27 Giu Attività di marketing in violazione della normativa a tutela dei dati personali: un’arbitraria semplificazione che può costare molto cara. La sanzione è quasi “esemplare”
Informazioni di background
È il 15 maggio 2018 quando la Guardia di Finanza, Nucleo speciale privacy, contesta, su segnalazione di due interessati, alla società Vincall S.r.l.s. le violazioni previste dagli artt. 13, 23, 161, 162, comma 2-bis, e 167 del Codice in materia di protezione dei dati personali (d. lgs. 30 giugno 2003, n. 196, di seguito “Codice”) nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018.
Andando con ordine e ricostruendo la vicenda, Vincall è una società che svolge attività di telemarketing e teleselling tramite “call center”. Incaricata di svolgere la predetta attività dalla società Green Power S.r.l. (agente di vendita di Edison Energia S.p.A) incaricava a sua volta Tele It di contattare telefonicamente potenziali clienti per far loro sottoscrivere un contratto di energia elettrica con Edison.
Nello svolgere tale attività, Tele It attingeva dalle proprie liste marketing i potenziali clienti, senza che le tre società coinvolte nell’attività (Edison, Green Power e Vincall stessa) avessero previamente verificato e validato la lista dei soggetti contattati (ossia avessero verificato, a campione, che tali soggetti avessero previamente ricevuto l’informativa privacy ed avessero previamente espresso il consenso alla ricezione di comunicazioni marketing), secondo quanto previsto dalla prassi del Garante. Ma ciò che rileva per le sorti di Vincall è la circostanza che la stessa, non avendo ricevuto alcuna nomina a responsabile del trattamento ex art. 28 Reg. UE 2016/679 avrebbe operato, di fatto, quale autonomo titolare del trattamento.
Questioni principali
Così delineandosi il ruolo privacy assunto, per l’omissione della nomina ex art. 28, la stessa avrebbe quindi dovuto rendere, prima di porre in essere il trattamento, a tutti i soggetti interessati l’informativa, nonché acquisire dagli interessati i consensi al marketing documentabili, (adempimenti che ricadono entrambi sul titolare), in modo tale da porre in essere l’attività per la quale era stata incaricata, ossia di svolgere la campagna marketing verso i potenziali nuovi clienti (c.d. “prospect”). Nessuno dei predetti adempimenti veniva posto in essere da Vincall. Ed anzi emergeva che Tele It, dopo avere contattato telefonicamente i “prospect” per sondare la loro volontà a sottoscrivere il contratto con Edison, compilava direttamente i moduli contrattuali apponendo (al posto del cliente interessato) una sorta di sottoscrizione e trasmetteva così il modulo precompilato a Vincall che ri-verificava la sussistenza e l’attualità della volontà del cliente prima di trasmetterla ad Edison.
L’attività intrapresa descritta ha quindi portato la Guardia di Finanza, attraverso il Nucleo speciale privacy, a contestare alla società l’illegittima raccolta dei dati a fini di marketing nonché l’omessa acquisizione del consenso degli interessati per il trattamento dei propri dati a fini di marketing, essendo la proposizione di servizi e prodotti, in qualunque forma essa si svolga, un trattamento di dati personali per finalità di marketing ai sensi della normativa vigente. Invero, la contestazione relativa al trattamento avrebbe assorbito la contestazione relativa alla raccolta, poiché “il complessivo trattamento comprenderebbe anche la raccolta”. Per utilizzare una terminologia tipica dei penalisti, la raccolta è stata qualificata quale antefatto non punibile, poiché la sanzione prevista per il trattamento di quei dati è idonea a punirne anche il suo antefatto: ossia la raccolta.
Implicazioni pratiche
Tenuto conto della gravità della violazione, del carattere doloso o colposo della stessa, delle misure eventualmente adottate per attenuare il danno subito dagli interessati, nonché di eventuali precedenti violazioni la sanzione irrogata ed ingiunta risulta quasi esemplare, seppure “mitigata” dalla positiva constatazione che Vincall non aveva mai ricevuto precedenti procedimenti sanzionatori ed aveva annullato, d’accordo con Green Power, l’invio alla stessa dei moduli di proposta di adesione, circoscrivendo gli effetti della condotta illecita. Ne deriva che, tenuto conto “della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le condotte risultano essere state poste in essere in un quadro di marcato disinteresse della complessiva normativa in materia di protezione dei dati personali e di superficiale sottovalutazione delle gravi implicazioni derivanti dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione del quadro degli adempimenti formali prescritti dalla normativa”. Tenuto altresì conto del precedente bilancio di esercizio, la sanzione irrogata è pari ad € 6.000 per ogni violazione (si legga: per ogni soggetto interessato nei cui confronti è avvenuta la violazione) degli artt. 13 e 161 del Codice Privacy ante novella (omessa o inidonea informativa), per un totale di € 468.000, e € 10.000 per ogni violazione degli artt. 23 e 162, comma 2-bis del Codice Privacy ante novella (violazione delle norme relative al consenso), per un totale di € 1.550.000. L’ammontare complessivo delle sanzioni irrogate è risultato pari ad € 2.018.000.
La raccomandazione pertanto è di improntare i trattamenti per finalità di marketing alla massima prudenza, e alla massima diligenza nell’applicazione della normativa, pena rischi sanzionatori davvero elevatissimi.