La sanzione di oltre 12 milioni di euro recentemente comminata a Vodafone da parte dell’Autorità Garante per la protezione dei dati personali relativa al “telemarketing aggressivo” può essere una lezione per tutti.
Tutto ha avuto origine da reclami e segnalazioni che lamentavano contatti indesiderati da parte del gestore telefonico e della rete di vendita, e dunque, leggendo con la lente del GDPR, attività di trattamento per finalità di comunicazione commerciale svolte sistematicamente senza un’idonea base giuridica. È infatti richiesta, ai sensi della normativa applicabile in materia di protezione dei dati personali (nello specifico: dall’art. 130 Cod. Privacy), l’acquisizione di un consenso valido da parte dell’interessato perché si possa svolgere attività di telemarketing e l’invio di messaggi promozionali.
Ciò ha portato all’individuazione della criticità, già rilevata in occasione della sanzione di oltre 16 milioni comminata a Wind: il controllo della “filiera del dato”. Tale obbligo è una declinazione operativa del principio di accountability, il quale impone l’adozione di misure adeguate a garantire la conformità alle prescrizioni del GDPR e la comprova degli adempimenti. Nessuna misura può dirsi infatti adeguata se non è soggetta ad un controllo continuo, con l’obiettivo del mantenimento di quel livello di conformità richiesto dalla norma.
Nel caso in esame, l’istruttoria ha evidenziato una serie di criticità dei controlli relativi ai database “consensati”, tanto nell’ambito dello svolgimento di audit verso i partner commerciali per la formazione dei citati database, quanto negli acquisti delle liste anagrafiche. Nel primo caso occorre la verifica di una corretta acquisizione del consenso da parte dell’interessato per la ricezione di comunicazioni commerciali, mentre nel secondo caso occorre la comprova della prestazione di un ulteriore e specifico consenso per la comunicazione dei dati a Vodafone.
L’opposizione di “generici errori umani o non documentati disguidi di sistema”, così come l’argomento per cui “la corretta acquisizione del consenso commerciale e per comunicazione a terzi ricade sotto la responsabilità dei list provider che hanno curato la raccolta dei dati personali, ed è contrattualmente in capo a questi ultimi”, non sono stati argomenti sufficienti per l’esclusione della responsabilità da parte di Vodafone.
L’emissione dei provvedimenti correttivi da parte dell’Authority, è bene notare, non si è limitata alla sola ordinanza-ingiunzione sanzionatoria, bensì ha anche prescritto il riscontro alle richieste dei reclamanti, l’adeguamento dei trattamenti di telemarketing “al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione”, l’adeguamento delle misure di sicurezza e il divieto “di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Vodafone”.
Se affrontato con un approccio di “lesson learned”, il complesso provvedimento offre ad ogni titolare del trattamento il chiarimento circa la misura di effettività e adeguatezza di quei controlli “di sistema” richiesti dal GDPR.
