Telemarketing: il Garante sanziona due gestori di energia per trattamento illecito di dati personali

In particolare, a seguito di segnalazioni e reclami in ordine alla ricezione di chiamate promozionali indesiderate effettuate senza la previa acquisizione del consenso dell'interessato oppure utilizzando numerazioni iscritte al Registro Pubblico delle Opposizioni ("RPO"), il Garante ha contestato alla società la violazione del GDPR per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un'idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare che il trattamento fosse effettuato conformemente al GDPR.

Nel dettaglio, il Garante ha osservato che:

1. la circostanza che il titolare del trattamento riceva i dati da soggetti terzi (nel caso di specie, dalla propria rete commerciale) non esime lo stesso dal verificare l'origine di tali dati e la base giuridica del relativo trattamento;
2. eventuali clausole contrattuali non possono valere a manlevare il titolare del trattamento dagli obblighi e dalle responsabilità ad esso imposti dalla normativa applicabile in materia di protezione dei dati personali; nella specie, il Garante ha rimproverato al titolare di non aver rispettato la normativa applicabile in materia di RPO, la quale prevede l'obbligo per gli operatori che utilizzano sistemi di pubblicità telefonica di consultare mensilmente, e comunque precedentemente all'inizio di ogni campagna promozionale, l'RPO e di provvedere di conseguenza all'aggiornamento delle proprie liste;
3. nel caso in cui ricorra a responsabili del trattamento, il titolare è tenuto sia a verificare che gli stessi abbiamo adottato misure tecniche e organizzative adeguate a garantire la conformità del trattamento al GDPR sia ad assolvere, nel corso del rapporto, ai propri gli obblighi di vigilanza e controllo sull'operato del responsabile; anche in questo caso, tali obblighi non possono intendersi esclusi in virtù di una clausola contrattuale di manleva e della circostanza che il reperimento delle liste di contatto è rimesso a soggetti distinti dal titolare;
4. nella predisposizione delle campagne di telemarketing, a prescindere dalla relativa adesione, può tenersi in considerazione, in qualità di best practice, il Codice di condotta per le attività di telemarketing e teleselling, il quale prevede, all'art. 16, tra le altre, che i titolari del trattamento siano tenuti ad adottare procedure organizzative e/o tecniche finalizzare a comprovare che i dati dell'interessato siano stati acquisiti nel rispetto dei principi fondamentali in materia di trattamento dei dati personali e di cui all'art. 5 GDPR, assicurando, peraltro, che tutta la filiera tratti i dati esclusivamente sulla base di un idoneo consenso al trattamento per finalità di telemarketing e teleselling, chiaramente distinto dalla manifestazione della volontà negoziale.

Alla luce di quanto precede, gli operatori di mercato che intendano procedere a campagne del tipo di quelle descritte dovrebbero valutare l'adozione di una specifica policy volta alla gestione del processo e che preveda, tra le altre:

1. la verifica di eventuali liste di contatti fornite da soggetti terzi, assicurandosi che sussista idonea base giuridica per procedere al relativo trattamento;
2. l'adozione, anche da parte dei responsabili del trattamento, di misure di sicurezza tecniche e organizzative idonee a garantire il rispetto del GDPR;
3. il rispetto, nella predisposizione delle relative campagne, delle normative applicabili in materia di RPO, aggiornando, tempo per tempo, le proprie liste, nonché, in qualità di best practice (nel caso di mancata adesione), delle previsioni del Codice di condotta per le attività di telemarketing e teleselling.