Le regole ci sono, ma la data protection nell’ambito delle comunicazioni pubblicitarie in alcuni casi è ancora un optional: emerge l’urgenza di porre rimedio al malcostume rendendo prioritari strumenti come la riforma del Registro delle pubbliche opposizioni, per tutelare gli utenti da chiamate ed email indesiderate. Il tema è d’attualità come dimostrano quattro interventi del Garante privacy nell’ambito delle comunicazioni pubblicitarie. Infatti, telefonate moleste nonostante l’assenza di un consenso esplicito da parte di migliaia di utenti, in violazione al GDPR , sono costate a tre call center sanzioni per un totale di centomila euro.
Non solo. L’autorità ha multato inoltre per trentamila euro una società di direct marketing che non offriva agli utenti i giusti strumenti per opporsi alla ricezione di email promozionali. Prassi che quindi “sono tuttora diffuse e che si rende sempre più urgente l’approvazione da parte legislativa della riforma del RPO“, conferma l’avvocato Andrea Michinelli.
Indice degli argomenti
Telemarketing aggressivo, tre call center nei guai
In seguito all’attività che aveva portato il Garante privacy a sanzionare le compagnie telefoniche responsabili di aver commissionato ai call center campagne pubblicitarie senza dare indicazioni o controllarne l’operato, l’autorità ha provveduto a svolgere controlli su tali centri. È emerso che i tre call center avevano contatto utenti che non erano inclusi nelle liste ufficiali consegnate dal committente, dunque servendosi di quelle che sono note come “utenze fuori lista”.
Marketing e GDPR, quando gli operatori telefonici violano la privacy
Alcune delle persone contattate non avevano dato esplicito consenso a essere chiamati oppure erano iscritte al RPO, tanto che molte avevano chiesto agli operatori di non disturbare più e di inserire i propri contatti in black list. Ma non è tutto: il Garante ha individuato anche che non era stato rispettato il principio della privacy by design, riscontrando la “mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal GDPR”, si legge in una nota dell’autorità.
Le sanzioni del Garante privacy ai call center
Di conseguenza, il Garante privacy ha disposto alcune prescrizioni: “Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti”, spiega l’autorità nel proprio comunicato ufficiale.
Un primo call center ha commesso il più alto numero di violazioni, per esempio è emerso che avesse contattato un utente fino a 155 volte in un mese nonostante la propria opposizione: la sanzione ammonta a 80.000 euro. Un secondo call center invece aveva problemi di sistema, “relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Durante l’istruttoria il call center ha, però, affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy”, spiega il Garante, che ha comminato alla società una sanzione da 15.000 euro.
La terza società di call center è stata sanzionata per 5.000 euro, in quanto si era adoperata “per gestire il problema delle liste di utenze telefoniche referenziate tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze”, oltretutto la società è in fase di cessazione delle attività e di liquidazione volontaria.
Telemarketing e GDPR
In tutti e tre i casi, il Garante “non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati fuori lista e a quelli presenti in black list”, commenta l’autorità. Al riguardo, l’avvocato Michinelli precisa che viene anche “confermato come uno dei principi cardine del GDPR, la privacy by design nel gestire la data governance, sia uno dei più lontani dalla realtà attuale e che la base del legittimo interesse invocata dai call center non si può applicare al marketing telefonico impunemente per ovviare alla mancanza di consenso”.
Inoltre, Michinelli sottolinea l’urgenza della riforma del RPO “considerando che in questi ultimi casi sono stati contattati utenti senza consenso e non inclusi nelle liste contattabili, quindi in palese spregio della normativa. La riforma del RPO prevede un allineamento delle sanzioni con quelle del GDPR (con i noti massimali di percentuali di fatturato e milioni di euro), per cui dovrebbe costituire un deterrente a queste prassi”.
Direct Marketing, il caso: mancato rispetto dell’opposizione
Oltre a questi interventi, il Garante privacy ha ammonito una società, sanzionandola anche per 30.000 euro “per non aver dato riscontro alle richieste di alcuni utenti che non volevano ricevere email promozionali e le ha ingiunto di adottare le misure organizzative necessarie per fornire una risposta immediata a chi si oppone al direct marketing”, ha comunicato l’autorità. Il Garante ha vietato alla società di trattare dati senza consenso.
L’indagine è stata avviata dopo due reclami “con i quali si lamentava la ricezione di email promozionali inviate dalla società, senza consenso e nonostante l’opposizione dei destinatari manifestata via PEC. I reclamanti segnalavano inoltre l’impossibilità di interrompere gli invii tramite il tasto unsubscribe pure presente nelle email e l’assoluta mancanza di riscontro alle loro richieste di esercizio dei diritti”, ha spiegato il Garante. In seguito a ciò, la società aveva sostenuto che “il mancato riscontro era dovuto al fatto che la casella di posta PEC non era stata monitorata per diversi mesi a causa di problemi organizzativi e che comunque gli utenti avrebbero dovuto esercitare i loro diritti avvalendosi del modulo presente al link “contattaci”, come indicato nell’informativa privacy pubblicata nel sito web”. Giustificazioni ritenute insufficienti dal Garante, che esaminano le email ricevute dai reclamanti ha rilevato che “l’unico modo di individuare in maniera certa un canale di comunicazione era l’indirizzo pec, rinvenibile nei pubblici registri”. Inoltre, il link “unsubscribe” in fondo alle mail non funzionava.
Direct marketing e privacy by design
Per Michinelli, anche in questo caso “si può parlare di mancata privacy by design, visto che agli utenti di fatto non è stato permesso esercitare i loro diritti previsti dal GDPR per opporsi alla ricezione di email marketing. Se non si è in grado, oggi, di implementare nemmeno una banale funzione di “disiscriviti” da una mailing list, la situazione allora è allarmante”.
Nemmeno l’invio “obbligato tramite PEC (altro strumento che molte aziende non paiono aver compreso nella sua valenza di raccomandata elettronica con effetti legali) è bastato a rispettare i diritti – ricordando che peraltro il GDPR lascia la libertà all’interessato di scegliere come esercitare i propri diritti verso il titolare. Se non c’è stato dolo, perlomeno una colpa gravissima che davvero non può più trovare scusanti”.
