Il procedimento trae origine da una segnalazione ricevuta dalla Compagnia della Guardia di Finanza di Soave (VR), che ha consentito al Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza di identificare le peculiari iniziative di quattro società coinvolte nel fenomeno del telemarketing selvaggio.
È la prima volta che il Garante dispone la confisca delle banche dati dei potenziali clienti.
Le quattro società – due toscane e due venete- svolgevano attività di call center per attività promozionali e di vendita nel settore dell’energia elettrica e del gas. Al termine delle attività ispettive svolte, in contemporanea, presso le sedi delle società interessate, è stato possibile risalire ad una serie di attività poste in essere in aperta violazione della normativa in materia di protezione dei dati personali.
Tali attività costituiscono una delle varie forme del c.d. “sottobosco”, più volte indicato dal Garante come motivo principale dell’attuale espansione del telemarketing illegale.
Telemarketing selvaggio, il quadro complesso
Sulla base di quanto rilevato in sede di indagine è emerso un quadro estremamente complesso.
Le società, infatti, instauravano contatti telefonici utilizzando liste anagrafiche acquisite da aziende straniere senza uno specifico consenso degli interessati, in ogni caso sprovviste di ogni indicazione circa la modalità di raccolta dei dati e di acquisizione del consenso.
Nel dettaglio, le società veronesi avevano acquistato, da diversi fornitori, liste anagrafiche illegalmente prodotte, senza acquisire il necessario consenso degli interessati per il trattamento dei propri dati a fini di marketing e senza aver reso la imprescindibile informativa. Gli operatori di call-center proponevano offerte commerciali di note compagnie energetiche, suggerendo di aderire alle loro proposte, con lo scopo di accrescere le proprie provvigioni. Conseguentemente i contratti erano inviati dalle aziende veronesi a quelle toscane per l’indebito inserimento nella banca dati delle compagnie.
Le società sanzionate hanno mostrato un totale disinteresse verso la normativa di settore, riscontrabile, tra l’altro, dalla loro volontà di non presentare memorie difensive e di non richiedere audizione davanti al Garante. Secondo l’autorità, tutto ciò conferma l’irrilevanza che le società che attribuiscono alla normativa in materia di dati personali.
In aggiunta, si può evincere dalle dichiarazioni rese alla Guardia di Finanza dai cd. “procacciatori d’affari”, un quadro di radicale illiceità dei trattamenti, scaturito dalla totale inconsapevolezza dei clienti che non hanno avuto contezza dei propri dati personali, dalla mancata corretta designazione dei soggetti del trattamento e dalle gravissime carenze di misure di sicurezza per la protezione dei propri sistemi.
L’autorità, accertata la responsabilità delle società coinvolte, ha imposto il divieto di ogni ulteriore trattamento finalizzato alla realizzazione di contatti promozionali che preveda l’utilizzo delle liste anagrafiche e dei database già acquisiti, ritenendo altresì necessario applicare le seguenti sanzioni:
- Sanzione amministrativa pecuniaria, prevista dall’art. 83, parr.3 e 5, del Regolamento;
- Provvedimento di confisca delle banche dati;
- Sanzione accessoria della pubblicazione sul sito del Garante del provvedimento del 13 aprile 2022, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante.
A fronte dei fatti sommariamente esposti, lo strumento della confisca appare funzionale a tutelare, in modo opportuno, l’elevato numero di interessati coinvolti, con l’intento di voler rappresentare, almeno idealmente e figurativamente, la restituzione di una adeguata tutela dei dati personali agli interessati.