Diversamente da quanto ci si poteva attendere dopo i clamori suscitati dalle sanzioni milionarie previste dal GDPR, è passata piuttosto in sordina la notizia della ragguardevole sanzione (oltre 2 milioni di Euro) comminata dal nostro Garante ad una società che aveva svolto, tramite un call center estero, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali, omettendo l’informativa da rendere agli interessati.
Probabilmente la notizia non ha avuto il dovuto risalto perché la sanzione è stata comminata ai sensi della previgente normativa: il verbale di contestazione è, infatti, di solo pochi giorni (15 maggio 2018) antecedente all’entrata in vigore del GDPR.
Il caso è il seguente.
In seguito ad un’ispezione del Nucleo speciale privacy della Guardia di Finanza, è stato accertato che la società sanzionata:
- non aveva reso alcuna informativa alle persone contattate;
- non aveva richiesto agli interessati, come invece era prescritto già prima dell’entrata in vigore del GDPR, il consenso alla raccolta dei dati personali ed al trattamento degli stessi per finalità di marketing.
Sulla base di asseriti accordi intercorsi con l’agente di vendita del gestore di energia, la società sanzionata aveva incaricato il call center estero di contattare telefonicamente potenziali clienti, utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata da alcuna delle tre aziende coinvolte nella campagna promozionale.
La lettura del provvedimento del Garante (il cui testo integrale è reperibile cliccando qui), è interessante perché emerge che:
- l’ispezione è avvenuta a seguito della segnalazione di due interessati;
- il Garante ha qualificato la società condannata come autonomo titolare del trattamento, dato che “ha operato in assenza di specifiche designazioni a responsabile del trattamento”, ma non ha fornito l’informativa agli interessati;
- il Garante ha applicato una sanzione amministrativa per ogni violazione (155 contratti senza aver acquisito il consenso alla raccolta ed al trattamento dei dati ai fini di marketing);
- la sanzione è stata quantificata nella complessiva misura di 2.018.000,00 Euro sulla base del fatto che le condotte accertate e contestate sono state ritenute gravi perché “sono state poste in essere in un quadro di marcato disinteresse della complessiva normativa in materia di protezione dei dati personali e di superficiale sottovalutazione delle gravi implicazioni derivanti dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione del quadro degli adempimenti formali prescritti dalla normativa“.
Il Garante ha, infatti, accertato che, dopo il primo contatto da parte del call center tramite liste di utenti in suo possesso, le persone che avevano manifestato l’interesse a sottoscrivere un contratto, venivano richiamate dall’agente di vendita, il quale provvedeva ad acquisire la conferma dell’interesse del cliente ed a predisporre il testo del contratto di fornitura che veniva, poi, inoltrato alla società cliente che, infine, avrebbe effettivamente stipulato il contratto di fornitura.
In tutto questo percorso, l’attività di telemarketing e teleselling avveniva senza alcun rispetto sia dell’obbligo di informativa gravante sul Titolare del trattamento, sia delle norme poste a presidio della legittimità della raccolta dei dati per finalità di marketing, dato che l’operatore non si premuniva di ottenere alcun consenso da parte dell’interessato.
Data la generalizzata noncuranza della società in relazione ai suddetti adempimenti, il Garante ha ritenuto di comminare una sanzione commisurata al numero di violazioni accertate per singolo interessato, in quanto è stato ravvisato “un marcato disinteresse” nel suo complesso alla normativa in materia di protezione dei dati.
Un segnale a mio avviso importante per tutti coloro che, anche oggi, nell’epoca del ben più rigoroso Regolamento Europeo, continuano a chiedermi, con toni a volte anche un po’ irridenti e sarcastici, “ma a cosa servirà mai, poi, questa privacy?”