Telemarketing, Garante Privacy: per l’attribuzione della qualifica di titolare del trattamento, è irrilevante quella convenuta dalle parti

di |

Il Garante ha dichiarato illecito il trattamento dei dati personali posto in essere da Consodata e da Enel, ciascuna per la parte di propria competenza, disponendo la trasmissione degli atti per l’avvio dei conseguenti procedimenti sanzionatori.

Italia


Portolano Cavallo Studio legale

Pubblichiamo di seguito un contributo tratto da Portolano Cavallo INFORM@, Newsletter di Portolano Cavallo Studio Legale.

 

 

Con provvedimento del 5 aprile 2012, pubblicato di recente, il Garante Privacy ha ritenuto che l’acquirente di liste di contatti da utilizzare a fini di telemarketing, indipendentemente dalla sua qualificazione giuridica nel relativo contratto di fornitura, al ricorrere di determinate circostanze di fatto deve essere considerato titolare del trattamento dei dati personali, inteso come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza” (articolo 4(1)(f), D. Lgs. 196/2003 – “Codice Privacy”).

 

Il Garante aveva ricevuto la segnalazione di un abbonato il quale, nonostante avesse curato l’iscrizione della propria utenza di telefonia fissa nel Registro pubblico delle opposizioni (entrato in funzione il 31 gennaio 2011) aveva ricevuto chiamate indesiderate a carattere promozionale da parte di Enel Energia S.p.A. (“Enel”).

In replica alla richiesta di informazioni formulata dal Garante, Enel ha affermato di aver ricevuto i recapiti dell’abbonato dalla società Consodata che si occupa di generazione di anagrafiche con consenso per il marketing diretto, in virtù di un contratto di fornitura di liste di nominativi, che espressamente qualificava Consodata come “titolare del trattamento” dei dati personali dei soggetti destinatari delle iniziative commerciali di Enel.

Inoltre, Enel sosteneva che il consenso dell’abbonato al trattamento dei suoi dati personali per finalità di telemarketing era stato ottenuto da Consodata all’atto della raccolta dei dati personali dell’abbonato, tramite compilazione di un questionario online.

In primo luogo, il Garante ha ritenuto che Consodata, in qualità di autonomo titolare del trattamento dei dati, abbia posto in essere un trattamento illecito dei dati personali dell’abbonato ai sensi del Codice Privacy, in quanto:

•         non ha fornito un’idonea informativa conforme ai requisiti di cui all’articolo 13 del Codice Privacy (ad esempio, l’informativa presente sul sito utilizzava una formula troppo generica quanto ai possibili destinatari della comunicazione dei dati, informando che l’elenco di tali destinatari era presente presso la sede di Consodata e dunque, di fatto, praticamente inaccessibile e non conoscibile dagli interessati);

•         non ha ottenuto un valido consenso dall’abbonato ai sensi dell’articolo 23 del Codice Privacy (ai sensi del quale Il trattamento di dati personali è lecito solo con il consenso espresso, libero e specifico dell’interessato, in riferimento ad un trattamento chiaramente individuato).

 

Quanto al ruolo svolto da Enel, secondo il Garante tale società deve essere considerata titolare del trattamento dei dati personali dei destinatari delle iniziative commerciali adottate in suo nome e per suo conto, nonostante il contratto di fornitura con Consodata attribuisse la qualifica di titolare solo a quest’ultima e prevedesse l’obbligo a suo carico di nominare i teleseller di Enel responsabili del trattamento.

 

Il Garante ha dato rilievo, in particolare, alle seguenti circostanze:

 

  • Enel era percepita dall’interessato come titolare del trattamento;
  • Come si evince dal contratto di fornitura, Enel aveva la possibilità di disciplinare, regolamentandoli nel dettaglio, modalità, compiti, ruoli e procedure dell’attività di telemarketing (ad esempio, scelta in ordine ai criteri di individuazione dei nominativi da contattare, e, dunque, alle modalità del trattamento);
  • Spettava ad Enel mettere a disposizione di Consodata la piattaforma informatica necessaria per consentire la comunicazione dei dati degli abbonati ai teleseller di Enel;
  • Il contratto di fornitura prevedeva una clausola di manleva ai sensi della quale Consodata si obbligava a tenere indenne Enel, tra l’altro, a fronte di eventuali “sanzioni penali o condanne conseguenti ad azioni in qualsiasi modo proposte e a provvedimenti di Autorità e pronunce giudiziali (…) in qualsiasi modo connesse all’utilizzo delle anagrafiche e dei dati contenuti nel database”. Secondo il Garante, ciò varrebbe a dimostrare la piena consapevolezza di Enel della possibile attribuzione di responsabilità alla società committente per fatti connessi alla gestione di quei dati;
  • Enel ha riferito che, a seguito della ricezione della segnalazione, ha provveduto a cancellare prontamente tutti i dati personali dell’interessato dalle proprie banche dati, con ciò confermando che, diversamente da quanto previsto contrattualmente, la società aveva poteri di controllo sui dati personali.

 

Pertanto, secondo il Garante, Enel, in quanto titolare del trattamento dei dati dei destinatari di iniziative promozionali contenuti nella lista che questa società ha acquistato da Consodata, aveva l’obbligo di accertare e verificare i singoli consensi asseritamente prestati dagli interessati per finalità di telemarketing. Come chiarito dal Garante nel provvedimento generale del 29 maggio 2003 in materia di “Spamming. Regole per un corretto invio delle e-mail pubblicitarie“, l’acquirente di una banca dati contenente i dati personali di soggetti destinatari di iniziative promozionali è tenuto ad accertare che “ciascun interessato abbia validamente acconsentito” alla ricezione di tali contatti.

 

In conclusione, il Garante ha dichiarato illecito il trattamento dei dati personali posto in essere da Consodata e da Enel, ciascuna per la parte di propria competenza, disponendo la trasmissione degli atti al competente dipartimento per l’avvio dei conseguenti procedimenti sanzionatori.

 

Con il provvedimento in esame il Garante ha confermato l’orientamento espresso in precedenti occasioni (ad esempio, nel provvedimento del 15 giugno 2011 in materia di “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”), circa la necessità che all’atteggiarsi concreto dei rapporti tra le parti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali.

 

D’altra parte, come chiarito dal Gruppo di Lavoro Articolo 29 per la protezione dei dati (parere n. 1/2010 del 16 febbraio 2010), ai fini dell’individuazione della titolarità del trattamento occorre esaminare anche “elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità”.

 

 

Iscriviti a Portolano Cavallo INFORM@, la newsletter con approfondimenti e Flash News sulle tematiche legali dei settori Media, Internet, E-commerce, Privacy, Pubblicità, Televisione e Telecomunicazioni.

Leggi le altre notizie sull’home page di Key4biz