L’istruttoria del Garante dopo le segnalazioni di alcuni utenti
Decine di segnalazioni da parte dell’utenza e il Garante avvia un procedimento nei confronti di Sky. Temi d’indagine il trattamento dati non autorizzato per finalità di marketing, le informative inidonee e il mancato controllo sulle liste degli utenti da contattare. Il provvedimento con cui il Garante ha sanzionato Sky per oltre tre milioni di euro, offre interessanti spunti di riflessione sulle modalità di questa attività. Prima di tutto sulle informative rese dai subfornitori agli interessati al momento del contatto e, come sempre, sulle irregolarità nella nomina dei responsabili esterni. Il provvedimento è decisamente articolato e tratta in particolare il rapporto con aziende che, a loro dire, offrirebbero liste di persone che hanno prestato il consenso ad essere contattati per offerte e promozioni.
Il consenso alla cessione dei dati non è un “tutti liberi”
Sul punto la decisione del Garante è chiara. Stabilisce che il consenso alla cessione di un dato da Titolare ad altro Titolare (nella fattispecie Sky riceveva gli elenchi da aziende che li raccoglievano proprio per cederli), non implica consenso né autorizza il cessionario ad utilizzarli liberamente. Al contrario, per i contatti mediante operatore umano nel corso del contatto promozionale, dovrà fornire una propria informativa. Questa dovrà contenere anche elementi in ordine all’origine dei dati personali comunicati. Ergo l’interessato deve essere messo in condizione di potersi opporre a forme di trattamento che non siano quelle automatizzate che, viceversa, permettono un regime semplificato per l’utilizzo dati.
Segnale di allarme, quindi, per tutti coloro che acquistano dati di utenti che possono essere contattati: al momento del contatto deve essere fornita un’informativa che renda l’utente edotto “che il dato è stato raccolto presso terzi ed indicando il titolare originario del dato”, consentendogli, ad esempio, di revocare il consenso originariamente prestato.
Il Garante respinge la difesa di SKY: avrebbe dovuto verificare i consensi
Il Garante, riferendo all’acquisizione delle liste di contattabilità da soggetti terzi, non ha aderito alla linea di difesa di Sky sul punto. Sky si è difesa spiegando come non sarebbe tenuta a verificare la corretta acquisizione da parte dei soggetti terzi del consenso per la comunicazione dei dati né ad effettuare operazioni di scrematura dei predetti dati rispetto a quelli inseriti nelle proprie black list. Ed invero, il Garante ha sottolineato come sia preciso onere di chi acquisisce dati personali quello di verificare che i soggetti contattati:
- siano “consensati”;
- non siano persone che avevano in passato espresso una inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi della Società.
Eluso il diritto di opposizione
Questo mancato controllo porta ad una elusione delle norme sul diritto di opposizione. Infatti una revoca già espressa del consenso nei confronti di un titolare non determinerebbe la cessazione dei contatti promozionali. Ciò, oltre a determinare un risultato giuridicamente illogico (lo svuotamento del diritto di opposizione), comporterebbe un’ulteriore, grave conseguenza. L’interessato non potrebbe più controllare la sorte dei suoi dati, visto che nemmeno una chiara opposizione ai contatti promozionali rivolta a un titolare porterebbe al blocco delle chiamate.
L’insistenza è un’aggravante
Altro argomento difensivo di Sky, rigettato anch’esso, è la circostanza che il massimo di contatti che i suoi operatori possono effettuare nei confronti dei possibili clienti sarebbe 28. Il numero è stato ritenuto chiaramente causa di manifesto disagio per l’utenza. Una rappresentazione plastica di cosa si intenda per marketing selvaggio.
Il provvedimento si articola ulteriormente sulle violazioni contestate a Sky. L’insieme delle violazioni ha portato il Garante ad una sanzione “cumulativa”, per il cui calcolo si è tenuto conto di vari fattori. Il Garante ha voluto sottolineare la gravità delle condotte, ritenute radicate nel sistema delle procedure societarie. Non solo: il fatto è aggravato anche dalla presenza della società da anni sul mercato, periodo nel quale, evidentemente, non si è fatto tesoro di di conoscenze ed esperienze sul tema.
Non solo soldi: imposto anche il divieto di trattamento dei dati
Oltre alla sanzione economica, il Garante ha imposto:
- il divieto di trattamento dati acquisiti mediante liste per finalità di marketing;
- l’adozione di procedure adeguate al GDPR per le successive attività di marketing;
- modalità e strumenti che agevolino il diritto di opposizione degli interessati.
Il Garante va alla guerra contro il marketing selvaggio
Sono ormai diversi gli interventi del Garante sul punto, tenendo comunque di conto che sono finalmente operative le nuove regole pensate proprio per limitare il marketing selvaggio.
Per saperne di più > GDPR e Marketing: il committente delle campagne risponde anche per le società terze
