Il telemarketing selvaggio: la sanzione del Garante Privacy nei confronti di WindTre S.p.A.

Introduzione

Il Garante Privacy ha emesso un nuovo provvedimento nei confronti di alcune compagnie telefoniche in seguito a segnalazioni e reclami da parte degli utenti (oltre cento) delle compagnie stesse che ricevevano telefonate, mail, sms. Poco tempo dopo la sanzione comminata a TIM SpA[1], il Garante ha emesso un nuovo provvedimento questa volta nei confronti di WindTre SpA erogando una sanzione di circa 17 milioni di euro e nei confronti della compagnia telefonica Iliad per 800.000 euro. Entrambe le compagnie telefoniche si sono rese ‘protagoniste’ di una violazione in materia di trattamento di dati personali: telemarketing selvaggio a danno degli utenti che venivano contattati. Passiamo ora ad analizzare il caso che ha coinvolto WindTre S.p.A

Questo provvedimento è stato adottato in seguito ad una attenta e capillare indagine condotta dal Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza in collaborazione con il Garante Privacy. Le violazioni riscontrate in materia di privacy e protezione dei dati avevano come punto cardine l’impossibilità per gli utenti di esercitare i diritti riconosciuti e garantiti  dalla legge, in particolare il diritto di opporsi al trattamento dei dati personali per finalità di marketing ex art. 21 GDPR[2].

Il diritto di opposizione ex art. 21 Reg. UE 2016/679

Questo diritto rappresenta la garanzia di un diritto che è stato riconosciuto agli interessati con il nuovo Regolamento del 2016. Si tratta di una “manifestazione di volontà recettizia che ha l’effetto, nei casi espressamente previsti dal Regolamento, di far cessare, in via permanente, un determinato trattamento di dati personali”.[3] Il diritto che tale articolo riconosce in capo all’interessato è la dimostrazione dell’architrave sul quale si regge il GDPR ovvero garantire un livello di sicurezza alla persona fisica. L’interessato avrà quindi il diritto di opporsi nel caso in cui ravvisi violazioni nel trattamento dei suoi dati personali[4] e lo può esercitare qualsiasi momento. L’articolo 21 non prevede delle particolari modalità affinché l’interessato possa esercitare tale diritto, ma nel momento in cui al titolare del trattamento giunge la richiesta di esercitare il diritto di opposizione da parte dell’interessato, il titolare è tenuto, nel più breve tempo possibile “a far cessare, in via definitiva, il trattamento dei dati personali, astenendosi dal medesimo”.[5] Il paragrafo 2 dell’art. 21 GDPR riguarda proprio il caso in commento ovvero “il caso in cui i dati siano trattati per finalità di marketing diretto, compresa la profilazione connessa all’attività di marketing diretto”.[6] Il paragrafo 4 dell’articolo su menzionato può essere applicato alle opposizioni regolamentate nei paragrafi 1-2. Rappresenta, quindi, un completamento di quanto enunciato negli artt. 13-14 GDPR[7] a tutela dell’interessato.

Il provvedimento del Garante Privacy

Il provvedimento emesso dal Garante è la dimostrazione che la lunga attività istruttoria oltre che ispettiva condotta ha fatto emergere pratiche illegali in materia di protezione di dati personali da parte di soggetti che per l’attività che svolgono raccolgono i dati degli utenti (cioè gli interessati) quando concludono contratti. La maggior parte delle segnalazioni giunte al Garante avevano ad oggetto la denuncia riguardante “la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate”.[8] Ciò che è emerso dall’attività ispettiva è l’impossibilità per gli utenti (interessati per il GDPR) di esercitare il diritto di revoca del consenso o di opposizione al trattamento (art. 21 par. 2 GDPR).

“Dall’istruttoria è inoltre emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore”. In questo modo l’utente, ad ogni accesso, era ‘costretto’ a fornire un nuovo consenso, ma finalità diverse da quelle per le quali lo aveva precedentemente fornito. Probabilmente le compagnie telefoniche sanzionate dal Garante era consapevoli del fatto che raramente l’utente procede alla lettura, in toto, dell’informativa. L’illecito messo in atto consisteva nel ‘sub-affidare’ “intere fasi dei trattamenti a call-center che raccoglievano i dati illecitamente”. Infatti anche il gestore del call-center oggetto dell’inchiesta è stato sanzionato dal Garante con una multa pari a 200.000 euro con il conseguente “divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati ‘procacciatori’) in totale spregio delle norme in materia di protezione dati”.[9] Nonostante le argomentazioni addotte dalle compagnie telefoniche oggetto dell’indagine del Garante Privacy queste non sono risultate soddisfacenti, motivo per il quale è stata disposta l’irrogazione della sanzione pecuniaria pari a 17 milioni di euro per WindTre e di 200.000 euro per Iliad.[10] La sanzione è stata disposta in riferimento all’art. 58 par. 2 lett. i) GDPR[11] per WindTre, e in riferimento all’art. 83 par. 5 lett. e) GDPR.[12]

