È stata resa nota la sanzione comminata dal Garante per la protezione dei dati personali contro Vodafone Italia S.p.A., per aver violato, tra l’altro, il principio di correttezza del trattamento finalizzato alla conclusione di un contratto per l’attivazione di servizi telefonici.
Concretamente, tra le violazioni vi sarebbe stata la mancata correttezza sul piano informativo, in fase di stipula contrattuale a mezzo telefonico, non rispettosa dei principi del GDPR e del codice civile in genere.
Telemarketing molesto e ingannevole, Enel sanzionata da Antitrust
Indice degli argomenti
Il caso: opacità del telemarketing
Il procedimento nasce da un reclamo proposto da un’anziana signora, la quale è stata contattata da un “call center della rete di vendita di Vodafone”, con il quale veniva concluso un contratto relativo a servizi telefonici “senza che la stessa se ne avvedesse”. Successivamente, però, ne chiedeva il recesso ed esercitava il proprio diritto di accesso ai sensi dell’art. 15 GDPR, chiedendo “informazioni sull’origine dei dati personali e sulle modalità di trattamento e di comunicazione dei medesimi”. Vodafone riscontrava la richiesta, indicava i dati richiesti e “provvedeva a revocare il consenso commerciale precedentemente rilasciato in fase di attivazione”, ma la reclamante ha invocato l’Autorità.
Il Garante si è mosso per accertamenti in merito. Vodafone rappresentava che la signora avesse effettuato “con il suo numero fisso una chiamata verso l’IVR [risponditore automatico]” e che “conseguentemente avesse prestato il proprio consenso al ricontatto”. Nel corso di tale ricontatto, sarebbe stato poi concluso il contratto con il gestore. La signora, invece, contestava di aver mai effettuato chiamate dirette ai call center di Vodafone per rilasciare tale consenso. Il Garante non ha considerato sufficiente quanto fornito dalla titolare per comprovare tale affermazione.
Dall’istruttoria, inoltre, è emerso che il contratto stipulato tramite l’operatore del call center sarebbe stato letto alla reclamante “ad una velocità stimata di circa 200 parole al minuto per oltre sei minuti di registrazione”.
Nel corso della medesima telefonata, previa “sintetica informativa”, veniva richiesto un consenso marketing “indifferenziato e univoco” (per comunicazioni email, posta, SMS, telefono ecc.) a una velocità pari a “sessantatré parole nell’arco di sedici secondi […] difficilmente comprensibile e solamente dopo numerosi ascolti”, con una formula comprensiva anche di finalità strettamente contrattuali.
La titolare, sul punto, affermava che le opzioni contrattuali “vengono sottoposte al cliente nel corso della parte non registrata della telefonata, quando le stesse sono illustrate puntualmente e in forma discorsiva, affinché chi ascolta ne abbia piena conoscenza”; il vocal order (la parte registrata), invece, sarebbe solo “una forma di ratifica di opzioni contrattuali”.
Con riferimento alle modalità di acquisizione del consenso, la titolare ha sostenuto che la parte inerente alle finalità contrattuali non era “necessaria”, poiché facevano riferimento “all’esecuzione del contratto e all’erogazione del servizio”. Mentre sul consenso per finalità di marketing, non essendo prevista una differenziazione della raccolta del consenso in ragione delle diverse modalità di contatto, “la formula così come espressa appare corretta, anche se sono riportate modalità di contatto ormai obsolete (quali fax o MMS)”, impegnandosi, tuttavia, a semplificarla.
Fidelity card e consensi, ecco perché il Garante privacy ha sanzionato Douglas Italia
Le violazioni accertate dal Garante Privacy
A seguito delle proprie indagini e valutazioni, il Garante Privacy ha infine ravvisato una serie di violazioni:
- la violazione degli artt. 12.1 e 13 GDPR, “per aver effettuato un contatto promozionale nei confronti della reclamante”, tramite un proprio responsabile del trattamento (il call center), senza aver reso all’interessata la necessaria informativa nelle forme e nei tempi stabiliti dalla normativa;
- la violazione degli artt. 5, 6 e 7 GDPR, nonché dell’art. 130 del Codice Privacy, “per aver effettuato il contatto promozionale di cui sopra senza aver acquisito dall’interessata il prescritto consenso” – dovendo, sempre e comunque, il Titolare, essere in grado di documentare la sua acquisizione; inoltre “per aver acquisito dall’interessata, nel corso del contatto promozionale di cui sopra un consenso indifferenziato e unico per le diverse tipologie di contatto, consenso poi registrato nei sistemi Vodafone”;
- la violazione dell’art. 5.1.a GDPR “per aver effettuato trattamenti di dati personali finalizzati alla conclusione di un contratto per l’attivazione di servizi telefonici in capo alla reclamante, in violazione dei principi di correttezza e trasparenza del trattamento”;
- la sanzione finale comminata è di 500.000 euro, tenuto conto di alcune aggravanti (precedente sanzione in ambito telemarketing) e attenuanti (ripristino della situazione ex ante e rimborso verso l’interessata, crisi economica generale del momento).
Proprio in ordine all’ultima delle violazioni accertate, il Garante esegue una interessante disamina sulla portata del principio di correttezza sancito dal GDPR alla lett. a) dell’art. 5. L’Autorità, infatti, afferma che tale principio “non si sovrappone a quello di liceità ma ne amplifica la portata”, facendo sì che ogni titolare faccia proprio “lo spirito della normativa in materia di protezione dei dati personali”, “in base ai medesimi canoni utilizzati in sede civilistica per individuare la correttezza del debitore e del creditore (art. 1175 c.c.) e la buona fede nell’esecuzione del contratto (art. 1375 c.c.)”.
