la raccolta dati attraverso il Web per lo svolgimento di attività di telemarketing e di teleselling: il garante fa il punto della questione.
-
- 29 Marzo 2025
ai paragrafi 1 e 2 del presente articolo.
Quando vengono trattati dati personali degli utenti per finalità di telemarketing e/o di teleselling, il titolare del trattamento ha l’obbligo di rispettare gli articoli 5[1], 6[2] e 7 del Regolamento e dell’art. 130[3] del Codice
Ciò significa che il titolare, agendo in una ottica di accountability, ha l’onere di individuare una base giuridica idonea al trattamento che intenda svolgere; in aggiunta deve trattare i dati nel rispetto dei principi indicati dal Regolamento e, nel caso in questione, il trattamento dei dati risulta subordinato all’acuisizione del consenso.
Il caso.
A seguito di un reclamo presentato da una utente il garante ha aperto un’attivi tà ispettiva in merito, contestando alla Società E.ON le seguenti ipotesi di violazione: a) artt. 5, 6, 7 e 24 del regolamento, nonché dell’art. 130 del codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento; b) artt. 24 e 28 del regolamento, anche in relazione all’art. 2–quaterdecies del codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati; c) artt. 12 e 15-22 del regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati
Inoltre, dagli elementi emersi nel corso dell’istruttoria sembrava potersi attribuire a E.ON lo svolgimento di attività di telemarketing e teleselling in assenza di un’idonea base giuridica e dunque in violazione degli artt. 5, 6 e 7 del Regolamento e dell’art. 130 del Codice. Con specifico riferimento alle attività promozionali effettuate mediante i canali social, infatti, emergeva che la Società aveva utilizzato i dati personali della reclamante senza adottare misure adeguate a verificarne la legittima provenienza, né l’identità dei soggetti che ne effettuavano il conferimento.
Le violazioni contestate dal Garante
L’Autorità ha ribadito l’onere di dimostrare l’attuazione di adeguate misure di ottemperanza alle disposizioni in materia di protezione dei dati personali, gravante sul titolare del trattamento ai sensi del combinato disposto degli artt. 5, par. 2 e 24 del regolamento (sul punto cfr. il considerando n. 74 del regolamento in base al quale si rileva che «è opportuno stabilire la responsabilità generale del titolare del trattamento per qualsiasi trattamento di dati personali che quest’ultimo abbia effettuato direttamente o che altri abbiano effettuato per suo conto. in particolare, il titolare del trattamento dovrebbe essere tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il presente regolamento, compresa l’efficacia delle misure. tali misure dovrebbero tener conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche»). se è pur vero infatti che, in linea con la sua genesi di matrice europea, la disciplina sulla protezione dei dati personali, salvo alcune eccezioni, non impone particolari formalismi, è altrettanto pacifico che il titolare debba farsi carico dell’onere di essere costantemente in grado di dimostrare l’ottemperanza alla vigente normativa.
Ad avviso del Garante, l’assenza di indici formali (per esempio alla stregua di quanto impone il diritto civile nazionale allorquando disciplina gli elementi essenziali di un negozio giuridico o la forma scritta ad substantiam) – di fatto dà origine a un obbligo particolarmente rigoroso in capo al titolare in ordine alla scelta dei modi e tempi di adempimento.
Tuttavia, l’assenza di particolari formalismi, se da un lato genera una maggiore responsabilizzazione del titolare del trattamento, dall’altro ne garantisce un’ampia libertà di azione e facoltà di scelta. logico corollario di tale complessa ricostruzione è che non possa ritenersi esistente una formula universale in ordine al corretto adempimento di tale obblighi e oneri e che per l’effetto, debba essere condotta una valutazione case by case, che tenga in considerazione anche il contesto socio-economico, la compagine aziendale, nonché i rischi per i diritti e le libertà degli interessati. nel caso di specie, tale premessa appare doverosa in considerazione della circostanza che dalla disamina degli atti difensivi e della documentazione fornita da e.on, emerge una non completa assimilazione della ratio e della portata di tali obblighi.
Nel merito, poi, con riferimento a entrambi gli atti di reclamo appare pienamente confermata l’avvenuta violazione degli artt. 5, 6, 7 e 24 del regolamento, nonché dell’art. 130 del codice, per aver svolto attività di telemarketing in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.