Conclusioni

Questo ulteriore intervento del Garante Privacy è la dimostrazione di quanto importanti siano i dati personali, del valore che hanno e che continueranno ad avere nel corso degli anni. L’introduzione del GDPR nel 2018 ha rappresentato un giro di boa prevedendo una forma di tutela e di garanzia per i dati degli interessati. Le compagnie telefoniche sono grandi ‘contenitori’ per la raccolta dei dati dei loro utenti visto che nel momento in cui decidiamo di acquistare una SIM o di concludere un contratto siamo tenuti a fornire i nostri dati, il numero della carta di identità, del codice fiscale, insomma una vera e propria ‘schedatura’, ma è anche vero che siamo tenuti a leggere le numerose condizioni nelle privacy policy prima della stipula del contratto con la compagnia telefonica, ma l’utente che non ha contezza dell’importanza dei suoi dati personali e dell’uso, purtroppo anche illecito, che le compagnie telefoniche potranno fare, tende a fornire, senza troppe preoccupazioni il suo consenso. Tuttavia quando viene irrogata una sanzione pecuniaria di questa portata, così come per quella erogata a TIM S.p.A. qualche tempo fa, c’è un dato di fondo che non può essere sottaciuto ovvero la presa di coscienza che la strada da percorrere è ancora lunga e che essere compliant, oggi, è un dovere per le aziende più o meno grandi innanzitutto morale oltre che ovviamente giuridico nel rispetto del Reg. UE 2016/679 e che la ‘miniera d’oro’ che i nostri dati personali (siano essi dati personali, sanitari, genetici o biometrici) rappresentano deve essere preservata il più possibile da intrusioni esterne o da illeciti trattamenti che possono essere messi in atto arrecando così un danno all’utente nel caso delle compagnie telefoniche o all’interessato in generale.

[1] Provvedimento Garante Privacy, qui disponibile: https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9256409#:~:text=Il%20Garante%20per%20la%20privacy,complesso%20alcuni%20milioni%20di%20persone.

[2] Art. 21 GDPR par. 1 “L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni.”, par. 2 “Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto”.

[3] L. Grieco, commento sub art. 21 GDPR, in Codice della disciplina Privacy, diretto da L. Bolognini-E. Pelino, Giuffrè, 2019, p. 179 ss.

[4] “Il diritto di opporsi per motivi connessi alla situazione particolare dell’interessato mira a trovare il giusto equilibrio tra i diritti di protezione dei dati dell’interessato e i diritti legittimi di terzi nel trattamento di dati che li riguardano”, qui disponibile: https://fra.europa.eu/sites/default/files/fra_uploads/fra-coe-edps-2018-handbook-data-protection_it.pdf

[5] R. Torino, commento sub art. 21 GDPR, in GDPR e Normativa Privacy Commentario, a cura di G.M. Riccio, G. Scorza, E. Belisario, IPSOA Wolters Kluwer, 2018, p. 212 ss.

[6] R. Torino, op. cit..

[7] M. Raimondi, L’informativa privacy: cos’è e quali sono gli errori da evitare, in IUS in Itinere, 12 agosto 2018, qui disponibile: https://www.iusinitinere.it/informativa-privacy-cos-e-quali-errori-da-evitare-12085

[8] Garante per la protezione dei dati personali, Operatori telefonici: continua l’attività di controllo del Garante privacy, sanzione a Wind per 17 milioni di euro e a Iliad per 800.000 euro, 13 luglio 2020, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435901

[9]Garante Privacy, qui disponibile: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435901

[10] Garante Privacy, Ordinanza di ingiunzione nei confronti di WindTre S.p.A. 9 luglio 2020,Qui disponibile:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9435753

[11] Art. 58 par. 2 lett. i) GDPR “ogni autorità di controllo ha tutti i poteri correttivi seguenti: i) infliggere una sanzione amministrativa pecuniaria ai sensi dell’art .83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso […]”.

[12] Art. 83 par. 5 GDPR “in conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 di euro, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente: e) l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine  di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58 paragrafo 2, o il negato accesso in violazione dell’articolo 58 paragrafo 1”.