Guerra al telemarketing: il Garante inaugura (nel suo provvedimento sanzionatorio del 13 aprile scorso, con il fondamentale apporto della Guardia di Finanza per indagini e attuazione, in corso in questi giorni) una misura di contrasto agli illeciti finora inedita, per tale autorità: quella della confisca dei database illeciti di contatti.
Un rilancio nella lotta del controllore pubblico che – nonostante le riforme legislative come quella del registro delle opposizioni – continua a ricevere segnalazioni di interessati ammorbati telefonicamente, professionisti o cittadini che siano.
E si accompagna alla strategia generale che cerca di arginare il fenomeno, composta dal novello codice di condotta del telemarketing (approvato in marzo ma che attende di terminare il suo iter con l’avvio dell’organismo di monitoraggio), nonché l’attivazione da parte del Garante di un canale di segnalazione dedicato alle telefonate moleste.
Indice degli argomenti
I fatti: un centone di pratiche telemarketing illecite
Vediamo di ripercorrere brevemente il caso oggetto d’indagine, in quanto rappresenta una sorta di summa delle peggiori prassi del settore.
Dalla lettura del provvedimento si evince un quadro di illecito eletto a sistema, peraltro emerso – paradossalmente – sia a seguito di violazione delle restrizioni sanitarie alla mobilità durante il periodo pandemico, sia di chiamate indesiderate rivolte agli stessi ufficiali della Compagnia della Guardia di Finanza di Soave (Verona).
Per tutta l’operazione è stato fondamentale l’apporto del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della GdF.
I soggetti bersaglio del provvedimento sono una costellazione di società e cooperative, in accordo tra loro, dirette a promuovere la stipula di contratti del settore dell’energia elettrica e del gas, con propri call center nonché procacciatori che si recavano presso i potenziali clienti.
Lo scopo era quello di stipulare (ex novo o con mutamento di operatore) quanti più possibili contratti per le compagnie energetiche, incassando la provvigione relativa. Condividendo in maniera volutamente opaca uffici, dipendenti e purtroppo anche i propri database nonché gli accessi alle piattaforme contratti delle grandi compagnie.
Tutti i passaggi di dati tra questi soggetti non erano assolutamente regolamentati, né supportati da idonee basi giuridiche.
Le banche dati utilizzate per le chiamate sono state acquisite – quasi non c’è necessità di dirlo – senza alcuna verifica sulla loro liceità, soprattutto quanto a informative e consensi in regola.
Tali DB sono stati acquistati, in parte, da un imprecisato venditore presente “su Facebook”, senza chiarimenti sul processo di cessione stessa dei dati; in altra parte, sono stati acquisiti in proprio e da altre società, anche estere.
Lo sfruttamento dei contatti è arrivato persino a far richiedere agli stessi utenti di cambiare più volte l’operatore, ritornando al precedente, a seconda della convenienza delle società per incassare le provvigioni contrattuali.
Quanto ai ruoli privacy: i call center che si occupavano delle chiamate non erano nemmeno stati nominati responsabili, o sub-responsabili se del caso, da parte né dalle agenzie né tantomeno dalle compagnie energetiche a monte, oppure vi erano nomine errate.
Ciò comporta, come prescritto dal GDPR, che si configurassero come titolari autonomi, mancando agli adempimenti dovuti a tale qualifica. Poi sono risultate assenti le procedure operative per assicurare agli interessati l’esercizio dei loro diritti, ai sensi degli articoli 15-22 GDPR. Particolarmente inquietante la prassi accertata sui DB delle compagnie energetiche, utili per caricare i contratti stipulati: era indiscriminato l’accesso, con le stesse credenziali di autenticazione assegnate a una sola delle società, compiendo una sequela di operazioni non autorizzate nei sistemi informatici delle compagnie energetiche.
Una delle società, in sede istruttoria, ha peraltro affermato di non avere risorse umane sufficienti per poter per reperire i contratti e i consensi richiesti dal Garante, presenti nei propri archivi quasi totalmente in forma cartacea.
A proposito del cartaceo, in molti casi sono stati rinvenuti più moduli per i medesimi interessati, con consensi prestati in diverse date, e persino firme difformi imputate alla stessa persona. In altri casi sono stati rinvenuti moduli riportanti solo i nomi e cognomi degli interessati. Diciamo che non mancherebbero le ipotesi di reato.
Non mancano persino aspetti dolosi rispetto alla gestione degli stessi lavoratori delle società coinvolte, sebbene siano solo accennati dal Garante: anche qui il rispetto della riservatezza dei lavoratori, oltre ai controlli a distanza, paiono disattesi da testimonianze relative per es. all’obbligo di segnalare la propria posizione GPS da parte degli operatori (i quali dovevano recarsi insistentemente ai domicili degli utenti per appuntamenti di vendita, a ogni costo, pena l’applicazione di sanzioni pecuniarie).
Sanzioni totali per quasi due milioni di euro
Una simile condotta ha indotto il Garante a riservarsi di trasmettere gli atti anche all’AGCM, dato l’evidente vantaggio che può derivare dall’agire in concorrenza sleale rispetto ai competitor del mercato che, invece, operano in regola.
