Il Garante Privacy ha confiscato le banche dati utilizzate da numerosi call center per attuare tattiche di telemarketing selvaggio: si tratta del primo caso nel quale lo strumento della confisca viene utilizzato dall’Autorità a tutela degli interessati e con l’obiettivo di interrompere le operazioni di telemarketing attuate in violazione delle normative privacy sulla raccolta del consenso, con l’ausilio dei Finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche di Roma e i militari del Comando Provinciale della Guardia di Finanza di Verona.
Le società coinvolte nell’attività di accertamento sono state altresì colpite da sanzione pecuniaria per centinaia di migliaia di euro (Mas s.r.l.s. per 200.000 euro, Mas s.r.l. 500.000 euro, Sesta Impresa s.r.l. 300.000 euro, Arnia società cooperativa per 800.000 euro). Le società nei cui confronti è stato emesso il provvedimento di confisca si troveranno, ora, nell’impossibilità di operare.
Come riportato nel comunicato, l’utilizzo dello strumento della confisca rappresenta “il segno di un ulteriore innalzamento della strategia di contrasto da parte dell’Autorità”, che opera attualmente su due fronti congiunti nel settore del telemarketing: da un lato, infatti, collabora attivamente con gli operatori virtuosi del settore per giungere alla definitiva approvazione di un codice di condotta, e dall’altro porta avanti l’attività di controllo e repressione dei fenomeni di telemarketing illegale.
Grazie allo strumento della confisca, sarà dunque ipotizzabile una nuova “era” della lotta al telemarketing molesto, che sia efficace e non limitata all’emissione di provvedimenti di natura pecuniaria che non hanno sinora consentito di rallentare il fenomeno, penalizzando anche le società che operavano correttamente.
Non mancano agli onori di cronaca, infatti, numerosi casi di telemarketing non soltanto molesto, ma anche attuato al fine di estorcere contratti fornendo ai consumatori informazioni ingannevoli ed errate.
Garante privacy, maxi multa al marketing ingannevole: focus sui dark pattern
Indice degli argomenti
Le operazioni accertate
Il provvedimento oggetto di esame trae origine da una segnalazione pervenuta al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di finanza da parte dalla Compagnia di Soave del medesimo Corpo, ed inoltrata poi all’Autorità. All’interno della segnalazione si rappresentava, in particolare, come – a seguito di accertamento ispettivi attuati nei confronti delle aziende veronesi Mas s.r.l. e Mas s.r.l.s. (operanti nell’ambito di una medesima iniziativa imprenditoriale) fossero state riscontrate delle situazioni anomale.
In particolare, la Guardia di Finanza aveva avviato attività di indagine a seguito della rilevazione, nella pendenza delle misure di contenimento del contagio, di procacciatori d’affari che operavano per conto delle suindicate società. Detti procacciatori d’affari contattavano “potenziali clienti anche per promuovere i servizi di Enel Energia e, nel corso degli incontri finalizzati al perfezionamento delle proposte di adesione, i procacciatori d’affari esibivano modulistica contrattuale di Enel Energia e tesserini di riconoscimento, apparentemente contraffatti, relativi alla medesima compagnia”. L’attività condotta, dunque, si attestava a prevalente scopo illecito.
Nel corso delle attività ispettive, come riportato nel provvedimento del 13 aprile 2023, emergeva un “quadro di sostanziale non conformità dei trattamenti di dati personali svolti dalle due società che effettuavano chiamate promozionali finalizzate alla vendita dei servizi delle aziende energetiche Enel Energia e Hera Comm. Le chiamate erano realizzate utilizzando elenchi di potenziali clienti che risultavano essere stati acquistati dal titolare di Mas s.r.l.s., in un caso attraverso un non meglio individuato venditore presente su Facebook, in altri casi da una impresa individuale italiana e dalla società spagnola Telecontact List s.l., azienda già oggetto di ulteriori segnalazioni”.
Non solo: le medesime liste di contatto venivano utilizzate dalle due società senza che le stesse avessero attuato alcun controllo in merito alla corretta acquisizione dei consensi per la comunicazione dei dati da un titolare all’altro e per l’effettuazione di trattamenti con finalità promozionali.
