Blog

  • Home
  • Blog
  • privacy
  • Il Garante privacy sanziona nuovamente il telemarketing

Il Garante privacy sanziona nuovamente il telemarketing

articolo 2025.02.12 - 1920x1080
Aziende / privacy / reati

Il Garante privacy sanziona nuovamente il telemarketing

12/02/2025

Sanzione di 670mila euro  per attività promozionali affidate ad agenzie e sub-agenzie senza adeguati controlli

L’Autorità Garante della Privacy ha inflitto a Illumia spa, società operante nella fornitura dei servizi di luce e gas, una sanzione di 678.897 euro per trattamento illecito di dati personali a fini promozionali. La società, inoltre, dovrà adottare misure tecniche e organizzative adeguate per quanto riguarda la selezione e la vigilanza sull’operato delle agenzie esterne che svolgono attività di telemarketing. Dovrà poi implementare i necessari accorgimenti per evitare il rischio di attivazione di contratti di fornitura originati da un contatto promozionale illecito.

1. L’istruttoria del Garante

Il procedimento trae origine da una istruttoria avviata dall’Autorità a seguito della ricezione di due separati atti di reclamo proposti nei confronti della Società in materia di trattamento di dati personali per finalità di telemarketing. 

Più in particolare, nei reclami si lamentava di essere stati contattati, in nome e per conto di Illumia, per finalità promozionali sulla propria utenza mobile, in assenza di un’idonea base giuridica e in costanza dell’iscrizione al Registro Pubblico delle Opposizioni. Inoltre, si segnalava come l’interlocutore fosse già a conoscenza dell’avvenuta richiesta di cd. switch verso altro operatore effettivamente sottoscritta dal reclamante in relazione alle proprie utenze luce e gas.

La società, di contro, ha chiarito come tutte le agenzie appartenenti alla propria rete di vendita, prima dell’inizio di ogni campagna commerciale, sono contrattualmente obbligate a sottoporre alla verifica presso la Fondazione Ugo Bordoni (di seguito anche “FUB”) le numerazioni che intendono contattare.

Inoltre, la società imponeva alle agenzie e sub-agenzie, mediante apposito disciplinare tecnico di effettuare: analisi preventiva mediante apposita checklist, anche in ambito GDPR (General Data Protection Regulation, Reg. UE 679/2016, anche il “Regolamento”); sottoscrizione del contratto con la previsione di un periodo di prova della durata di sei mesi; mappatura dell’agenzia e delle numerazioni utilizzate per realizzare le attività di telemarketing sui sistemi aziendali, ivi inclusi gli operatori dedicati alla commessa di Illumia e le eventuali sub-agenzie.

Il contratto di agenzia prevede una clausola risolutiva espressa che consente a Illumia di risolvere il contratto in caso di violazione della normativa in materia di protezione dei dati personali. Illumia effettua, altresì, audit interni e verifiche a campione delle liste di contattabilità, che possono condurre a rilevare “Osservazioni” e “Non conformità”.

2. Le contestazioni mosse dal Garante e le conseguenti valutazioni

Innanzitutto, in punto di fatto, il Garante ha precisato come i chiarimenti relativi alla filiera di controlli e misure posti in essere nei confronti dei propri partner commerciali, appariva generica e contraddittoria, tale da non restituire un quadro completo e coerente della governance societaria in materia di protezione dei dati.

Con la medesima contestazione, l’Ufficio rilevava altresì numerose criticità in relazione al processo di selezione e monitoraggio delle agenzie deputate allo svolgimento delle attività di teleselling in nome e per conto della Società con specifico riferimento agli obblighi posti in capo al titolare del trattamento ai sensi dell’art. 28 del Regolamento (cd. culpa in eligendo e culpa in vigilando). 

Inoltre, il Garante ha contestato come specifici controlli in materia di protezione dei dati personali erano stati implementati soltanto a partire da gennaio 2024 e dunque con notevole ritardo rispetto alla data di entrata in vigore del Regolamento.  

