Passaparola, form online e telemarketing: un connubio che costa caro.
Non è una novità che uno dei temi più ostici e delicati nell’ambito del trattamento di dati personali sia quello per finalità di marketing (anche noi ne abbiamo parlato in più occasioni, come ad esempio per il caso del telemarketing aggressivo da parte di Enel).
E non è un caso che, spesso, il Garante per la protezione dei dati personali accerti profili di illiceità, disponendo sanzioni amministrative anche di rilevante ammontare.
Di recente, l’Authority italiana è nuovamente intervenuta, a seguito di numerosi reclami e segnalazioni da parte degli utenti, sanzionando una società di produzione e distribuzione di caffè con un provvedimento di ingiunzione.
Il caso
Ricostruiamo la questione in estrema sintesi.
Diversi utenti, regolarmente iscritti al Registro Pubblico delle Opposizioni, avevano lamentato al Garante la ricezione di telefonate indesiderate, effettuate per la promozione del caffè distribuito dalla società.
Su richiesta di informazioni da parte dell’Autorità, la società rispondeva sostenendo di aver contattato gli interessati sulla base di un mero “errore di digitazione casuale” delle numerazioni destinatarie delle comunicazioni promozionali. Ha altresì giustificato l’operato sostenendo che la stessa basa “il proprio sviluppo e fatturato sul passaparola dei clienti […] e sulle informazioni digitali raccolte attraverso i link sponsorizzati”.
Inoltre, l’attività telefonica lamentata veniva realizzata, in alcune occasioni, con utenze non regolarmente censite e presumibilmente prodotte mediante “spoofing telefonico“.
Tra i canali utilizzati per l’acquisizione della clientela (passaparola; form online; inbound) la società indicava inoltre co-sponsor, inserzionisti e list provider. Questi, tramite form online, raccoglievano i dati personali degli utenti e li trasmettevano al titolare per l’effettuazione della campagna promozionale.
In tutto ciò, la società riteneva che il modulo di raccolta dati compilato nel corso del contatto poteva ritenersi valido ai fini della prova del consenso.
Le considerazioni del Garante
In primo luogo, il Garante ha ritenuto che
può essere considerato “dato personale” anche il numero casualmente composto e chiamato telefonicamente per attività promozionale,
e che pertanto ad esso deve applicarsi la normativa in materia. Pertanto, ha ritenuto che le telefonate “casuali” sono state effettuate in assenza del consenso degli interessati.
Successivamente, l’Authority ha constatato che
anche le ulteriori modalità di acquisizione dei dati personali descritte nel corso dell’audizione (passaparola; form on-line; inbound) sono risultate realizzate in assenza di un’idonea base giuridica.
Ciò perché non può considerarsi valida l’acquisizione di dati personali mediante il passaparola dei clienti, in quanto il soggetto che li ha forniti non è -di regola- legittimato a prestare alcun valido consenso per conto dell’interessato destinatario della comunicazione promozionale.
Medesimo discorso vale anche per il modulo di ordine di acquisto, compilato dall’operatore telefonico in occasione del contatto dell’utente interessato ai prodotti venduti: questo non può in alcun modo essere considerato come prova di un espresso consenso al trattamento dei dati personali per finalità promozionali.
Nel provvedimento in esame, l’Autorità ha poi rilevato come il titolare del trattamento non abbia nemmeno adempiuto agli obblighi in merito all’esercizio dei diritti degli interessati, nonché la mancata consultazione del Registro Pubblico delle Opposizioni nella compilazioni dei numeri.
Le illiceità nel trattamento e la sanzione
Le conclusioni che trae il Garante, sostanzialmente, ineriscono a una
sistematica carenza di misure organizzative e di controllo da parte della società anche in riferimento all’obbligo di comprovare il rispetto delle norme (accountability del titolare).
Per la violazione del principio di accountability i e per le illiceità del trattamento nelle modalità sopra descritte, il Garante ha ritenuto integrata la violazione di diverse disposizioni del Regolamento (artt. 5, 6, 7, 12, 13, 15, 21, 24, 25, oltre all’art. 130del Codice Privacy).
Si spiega, pertanto, il rilevante importo ingiunto dall’Autorità nei confronti del titolare del trattamento a fronte delle violazioni commesse, per un valore complessivo di 70.000 euro.