La sanzione di 27 milioni e 800 mila euro irrogata a TIM (in seguito anche “Società”) dal Garante privacy[1] per i trattamenti illeciti di dati legati all’attività di marketing fornisce gli elementi essenziali per una corretta delimitazione delle responsabilità tra titolare e responsabile esterno ed è un chiaro esempio delle conseguenze sanzionatorie a cui le aziende vanno incontro se non gestiscono adeguatamente gli aspetti fondamentali della normativa sulla protezione dei dati.
Indice degli argomenti
Titolare e responsabile esterno, tra doveri e responsabilità
Il provvedimento è sicuramente estremamente complesso e molto ampio anche se si può dividere in tre grandi categorie:
- trattamento dei dati degli interessati senza il consenso o con un consenso viziato;
- mancato rispetto di una idonea conservazione dei dati;
- gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati.
All’interno della prima categoria, il provvedimento si concentra su un aspetto che merita un approfondimento: il concetto di titolare e responsabile esterno e i rispettivi doveri e responsabilità.
A questo proposito, sono di particolare interesse le considerazioni svolte dall’Autorità con riferimento alle telefonate effettuate nei confronti di utenze non inserite nella lista di contattabilità di TIM (“fuori lista”) da parte di alcuni call center partner della Società.
Dall’istruttoria svolta è infatti emerso che le telefonate effettuate dai call center a tali utenze erano il frutto di una “costante prassi operativa riconducibile a una cosciente scelta aziendale” di TIM e “non riferibile ad eccezionali iniziative non autorizzate intraprese”, ad insaputa del committente, dal personale del call center incaricato delle attività promozionali.
Più nel dettaglio, rispetto alle utenze “fuori lista”, l’Autorità ha ritenuto di attribuire la responsabilità del trattamento dei dati per finalità promozionale anche a TIM sulla base dell’influenza effettiva che la Società ha esercitato nel determinare le finalità e le modalità del trattamento in questione.
In sostanza, l’Autorità ha ribadito che la determinazione delle responsabilità in capo ai soggetti coinvolti nel trattamento deve basarsi su un’analisi fattuale piuttosto che formale, andando quindi a esaminare “elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità”[2].
Ed è proprio l’analisi fattuale a far emergere la responsabilità di TIM, quale titolare del trattamento, rispetto all’attività di telemarketing svolta dagli operatori dei call center. La Società è di fatto il soggetto committente per conto del quale tale attività viene svolta sulla base sia del contratto che della prassi operativa dei call center: gli operatori del call center svolgono le proprie mansioni utilizzando non solo il nome e l’immagine di TIM ma anche gli script dei messaggi promozionali della Società. Inoltre, la Società è il soggetto che più beneficia dei vantaggi economici derivanti dai contratti stipulati con gli interessati che decidono di aderire all’offerta proposta telefonicamente dagli operatori.
A ciò occorre aggiungere che dall’analisi dei contratti con i partner, è emerso che TIM ha espressamente incaricato tali soggetti a svolgere attività promozionali contattando anche utenze “fuori lista”, quali i “lead” senza al contempo definire il concetto di “lead” né le modalità procedurali per contattare tali utenze.
Così facendo, TIM ha accettato “il rischio di contatti non conformi alla normativa, anzi incoraggiando, già nelle previsioni contrattuali, tali attività e incamerando nei propri sistemi informativi i dati dei contatti commerciali – effettuati in assenza del consenso degli interessati, ma andati a buon fine – nonché introitando le conseguenti utilità economiche”.
In sostanza, l’Autorità ha osservato che sebbene i dati delle utenze fossero stati raccolti in violazione della normativa privacy, TIM ha accettato la registrazione di quei dati nei propri sistemi senza verificarne la legittima acquisizione. La Società ha quindi omesso di implementare le misure adeguate ed efficaci per garantire e dimostrare la conformità del trattamento alla normativa privacy, in violazione del principio di accountability.
Inoltre, dal momento che i partner di TIM hanno contattato utenze al di fuori delle liste di contattabilità definite da TIM, l’Autorità ha ritenuto anche astrattamente configurabile un rapporto di contitolarità tra TIM e i suoi partner: contattando utenze al di fuori del perimetro contrattuale definito formalmente con TIM, i partner hanno di fatto contribuito a definire le finalità e i mezzi del trattamento “perlomeno riguardo alla finalità di acquisizione di nuovi clienti”.
Ciò è ancor più vero considerando che sia TIM che i suoi partner traggono vantaggio economico dalla conclusione dei contratti con gli interessati. Il corrispettivo dei partner viene infatti calcolato anche sulla base dei contratti attivati per effetto delle attività promozionali.
L’interpretazione proposta dal Garante si pone tra l’altro in linea con la giurisprudenza comunitaria da cui si evince che le responsabilità dei soggetti coinvolti nel trattamento non possono essere scisse dai vantaggi economici che tali soggetti ricavano dal trattamento (Google Spain, causa C-131/12). Seguendo questa logica, secondo l’Autorità, l’attività di telemarketing effettuata dai partner di TIM nei confronti dei “fuori lista” deve ritenersi funzionale al perseguimento di un interesse economico condiviso ed unitario. Non risulta pertanto possibile, né corretto agli occhi del Garante, far discendere da tale attività unitaria obblighi e responsabilità diverse in capo a tali soggetti.
Considerazioni finali
In sintesi, con riferimento alle telefonate alle utenze “fuori lista”, l’Autorità ha ritenuto di potere qualificare il rapporto tra TIM e i suoi partner in termini di contitolarità.
Rispetto invece alle telefonate indesiderate per via di presunte sviste o errori di digitazione commessi dai call center, l’Autorità ha ravvisato una “culpa in vigilando” in capo a TIM sull’operato dei partner, riportando così il rapporto tra TIM e i suoi partner nell’alveo dell’articolo 28 GDPR.
L’Autorità ha infatti ritenuto TIM responsabile di una violazione dell’articolo 28, par.3 lett. a) del GDPR per non avere verificato, anche tramite audit, che non venissero effettuate telefonate in mancanza dei presupposti di liceità del trattamento.
Ugualmente, l’Autorità ha riscontrato una violazione dell’obbligo di vigilanza ai sensi dell’articolo 28 per non avere adeguatamente verificato l’inserimento tempestivo nelle blacklist dei dinieghi espressi degli utenti nel corso dei contatti commerciali con gli operatori dei call center.
L’Autorità ha quindi fornito (o meglio ribadito) gli elementi essenziali su cui fondare l’analisi per una corretta individuazione del ruolo di titolare/contitolare e responsabile nel rapporto tra committente e propri partner.
Il Garante ha infatti sottolineato la necessità di svolgere un’analisi fattuale piuttosto che formale avendo riguardo all’influenza effettiva esercitata dalle parti coinvolte nella determinazione dei mezzi e delle finalità del trattamento e al legame tra i vantaggi economici derivanti dal trattamento e i conseguenti obblighi e responsabilità.
Questi chiarimenti sono di importanza fondamentale nell’applicazione della normativa sulla protezione dei dati personali: sono infatti proprio i concetti di titolare e responsabile a determinare come gli obblighi e le responsabilità che discendono dalla normativa devono essere distribuiti tra i soggetti coinvolti nella filiera del trattamento.
NOTE
- Garante per la protezione dei dati personali, Provvedimento del 15 gennaio 2020, doc. web. n. 9256486. ↑
- Gruppo di Lavoro Articolo 29 per la Protezione dei Dati, Parere 1/2010 sui concetti di “responsabile del trattamento” e “incaricato del trattamento”, adottato il 16 febbraio 2010. ↑
