Abstract
Eni GAS e Luce è stata sanzionata per 8,5 milioni di euro, pari al 5% del proprio fatturato annuo (171,16 milioni di euro), per una serie di violazioni riconducibili all’attività di telemarketing e teleselling.
Il caso
Vorremmo approfittare di questo spazio per qualche considerazione sulla recente sanzione comminata dall’Autorità Garante per la protezione dei dati personali a Eni Gas Luce (di seguito “EGL”) per una somma complessiva di 11,5 milioni di euro.
L’informazione deriva dal comunicato stampa del 17 gennaio 2020, pubblicato sul sito www.garanteprivacy.it con cui l’Autorità ha pubblicizzato l’applicazione di una sanzione per complessivi 11,5 milioni di Euro a EGL. Il dettaglio del provvedimento dell’11 dicembre 2019 è pubblicato sul sito dell’Autorità (doc. web n. 9244365, Registro dei provvedimenti nr. 232 dell’11 dicembre 2019).
EGL è stata sanzionata per 8,5 milioni di euro, pari al 5% del proprio fatturato annuo (171,16 milioni di euro), per una serie di violazioni riconducibili all’attività di telemarketing e teleselling.
La seconda sanzione per 3 milioni di euro riguarda invece “violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas.”
Le considerazioni che riportiamo di seguito riguardano solo la prima sanzione.
Le segnalazioni
L’istruttoria del Garante è stata attivata a seguito di decine di segnalazioni e reclami da parte di interessati che lamentavano la ricezione di chiamate promozionali per conto di EGL in assenza del consenso o successivamente all’esercizio del diritto di opposizione nei confronti della Società o ancora nonostante l’iscrizione dell’utenza contattata nel Registro pubblico delle opposizioni.
Un primo elemento di riflessione riguarda il fatto che tutte le attività di telemarketing e teleselling non possono prescindere da una prima verifica di legittimità che riguarda il controllo dell’iscrizione dell’interessato nel Registro pubblico delle opposizioni e da una seconda verifica di legittimità che consiste nell’accertarsi che l’interessato abbia prestato effettivo consenso a ricevere comunicazioni commerciali.
Un aspetto che merita qualche riflessione in più riguarda l’acquisto di liste di nominativi per svolgere attività di telemarketing.
Nel caso in esame, EGL ha acquistato liste di nominativi da C4B srl, che a sua volta le aveva acquistate dall’Editore www.facile.it.
Gli interessati, inserendo i propri dati sul sito facile.it, potevano acconsentire alla cessione dei propri dati ad altri soggetti terzi per finalità di marketing anche rispetto a prodotti e servizi diversi da quelli di intermediazione assicurativa.
C4b Srl ha quindi acquistato le liste da facile.it in modo lecito. Non così EGL, che ha acquistato le stesse liste da C4b dando per scontato, erroneamente, che il primo consenso autorizzasse C4b a cedere a sua volta i dati.
Il Garante, nel suo provvedimento, specifica invece che “Il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mirano a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso. Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato.”
Ossia, se la cessione dei dati da facile.it a C4b appare legittima, non può essere considerata altrettanto legittima la cessione da C4b a EGL in assenza di uno specifico consenso degli interessati espresso a C4b per la comunicazione dei loro dati a terzi.
Ogni cessione di dati deve essere supportata da uno specifico consenso; non è sufficiente il primo consenso iniziale.
Un altro aspetto critico riguarda le verifiche che il titolare deve mettere in atto quando acquista da terzi una lista di nominativi.
Il provvedimento
Nel suo provvedimento l’Autorità afferma che “le procedure indicate da EGL per la selezione dei list provider e degli editori, affinché gli stessi adottino procedure di “compliance privacy” solide ed efficaci, se pure possono empiricamente consentire di ottenere liste di contattabilità correttamente “consensate”, non esonerano la Società dall’osservanza delle disposizioni di cui agli artt. 5, par. 2, e 7, par. 1, del Regolamento che impongono al titolare di comprovare la liceità dei trattamenti e, quindi, nella fattispecie, di dimostrare che l’interessato abbia prestato il proprio consenso libero e specifico.”
Non è sufficiente quindi una “semplice” verifica che il soggetto che ci sta vendendo una lista di nominativi adotti procedure privacy compliant. È necessario implementare procedure e sistemi che consentano l’uso di strumenti di controllo adatti a verificare lo stato dei consensi degli interessati inseriti nelle liste acquisite su un “campione rilevante”.
I controlli devono essere dimostrabili, in quanto per l’Autorità non è sufficiente una semplice dichiarazione da parte del titolare. Questo sottolinea l’importanza della gestione delle evidenze e delle procedure organizzative adottate dall’azienda, di fondamentale importanza in caso di ispezioni.
Nel caso in esame, probabilmente, le risposte fornite da EGL in sede di istruttoria preliminare non sono state sufficientemente chiare e precise, portando l’Autorità a ipotizzare una possibile violazione dell’articolo 31 del Regolamento, che impone al titolare o al responsabile la cooperazione con l’autorità di controllo.
Il Garante ha infatti rilevato che “in quanto alle ipotizzate violazioni dell’art. 31 del Regolamento, in considerazione dei riscontri non univoci forniti da EGL in sede di istruttoria preliminare, si deve comunque fare riferimento ad un quadro, così come delineato nei precedenti punti, nel quale le molteplici attività di teleselling e telemarketing sono apparse gravemente lacunose sotto il profilo organizzativo e operativo anche in considerazione della assenza di controlli sull’operato dei teleseller, della mancanza di una procedura che consenta di monitorare in tempo reale lo stato dei consensi acquisiti dai list provider e dagli editori”. E ancora “Il risultato di tale complesso di attività non ricondotte ad univoche scelte organizzative e operative ha determinato non solo la perdita del controllo dei dati da parte degli interessati che hanno inviato reclami e segnalazioni all’Autorità, ma anche, di tutta evidenza, da parte del medesimo titolare del trattamento che in molteplici occasioni non è stato in grado di fornire all’Autorità riscontri certi”.
L’Autorità ha comunque ritenuto che EGL non abbia posto in essere una condotta ostruzionistica nel corso dell’istruttoria, ma che quanto accaduto abbia evidenziato “la gravità delle complessive condotte poste in essere da EGL nell’ambito del telemarketing e del teleselling, laddove una grave disorganizzazione e inefficiente gestione degli adempimenti in materia ha contribuito a determinare non soltanto la realizzazione di condotte in violazione di norme sulla liceità e la correttezza del trattamento, ma anche l’impossibilità di fornire agli interessati un quadro di garanzie trasparente e pienamente fruibile a tutela dei propri dati personali”.
Non possiamo pertanto non sottolineare l’importanza di costruire un solido sistema per la gestione dei dati personali composto da un preciso modello organizzativo che specifichi cosa deve essere fatto e da chi, da procedure operative, che indicano come vengono trattati i dati soprattutto in presenza di attività di marketing e teleselling e da controlli efficaci e dimostrabili su tutto flusso delle informazioni gestite, dalla loro acquisizione (diretta o tramite cessione da parte di terzi) al loro uso effettivo.
Action to do
- Privacy by design and by default
- Implementazione sistema di gestione data protection
- Attività di controllo e verifica
- Chiedici informazioni circa i nostri servizi GDPR
