di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Il Garante per la protezione dei dati personali interviene nuovamente
sulla delicata questione del telemarketing selvaggio e infligge a Sky
una sanzione di oltre 3 milioni di euro.
Il provvedimento arriva dopo una lunga e complessa attività
istruttoria avviata a seguito di decine di segnalazioni e reclami di
persone che lamentavano la ricezione di telefonate indesiderate,
effettuate per promuovere i servizi offerti da Sky, sia direttamente
sia tramite call center di altre società.
L’Autorità ha rilevato, nelle proprie indagini, molte criticità tra le
quali l’effettuazione di chiamate promozionali senza informativa e
senza consenso, utilizzando liste non verificate, acquisite da altre
società.
L’analisi dell’ordinanza ingiunzione emessa dal Garante offre
importanti spunti di riflessione e mette in luce alcuni passaggi delle
attività di telemarketing idonei a costituire delle “linee guida” per
lo svolgimento corretto delle stesse.
Si ritorna al delicato equilibrio tra business, trattamento dei dati e
protezione degli stessi.
La protezione dei dati personali non deve, così come espressamente
indicato dall’art. 1 del Regolamento europeo, essere un ostacolo per
le attività economiche.
Si tratta di contemperare due esigenze diverse (business e protezione
dei dati) che solo apparentemente sono inconciliabili, spesso
considerate tali per una mancata approfondita conoscenza della
normativa.

La procedura per il telemarketing
Il telemarketing consiste in una tecnica utilizzata dalle aziende per
la promozione dei propri prodotti. Nel caso specifico, analizzato
dall’ordinanza ingiunzione dell’Autorità, Sky acquisiva da società
terze liste di utenti da contattare con espresse finalità di marketing.
La procedura per lo svolgimento di questa attività, secondo le
disposizioni del Regolamento europeo sulla protezione dei dati
personali, prevede i seguenti passaggi:
Acquisizione da parte della società terza in outsourcing del consenso
dell’utente a comunicare i propri dati a terzi.
Acquisizione dei nominativi da parte di Sky.
Utilizzo, da parte di Sky, delle liste acquisite contattando il
cliente e fornendo allo stesso la propria informativa.
Acquisizione, sempre da parte di Sky, del consenso dell’utente a
formulare proposte commerciali e solo dopo tale acquisizione,
possibilità, da parte dell’operatore, di formulare la proposta
commerciale.
Secondo l’istruttoria svolta dal Garante la procedura seguita per
l’attività promozionale da Sky era carente di alcuni elementi
essenziali, limitandosi all’utilizzo dei nominativi acquisiti dalle
società terze già “consensati”.
Il punto fondamentale è esattamente questo: il consenso fornito
dall’utente alla società terza rappresentava una valida base giuridica
unicamente per la comunicazione dei nominativi a Sky e non anche
l’ulteriore l’utilizzo degli stessi per finalità di marketing da parte
di quest’ultima.
Si aggiunga, inoltre, che Sky avrebbe dovuto, prima di effettuare
qualunque operazione, controllare attraverso le proprie black list che
le persone da contattare non avessero espresso la loro contrarietà a
ricevere telefonate pubblicitarie proprio dei suoi prodotti.

La PEC come canale idoneo per l’esercizio dei diritti dell’interessato
Ulteriore elemento degno di nota riguarda i canali messi a
disposizione degli utenti per l’esercizio dei propri diritti.
L’Autorità, infatti, ha prescritto a Sky di inserire tra i canali di
ricezione delle dichiarazioni di opposizione al trattamento, anche
l’indirizzo PEC indicato nel registro delle imprese, indirizzo che
finora non era stato ritenuto un valido punto di contatto per la
privacy.

Le società di outsourcing e la qualifica di responsabile del trattamento
L’ordinanza ingiunzione chiarisce, infine, un ulteriore importante
aspetto, ossia la qualificazione delle società terze che formano le
liste di nominativi utilizzati per finalità di marketing, ribadendo,
ancora una volta, come già fatto in passato, che le agenzie di
outsourcing non possano essere qualificate come titolari autonomi del
trattamento.
Il provvedimento in commento, in particolare, espressamente sottolinea
che “all’asserita titolarità formale non corrispondono, anche in
termini concreti, i poteri tassativamente previsti dal Codice per la
configurazione e l’esercizio della titolarità, che sono e restano
appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:-
assumere decisioni relative alle finalità del trattamento dei dati dei
destinatari di campagne promozionali ai fini di invio di materiale
pubblicitario o di vendita diretta o di ricerche commerciali o di
comunicazione commerciale effettuate da soggetti terzi che agiscono in
outsourcing per lo svolgimento delle richiamate attività di promozione
e di commercializzazione di beni, prodotti e servizi;-impartire
istruzioni e direttive vincolanti nei confronti degli outsourcer,
sostanzialmente corrispondenti alle istruzioni che il titolare del
trattamento deve impartire al responsabile;-svolgere funzioni di
controllo rispetto all’operato degli outsourcer medesimi”.
Ne deriva, quindi, come naturale conseguenza che tali soggetti
dovranno ricevere anche una espressa e formale designazione a
responsabili del trattamento, secondo il disposto dell’art. 29
Regolamento.