Difatti, rispetto alle campagne promozionali cd. digital, il trattamento di dati personali raccolti attraverso form on-line non può essere considerato legittimo, in assenza dell’implementazione di misure idonee a verificare la fonte e l’identità del soggetto che provvede al conferimento delleinformazioni. tale vizio, insito nella originaria raccolta del dato, inevitabilmente presenta ricadute anche sulle successive operazioni di trattamento effettuate sui medesimi dati personali. si osserva, peraltro, che in assenza delle predette misure, tali tipologie di form on-line potrebbero essere surrettiziamente sfruttati per effettuare contatti outbound sotto le mentite spoglie di richieste di ricontatto provenienti dall’interessato. in altri termini, il conferimento di dati personali illecitamente ottenuti o “non consensati” all’interno di form on-line finirebbe per conferire una parvenza di liceità rispetto al trattamento di dati personali e liste di contattabilità di provenienza illecita, realizzando di fatto un inammissibile riciclaggio di dati personali e alimentando l’indotto del sottobosco del telemarketing. peraltro, considerato il pervasivo utilizzo di questa tipologia di form e delle piattaforme social, i soggetti interessati raggiunti da contatti promozionali indesiderati realizzati nell’interesse di e.on, alla stregua di quanto accaduto nel caso dell’odierna reclamante, potrebbero essere stati molto numerosi.
In altri termini, il conferimento di dati personali illecitamente ottenuti o “non consensati” all’interno di form on-line finirebbe per conferire una parvenza di liceità rispetto al trattamento di dati personali e liste di contattabilità di provenienza illecita, realizzando di fatto un inammissibile riciclaggio di dati personali e alimentando l’indotto del sottobosco del telemarketing.
Gli obblighi in capo al titolare del trattamento nella scelta dei propri fornitori di servizi
Inoltre, rispetto all’adempimento degli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del regolamento (cd. culpa in eligendo e culpa in vigilando), sia con riferimento a xx, sia alla più generale prassi di selezione e monitoraggio dei fornitori, dall’istruttoria espletata emerge da un lato l’omissione delle misure atte ad assicurare la selezione di partner che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato, dall’altro l’omesso controllo e vigilanza sulle attività di trattamento di dati personali svolte da tali soggetti per conto della società. difatti, rispetto al processo di scelta e contrattualizzazione dei fornitori, e.on si è limitata a fornire un sintetico schema di gestione, privo di data e dei riferimenti societari e un modello di nomina a responsabile del trattamento, il cui ultimo aggiornamento risale a due anni fa. parimenti, rispetto al monitoraggio sull’operato dei fornitori, la società ha fatto meramente cenno all’utilizzo di check list.
Tuttavia tali allegazioni e documenti, di fatto, denotano la tendenza all’assolvimento meramente formale di siffatti obblighi, non accompagnato da un processo sufficientemente performante e strutturato, che consenta ex ante di addivenire alla selezione di fornitori che siano in possesso di adeguate competenze in materia di privacy ed ex post di realizzare la vigilanza e il monitoraggio sul loro operato. Gli accadimenti oggetto di doglianza e i riscontri forniti dalla Società confermano, invece, l’avvenuto inadempimento degli obblighi relativi alla nomina, direzione e formazione dei soggetti operanti all’interno dell’organizzazione del titolare effettuando trattamenti di dati personali.
L’importanza della formazione quale misura di sicurezza organizzativa organizzativa e l’obbligo di documentarla.
In base alla tesi prospettata dalla Società, tali episodi andrebbero attribuiti a presunti errori umani, verificatisi nonostante l’implementazione di misure tecniche e organizzative quali la formazione interna in materia di privacy e il conferimento di istruzioni documentate. Tuttavia l’assenza di qualsivoglia indice documentale atto a comprovare l’effettivo svolgimento di tale formazione, unitamente al conferimento di istruzioni generiche e datate, se valutate nel contesto dell’ammessa errata gestione di entrambi gli episodi oggetto di doglianza, valgono a dimostrare l’avvenuta violazione delle prescrizioni imposte all’art. 2-quaterdecies del Codice, per come interpretate anche in relazione all’art. 5 del Regolamento. Sul punto, infatti, si osserva che, a prescindere dalla circostanza che il titolare abbia fornito soltanto un modulo di istruzioni privo di elementi atti a comprovarne l’effettivo utilizzo, il documento in questione contiene riferimenti datati (i.e. riferimento ai dati sensibili e alla figura dell’incaricato del trattamento) e soprattutto privi di alcuna personalizzazione e/o distinzione rispetto alle mansioni svolte in concreto, alle categorie di dati trattati e ai rischi specifici per i diritti i le libertà degli interessati. Per le ragioni appena esposte deve ritenersi integrata anche la violazione degli art. 12 e 15-22 del Regolamento, non potendo sortire alcuna efficacia esimente l’errore umano invocato dalla Società.
CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di E.ON in ordine alle seguenti violazioni:
– artt. 5, 6, 7 e 24 del Regolamento, nonché dell’art. 130 del Codice, per aver effettuato trattamenti di dati personali in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative non adeguate a garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento;
– artt. 24 e 28 del Regolamento, anche in relazione all’art. 2–quaterdecies del Codice, per avere effettuato trattamenti di dati personali avvalendosi di soggetti interni ed esterni all’organizzazione aziendale, in violazione degli obblighi gravanti sul titolare del trattamento in ordine all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati;
– artt. 12 e da 15 a 22 del Regolamento per l’omessa implementazione di procedure aziendali e misure idonee ad assicurare l’adeguato e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati.
Indicazioni per i titolari del trattamento
Il Provvedimento adottato dal Garante consente di individuare una serie di misure a carico dei titolari del trattamento che intendano svolgere attività di marketing e/o di teleselling.
In riferimento a tale fattispecie, si ritiene utile richiamare gli articoli violati, gli adempimenti a carico dei Titolari del trattamento e la documentazione da predisporre al fine di poterla esibire in caso di ispezione.
[1] Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono: (C39)
a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);
b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»);
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);
e) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)
[2] Articolo 6 Liceità del trattamento
1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)
a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43)
b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44)
c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)
d) il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica; (C46)
e) il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento; (C45, C46)
f ) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (C47-C50)
La lettera f ) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
2. Gli Stati membri possono mantenere o introdurre disposizioni più specifiche per adeguare l’applicazione delle norme del presente regolamento con riguardo al trattamento, in conformità del paragrafo 1, lettere c) ed e), determinando con maggiore precisione requisiti specifici per il trattamento e altre misure atte a garantire un trattamento lecito e corretto
anche per le altre specifiche situazioni di trattamento di cui al capo IX. (C8, C10, 41, C45, C51)
3. La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: (C8, C10, C41, C45, C51)
a) dal diritto dell’Unione; o
b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento.
La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l’esecuzione di un compito svolto nel pubblico interesse o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare
l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX. Il diritto dell’Unione o degli Stati membri persegue un
obiettivo di interesse pubblico ed è proporzionato all’obiettivo legittimo perseguito.
4. Laddove il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti non sia basato sul consenso dell’interessato o su un atto legislativo dell’Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all’articolo 23, paragrafo 1, al fine di verificare se il trattamento per un’altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l’altro: (C50)
a) di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell’ulteriore trattamento previsto;
b) del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l’interessato e il titolare del trattamento;
c) della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell’articolo 9, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell’articolo 10;
d) delle possibili conseguenze dell’ulteriore trattamento previsto per gli interessati;
e) dell’esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.
[3] Art. 130 – Comunicazioni indesiderate
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall’articolo 1, comma 14, della legge 11 gennaio 2018, n. 5.27 28
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 6 e 7 del Regolamento nonché ai sensi di quanto previsto dal comma 3-bis.29
3-bis. In deroga a quanto previsto dall’art. 129, il trattamento dei dati di cui al comma 1 del predetto articolo, mediante l’impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni.30
3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro ilmedesimo termine, secondo i seguenti criteri e princìpi generali:
a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo 6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante può, provvedendo ai sensi dell’articolo 58 del Regolamento altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
[4] Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono: (C39)
(omissis)
f ) trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
[5] Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono: (C39)
(omissis)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
[6] Articolo 5 Principi applicabili al trattamento di dati personali
(omissis)
2. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)
[7] Articolo 5 Principi applicabili al trattamento di dati personali
1. I dati personali sono: (C39)
(omissis)
c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);
