“Il Garante per la privacy ha applicato a Eni Gas e Luce (Egl) due sanzioni, per complessivi 11,5 milioni di euro, riguardanti rispettivamente trattamenti illeciti di dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le sanzioni sono state determinate tenendo conto dei parametri indicati nel Regolamento Ue, tra i quali figurano l’ampia platea dei soggetti coinvolti, la pervasività delle condotte, la durata della violazione, le condizioni economiche di Egl.
La prima sanzione di 8,5 milioni di euro riguarda trattamenti illeciti nelle attività di telemarketing e tv selling. La seconda sanzione di 3 milioni di euro riguarda violazioni nella conclusione di contratti non richiesti nel mercato libero della fornitura di energia e gas.
Tratto da: La Repubblica del 17-01-2020.
Il marketing selvaggio nel mirino
Il breve estratto dell’articolo soprariportato, ci mostra l’attenzione, che finalmente viene riposta, su tematiche spesso trattate: le libertà e i diritti fondamentali dell’individuo. Parliamo della libertà a vivere serenamente la propria vita senza la pressione esercitata dai call center di alcune aziende che, incuranti dell’orario, delle lamentele e delle opposizioni, tediano in modo insistente le persone, magari alle otto di sera, nonostante non siano mai stati forniti dei consensi espliciti per il trattamento dei propri dati di contatto a scopo promozionale.
In questo caso si tratta di telemarketing, ma tutti sappiamo bene anche quante mail spazzatura ci arrivano quotidianamente.
Vediamo, nello specifico, le violazioni contestate:
- utilizzo del numero di telefono a scopo promozionale, senza esplicito consenso;
- mancata verifica del Registro delle Opposizioni;
- assenza di misure per la verifica dei dinieghi, espressi dagli utenti, al trattamento dei dati a scopo pubblicitario;
- tempi di conservazione dei dati superiori a quelli stabiliti;
- acquisizione dei nominativi da provider che non avevano raccolto il consenso per il trattamento dei dati a scopo pubblicitario.
Molto interessante quest’ultimo punto. Sul mercato ci sono migliaia di organizzazioni strutturate per raccogliere e vendere elenchi di nominativi con mail, telefono e altri dati personali. Alcune operano in modo serio e conforme alle direttive del Regolamento Europeo, mentre altre millantano solamente la liceità di tali attività.
La vicenda di Eni, dimostra che non è sufficiente affermare di aver acquistato i dati da una società specializzata: è necessario accertarsi della provenienza degli stessi e della presenza dei consensi specifici.
Ricordiamo che non tutti i trattamenti di dati richiedono un consenso, infatti, il consenso è solo una delle basi giuridiche che rendono lecito il trattamento. Altre basi giuridiche sono: il legittimo interesse; una legge nazionale; l’esercizio di un contratto in essere; una situazione di emergenza relativa alla vita o allo stato grave di salute di una persona; etc. Le finalità relative il marketing e la promozione di servizi e prodotti, necessitano sempre di un consenso esplicito e specifico. Esistono solo alcuni casi, molto circoscritti, nei quali è consentito, senza consenso, inviare una comunicazione specifica e riguardante un bene o un servizio appena acquistato, se inerente all’interesse del cliente.
Quando parliamo di trattamento di dati di contatto personali a fini promozionali/pubblicitari, intendiamo qualsiasi forma di contatto: via telefono, tramite sms, tramite mail, tramite posta ordinaria. Il diritto degli utenti/clienti a non essere “disturbato” viene rafforzato, se il contatto avviene via telefono, dall’obbligo preventivo, da parte di chi effettua la telefonata, di verificare la presenza del nominativo in questione sul Registro delle Opposizioni. Il Registro delle Opposizioni è gestito dalla Fondazione Ugo Bordoni e vigilato dal Mise (Ministero dello Sviluppo Economico). Lo scopo è quello di raccogliere i numeri di telefono fissi e mobili, privati e aziendali che, pur comparendo sugli elenchi pubblici, non possono essere utilizzati come contatto a scopo promozionale, per volontà degli utenti, titolari dei dati.
Generalmente, l’ufficio del Garante, che si muove su segnalazione, ispezione della Guardia di Finanza o su controllo a campione, applica la sanzione valutando una serie di fattori, quali l’azione di contatto massivo; l’applicazione o meno delle misure tecniche e organizzative a tutela e protezione dei dati e delle volontà delle persone oggetto dell’attività; i consensi espressi e le opposizioni; la frequenza delle attività illecite svolte e gli eventuali danni provocati ai soggetti interessati.
Le aziende che si occupano di marketing sono state inserite nell’elenco dell’ufficio del Garante, come soggetti su cui effettuare delle ispezioni a campione, insieme alle società operanti nei settori: sanitario, bancario, dei servizi pubblici (energia, telefonia, etc.), enti pubblici particolari e organizzazioni che, per loro natura, trattano in modo continuativo dati particolarmente sensibili o che hanno un impatto particolare sulla vita delle persone.
Nonostante il consiglio di gestione dell’ufficio del Garante sia in fase di rinnovo (i mandati sono stati prorogati fino a giugno) e sia garantita solo l’ordinaria amministrazione, sembra che l’attenzione sia quella di vigilare affinché le nuove disposizioni in materia di tutela della privacy e protezione dei dati vengano pienamente rispettate dai titolari e dai responsabili dei trattamenti.
Daniele Umberto Spano
Per approfondimenti, adeguamenti, consulenza privacy e analisi di sicurezza del sistema informatico contattaci CLICCANDO QUI