Dalle dichiarazioni rese dai procacciatori d’affari e dai dipendenti delle due società, inoltre, emergeva come le attività di acquisizione dei clienti prevedessero il contatto telefonico di circa cinquanta soggetti al giorno; da detti contatti dovevano “derivare otto appuntamenti per le giornate successive, appuntamenti finalizzati alla conclusione di contratti con Hera Comm. Solo nel caso in cui il potenziale cliente avesse in essere un contratto con Hera Comm, doveva essere al medesimo proposto un cambio di gestore verso Enel Energia. Successivamente, il cliente veniva ricontattato affinché cambiasse nuovamente gestore (da Hera Comm a Enel Energia e viceversa)”. Questo al fine di accrescere le provvigioni spettanti.
I contratti realizzati per Enel Energia venivano poi inviati alle altre due società, Sesta Impresa S.r.l. e Arnia società cooperativa. Sesta Impresa aveva il compito, secondo quanto accertato dal Nucleo della Guardia Finanza di “stipulare contratti di sub-agenzia con partner della rete di vendita ufficiale delle compagnie energetiche e, dall’altro, di “arruolare” procacciatori d’affari (persone fisiche e piccole aziende – nel complesso circa 16-17 persone) che poi si distribuivano nel territorio, sulla base dei contatti telefonici precedentemente realizzati dalla società cooperativa Arnia, per far firmare ai potenziali clienti le proposte contrattuali con le compagnie energetiche medesime”.
Del tutto assenti erano le nomine dei procacciatori d’affari quali responsabili, sub-responsabili o autorizzati al trattamento dei dati personali per le compagnie energetiche, per le agenzie e per Sesta Impresa.
Arnia, invece, si occupava di fornire i servizi di call center per l’effettuazione di chiamate telefoniche promozionali e data entry dei contratti relativi a forniture di luce e gas.
Le operazioni condotte potevano quindi riassumersi in tre fasi:
- Operazioni preliminari: inserimento nel sistema di dispacciamento delle telefonate e restituzione da parte del sistema dei potenziali clienti da contattare.
- Contatto: svolgimento delle chiamate, con promozione dei servizi delle compagnie energetiche, sulla base dei database di cui Arnia dichiarava di essere titolare o di database “formato da nominativi di soggetti contattati telefonicamente da Arnia per la fissazione di un appuntamento, ai quali, nel corso del medesimo appuntamento, viene fatto sottoscrivere un modulo direttamente riferibile alle attività promozionali della medesima Arnia”.
- Promozione: illustrazione al cliente del contratto promozionale, con affermazione di aver conosciuto i dati poiché “il soggetto contattato è cliente del mercato libero energetico”, e caricamento dell’appuntamento e delle informazioni dei contratti sottoscritti nei database.
- Suddivisione del lavoro: divisione dei permessi di accesso ai portali delle compagnie energetiche.
- Accesso alle reti informatiche delle compagnie energetiche. Il collegamento ai portali delle compagnie energetiche avviene con l’inserimento delle credenziali di autenticazione che le compagnie hanno fornito alle società mandatarie. La credenziale per accedere a ciascun portale è unica per ogni compagnia e consente l’accesso simultaneo di più postazioni, anche al di fuori della rete aziendale.
- Caricamento delle informazioni contrattuali: inserimento nei portali delle informazioni necessarie all’attivazione del servizio. “Qualora, nel corso dell’inserimento emergano delle anomalie, l’operatore può contattare un numero verde dedicato che ogni compagnia mette a disposizione per l’assistenza tecnica. Nel caso di contatti con il numero verde, l’operatore si qualifica come collaboratore di Arnia per conto di una delle 4 società partner”.
- Le attività sin qui delineate costituiscono, come affermato dal Garante, “una delle varie forme del c.d. “sottobosco”, più volte indicato dal Garante quale causa dell’odierna espansione del telemarketing illegale: un fenomeno che si alimenta con affidamenti ed attività al di fuori delle norme, ma anche per un insufficiente controllo da parte delle grandi aziende committenti”.
Telemarketing, basta un “no” per fermarlo: il Garante privacy guida gli operatori a evitare errori
Le criticità riscontrate
All’esito dell’istruttoria, sulla scorta delle evidenze sin qui espresse, si individuavano sostanzialmente le seguenti violazioni in capo alle diverse società coinvolte:
- Utilizzo di liste di anagrafiche acquisite in assenza di specifico consenso e in assenza del rilascio di preventiva informativa, acquisite peraltro da aziende straniere e senza alcuna indicazione in ordine alle modalità di raccolta dei dati e di acquisizione del consenso per finalità commerciali e promozionali.
