A seguito di diversi reclami e segnalazioni, il Garante ha emesso un provvedimento nei confronti di una società fornitrice di energia (la “Società”) con riferimento ai trattamenti dei dati personali posti in essere per finalità di marketing e profilazione. Di rilievo sono le contestazioni relative ai ruoli privacy e ai rapporti con i call center e i vari fornitori di liste (o List Provider). Gli interessati avevano in particolare lamentato il ricevimento di chiamate promozionali indesiderate dando così impulso all’attività istruttoria dell’Autorità, condotta tramite esame documentale e accesso ai sistemi informatici della Società. Nel corso del procedimento e sulla base delle memorie difensive presentate, alcune contestazioni inizialmente avanzate, sono state poi archiviate.

Definizione dei ruoli privacy

L’Autorità contestava, tra le altre, la violazione degli artt. 5, par. 2, 24, par. 1, 14 e 28 del Regolamento (UE) 2016/679 (GDPR o “Regolamento”), per non essere risultato definito il ruolo privacy di un soggetto (titolare autonomo o responsabile del trattamento) nell’ambito del rapporto con la Società. Tale circostanza rischiava di rendere illecito il trasferimento di liste di dati da un titolare (gestore sito web) ad altri titolari (Società e soggetto intermediario) trattandosi di un “doppio passaggio” in presenza di un unico consenso. Circostanza più volte sanzionata dal Garante.

Sul punto la Società ha chiarito nelle proprie difese che il soggetto in questione era incaricato su suo mandato dell’attività di “aggregazione di liste, provenienti da differenti fornitori” in qualità di responsabile del trattamento dei dati personali ai sensi dell’art. 28 GDPR. La Società, a seguito di questa attività di aggregazione curata dal responsabile, riceveva dallo stesso una lista comprensiva e ripulita dalle duplicazioni per lo svolgimento delle attività di marketing. Questo ruolo di responsabile del trattamento avrebbe giustificato il passaggio suo tramite, quale mero intermediario, dei dati dal titolare del sito internet (List Provider) alla Società.

A sua volta, lo stesso soggetto, avrebbe stipulato regolari contratti con i List Provider, di cui tuttavia non è stata prodotta evidenza all’Autorità. Mancando questi contratti non è stato possibile per il Garante superare il dato formale e qualificare pienamente in concreto ruoli e responsabilità dei soggetti coinvolti. È stato tuttavia ritenuta sufficientemente chiarita la posizione assunta dalle parti nel trattamento in parola: la comunicazione dei dati alla Società, legittimata dalla base giuridica del consenso degli interessati rilasciato sul sito internet di raccolta, sarebbe stata effettuata da chi li ha raccolti (List Provider), in qualità di autonomo titolare, per il tramite di un’altra società (quale responsabile del trattamento) con un unico passaggio. In tal modo, il trasferimento delle liste dal titolare del sito web alla Società, attraverso la mediazione del responsabile del trattamento “aggregatore”, avrebbe evitato il c.d. “doppio passaggio” da un titolare all’altro. L’Autorità ha quindi accolto le argomentazioni della Società nell’esercizio del diritto di difesa ed ha archiviato per questo punto la contestazione.

La mancata verifica a campione sulle liste

L’Autorità contestava poi la violazione degli artt. 5, par. 2, 24, parr. 1 e 2 e 25, par. 1, del Regolamento per aver realizzato campagne promozionali nei confronti di utenti c.d. prospect senza effettuare verifiche a campione sulle numerazioni presenti nelle liste.

La Società, nell’esercizio del diritto di difesa, ha affermato di svolgere verifiche puntuali sui siti web di acquisizione dei dati personali, con particolare riferimento alle informazioni privacy rilasciate dal fornitore e alla correttezza dei consensi. Ha però confermato di non effettuare poi altri controlli a campione delle numerazioni presenti nelle liste fornite da propri partner.

Secondo il Garante, la mancanza di tale adempimento e dei correlati controlli sul consenso acquisito dal fornitore, risulta essere un’impostazione inidonea a garantire un livello adeguato di conformità alla normativa in materia, in particolare secondo i principi di privacy by design ed accountability.  È stata dunque confermata la responsabilità per tale violazione del GDPR.

La gestione inidonea delle istanze di opposizione

Veniva poi contestata la violazione dell’art. 12 parr. 2 e 3, 21, par. 2, del Regolamento per non aver previsto procedure dirette e semplificate per consentire all’interessato di esercitare con immediatezza il proprio diritto di opposizione al trattamento svolto per finalità promozionali. Dall’analisi della documentazione prodotta dalla Società, l’Autorità verificava che gli utenti contattati nel corso della campagna promozionale che esprimevano la volontà di non ricevere ulteriori chiamate pubblicitarie non erano più contattati esclusivamente in relazione alla campagna in corso di svolgimento senza che fosse inclusa la revoca del consenso privacy. Tale revoca doveva essere espressa dal cliente in forma scritta ai riferimenti indicati telefonicamente dall’operatore.

Il Garante, in tale procedura, ha rinvenuto un inutile doppio passaggio per vedere soddisfatta in via definitiva l’istanza dell’interessato con la conseguenza di rendere non agevole e rapido l’esercizio del diritto di opposizione, come prescritto dall’art. 21, par. 2, del Regolamento.

Altre contestazioni erano relative alla violazione degli artt. 12, par. 1, e 5, par. 1 lett. a) del Regolamento in quanto alcune delle attività di trattamento descritte nelle informative del sito internet e dell’App della Società (in particolare la comunicazione a terzi per finalità di marketing diretto e la profilazione), non erano risultate concretamente svolte. Inoltre, sempre rispetto al sito internet e all’App, veniva contestata la violazione degli artt. 6 e 7 del Regolamento e 130 del Codice in materia di protezione dei dati personali (“Codice”) in quanto l’iscrizione dell’utente al sito internet e all’App era subordinata al contestuale rilascio di un unico consenso per finalità di marketing e profilazione. Violazioni entrambe confermate. Quanto all’utilizzo di contatti “fuori lista” e all’utilizzo di numerazioni chiamanti non censite nel Registro degli Operatori di Comunicazione (c.d. ROC) e non riconducibili alla rete di vendita della Società, l’Autorità ha archiviato le contestazioni. Quanto sopra sulla base delle difese della Società relative all’indebito utilizzo del suo nome da parte d soggetti non meglio identificati, nell’ambito di pratiche commerciali scorrette per cui è stata coinvolta l’Autorità giudiziaria e alla condotta di un operatore telefonico impiegato presso un call-center.

La sanzione

Accertata l’illiceità delle sopra descritte condotte della Società, il Garante ha vietato ogni ulteriore trattamento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi senza un consenso libero, specifico ed informato ai sensi degli artt. 6 e 7 del Regolamento nonché 130 del Codice. Ha inoltre ingiunto alla Società di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni. È stato inoltre ingiunto di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione. Per quanto riguarda il sito web e l’App è stato vietato il trattamento dei dati personali raccolti senza che sia stato acquisito il necessario preventivo consenso informato, libero e specifico degli interessati in relazione all’attività di marketing e profilazione, ex artt. 6, 7 e 12 del Regolamento nonché 130 del Codice e ingiunto di fornire agli interessati un’idonea informativa nella quale siano indicati le operazioni di trattamento effettivamente svolte (artt. 12 e 13 del Regolamento). È stata infine applicato una sanzione amministrativa pecuniaria che, in base alle diverse circostanze aggravanti e attenuanti, è stata determinata in € 4.900.000,00 (quattro milioni novecento mila), pari allo 0,1% dell’ultimo fatturato disponibile.