È notizia recente, del 19 ottobre scorso, il provvedimento sanzionatorio del Garante per la protezione dei dati personali verso Sky, colpita per una serie di violazioni della normativa privacy con una sanzione da oltre tre milioni di euro. L’analisi del provvedimento è utile per ricordare e rifinire alcune regole utili per tutti circa il trattamento di dati personali a fini di telemarketing.
Dal provvedimento del Garante si evince infatti quanto segue:
- il contatto telefonico di interessati deve sempre essere preceduto da informativa specifica e consenso (nel caso di chiamate senza operatore, ovvero quelle automatizzate dette anche “robocall”, oltre che con metodi automatizzati come fax, e-mail, SMS, MMS)
- nel caso di contatto telefonico (per chiamate con operatore) si dovrà sempre verificare l’eventuale iscrizione del numero nel Registro delle Opposizioni, a segnalare agli operatori che l’interessato non vuole e non può essere contattato per fini di marketing
- premessi questi concetti fondamentali, l’acquisto di liste di dati di contatto realizzate da parte di terzi (ad es. data broker) non può mai essere liquidato – quanto alla responsabilità per eventuali violazioni – “scaricando” tutto sul cedente/licenziante tramite una clausola contrattuale, sarebbe culpa in eligendo; è infatti necessario per il titolare procedere ad adeguata verifica dei dati da acquisire/acquisiti, ad es. censendo a campione una fetta significativa del dataset – la verifica si dovrà incentrare sull’informativa e sul consenso ottenuti dagli interessati; non si potrà mai invocare una propria presunta valutazione di accountability per evitare questo passaggio di verifica, ha chiarito il Garante proprio nel caso Sky
- ancor più quando si rientra in una campagna marketing concertata per il titolare, ragion per cui i terzi coinvolti nelle operazioni di contatto in outsourcing (es. call center, agenzie, ecc.) vanno considerati responsabili – e non già titolari autonomi – rimettendosi di fatto alle istruzioni operative del titolare oltre che alle sue finalità esclusive
- proprio i call center (ancor meglio: i titolari che li hanno incaricati, in quanto fornitori delle istruzioni sul trattamento) devono poter documentare le proprie procedure, oltre alle prove di avvenuta compliance nei casi concreti, circa l’esercizio del diritto di opposizione da parte dell’interessato durante la chiamata
- inoltre è sempre necessario mantenere delle Black List (liste di contatti telefonici da evitare) di interessati che hanno espresso la volontà di non voler essere oggetto di attività promozionali (revocando o negando il proprio consenso, oppure opponendosi), attraverso cui filtrare le liste di contatti potenziali – specie se provengono da liste acquisite da terzi e che potrebbero contenere dati di interessati che il titolare non potrebbe già più contattare
- il Codice per la protezione dei dati personali (art. 130) e il provvedimento del Garante del 4 luglio 2013 di contrasto allo spam [https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/2542348] ammettono un regime semplificato ma ben circoscritto: solo nel caso di mezzi automatizzati, se un titolare che ha acquisito in prima battuta i dati rilasciando un’informativa e acquisendo un consenso specifici per la comunicazione a terzi titolari (chiaramente individuati, uno a uno), allora questi terzi titolari potranno contattare gli interessati senza dover sottoporre la propria informativa o acquisire un nuovo consenso; diversamente (caso di contatto con operatore) i terzi titolari potranno sì chiamare gli interessati ma dovranno fornire la propria informativa durante il contatto e chiedere il consenso per l’utilizzo dei dati a fini di marketing
- condotte in violazione di quanto sopra – reiterate e “di sistema” perché radicate nelle procedure societarie, a fronte delle prove emerse durante gli accertamenti del Garante – sono considerabili come un’aggravante nelle valutazioni sanzionatorie.