- Sottoscrizione delle proposte di contratto senza aver ricevuto mandato dalle agenzie, o essere stati designati quali responsabile o sub-responsabile del trattamento, e per aver illecitamente trasmesso i dati delle proposte di contratto senza che Sesta Impresa S.r.l. fosse stata designata dalle compagnie energetiche responsabile del trattamento.
- Violazione degli obblighi di cui all’art. 28 inerenti alla nomina dei responsabili del trattamento ed alla comunicazione dei sub-responsabili al titolare del trattamento.
- Mancata predisposizione e messa a disposizione del Registro dei trattamenti da tenersi ai sensi dell’art. 30 GDPR.
- Svolgimento di trattamenti per conto di Enel Energia e Heracomm in assenza di una designazione a responsabile o sub-responsabile del trattamento.
- Acquisizione dalle società mandatarie credenziali di autenticazione individuali per l’accesso alle piattaforme informatiche delle compagnie energetiche, credenziali non attribuite univocamente a Sesta Impresa e successivamente messe a disposizione di Arnia società cooperativa, realizzando così accessi non consentiti ai sistemi informatici delle compagnie energetiche.
- Svolgimento di trattamenti finalizzati alla promozione di prodotti e servizi di compagnie energetiche senza aver ricevuto dalle medesime idonea designazione quale responsabile o sub-responsabile del trattamento realizzando quindi comunicazioni di dati dei clienti, da Arnia a Sesta Impresa, da Sesta Impresa ad Arnia e da Arnia alle compagnie energetiche, per l’assenza della base giuridica che giustifichi il trattamento.
- Inserimento di contratti e di informazioni in assenza di idonea designazione quale responsabile o responsabile del trattamento, svolgendo quindi trattamenti di dati dei clienti finalizzati alla promozione dei servizi delle compagnie energetiche, in assenza di idonea base giuridica che giustifichi il trattamento.
- Ricezione di dati provenienti da altre società e raccolti su moduli di Enel Energia e svolgimento di trattamenti su tali dati e la comunicazione degli stessi ad altro soggetto, gestore del cd. “Portale EVA” in assenza di idonea base giuridica.
- Assenza di riscontro alle richieste di informazioni ed esibizione di documenti formulata dall’Autorità per il tramite della Guardia di finanza, dimostrando così, peraltro, un insufficiente grado di cooperazione con l’Autorità di controllo.
Venivano inoltre riscontrate gravissime carenze nell’adozione di efficaci misure di sicurezza per la protezione dei propri sistemi.
Le decisioni dell’Autorità
Nel proprio provvedimento, il Garante evidenzia anche come nel corso del procedimento sia stato manifestato dalle società coinvolte un disinteresse, attestato “dalla scelta di non presentare memorie difensive né di richiedere audizione davanti al Garante, conferma di per sé che le tre società attribuiscono al rispetto della normativa in materia di protezione dei dati personali un valore insignificante nell’ambito delle proprie strategie imprenditoriali”.
Esse, afferma il Garante, “sembrerebbero finalizzate, attesa la scarsa attenzione e l’incoerente adozione delle disposizioni del Regolamento e del Codice, esclusivamente a massimizzare i profitti attraverso illeciti trattamenti di dati personali, da cui può derivare, peraltro, una non conforme declinazione delle principali regole per una concorrenza leale con i competitor nel mercato dei servizi energetici e una sostanziale elusione, con pratiche non consentite, delle norme poste a protezione dei diritti delle persone fisiche. Tale prassi è indicativa di un atteggiamento e di un modus operandi che favoriscono il dilagare del fenomeno del telemarketing selvaggio che quotidianamente coinvolge una vasta parte della popolazione italiana”.
Anche la società cooperativa Arnia ha articolato la propria difesa senza rendere alcuna spiegazione in merito alle violazioni contestate, evidenziando anche in questo caso un plateale atteggiamento di incuranza nei confronti della tematica della protezione dei dati personali.
L’atteggiamento dimostrato, pertanto, e l’estrema gravità delle condotte poste in essere dai soggetti coinvolti nel procedimento ha portato il Garante ad evidenziare un giudizio prognostico di rilevante pericolosità in relazione ai futuri trattamenti di dati personali.