Pertanto, il Garante sottolinea la necessità di interpretare il principio di correttezza stabilito nel GDPR alla luce dei medesimi canoni interpretativi della buona fede nell’ambito delle relazioni contrattuali, sottolineando l’ampia portata della responsabilizzazione di un titolare del trattamento in ottica di protezione dei dati personali.
Meta, sanzione da 265 milioni per fuga di dati: violati i principi di privacy by design e by default
Trasparenza telefonica, impariamo dal Codice del consumo
In tempi in cui di parla di legal design e dark pattern, un caso come questo ci riporta alla più brusca realtà: se il fine del legal design è quello, appunto, di concretizzare la correttezza e la buona fede con modalità interdisciplinari e focalizzate sull’utente, qui non si può nemmeno parlare di minima correttezza tout court.
Non c’è bisogno di grandi riflessioni per comprendere come la modalità di comunicazione delle informazioni fondamentali, nel caso qui in parola, ha reso palesemente incomprensibile (e inutile) la fase di cognizione contrattuale e informativa.
La buona fede anzidetta, peraltro, va rispettata sempre e comunque in un caso come questo: in ambito informativo precontrattuale, in ambito informativo privacy e, infine, in ambito informativo consumeristico.
Difatti il Codice del consumo prescrive, analogamente al GDPR, analoghe declinazioni di correttezza e buona fede, e una prassi come questa ben potrebbe configurare una pratica commerciale scorretta, sanzionabile da parte dell’AGCM. Come si è visto, ciò ha inciso lato titolare sulla sua accountability, non potendo così dimostrare prove valide di una resa informativa e, conseguentemente, di un consenso valido.
In ogni caso, il formalismo (“ti ho letto il testo informativo”) non può frustrare la ratio normativa (dare possibilità effettiva di comprendere cosa comporteranno le varie scelte disponibili, senza minare la capacità decisionale), altrimenti non conterebbe nemmeno la velocità di lettura che, ovviamente, è invece un requisito fondamentale di comunicazione ancor prima che giuridico. Tanto più se la lettura è demandata a una registrazione, non destinata certo a un rapporto machine-to-machine.
I canoni interpretativi civilistici si ritrovano anche nel Considerando 60 GDPR, ove recita che un trattamento corretto e trasparente implica che l’interessato sia informato dell’esistenza del trattamento e delle sue finalità, “prendendo in considerazione – tra l’altro – le circostanze e il contesto specifici in cui i dati personali sono trattati”. Il mezzo di comunicazione è ovviamente fondamentale e condiziona questo tipo di valutazione.
Anche le caratteristiche dell’interessata entrano in gioco: la signora, essendo ottantacinquenne, ben può considerarsi quale soggetto vulnerabile, a cui il GDPR riserva attenzione quanto alla valutazione di impatto privacy, con relative cautele da adottare per supplire alla forte asimmetria, di potere e informativa, tra le parti.
Oltretutto, si badi che ogni volta che il trattamento di dati personali si basi su un rapporto contrattuale, tale rapporto contrattuale deve essere validamente costituito, secondo la normativa applicabile sulla formazione dell’accordo, pena l’invalidità del trattamento dei dati (a prescindere dalla sua correttezza, come trattamento di dati in sé).
Il Garante, nel nostro caso, ben puntualizza che la lettura fulminea del testo ha reso l’intero contratto “del tutto incomprensibile e, soprattutto, invalutabile da parte di chi deve decidere se aderire o meno, rende l’intero trattamento, e non soltanto la prodromica parte promozionale”. Oltre a creare indebita confusione, mischiando la base contrattuale con quella consensuale.
Non ci soffermiamo oltre sulla mancata granularità del consenso, ormai oggetto da anni di innumerevoli provvedimenti del Garante e che, purtroppo, viene reiteratamente sanzionata tuttora.
Privacy e telemarketing, tra consenso, informativa e diritti dell’interessato: regole di compliance
Tornando alla corretta informazione, l’uso della telefonia ad es. dovrebbe comportare l’uso di messaggi comprensibili all’utente (quanto alla velocità di lettura, anzitutto), dovrebbe permettere di riascoltare la lettura (automatizzata) dei testi, dovrebbe comportare la possibilità di conferma delle scelte ad es. tramite digitazione con la tastiera telefonica.
Proprio per questi noti problemi del mezzo telefonico, non a caso il Codice del consumo prescrive all’art. 51, peraltro, che oggi la conclusione di contratti/ordini telefonici (cioè di un mezzo di comunicazione a distanza che comprende uno spazio o un tempo limitato) oggi deve essere rispettosa di una serie di requisiti.
E soprattutto il professionista deve confermare l’offerta al consumatore, il quale è vincolato solo dopo aver firmato l’offerta o dopo averla accettata per iscritto, a presidio dei facili escamotage che vediamo all’opera nel caso qui in esame.
Il Garante non si spinge a richiedere un requisito di forma scritta nel caso di rapporto telefonico, in ambito privacy, la normativa non lo prevede.
Tuttavia, sottolinea che il titolare deve sì rispettare correttezza e buona fede ma ancor più deve sempre adattarli al contesto e rapporto, a tutela sia propria (lato probatorio) sia dei diritti e delle libertà degli interessati.
