Con provvedimento dell’11 aprile 2024, pubblicato sul proprio sito il 21 maggio 2024 (doc. web n. 10008076), l’Autorità Garante per la Protezione dei Dati Personali ha sanzionato con 100.000,00 € un gestore che opera nel settore dei contratti di fornitura di luce e gas per aver svolto chiamate promozionali indesiderate effettuate senza la previa acquisizione del consenso dell’interessato oppure utilizzando numerazioni iscritte al Registro Pubblico delle Opposizioni, che hanno dato origine all’attivazione non richiesta di forniture energetiche.
Istruttoria e difese della Società
Nel corso dell’istruttoria, che ha preso avvio a seguito di 56 segnalazioni e 2 reclami nei confronti della società, è emersa la seguente prassi: l’utente, anche iscritto al Registro Pubblico delle Opposizioni, riceveva una telefonata da un operatore che non si qualificava e che possedeva tutti i suoi dati personali, comprese le informazioni inerenti alla fornitura; una volta realizzata, anche all’insaputa dell’utente, l’attivazione della fornitura, quest’ultimo si rendeva conto del contratto in essere solo nel momento in cui riceveva le fatture di pagamento.
Nel corso del procedimento, il gestore si è difeso facendo valere:
-
da un lato la circostanza per cui non era lui a raccogliere i dati dei potenziali clienti, che invece venivano ricevuti in forza di un contratto di teleselling o di agenzia o di procacciamento, senza che il gestore avesse la possibilità di verificare, a monte, la bontà del dato stesso utilizzato dalla tele vendita;
-
dall’altro, richiamando gli obblighi gravanti, in virtù del richiamato contratto, sui teleseller, in forza dei quali questi ultimi erano onerati di reperire a propria cura, responsabilità e spese le liste dei potenziali clienti da chiamare, provvedendo, direttamente o tramite terzi autorizzati, alla registrazione presso il Registro Pubblico dei contraenti che si opponevano all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali.
Allo stesso modo, la società rilevava come il contratto imponesse al teleseller/agente/procacciatore la conservazione, modifica, aggiornamento o integrazione costante delle liste dei potenziali clienti, garantendo e manlevando in ogni caso la società in ordine al rispetto della normativa in materia di protezione dei dati personali.
Le conclusioni dell’Autorità: l’autonomia contrattuale non vale ad esonerare il titolare dai suoi obblighi privacy
Ritenendo tali eccezioni prive di fondamento, l’Autorità ha, invece, sottolineato come le clausole contrattuali, indipendentemente dal loro tenore e dagli obblighi che prevedono in capo alle parti, non possono valere a manlevarle dagli obblighi derivanti dalle rispettive qualifiche soggettive che le parti assumono nel quadro della normativa privacy.
Di conseguenza, pur prevedendo il contratto che i dati fossero raccolti da un soggetto terzo rispetto alla società, ciò non impediva a quest’ultima, nella sua qualità di titolare, di verificare (ad esempio attraverso compiuta documentazione) l’origine dei dati e la base giuridica del trattamento.
È onere, infatti, del titolare affidarsi a partner che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti previsti dalla normativa. Così come è onere del titolare istruire correttamente tali partener sulle modalità con cui i dati vengono raccolti e trattati per suo conto e vigilare affinché le sue istruzioni siano eseguite e rispettate.
Peraltro, ricorda l’Autorità, le tipologie di controllo che il titolare deve mettere in atto per assolvere a tali oneri possono essere improntate ai dettami del Codice di condotta per le attività di telemarketing e teleselling (Provv. GPDP n. 70 del 9 marzo 2023), il quale prevede, tra le altre cose, che:
-
i titolari del trattamento adottino procedure organizzative e/o tecniche finalizzate a comprovare che i dati dell’interessato siano stati acquisiti nel rispetto dei principi in tema di data protection e implementando apposite procedure che individuino le campagne promozionali, le liste di contatto e gli operatori coinvolti in ogni contratto concluso;
-
i titolari assicurino che tutta la filiera tratti i dati esclusivamente sulla base di un idoneo consenso al trattamento per finalità di telemarketing e teleselling.
In definitiva, il Garante ha messo un punto ad una questione spesso equivocata dai titolari del trattamento che si servono di fornitori esterni per lo svolgimento di chiamate di teleselling: il titolare non può ritenersi esonerato dagli obblighi in materia di data protection soltanto in virtù di una clausola di manleva e della circostanza che il reperimento e la raccolta dei dati sia rimesso a un soggetto terzo rispetto alla propria organizzazione. Se così fosse, ciò sarebbe in contrasto con un sistema normativo impostato sull’esatta definizione dei ruoli e delle responsabilità privacy nonché sui valori imprescindibili su cui il trattamento deve fondarsi: liceità, trasparenza e correttezza.