Telemarketing aggressivo, nuova sanzione privacy: ecco perché c’è ancora tanto da imparare
2024-1-22 23:46:42 Author: www.cybersecurity360.it(查看原文) 阅读量:19 收藏

IL PROVVEDIMENTO

Doppia sanzione a uno stesso call center operativo nel settore dei contratti di energia elettrica, già multato, nel 2022, per non aver dato riscontro alle richieste fatte dall’Autorità. Questa volta, la sanzione si è sestuplicata ammontando a 60mila euro, sulla base di violazioni che andiamo ad analizzare nel dettaglio

Pubblicato il 22 Gen 2024

P

Chiara Ponti

Avvocato, Privacy Specialist & Legal Compliance e nuove tecnologie – Baccalaureata

Il fenomeno delle telefonate indesiderate non si riesce ad arginare, nonostante la messa in atto del Registro Pubblico delle OpposizioniRPO. Così arriva un nuovo intervento del Garante privacy a tutela dei consumatori contro il telemarketing selvaggio importando trattamenti illeciti di dati personali, e quindi da punire severamente.

Vediamo, dunque, il provvedimento offrendo una panoramica punto per punto, alla luce del testo per poi soffermarci sui punti chiave, vale a dire: la gestione dei dati, la mancata verifica circa la provenienza dei dati, e gli aspetti sanzionatori con focus sulla sanzione accessoria.

Il provvedimento del Garante privacy e i termini della vicenda

Con il provvedimento n. 561 del 30 novembre 2023, il Garante è intervenuto per tutelare i consumatori dalle telefonate indesiderate, irrogando a un call center operativo nel settore dei contratti di energia elettrica, un’ulteriore sanzione di 60mila euro.

Garantisci la protezione dei tuoi DATI durante la modernizzazione del Data Center

Datacenter Infrastructure Management

La medesima società, infatti, un paio di anni fa (2022), era già stata destinataria di altra sanzione sempre da parte dell’Autorità a fronte di un reclamo proposto da un utente che lamentava di aver ricevuto una serie di telefonate di natura promozionale senza il suo consenso. In pratica, telefonate indesiderate.

L’istruttoria

Partiamo dall’attività istruttoria, seguendo peraltro le argomentazioni del Garante. Come si ha modo di leggere nel provvedimento in questione “in data 20 ottobre 2022 è stato adottato il provvedimento n. 350 con il quale è stata comminata […] la sanzione amministrativa di euro 10.000,00 per la violazione dell’art. 157 del Codice, non avendo la Società fornito riscontro alla richiesta di informazioni del 10 febbraio 2022 […] in relazione ad un reclamo proposto all’Autorità” afferente alla ricezione di telefonate indesiderate in assenza del consenso dell’interessato.

Nelle more e silenzio più assoluto del call center, ecco che nel maggio 2023, l’Autorità ha fatto un ulteriore passaggio, eseguendo un vero e proprio “accertamento ispettivo” volto a verificare l’origine dei dati personali e la base giuridica.

Quanto alla provenienza dei dati, dalle indagini effettuate è emerso come il call center decisamente attivo nel settore del teleselling (attività di vendita pura, a mezzo telefonico) nel settore relativo ai contratti di energia elettrica, “ha acquisito i dati da un cd “list provider dati” di origine moldava”.

Qualche numero per capirci.

100.000 contatti contenuti in tre liste anagrafiche, da cui sarebbero partite le oltre trentamila telefonate; il tutto per ottenere quasi trecento contratti (294 per l’esattezza, come risulta agli atti/verbali).

A fronte di nessun contratto sottoscritto tra le parti che contenesse una chiara indicazione sui ruoli privacy e relative istruzioni operative in ordine all’utilizzo delle anagrafiche.

Semmai, gli unici controlli, come si legge nel provvedimento in commento, sono stati quelli “posti in essere dalla Società [ndr. riguardando] il riscontro delle utenze fornite dal list provider nel Registro Pubblico delle Opposizioni, con utilizzo dei medesimi dati per 15 giorni”. Ma nulla di più.