Nel constatare questo episodio di mala gestio, il Garante prende altresì atto che le sole misure contrattuali, attuabili nella filiera del telemarketing (non certo nel nostro caso), non sono sufficienti di per sé per la tutela della rete di vendita ufficiale delle grandi compagnie.
Alla luce di questo desolante scenario, il Garante ha effettuato infine una ponderazione delle sanzioni pecuniarie, collegate all’eccezionale gravità delle violazioni, al carattere intenzionale delle condotte e allo scarso grado di cooperazione da parte delle indagate.
Come spesso accade, non rinveniamo i precisi calcoli effettuati dall’autorità nella sua parametrazione.
Comunque sia, le varie società sono incappate in un ammontare di diverse centinaia di migliaia di euro a testa (fino a un massimo di 800.000 euro) e un totale di quasi due milioni per tutte e quattro le società coinvolte.
La confisca dei dati, in attesa del Codice di condotta del telemarketing
Arriviamo alla parte innovativa del provvedimento, giocata dal Garante sulla l. 689/1981, cioè la normativa sulle sanzioni amministrative, correntemente invocata dal Garante per le sue usuali ordinanze-ingiunzioni.
Nel caso in parola, tutto verte su un’attribuzione eventuale del GDPR all’articolo 58 (permette agli Stati di prevedere, per legge, che la sua autorità di controllo abbia ulteriori poteri rispetto a quelli del GDPR), che a sua volta rimanda all’articolo 166 del Codice nazionale privacy (la legge di cui al predetto art. 58 GDPR, il D.lgs. 196/2003) che, infine, atterra sull’articolo 20 comma 3 della legge 689/1981.
Secondo l’ultima norma, “le autorità stesse possono disporre la confisca amministrativa delle cose che servirono o furono destinate a commettere la violazione e debbono disporre la confisca delle cose che ne sono il prodotto, sempre che le cose suddette appartengano a una delle persone cui è ingiunto il pagamento”.
Ancor prima, la legge del 1981 stabilisce che l’autorità amministrativa con l’ordinanza-ingiunzione (il provvedimento del Garante del nostro caso), può applicare, come sanzioni amministrative, quelle previste dalle leggi vigenti per le singole violazioni, come sanzioni penali accessorie, quando esse consistono nella privazione o sospensione di facoltà e diritti derivanti da provvedimenti dell’amministrazione.
Inoltre, che queste sanzioni non sono applicabili fino a che è pendente il giudizio di opposizione contro il provvedimento di condanna o, nel caso di connessione ex art. 24 (cioè, qualora l’esistenza di un reato dipenda dall’accertamento di una violazione non costituente reato), fino a che il provvedimento stesso non sia divenuto esecutivo.
A tal proposito, non si comprende dal provvedimento del Garante se la confisca possa entrare in conflitto con possibili accertamenti penali in corso (lo sono?), subendo una sospensione applicativa: perlomeno, il Garante non ne fa cenno. Vedremo se si avrà notizia di opposizioni in giudizio circa la misura e in che termini.
In forza di queste norme, l’autorità ha disposto non solo l’usuale divieto inibitorio di ogni ulteriore trattamento, bensì soprattutto il suo derivato concreto – pur facoltativo, perché destinato alle cose che servirono o furono destinate a commettere la violazione – per cercare di garantire che davvero i dati non vengano riutilizzati: la confisca dei supporti informatici e cartacei contenenti i database, le anagrafiche acquisite e utilizzate dalle società censurate.
Ciò nel tentativo evidente di alzare i toni nel controbattere, pragmaticamente, al dilagare delle prassi di “mala-marketing”, circolazione dolosa e illecita dei dataset tra vari terzi, oltre a voler lanciare un segnale alla platea di questo sottobosco di contravventori.
Vedremo col tempo quanto potrà essere efficace, soprattutto per il dubbio che siano già presenti (e circolanti), in ogni caso, copie – non a conoscenza accertata del Garante – di queste anagrafiche, perlomeno di quelle informatiche. Un’eventualità che nessuna misura attuabile dal Garante può fugare, né lo si può pretendere.
Altro aspetto critico può essere quello giurisdizionale: spesso i soggetti del sottobosco telemarketing sono esteri, giovandosi delle complicazioni inevitabili per far rispettare provvedimenti al di fuori dell’Italia. In tal senso, si può auspicare che le autorità degli Stati spesso coinvolti (per es. l’Albania) siano massimamente collaborative e rendano reali le sanzioni anche fuori dal nostro Paese.
Conclusioni
Non possiamo che auspicare che arrivi il prima possibile a compimento l’iter del citato Codice di condotta del telemarketing, il quale si pone come obiettivo proprio quello di contrastare in più modi le risacche di illiceità che possono albergare nella filiera del telemarketing.
Come ribadito dal Garante, il Codice non imporrà solo vincoli e garanzie contrattuali, aggiungerà la necessità di compiere accertamenti, verifiche anche a campione, adottare idonee procedure, eccetera.
Il Garante, da par suo, potrebbe integrare con un crescente impiego della misura di confisca, perlomeno nei casi di palese illiceità.