Nell’atto di contestazione, infine, si rilevavano ulteriori criticità anche in relazione ai principi di integrità, sicurezza e riservatezza sanciti dagli artt. 5, 25 e 32 del Regolamento, atteso che la Società aveva dichiarato che erano in corso alcune valutazioni di fattibilità in merito all’implementazione di un sistema di tracciamento degli accessi al portale per l’inserimento dei contratti. Il Garante sottolinea proprio come la mancata implementazione di tale basilare e indispensabile presidio, induceva, infatti, a ritenere da un lato che le operazioni di trattamento non venivano effettuate in maniera tale da garantire un’adeguata sicurezza dei dati personali, e dall’altro lato, siffatta grave lacuna, denotava l’assenza di presidi volti a scongiurare il rischio che contratti derivanti da attività di telemarketing selvaggio potessero entrare nei sistemi, alimentando così l’indotto del cd. “sottobosco” del telemarketing. 

Conclude il Garante, che, con riferimento agli obblighi gravanti sul titolare del trattamento ai sensi dell’art. 28 del Regolamento e alle misure di sicurezza poste in essere dalla Società, dalla disamina della documentazione e delle allegazioni complessivamente trasmesse emerge un quadro della governance privacy non completamente aderente e aggiornato rispetto alla vigente normativa.

Peraltro, prosegue l’Autorità, “tale rilievo assume particolare gravità se considerato alla luce della circostanza che l’attività di teleselling, per stessa ammissione della Società, è interamente affidata in outsourcing ad un cospicuo insieme di agenzie e sub-agenzie. Con questo non volendosi certo intendere che l’affidamento in outsourcing o la numerosità dei partner costituiscano di per sé indice di violazione, ma piuttosto che la scelta di affidare un ramo del proprio business a una serie di soggetti esterni dovrebbe affiancarsi anche all’implementazione di adeguati accorgimenti atti a scongiurare il rischio di attività illegittime”.

Inoltre, la disamina del sopra richiamato Disciplinare e delle procedure annesse, confermano pienamente la culpa in eligendo e le contestazioni sollevate in relazione al processo di selezione dei fornitori. Si sottolinea, quale elemento di rilievo, che: “la mera previsione formale di istruzioni operative, obblighi e clausole di manleva non può valere quale adempimento degli obblighi gravanti sul titolare del trattamento, allorquando non sia accompagnata da periodiche ed efficaci iniziative di vigilanza e verifica. Inoltre, non appare condivisibile la scelta di effettuare le attività di monitoraggio utilizzando criteri che si risolvono nell’individuazione di un numero eccessivamente ristretto di soggetti o correlati alla mera insorgenza di anomalie e segnalazioni”.

3. Conclusione

Per quanto sopra esposto il Garante privacy ritiene accertata la responsabilità di Illumia in ordine alle seguenti violazioni:

  1. artt. 5, par. 2 e 24 del Regolamento per non avere compiutamente adempiuto nell’ambito dell’istruttoria preliminare del presente procedimento all’onere di dimostrare che le operazioni di trattamento siano condotte in ottemperanza alla normativa sulla protezione dei dati personali;
  2. artt. 5, 6 e 7 del Regolamento, nonché 130 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), per aver effettuato i contatti promozionali oggetto di doglianza in assenza di un’idonea base giuridica;
  3. artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di misure e procedure idonee a fare in modo che in caso di svolgimento di trattamenti in outsourcing, vengano selezionati soltanto soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato (cd. culpa in eligendo);
  4. artt. 5, par. 2, 24 e 28 del Regolamento per la mancata implementazione di istruzioni, misure e procedure pienamente aderenti alla disciplina applicabile e idonee e garantire l’efficace vigilanza sull’operato dei Responsabili del trattamento (cd. culpa in vigilando);
  5. artt. 5, 25 e 32 del Regolamento per la mancata implementazione di misure di sicurezza tecniche e organizzative idonee a scongiurare il rischio dell’attivazione di contratti originati da un contatto illecito, nonché dell’accesso ai sistemi aziendali da parte di soggetti non autorizzati.

Avv. Adamo Brunetti

Related Posts

2025.03.12 articolo mercoledì

La Corte costituzionale si pronuncia sulla confisca nei reati societari

12/03/2025
15 views
articolo blog 2025.03.05 - 1920x1080

Provvedimento di revoca dell’amministrazione giudiziaria e Protocollo di legalità nel settore moda

05/03/2025
174 views
Copyright © 2025 CO.DE. All rights reserved.
My Agile Privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare.
AccettaRifiutaPersonalizza
Attenzione: alcune funzionalità di questa pagina potrebbero essere bloccate a seguito delle tue scelte privacy