Le violazioni contestate

A inizio settembre 2023 veniva avviato il procedimento per:

  1. non aver fornito l’informativa nel corso dei contatti promozionali (artt. 12-14 GDPR);
  2. aver effettuato telefonate promozionali senza consenso degli interessati (artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 GDPR e art. 130 del Codice Privacy);
  3. non aver adottato misure adeguate a consentire un riscontro alle istanze di esercizio dei diritti degli interessati (artt. 12, par. 2 e 3, 15 e ss. GDPR);
  4. aver svolto attività di telemarketing senza aver consultato prima della campagna promozionale, l’RPO (art.1, comma XI, della legge n. 5/2018, in combinato disposto con l’art. 130, comma III, Cod. Privacy);
  5. aver la mancata o meglio scarsa collaborazione all’Autorità di controllo (art. 31 GDPR).

Insomma, non poche violazioni. Ma ciononostante, nessuna controdeduzione avanzata dal call center, dimostrando una totale assenza/carenza/mancanza di accountability.

Valutazioni giuridiche

Svariate sono le valutazioni di carattere giuridico che il Garante ha svolto in questa fattispecie.

Partendo dal presupposto che le liste anagrafiche da soggetti terzi (list provider) sono state acquisite dal call center in modo non lecito, la prima cosa che è balzata agli occhi dell’Autorità è stata l’assenza di un contratto volto a regolare i rapporti giuridico-economici in termini di protezione dati.

Quindi, l’effettiva titolarità della banca dati ceduta al call center non risulta ben definita, il ché non è una mera formalità per quanto e per contro si instauri una posizione giuridica di fatto.

In ogni caso, al di là di ciò, non è stato esercitato alcun “potere di controllo sulle liste acquisite” tale da andare oltre “le interlocuzioni funzionali all’accordo commerciale.” In altri termini, chi doveva controllare quelle liste? Né risulta che “il call center avesse richiesto al proprio partner commerciale la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento come: l’origine dei dati, l’informativa e i consensi acquisiti dagli interessati destinatari della campagna promozionale”.

Senza far emergere che tali verifiche sono state fatte in altro modo.

Ancora, scrive testualmente il Garante, “non è risultato agli atti il riscontro nell’RPO dell’utenza del reclamante già in occasione del primo contatto”.

Insomma, il call center si palesa recidivo e reiterante in certe sue condotte tipiche e connesse alla sua attività.

Merita a tal proposito riportare un passaggio saliente a mente del quale “indipendentemente dal dato formale – dal ruolo ricoperto dalla Società nel trattamento dei dati personali forniti dal list provider (titolare autonomo nell’acquisizione di liste di anagrafiche da terzi ovvero responsabile nei casi di utilizzo delle stesse per conto dei committenti) – non può escludersi una responsabilitàgravante sul call center per aver mancato di verificare dei presupposti di liceità dei dati raccolti”; dicendo in conclusione che “ciò [ndr avviene] in quanto la raccolta e la conservazione dei dati acquisiti da terzi attengono ad una fase del trattamento precedente e indipendente dall’eventuale promozione di servizi e prodotti dei committenti”. Ma la tesi non convince affatto il nostro Garante.

Non solo, dalla disamina degli atti sottoscritti con il list provider, il call center risulta chiaramente indicato come “titolare autonomo con conseguente arricchimento del database societario” da adoperare nell’interesse esclusivo del call center stesso.

Ne consegue che, più in generale, difettano clamorosamente i presupposti di legittimità dell’attività promozionale.

A cui si aggiunge una scarsa cooperazione con l’Autorità, vista l’inerzia del call center già sanzionato andando concretamente ad impattare sull’ammontare della sanzione.

L’ordinanza ingiunzione: dal criterio al dispositivo

Il nostro Garante Privacy ha dunque ritenuto accertata la responsabilità del call center in parola, vietando un ulteriore trattamento di dati personali poiché illecito; di talché ha ingiunto di provvedere subito alla cancellazione dei dati nonché di rendere una trasparente e idonea informativa agli interessati e, conseguentemente, adottare idonee procedure volte a verificare in modo costante, anche mediante adeguati controlli a campione (i famosi audit), che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali, nonché riscontro delle utenze telefoniche nell’RPO); garantendo un efficace ed esaustivo esercizio dei diritti degli interessati.

