Sanzioni Garante Privacy a tre call center, che c'è da imparare per evitarle - Agenda Digitale

l'analisi

Sanzioni Garante Privacy a tre call center, che c’è da imparare per evitarle

Tre provvedimenti distinti, nei confronti di altrettante società di call center operanti nel ramo del telemarketing. Ne derivano ottimi spunti riflessivi ed operativi per auto-valutare il proprio operato e per non farsi trovare impreparati alle prossime e future ispezioni

27 Apr 2021
Marco Cassaro

Senior Advisory Risk & Compliance presso BDO Italia S.p.A.

Stesse tematiche, “vecchi” problemi. Ancora una volta l‘Autorità Garante per la Protezione dei dati è intervenuta, questa volta con tre provvedimenti distinti, nei confronti di altrettante società di call center operanti nel ramo del telemarketing.

Tanti spunti di riflessione nelle ordinanze di ingiunzione emesse ma anche tante conferme.

Garante Privacy sui call center, motivi della violazione

Primo elemento di rilevanza riguarda sicuramente il ruolo tra la Società di Telecomunicazioni (cd. Committente/Titolare del trattamento) e i Call Center. Infatti, in tutte e tre le situazioni nonostante ciascuna Società avesse dichiarato di assumere specificatamente il mero ruolo di responsabile al trattamento dei dati ex art. 28 del GDPR, l’Autorità a seguito di un’articolata attività istruttoria, ha constatato che, contribuendo le Società di Call Center stessa a stabilire sia le finalità promozionali sia le modalità di contatto organizzando quest’ultime in assenza di istruzioni operative formalizzate dalla committente/titolare del trattamento (come, invece avrebbe dovuto fare il Titolare sulla scorta della definizione ex art. 4 (7) del GDPR e art. 28 già sopra citato), le stesse fossero da qualificare come Titolari del trattamento al pari del committente stesso; il quale fra le altre cose avrebbe di fatto accettato le modalità operative proposte e le avrebbe recepite all’interno dei contratti conclusi.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Registro pubblico delle opposizioni: cos’è, come funziona e come iscriversi – TUTORIAL

In ogni caso, continua l’Autorità, anche ove si fosse riconosciuto alle Società di Call Center il ruolo di responsabile (anziché titolare o contitolare) del trattamento, la valutazione delle loro condotta in termini di illiceità non sarebbe mutato.

Dunque, ancora una volta, non risulta così agevole valutare il rapporto tra le parti in gioco e anche se formalmente una determinata impostazione dal punto di vista dei ruoli privacy sembrerebbe scontata e ovvia alla stessa dovrebbe necessariamente seguire la sostanza. Sicuramente la citata contestazione rappresenta il tipico esempio in cui forma e sostanza non sempre coincidono.

Secondo elemento riguarda la corretta individuazione della base giuridica ex art. 6 del GDPR secondo la quale l’attività di marketing può essere svolta. A tal riguardo l’Autorità all’interno delle varie ordinanze di ingiunzione ha più volte ribadito, richiamando anche orientamenti precedenti, come:

  • non si possa invocare il legittimo interesse quale base giuridica nelle attività di marketing, se non a condizione che non prevalgano sugli interessi o sui diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali;
  • l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine (quello che oggi possiamo definire un vero e proprio Legitimate interest assessment);
  • l’applicazione della base giuridica del legittimo interesse presuppone la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l’attenta ponderazione dell’impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato);
  • il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso.

Corte di cassazione a favore del Garante

Pertanto, qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati. In tale ottica e ricordando alcuni aspetti fondamentali del consenso si ricorda che lo stesso non potrà essere mischiato, e confuso, con il consenso per ulteriori trattamenti, non sovrapponibili né assorbibili.

In materia si segnala, inoltre, la recente ordinanza della Corte di Cassazione depositata il 26 aprile 2021 che ha confermato il divieto dell’Autorità Garante per la protezione dei dati personali nei confronti di Telecom di portare avanti la campagna «recupero consenso» per acquisire il via libera all’utilizzo dei dati dei clienti che, in precedenza, avevano escluso di voler essere contattati telefonicamente “per finalità promozionali”.

La sanzione

Terzo elemento riguarda sicuramente la proporzionalità della sanzione che per le tre Società di telemarketing ha visto la concreta applicazione di quanto stabiliti dall’art. 83 del GDPR nonché le Linee guida riguardanti l´applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del regolamento (UE) n. 2016/679 – WP253. A tal proposito, infatti:

  • la limitata durata della violazione (art. 83, par. 2, lett. a), del Regolamento);
  • il numero limitato di interessati coinvolti;
  • il limitato numero di violazioni riscontrate
  • la dimensione soggettiva della condotta, che deve ritenersi più congruamente colposa anziché dolosa;
  • la tempestiva adozione di misure atte a mitigare o a eliminare le conseguenze della violazione nonché ad assicurare pro futuro il corretto trattamento per fini promozionali;
  • l’assenza di precedenti violazioni e provvedimenti dell’Autorità a carico della Società;
  • la pronta cooperazione con l’Autorità
  • le categorie di dati personali interessate dalla violazione;
  • le condizioni economiche del contravventore;

Hanno contribuito secondo pesi e valutazioni diverse alla quantificazione della sanzione amministrativa.

Ancora una volta dunque i provvedimenti dall’Autorità Garante rappresentano degli ottimi spunti riflessivi ed operativi per auto-valutare il proprio operato e per non farsi trovare impreparati alle prossime e future ispezioni.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2