Il Garante per la protezione dei dati personali interviene nuovamente sulla delicata
questione del telemarketing selvaggio e infligge a Sky una sanzione di oltre 3 milioni di
euro.
Il provvedimento arriva dopo una lunga e complessa attività istruttoria avviata a seguito di
decine di segnalazioni e reclami di persone che lamentavano la ricezione di telefonate
indesiderate, effettuate per promuovere i servizi offerti da Sky, sia direttamente sia tramite
call center di altre società.
L’Autorità ha rilevato, nelle proprie indagini, molte criticità tra le quali l’effettuazione di
chiamate promozionali senza informativa e senza consenso, utilizzando liste non
verificate, acquisite da altre società.
L’analisi dell’ordinanza ingiunzione emessa dal Garante offre importanti spunti di
riflessione e mette in luce alcuni passaggi delle attività di telemarketing idonei a costituire
delle “linee guida” per lo svolgimento corretto delle stesse.
Si ritorna al delicato equilibrio tra business, trattamento dei dati e protezione degli stessi.
La protezione dei dati personali non deve, così come espressamente indicato dall’art. 1
del Regolamento europeo, essere un ostacolo per le attività economiche.
Si tratta di contemperare due esigenze diverse (business e protezione dei dati) che solo
apparentemente sono inconciliabili, spesso considerate tali per una mancata approfondita
conoscenza della normativa.
La procedura per il telemarketing
Il telemarketing consiste in una tecnica utilizzata dalle aziende per la promozione dei
propri prodotti. Nel caso specifico, analizzato dall’ordinanza ingiunzione dell’Autorità, Sky
acquisiva da società terze liste di utenti da contattare con espresse finalità di marketing.
La procedura per lo svolgimento di questa attività, secondo le disposizioni del
Regolamento europeo sulla protezione dei dati personali, prevede i seguenti passaggi:
Acquisizione da parte della società terza in outsourcing del consenso dell’utente a
comunicare i propri dati a terzi.
Acquisizione dei nominativi da parte di Sky.
Utilizzo, da parte di Sky, delle liste acquisite contattando il cliente e fornendo allo
stesso la propria informativa.
Acquisizione, sempre da parte di Sky, del consenso dell’utente a formulare
proposte commerciali e solo dopo tale acquisizione, possibilità, da parte
dell’operatore, di formulare la proposta commerciale.
Secondo l’istruttoria svolta dal Garante la procedura seguita per l’attività promozionale da
Sky era carente di alcuni elementi essenziali, limitandosi all’utilizzo dei nominativi acquisiti
dalle società terze già “consensati”.
Il punto fondamentale è esattamente questo: il consenso fornito dall’utente alla società
terza rappresentava una valida base giuridica unicamente per la comunicazione dei
nominativi a Sky e non anche l’ulteriore l’utilizzo degli stessi per finalità di marketing da
parte di quest’ultima.
Si aggiunga, inoltre, che Sky avrebbe dovuto, prima di effettuare qualunque operazione,
controllare attraverso le proprie black list che le persone da contattare non avessero
espresso la loro contrarietà a ricevere telefonate pubblicitarie proprio dei suoi prodotti.
La PEC come canale idoneo per l’esercizio dei diritti dell’interessato
Ulteriore elemento degno di nota riguarda i canali messi a disposizione degli utenti per
l’esercizio dei propri diritti.
L’Autorità, infatti, ha prescritto a Sky di inserire tra i canali di ricezione delle dichiarazioni di
opposizione al trattamento, anche l’indirizzo PEC indicato nel registro delle imprese,
indirizzo che finora non era stato ritenuto un valido punto di contatto per la privacy.
Le società di outsourcing e la qualifica di responsabile del trattamento
L’ordinanza ingiunzione chiarisce, infine, un ulteriore importante aspetto, ossia la
qualificazione delle società terze che formano le liste di nominativi utilizzati per finalità di
marketing, ribadendo, ancora una volta, come già fatto in passato, che le agenzie di
outsourcing non possano essere qualificate come titolari autonomi del trattamento.
Il provvedimento in commento, in particolare, espressamente sottolinea che “all’asserita
titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente
previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano
appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:- assumere decisioni
relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini
di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di
comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo
svolgimento delle richiamate attività di promozione e di commercializzazione di beni,
prodotti e servizi;-impartire istruzioni e direttive vincolanti nei confronti degli outsourcer,
sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire
al responsabile;-svolgere funzioni di controllo rispetto all’operato degli outsourcer
medesimi”.
Ne deriva, quindi, come naturale conseguenza che tali soggetti dovranno ricevere anche
una espressa e formale designazione a responsabili del trattamento, secondo il disposto
dell’art. 29 Regolamento.