Attività convergenti contro il Telemarketing selvaggio

Con due distinti provvedimenti dello scorso 18 luglio, il Garante privacy ha sanzionato due note società per attività di marketing in violazione di alcuni principi base del GDPR, tra i quali quelli di trasparenza, correttezza e finalità, a causa di informative incomplete

di Alessandra Spangaro*

03 Ottobre 2023

L’attività del Garante per la protezione dei dati personali e quella dell’Autorità per le garanzie nelle comunicazioni (Agcom) convergono nella lotta al c.d. “ telemarketing selvaggio ”, affrontando complessivamente il fenomeno, sotto il profilo regolamentare e sanzionatorio.

Con riguardo al primo aspetto, così come, nel marzo scorso, il Garante privacy aveva promosso il “ Codice di condotta per le attività di telemarketing e teleselling ”, sottoscritto da diversi operatori del settore e associazioni dei consumatori, a fine luglio l’AGCOM ha promosso la sottoscrizione di un codice di condotta i firmatari del quale (ad oggi, tra gli altri, Tim, Vodafone, Wind Tre, Iliad, Fastweb, e Sky) si impegnano a non concludere accordi con call center che svolgano la loro attività in modo non trasparente e non corretto, per esempio telefonando con numeri falsi, non richiamabili o in anonimo.

Sotto il profilo ispettivo e sanzionatorio, invece, non si attenua l’attività di monitoraggio del Garante contro le attività di telemarketing che violino norme cardine del GDPR (Reg. Eu 679/2016), in particolare con riguardo alla completezza e chiarezza dell’informativa, di modo che il consenso dell’utente possa dirsi davvero “ informato ”.

Le condotte sanzionate

Con due distinti provvedimenti dello scorso 18 luglio, il Garante privacy ha sanzionato due note società per attività di marketing in violazione di alcuni principi base del GDPR, tra i quali quelli di trasparenza, correttezza e finalità, a causa di informative incomplete o comunque poco chiare circa il tipo di trattamento che le medesime avrebbero effettuato sui dati degli utenti. Pur trattandosi di società attive sul mercato da diversi anni, dunque di consolidata esperienza, il Garante ha rilevato infatti diverse patenti violazioni e condotte negligenti, alcune delle quali perpetrate pur dopo che l’interessato, tra l’altro iscritto al Registro delle opposizioni (RPO), già aveva esercitato il proprio diritto di opposizione.

I due provvedimenti si segnalano, ad ogni modo, non solo quali manifestazioni della costante attenzione del Garante sul tema, ma anche perché si soffermano su due aspetti di particolare interesse.

La prima questione verte intorno al concetto ed ai confini del c.d. “ soft spam ” e cerca da tempo un contorno definitorio che tuttavia resta ancora almeno in parte sfumato; ai sensi dell’art. 130, co. 4 Cod. privacy (D. Lgs. 196/2003 e ss. agg.), infatti, se il titolare del trattamento utilizza, a fini di vendita diretta, le coordinate di posta elettronica fornitegli dall’interessato in precedenza, nell’ambito dell’acquisto di un prodotto o servizio simili, può non richiedere a quest’ultimo un nuovo consenso, sempre che, ad ogni comunicazione, il titolare informi l’interessato della possibilità di opporsi al trattamento.

Nella specie, la società aveva inviato nuove comunicazioni commerciali, astrattamente qualificabili come “ soft spam ”, ai propri clienti non solo via e-mail, ma anche con SMS. Ad avviso della società, infatti, gli SMS potrebbero essere considerati analoghi alla posta elettronica, sotto il profilo della invasività, in considerazione del fatto che, ad oggi, questa modalità di comunicazione avrebbe una portata parzialmente ridotta rispetto al passato, soprattutto in ragione dell’avvento e della capillare diffusione dei nuovi sistemi di messaggistica istantanea.

Il Garante, tuttavia, non ha accolto tale ricostruzione, confermando che la previsione di cui all’art. 130, co. 4 Cod. privacy “ non è suscettibile di interpretazione estensiva ” (senza, tra l’altro, poter non tenere in conto l’alto numero di soggetti contatti).

Nella seconda decisione, il Garante è stato invece chiamato a pronunciarsi sulla qualificazione del ruolo svolto da una società, poi soggetta a sanzione, a fronte di un contratto di licenza di uso di una banca dati per un periodo di 90 giorni e sulla validità di una clausola di manleva concessa dalla licenziante alla concessionaria.

Sotto il primo profilo, il Garante ha precisato che la concessionaria che abbia accesso alle liste acquisite dalla licenziante per estrarre i relativi dati, finalizzati a campagne promozionali di servizi propri, assume il ruolo di titolare del trattamento e non di semplice responsabile, con tutti gli adempimenti che ne derivano ai sensi del GDPR.

Con riguardo alla clausola contrattuale di manleva, secondo la quale il licenziante sollevava la concessionaria “dall’analisi dei consensi prestati dai singoli contatti inclusi nel database concesso in uso temporaneo”, il Garante ha precisato che a nulla essa vale rispetto ai rapporti con gli interessati, potendo, se del caso, assumere rilievo con riferimento esclusivo ai rapporti tra concedente e concessionaria.

Profilazione e informativa agli utenti

Particolare attenzione è poi stata posta dal Garante ai contenuti e alla formulazione dell’informativa, in entrambi i casi rivelatasi incompleta e inadeguata.

Entrambe le società, infatti, avevano predisposto una informativa che enunciava, tra l’atro, l’attività di profilazione dell’utente, senza tuttavia fornire a quest’ultimo alcuna notizia utile circa i tempi, i modi e le finalità del trattamento.

In uno dei due casi, tra l’altro non era richiesto alcun consenso specifico, di modo che il consenso “ generale ” prestato dall’utente finiva per coprire diverse finalità contrattuali, comportando una sorta di coazione alla profilazione.

Nessun rilievo poi ha potuto assumere il fatto che nella specie sia stato accertato che la società invero, in concreto, non effettuava alcuna profilazione: già il semplice scollamento tra piano formale dell’informativa e piano fattuale, infatti, è idoneo – a parere del Garante - a generare nell’utente un ragionevole dubbio su quali siano gli effettivi trattamenti svolti dalla società, in violazione del principio di trasparenza.

Nel secondo caso, invece, a fronte dell’analisi di due successive informative fornite dalla società ai propri utenti, era emerso che, nella prima versione, nulla era detto circa i tempi di conservazione dei dati utilizzati ai fini della profilazione e, nella seconda, la società si era limitata a precisare che i tempi di conservazione si estendevano “ fino a eventuale revoca ” del consenso da parte dell’utente.

Il Garante ha precisato al riguardo che, anche se la determinazione delle tempistiche rientra nell’ambito dell’accountability del titolare, è ad ogni modo necessario rispettare i principi del trattamento posti dal GDPR (art. 5) e, anche alla luce dei precedenti provvedimenti dell’Autorità - (in particolare il provv. 24 gennaio 2005, doc. web 1103045), dove si indica un tempo di conservazione, in termini generali, di due anni per la conservazione dei dati relativi al marketing e di un anno per quelli relativi alla profilazione (salvo possibili prolungamenti per beni o servizi del tutto particolari, come quelli afferenti al comparto del lusso, estensibili anche a 7 anni) - un termine indefinito, “fino ad eventuale regola”, appare in contrasto con principi di finalità, di minimizzazione e di limitazione della conservazione, non superando così quel “test di bilanciamento” tra gli interessi del titolare e i diritti dell’interessato che si pone sempre in queste circostanze.