Sull’ordinanza ingiunzione, il Garante quindi commina una sanzione di un importo determinato a seguito dell’applicazione dei criteri di cui all’art. 83 che richiamano cioè i caratteri tipici quali quelli di effettività, proporzionalità e dissuasività, alla luce dei parametri legati alla gravità delle violazioni rilevate, al carattere doloso o colposo, lo stato di recidivanza.

Di qui, la multa di 60.000,00 euro pari allo 0,3% del massimo edittale di 20 milioni di euro”, a cui aggiungere, in forza delle contestate aggravanti, “la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante (ex art. 166, comma VII del Codice e dall’art. 16 del regolamento del Garante n. 1/2019).

I passaggi salienti

Almeno un paio se non di più sono i passaggi salienti, e qui degni di nota.

Anzitutto, un primo punto che deriva da una circostanza fattuale, la quale bene emerge dal provvedimento quando si legge che “il call center avrebbe dichiarato di non aver intrattenuto rapporti … dal list provider quale soggetto che avrebbe originariamente acquisito il dato di contatto del reclamante per poi cederlo a XX che, a sua volta, lo avrebbe fornito al call center”.

Non solo. Sempre il call center ha rappresentato di “non essere in grado di fornire informazioni ulteriori in merito al trattamento dei dati personali del reclamante, non avendo effettuato verifiche in ordine agli adempimenti dell’informativa (presumendo che la stessa sia stata rilasciata dal list provider) e del consenso”.

Infine, l’informativa in capo al call center, ai sensi degli artt. 13 e 14 del GDPR, non risulta essere stata data. Anzi, al riguardo, è emerso come lo script di chiamata fosse privo di tutte quelle informazioni d’obbligo e previste dal noto art. 13.

I punti chiave in breve sintesi

Ecco allora i punti chiave, in sintesi breve.

Gestione dati in Moldavia

Dagli accertamenti effettuati i dati risultano gestiti dalla Moldavia luogo che di per sé non si avrebbe nulla da dire essendo un Paese UE. Tuttavia, merita rilevare quest’aspetto non tanto per il luogo (moldavo), quanto per ciò che è emerso oggettivamente: 100mila contatti acquistati e utilizzati per effettuare oltre 32.600 telefonate indesiderate.

Mancata verifica della provenienza dei dati, informativa e consenso

Il call center multato di nuovo, non si era affatto premunito di controllare la regolarità delle liste acquisite dal proprio partner commerciale, senza preoccuparsi minimamente della provenienza dei dati.

Non solo, in qualità di titolare autonomo era tenuto a dare informativa e consenso; né forniva durante le telefonate informazioni chiare sulla propria identità, limitandosi a richiedere all’utente di poterlo ricontattare qualora interessato ai servizi offerti. Di qui, l’uso di script generici e inappropriati, in quanto non in linea con l’attuale normativa.

Per non parlare dell’inadempimento forse più clamoroso: il call center prima di partire con le campagne promozionali avrebbe dovuto effettuare le opportune verifiche nel RPO.

Quindi, chiamate indesiderate con un exploit di telemarketing selvaggio e quindi il trattamento illecito di dati personali penalmente rilevante.

Gli aspetti sanzionatori

Da ultimo, mette in conto evidenziare che il Garante non si è limitato a comminare una sanzione economica dell’importo sopradetto, ma ha altresì ingiunto al call center di “cancellare tutti i dati acquisiti illecitamente e di attivare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli utenti avvenga nel rispetto della normativa privacy lungo tutta la filiera”, come testualmente si legge anche nella nota del 19 gennaio dedicata anche a questa notizia.

Container di software: come garantire la cyber-security in 10 step

@RIPRODUZIONE RISERVATA


文章来源: https://www.cybersecurity360.it/news/telemarketing-aggressivo-nuova-sanzione-privacy-ecco-perche-ce-ancora-tanto-da-imparare/
如有侵权请联系:admin#unsafe.sh