Da detto giudizio prognostico deriva la necessità di adottare non soltanto sanzioni di natura pecuniaria di rilevante entità, ma anche di emettere provvedimenti “inibitori in grado di impedire in radice la riproposizione di condotte della medesima specie”.
In virtù di tutte queste considerazioni, il Garante:
- Imponeva il divieto di porre in essere ogni ulteriore trattamento che preveda l’utilizzo delle liste anagrafiche delle società e dei rispettivi database, oltre ad ogni ulteriore trattamento finalizzato allo svolgimento di attività di data-entry di contratti per l’attivazione di servizi energetici;
- Ingiungeva il pagamento di rilevanti sanzioni pecuniarie (rispettivamente per euro 200.000, 300.000, 500.000 e 800.000).
- Disponeva l’applicazione della sanzione accessoria, ai sensi del combinato disposto di cui agli artt. 58, par. 6, del Regolamento, 166, comma 7, del Codice e 20, comma 3, della l. n. 689/1981, della confisca dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite da Mas s.r.l.s. tramite Facebook, da una impresa individuale italiana e da una società spagnola, nonché delle liste di anagrafiche e dei moduli cartacei che compongono i database nella disponibilità della società cooperativa Arnia.
- Disponeva l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del provvedimento e dell’annotazione del medesimo nel registro interno dell’Autorità.
Vendita di dati personali a terzi: è sanzionabile chi non li controlla o rivela agli interessati
Conclusioni
Il provvedimento in esame rappresenta senza dubbio alcuno un tassello importantissimo nell’attività di contrasto alle attività di telemarketing selvaggio, e nella tutela dei consumatori.
È importante rilevare come il provvedimento tragga origine da una definitiva presa di coscienza della necessità di misure interdittive importanti: lo stesso Garante afferma che “non sempre le misure, a maggior ragione se solo di matrice contrattuale e civilistica, poste a controllo della sola rete di vendita ufficiale dalle grandi compagnie possano essere sufficienti o in grado di intercettare un fenomeno variegato e sfuggente quale quello che l’attività della Guardia di finanza e quella del Garante hanno cercato di ricostruire” e come, pertanto, si renda necessario un mutamento di approccio, qui confermato.
L’indotto di illiceità, infatti, che il telemarketing abusivo è in grado di generale, rende sostanzialmente inefficaci le misure di regolamentazione del settore che si limitano ad imporre obblighi di natura formale e vincoli contrattuali, e necessario il ricorso a misure maggiormente impattanti, quali, come nel caso di specie, la confisca delle banche dati illecitamente costituire e utilizzate.
Riceviamo e pubblichiamo, in merito alle informazioni riportate nell’articolo, la smentita della società Telecontact List SL Spagna.
In qualità di legale rappresentante della società Telecontact List SL Spagna sono a precisarVi quanto segue in merito al Vostro articolo che definisce la società da me rappresentata “unico fornitore di Mas srl.
Vero è che vi sia stata una fornitura di dati tra le due compagini come da fattura regolarmente emessa a novembre del 2018 ma contesto che ciò sia avvenuto con le modalità di erogazione dichiarate dal responsabile della Mas srl.
Detto che la società Telecontact List S.L. Spagna non è responsabile del trattamento dei dati, nel novembre 2018 sono stato contattato dal responsabile della società Mas srl che mi ha richiesto di rintracciare, tramite il numero di telefono cellulare da loro forniti, utenze energia.
Ho ricevuto un file con solo i numeri di cellulare, ne ho chiesto la provenienza e mi è stato risposto che le utenze mobili erano state acquisite da Mas srl con il consenso al trattamento dei dati tramite il servizio lamentele utenti energia.
Confermo che eventuali numeri di telefono chiamati da Mas srl o da altre società presenti nella lista non sono stati venduti da Telecontact List S.L. Spagna e il solo servizio di arricchimento dati fornito dalla società rappresentata non prevede il consenso al trattamento dei dati in quanto non ritenuti sensibili.
È altresì meglio precisare che la legge a tutela del trattamento dati sulla privacy, nel 2018 riteneva unico responsabile l’utilizzatore finale e cioè Mas srl o altri.
Va infine sottolineato che il file inviato da Telecontact List S.L. Spagna a Mas srl non poteva essere confiscato o sequestrato avendo il Garante per la privacy solo poteri amministrativi.
Paolo Menichini