Il fornitore non è sempre responsabile del trattamento

Privacy e telemarketing. Ora si fa sul serio

Fastweb sanzionata per oltre 4.5 milioni di euro.

È assai utile analizzare il lungo e articolato provvedimento sanzionatorio che ha adottato il Garante Privacy nei confronti di Fastweb per ricavare elementi di indirizzo e buona prassi di trattamento dati personali nelle attività di telemarketing.

Il fatto

Fastweb nel corso degli ultimi dieci anni è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve[1].

Nonostante l’ampia attività provvedimentale, a partire dall’entrata in vigore del Regolamento il Garante ha aperto nei confronti di Fastweb, complessivamente, 283 fascicoli, in massima parte riguardanti segnalazioni e reclami in tema di telemarketing e di invio di messaggi promozionali[2].

Si tratta di contestazioni per lo più riguardanti:

  • il difetto di implementazione di sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente (violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1 del GDPR);
  • l’acquisto di liste anagrafiche da parte di soggetti terzi in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento (violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del GDPR)[3];
  • l’omessa notificazione al Garante e agli interessati di casi di violazione di dati personali nelle ipotesi che precedono (violazione dell’art. 33, par. 1, e 34 del GDPR);
  • gli errori di sistema e ritardi in relazione alle istanze di esercizio dei diritti proposte dagli interessati (violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del GDPR);
  • i trattamenti per finalità promozionali realizzati in assenza del prescritto consenso o idoneo legittimo interesse (violazione degli artt. 5, parr. 1 e 2, 6 e 7 del GDPR);

La difesa di Fastweb e le repliche del Garante

Fastweb si è difesa dalle prospettate violazioni con argomenti che non hanno convinto il Garante.

Eccone alcuni:

  • Le agenzie di promozione di cui Fastweb si è avvalsa avrebbero assunto “comportamenti autonomi” rispetto alle istruzioni impartite dal titolare, e da ciò deriverebbero contatti promozionali verso interessati che non hanno espresso il consenso al trattamento dei propri dati per finalità di marketing[4];
  • tali agenzie sarebbero per lo più titolari autonomi che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime;
  • in molti casi, Fastweb ha applicato penali e ha risolto i contratti con le agenzie non rispettose delle prescrizioni del GDPR;
  • molte chiamate promozionali (166 a fronte di 236 segnalazioni, pari a oltre il 70% delle chiamate) non sono state effettuate da numerazioni della propria rete di vendita[5];

Come accennato, il Garante non ha ritenuto la difesa di Fastweb sufficiente per legittimare la sua condotta. E in particolare:

  • l’intero impianto del Regolamento si sostiene sulla accountabilitydel titolare del trattamento. Pertanto, la circostanza che le agenzie si siano comportate in modo non conforme a contratto, o comunque abbiano agito come titolari autonomi (alcune di esse, peraltro, non censite al ROC), non esclude il fatto che Fastweb abbia una culpa in vigilando et in eligendo e, soprattutto, che abbia tratto un profitto dai trattamenti illeciti da esse compiuti per suo conto;
  • le penali applicate e le risoluzioni contrattuali operate da Fastweb non sono state misure sistematiche (non tutte le agenzie sono state trattate allo stesso modo) né particolarmente efficaci giacché gli importi di penali appaiono modesti rispetto al volume delle violazioni;
  • le agenzie hanno ceduto le liste dei leada Fastweb senza specifico consenso al trasferimento dei dati a terzi[6];
  • La carenza di un sistema che consenta agevolmente all’utente di disattivare i servizi con la medesima semplicità con cui è possibile attivarli.

Considerazioni sulla sanzione comminata

Il Garante ha ritenuto di applicare una sanzione pari al 5% calcolato sul massimo edittale previsto per legge (art. 83.5 GDPR), ovvero calcolato sul 4% del fatturato mondiale annuo di Fastweb nell’ultimo esercizio (poco più di 90 Milioni).

Interessante è leggere i motivi che hanno indotto il Garante a determinare la misura percentuale del 5% per il calcolo della sanzione. Si tratta di una valutazione compiuta tenendo in considerazione gli elementi aggravanti e attenuanti indicati all’art. 85.2 GDPR. E in particolare:

  • la gravità delle violazioni in ragione della pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza);
  • la molteplicità delle condotte poste in essere da Fastweb in violazione di più disposizioni del GDPR;
  • l’elevatissimo numero dei soggetti coinvolti (oltre 7 milioni di interessati);
  • il grave ritardo nella notificazione di un importante “data breach”;
  • la reiterazione delle condotte di illecito trattamento.

Nelle considerazioni di Garante ha anche pesato il fatto che il GDPR è in vigore già dal 25 maggio 2016 e pienamente operativo dal 25 maggio 2018. Come dire: abbiamo dato tempo a tutti di adeguarsi ed ora si fa sul serio.

Francesco Rampone – f.rampone@lascalaw.com

© RIPRODUZIONE RISERVATA

Garante per la Protezione dei Dati Personali, Ordinanza ingiunzione nei confronti di Fastweb S.p.A. – 25 marzo 2021

[1] Si vedano i provvedimenti n. 300 del 18 ottobre 2012 (doc. web n. 2368171), n. 235 dell’18 aprile 2018 (doc. web n. 9358243) e n. 441 del 26 luglio 2018 (doc. web n. 9040267), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms, che Fastweb e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.

[2] L’enorme carico di lavoro generato da tali fascicoli testimonia e conferma il giudizio dell’Autorità rispetto alle modalità di svolgimento di tali pratiche commerciali condotte dalla generalità delle compagnie telefoniche ed espresso più volte anche in recenti provvedimenti (Cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019 (doc. web n. 9244365); n. 7 del 15 gennaio 2020 (doc. web n. 9256486); n. 143 del 9 luglio 2020 (doc. web n. 9435753); e n. 224 del 12 novembre 2020 (doc. web n. 9485681)).

[3] Nel solo 2019, La violazione ha coinvolto almeno 7.542.000 interessati.

[4] A tale riguardo il Garante ha chiesto a Fastweb di fornire indicazioni sulle eventuali penali applicate alle agenzie di promozione e di descrivere, più in generale, il sistema di retribuzione adottato.

[5] A tale riguardo il Garante ha chiesto a Fastweb di specificare, per ciascuna società dalle quali acquisisce liste di anagrafiche destinate ai contatti promozionali, (i) se agiscano in qualità di responsabili o autonomi titolari del trattamento; (ii) se si fosse verificata la corretta acquisizione del consenso degli interessati per finalità commerciali e per la comunicazione a terzi.

[6] Come osservato in diversi recenti provvedimenti dell’Autorità (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, doc. web n. 9244365 e n. 224 del 12 novembre 2020, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi.

Print Friendly

Condividi su

Potrebbe interessarti anche
Il fornitore non è sempre responsabile del trattamento

Anche questa volta si tratta di Facebook, azienda non nota per il rispetto della privacy dei suoi ut...

Privacy

Il fornitore non è sempre responsabile del trattamento

COVID e iniziative del Garante È recentemente circolata la notizia di tre sanzioni pecuniarie da...

Coronavirus

Mario Valentino vs. Valentino

È in corso un cambiamento culturale. Prende sempre più piede l’idea che la privacy, da inutil...

Privacy

X