La maxi-sanzione che il Garante privacy ai sensi del GDPR ha irrogato per attività di telemarketing indesiderato obbliga i DPO ad implementare controlli nei CRM aziendali che tenga conto dei seguenti punti:
- Filtraggio liste di contattabilità
- Conoscenza del Titolare del trattamento e delle finalità
- Ricostruibilità della filiera del dato (sua origine) e genuinità
- Verifica a campione rilevante delle liste acquistate
- Aggiornamento CRM
- Tempi di conservazione
Cosa controllare alla luce delle sanzioni del Garante per attività Telemarketing e Teleselling
La sanzione piuttosto “salata” di 11,5 milioni di euro che il Garante privacy italiano ha irrogato ad ENI Gas e Luce (EGL), per trattamenti non conformi al Regolamento europeo sulla protezione dei dati GDPR, impone ai Data Protection Officer (DPO) un’analisi profonda delle motivazioni. Per attivare nelle proprie organizzazioni azioni di miglioramento sulla base dei trattamenti effettuati. Vediamolo in punti.
Filtraggio liste di contattabilità
Le aziende devono prevedere nei propri CRM un sistema di filtraggio delle liste di contattabilità, che per esempio escluda dalle medesime i clienti attivi e quelli cessati.
Conoscenza del Titolare del trattamento e delle finalità
Il data protection officer verificherà che l’interessato conosca al minimo, così come previsto dal considerando 42 del Regolamento, almeno l’identità del titolare del trattamento e delle finalità cui sono destinati i dati personali. Aspetto difficile quando il dato viene raccolto da soggetti terzi e poi passa fra più Titolari.
Quindi si può affermare l’illiceità delle cessioni di dati personali effettuate da Titolari del trattamento che non abbiano acquisito direttamente dagli interessati uno specifico consenso al riguardo.
A tal proposito ogni società che interviene nella filiera dopo la prima raccolta del dato deve fornire un’informativa privacy per trattamento dati personali non ottenuti presso l’interessato e il relativo consenso per la cessione a terzi (principio di trasparenza).
Ricostruibilità della filiera del dato (sua origine) e genuinità
Il Garante Privacy italiano, nel caso di sanzione indicato, ha intimato a EGL la selezione dei list provider e degli editori, affinché gli stessi adottino procedure di compliance privacy solide ed efficaci, per ottenere liste di contattabilità correttamente “consensate”.
Questo controllo del Titolare del trattamento però non lo esime dall’obbligo di provare la propria “accountability” e il fatto che il consenso libero e specifico sia stato ottenuto dall’interessato.
Verifica a campione rilevante delle liste acquistate
La sanzione inferta dall’Autorità tiene anche conto del fatto che il Titolare del trattamento dovrebbe implementare delle procedure e sistemi, anche prevedendo accessi ad aree dedicate dei database dei list provider e degli editori ovvero l’utilizzo di strumenti di controllo di pari efficacia, al fine di verificare, anche tramite un campione rilevante, prima dell’inizio della campagna promozionale, lo stato dei consensi degli interessati inseriti nelle liste di contattabilità acquisite.
Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni singolo soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato.
Aggiornamento CRM
Nel caso di specie EGL, per il Garante Privacy, è stata sanzionata perché non è stata in grado di assicurare e comprovare tempistiche e modalità di aggiornamento dello stato dei consensi nel CRM nella propria black list | principio di accountability; vanno quindi implementati dei meccanismi volti ad automatizzare i flussi di dati dal CRM alla black list in uso presso le società.
Tempi di conservazione
I Data Protection Officer devono evitare una conservazione dei dati superiore al termine di prescrizione ordinaria prevista dal Codice Civile, però tenendo anche conto delle pronunce e dagli orientamenti interpretativi per le finalità marketing e profilazione, presi dall’Autorità Garante Privacy negli anni passati.
Dunque appare fondamentale l’esigenza di investire in risorse da parte del Titolare del trattamento e inserire nei processi aziendali un’analisi continua del profilo organizzativo nel trattamento dati da parte del Titolare stesso o dei responsabili nominati; individuando come attore protagonista la figura del Data Protection Officer.