Il Garante per la protezione dei dati personali interviene nuovamente sulla delicata questione del telemarketing selvaggio e infligge a Sky una sanzione di oltre 3 milioni di euro.
Il provvedimento arriva dopo una lunga e complessa attività istruttoria avviata a seguito di decine di segnalazioni e reclami di persone che lamentavano la ricezione di telefonate indesiderate, effettuate per promuovere i servizi offerti da Sky, sia direttamente sia tramite call center di altre società.
L’Autorità ha rilevato, nelle proprie indagini, molte criticità tra le quali l’effettuazione di chiamate promozionali senza informativa e senza consenso, utilizzando liste non verificate, acquisite da altre società.
L’analisi dell’ordinanza ingiunzione emessa dal Garante offre importanti spunti di riflessione e mette in luce alcuni passaggi delle attività di telemarketing idonei a costituire delle “linee guida” per lo svolgimento corretto delle stesse.
Si ritorna al delicato equilibrio tra business, trattamento dei dati e protezione degli stessi.
La protezione dei dati personali non deve, così come espressamente indicato dall’art. 1 del Regolamento europeo, essere un ostacolo per le attività economiche.
Si tratta di contemperare due esigenze diverse (business e protezione dei dati) che solo apparentemente sono inconciliabili, spesso considerate tali per una mancata approfondita conoscenza della normativa.
La procedura per il telemarketing
Il telemarketing consiste in una tecnica utilizzata dalle aziende per la promozione dei propri prodotti. Nel caso specifico, analizzato dall’ordinanza ingiunzione dell’Autorità, Sky acquisiva da società terze liste di utenti da contattare con espresse finalità di marketing.
La procedura per lo svolgimento di questa attività, secondo le disposizioni del Regolamento europeo sulla protezione dei dati personali, prevede i seguenti passaggi:
Acquisizione da parte della società terza in outsourcing del consenso dell’utente a comunicare i propri dati a terzi.
Acquisizione dei nominativi da parte di Sky.
Utilizzo, da parte di Sky, delle liste acquisite contattando il cliente e fornendo allo stesso la propria informativa.
Acquisizione, sempre da parte di Sky, del consenso dell’utente a formulare proposte commerciali e solo dopo tale acquisizione, possibilità, da parte dell’operatore, di formulare la proposta commerciale.
Secondo l’istruttoria svolta dal Garante la procedura seguita per l’attività promozionale da Sky era carente di alcuni elementi essenziali, limitandosi all’utilizzo dei nominativi acquisiti dalle società terze già “consensati”.
Il punto fondamentale è esattamente questo: il consenso fornito dall’utente alla società terza rappresentava una valida base giuridica unicamente per la comunicazione dei nominativi a Sky e non anche l’ulteriore l’utilizzo degli stessi per finalità di marketing da parte di quest’ultima.
Si aggiunga, inoltre, che Sky avrebbe dovuto, prima di effettuare qualunque operazione, controllare attraverso le proprie black list che le persone da contattare non avessero espresso la loro contrarietà a ricevere telefonate pubblicitarie proprio dei suoi prodotti.
La PEC come canale idoneo per l’esercizio dei diritti dell’interessato
Ulteriore elemento degno di nota riguarda i canali messi a disposizione degli utenti per l’esercizio dei propri diritti.
L’Autorità, infatti, ha prescritto a Sky di inserire tra i canali di ricezione delle dichiarazioni di opposizione al trattamento, anche l’indirizzo PEC indicato nel registro delle imprese, indirizzo che finora non era stato ritenuto un valido punto di contatto per la privacy.
Le società di outsourcing e la qualifica di responsabile del trattamento
L’ordinanza ingiunzione chiarisce, infine, un ulteriore importante aspetto, ossia la qualificazione delle società terze che formano le liste di nominativi utilizzati per finalità di marketing, ribadendo, ancora una volta, come già fatto in passato, che le agenzie di outsourcing non possano essere qualificate come titolari autonomi del trattamento.
Il provvedimento in commento, in particolare, espressamente sottolinea che “all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;-impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;-svolgere funzioni di controllo rispetto all’operato degli outsourcer medesimi”.
Ne deriva, quindi, come naturale conseguenza che tali soggetti dovranno ricevere anche una espressa e formale designazione a responsabili del trattamento, secondo il disposto dell’art. 29 Regolamento.