2 milioni di euro, questa la sanzione comminata dal Garante Privacy ad una società che aveva svolto, tramite un call center albanese, attività di telemarketing e teleselling per conto di una azienda del settore energetico, in violazione della normativa sulla protezione dei dati personali in vigore prima del Regolamento europeo.
La Guardia di finanza, Nucleo speciale privacy, a seguito di un’ispezione, aveva accertato che la società, oltre a non aver reso alcuna informativa alle persone contattate, non aveva richiesto come previsto il consenso al trattamento dei dati personali per finalità di marketing. Consenso che la società, peraltro, avrebbe dovuto annotare per iscritto. Tali adempimenti spettavano infatti alla società che operava in qualità di autonomo titolare del trattamento, non essendo mai stata designata responsabile.
La società, sulla base di presunti accordi con l’agente di vendita del gestore di energia, aveva incaricato il call center albanese di contattare telefonicamente potenziali clienti utilizzando numerazioni telefoniche raccolte dal call center stesso, senza che la lista dei contatti fosse stata fornita o validata dalle tre aziende coinvolte nella campagna promozionale (la società multata, l’agente di vendita del gestore e il gestore stesso). Dopo il primo contatto da parte del call center, le persone che avevano manifestato la volontà di sottoscrivere un contratto venivano richiamate dalla società.
la trasmissione dei dati dei potenziali clienti in formato elettronico da parte della società albanese all’agente di vendita, ovvero la trasmissione dei modelli cartacei di proposta di adesione privi della sottoscrizione del cliente, costituisce prova evidente che i potenziali clienti non hanno avuto modo di prendere visione di alcun modello di informativa ai sensi dell’art. 13 del Codice. L’assenza di uno script contente la predetta informativa, da leggere agli interessati nel corso dei contatti telefonici, conferma che l’informativa non è stata resa neanche mediante tale strumento. Inoltre, non avendo i potenziali clienti sottoscritto alcuna proposta di adesione e non risultando in atti l’esistenza di registrazioni dei contatti telefonici operati da xxx, i trattamenti di dati personali svolti da xxx non possono essere ricompresi fra quelli per i quali non è necessario acquisire il consenso in base all’art. 24, comma 1, lett. b), del Codice (esecuzione di obblighi contrattuali o adempimento a specifiche richieste precontrattuali);
La sanzione, definita cumulando ogni violazione contestata per singolo interessato, tiene conto anche della gravità della condotta della società che ha evidenziato un marcato disinteresse per la normativa in materia di protezione dei dati e una netta sottovalutazione delle gravi implicazioni che possono derivare dall’utilizzo di forme di acquisizione della clientela improntate all’informalità e alla unilaterale semplificazione degli adempimenti prescritti.
La sanzione è stata così definita:
– euro 6.000 (seimila) per ciascuna delle 78 violazioni di cui agli artt. 13 e 161 del Codice, per un totale di euro 468.000 (quattrocentosessantottomila);
– euro 10.000 (diecimila) per ciascuna delle 155 violazioni di cui agli artt. 23 e 162, comma 2-bis, del Codice, per un totale di euro 1.550.000 (un milione cinquecentocinquantamila)
(Fonte Garante Privacy)
Potrebbero interessarti: