ottica di compliance con il GDPR. Alla società è stata comminata una sanzione di 15.000 euro.
Nel terzo provvedimento, è stata contestata una sanzione minore, in ragione del livello di cooperazione offerto dall’operatore nei confronti dell’Autorità. In tal senso, il Garante privacy ha contestato criticità nella gestione delle liste di utenze telefoniche “referenziate” e la correlazione delle stesse ad altre informazioni quali l’origine dei dati e degli operatori che avevano lavorato sulle specifiche utenze. La sanzione, in questo caso, ammonta a 5.000 euro.
Nel calcolo dell’importo delle sanzioni il Garante privacy ha tenuto conto, alla luce della gravità delle infrazioni, del periodo di grave crisi socio-economica innescato dall’emergenza pandemica, della categoria dei dati personali, del numero degli interessati e del livello di cooperazione offerto dalle società.
In tutti e tre i casi, il Garante non ha ritenuto legittimo l’utilizzo della base giuridica del legittimo interesse per attività di telemarketing, ha vietato l’ulteriore trattamento per finalità di marketing di dati acquisiti illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto e trasparenze trattamento, con particolare riguardo ai dati “fuori lista” e a quelli inclusi in black list.
Su un simile argomento può essere interessante l’articolo “L’Italia è il Paese con le sanzioni più elevate ai sensi del GDPR”.