Le telefonate indesiderate e senza consenso e l’attivazione di contratti non richiesti configurano un trattamento illecito di dati personali e possono costare caro ai gestori di energia che non rispettano le regole imposte dalla normativa sulla protezione dei dati personali.

Lo ha ribadito il Garante privacy che, a seguito di 2 reclami e 56 segnalazioni da parte di utenti, è tornato a occuparsi di telemarketing selvaggio irrogando una sanzione da 100mila euro a un gestore che opera nel settore dei contratti di fornitura di luce e gas e un’altra, di pari importo, a un altro gestore energetico.

Telemarketing selvaggio: l’istruttoria del Garante privacy

In particolare, dai controlli effettuati dal Garante privacy durante l’istruttoria nei confronti del gestore che opera nel settore dei contratti di fornitura di luce e gas, è emerso che le telefonate venivano effettuate senza il consenso degli interessati ed erano rivolte per lo più ad utenti iscritti nel Registro pubblico delle opposizioni (Rpo).

L’Autorità per la protezione dei dati personali ha quindi verificato che le liste dei contatti venivano acquisite dal call center attraverso società terze e la propria rete di agenti o procacciatori. Lo stesso call center è quindi riuscito a contattare illecitamente e nell’arco di una sola settimana ben 106 utenti che hanno poi concluso un contratto di fornitura di energia.

Oltre alla multa di 100mila euro, il Garante privacy ha quindi ingiunto al call center di attivare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli utenti avvenga nel rispetto della normativa privacy lungo tutta la filiera.

Lo stesso trattamento illecito di dati per finalità di telemarketing è stato contestato dal Garante anche al secondo gestore energetico. E anche in questo caso, l’istruttoria avviata dall’Autorità ha rilevato che le telefonate venivano effettuate senza il consenso degli interessati e utilizzando numerazioni di utenti iscritti nel Registro pubblico delle opposizioni.

L’importanza del codice di condotta per il telemarketing

I provvedimenti sanzionatori del Garante evidenziano in modo inequivocabile come entrambe le società abbiano violato le norme vigenti in materia di protezione dei dati personali, in particolare non rispettando le regole del Registro Pubblico delle Opposizioni (RPO).

È particolarmente grave che ciò sia avvenuto nonostante l’entrata in vigore, solo di recente, del nuovo Codice di Condotta per il telemarketing, che fornisce linee guida e prescrizioni chiare per garantire il pieno rispetto della normativa privacy in questo ambito.

Leggendo attentamente i provvedimenti del Garante, emerge tutta una serie di violazioni che il Codice di Condotta mira proprio ad arginare con prescrizioni più stringenti rispetto alla normativa generale. Ad esempio, per quanto riguarda le misure di sicurezza, il Codice richiede che le società adottino misure tecniche e organizzative adeguate a proteggere i dati personali dei clienti e prospect.

Tuttavia, secondo quanto accertato dal Garante, le due società sanzionate hanno mostrato gravi carenze in questo ambito, non implementando controlli efficaci lungo tutta la filiera commerciale (sub-fornitori) ed esponendo così i dati a rischi concreti di violazione, cercando di fatto di “scaricare” responsabilità verso terzi – quando il GDPR è chiaro nell’imputare al titolare del trattamento, in primis, responsabilità di questo tipo, anche solidalmente se del caso.

Serve sempre il consenso degli interessati

Un altro punto cruciale riguarda il consenso e la base giuridica per i contatti promozionali. Come è noto, la normativa impone di assicurarsi di ottenere un consenso specifico, informato e liberamente prestato dagli interessati prima di effettuare chiamate promozionali, oppure di filtrare correttamente i contatti tramite il Registro delle Opposizioni, basandosi così sul legittimo interesse.

Nei casi sanzionati, invece, ci sono stati contatti verso numerazioni senza il consenso degli interessati e senza aver verificato la loro iscrizione al RPO.

Addirittura, ad alcuni utenti erano stati attivati contratti a propria insaputa, confondendo l’accettazione contrattuale con il consenso per ricevere comunicazioni commerciali, due aspetti ben distinti.

La battaglia del Garante sul rispetto della normativa RPO

Il Garante sta portando avanti una battaglia specifica sul rispetto della normativa RPO da molto tempo, tant’è che è stato persino istituito un canale online di contatto, dedicato alle segnalazioni di violazioni in questo ambito.

Il Codice di Condotta ribadisce l’obbligo per le società di telemarketing di escludere dalle loro liste di contatto tutte le numerazioni iscritte al RPO, verificando periodicamente l’allineamento delle liste rispetto al Registro.

Nei casi sanzionati, invece, è stata dimostrata una gestione del tutto inadeguata delle liste di contatto e delle relative basi giuridiche, con contatti effettuati verso soggetti che avevano già manifestato la volontà di non ricevere chiamate commerciali.

Di fatto, senza alcun rispetto della disciplina del RPO.

Quanto alle sanzioni, nel caso specifico, il Garante ha irrogato sanzioni pecuniarie di 100.000 euro a ciascuna società, abbinate all’ordine di pubblicazione dei provvedimenti sanzionatori. Leggendo attentamente, si evince che l’ammontare delle sanzioni corrisponde allo 0,5% del fatturato societario. Non essendo sanzioni elevate, si può dubitare della loro forza dissuasiva.

Però va considerato che il numero di interessati accertati dal Garante in sede di accertamento è comunque limitato, circa 300 utenze in un caso e circa 100 nell’altro. Il Garante stesso ipotizza che, presumibilmente, i contratti stipulati illecitamente siano in realtà molti di più, verosimilmente a causa dei limiti di risorse e tempistiche per approfondire accertamenti su banche dati molto estese.

Un limite forse insuperabile per le attività ispettive, su cui riflettere.

Va altresì segnalato che le società si sono prodigate, in corso d’istruttoria, per redimersi, aspetto ponderato dall’autorità sebbene non possa arrivare a sanare gli errori accertati.

È comunque lecito attendersi che in casi ancora più gravi, che coinvolgano numeri molto elevati di contatti illegittimi, il Garante possa essere ben più severo, arrivando a percentuali del fatturato societario decisamente più pesanti. Ricordiamo che i massimali sanzionatori previsti dal GDPR arrivano addirittura al 2% o al 4% del fatturato globale.

Conclusioni

Se le imprese in questione fossero già finite nel campo di applicazione del Codice di Condotta, verosimilmente sarebbero state penalizzate in misura ancora maggiore.

Il Codice, infatti, rappresenta un benchmark di assoluta importanza per dimostrare la responsabilità e garantire la compliance delle aziende di telemarketing, fornendo prescrizioni chiare e stringenti su tutti gli aspetti critici legati alla gestione dei dati personali in questo settore.

Per cercare di garantire maggiore fiducia nel settore.

Il consiglio è di impiegare aziende che abbiano aderito o che comunque si impegnino al rispetto di quanto prescritto dal Codice di Condotta, per attuarne scrupolosamente tutte le indicazioni – non solo per evitare pesanti sanzioni da parte del Garante (anche “reputazionali”), ma soprattutto per tutelare al meglio i diritti e le libertà fondamentali dei cittadini e delle imprese, ormai esasperati dal fenomeno delle chiamate “selvagge”.