TELEMARKETING

Il consenso privacy non è cedibile: il Garante sanziona Iren per 3 milioni di euro

Telemarketing e liste di brokering: il Garante Privacy ha sanzionato Iren Mercato per mancanza di consenso adeguato e passaggi multipli di dati personali. Ecco alcuni utili insegnamenti per tutte le aziende

24 Giu 2021
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

È ormai periodico l’intervento sanzionatorio del Garante Privacy in ambito marketing: questa volta è toccato a una società del mercato energetico – la Iren Mercato S.p.A. – che avrebbe errato nell’uso di dati personali raccolti da terzi (c.d. list broker), i quali hanno venduto liste di contatti alla società. La quale a sua volta ha utilizzato tali contatti per comunicazioni di marketing ma senza i necessari consensi, infine ricevendo una sanzione da parte del Garante di tre milioni di euro.

La fattispecie in sé non è affatto nuova, possiamo tra i tanti citare la recente sanzione da più di 10 milioni di euro comminata a gennaio 2020 verso Eni Gas e Luce, dunque un competitor proprio di Iren e proprio per l’acquisizione di liste di contatti prive di specifici consensi.

Vediamo di seguito i dettagli del provvedimento.

Le prescrizioni per il consenso a favore di terzi per marketing

È noto come il Garante, in ottica di trasparente consenso informato, esiga che il trasferimento di dati a terzi per fini di marketing sia sempre specifico, oltre che limitato a un singolo passaggio tra soggetti titolari autonomi.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Tra i vari provvedimenti passati del Garante, ricordiamo le Linee-guida del Garante in materia di spam del 2013 ove si affermava che “il titolare del trattamento (ndr. che) intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa ai sensi dell’art.13, comma 1 del Codice”. Anche il WP29 ne aveva rispecchiato l’indirizzo nella sua Opinion n. 15 del 2011 sul consenso.

Parimenti, nel citato provvedimento del Garante verso Eni Luce e Gas, n. 232/2019, si ricordava che “il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato”. Ciò a vietare con maggiore chiarezza le prassi di “catene” plurime nei trasferimenti di dati.

Il caso Iren: consensi e prove non regola

Iren Mercato S.p.A., stando all’indagine del Garante, per propri fini di marketing non ha sfruttato contatti raccolti in proprio bensì ha acquistato liste di contatti da società terze, per promuovere le proprie attività di approvvigionamento e vendita di energia elettrica, gas e calore per teleriscaldamento.

Tali terze società avevano sì raccolto il consenso degli interessati – direttamente o tramite ulteriori terzi – ma tale consenso non copriva specificamente la comunicazione dei dati a Iren, alla sua categoria commerciale di attività o altre specifiche attività promozionali conto terzi.

In particolare, spesso la formula di consenso utilizzata riportava così: “per l’invio di informazioni ed offerte commerciali anche da parte di terzi”. In tal caso veniva raccolto un consenso unico, per il titolare e per terzi, oltre che riferito a terzi generici e vaghi – tale formula era palesemente insufficiente.

Peraltro, in molti casi vi sono stati molteplici passaggi di tali consensi tra vari titolari e titolari-responsabili, con ovvie conseguenze sulla liceità del seguente (ri)utilizzo; anche quando era acquisito un doppio consenso, esso perdeva di valore in virtù di molteplici movimentazioni dei dati: dal primo titolare a un terzo (passaggio coperto dal consenso), dal terzo a un ulteriore terzo (passaggio illecito e non coperto dal consenso).

Lato probatorio, peraltro, varie criticità “sono emerse con riguardo alla tabella relativa ai “dati log degli interessati”, riportata nella documentazione riferibile alla stessa, non essendo stato possibile individuare, tra i vari campi evidenziati (relativi ai nominatavi, all’indirizzo fisico ed IP), quello attestante la registrazione-valorizzazione del consenso. Così come, nell’allegato modulo “opt-in e consensi prestati”, è risultata presente solo la formula di prestazione dei consensi senza alcuna indicazione circa una manifestazione di volontà effettivamente riferibile agli interessati”. In un altro caso ulteriori criticità “dall’esame delle schermate del sistema prodotte da quest’ultima che riportavano la menzione di consensi rilasciati dagli interessati e valorizzati come “accepted”, anche in tal caso senza alcuna indicazione circa il trattamento al quale gli stessi erano riferibili”.

Interessati anche le considerazioni del Garante sul ruolo del c.d. list broker/provider coinvolto nei vari passaggi di contatti: l’Autorità ha chiarito che dichiarare di aver “solo organizzato, razionalizzato e reso fruibili le anagrafiche degli interessati in ragione delle finalità di marketing per le quali i dati sono stati raccolti e ceduti ad Iren Mercato, non contraddice, nella sostanza, il predetto ruolo di autonomo titolare” – in quanto dotato di un’autonomia gestionale e di scelta circa modalità e mezzi per raccogliere, gestire e trasmettere i dati alle società clienti per le relative finalità di marketing.

GDPR e marketing, l’uso delle liste contatti: ecco le regole per non sbagliare

Non poteva mancare un tentativo in sede difensiva – non inedito – per tentare di basare i vari passaggi di contatti non già sul consenso bensì sul legittimo interesse (art. 6.1.f GDPR): nel caso concreto mancava “un attento bilanciamento, peraltro adeguatamente documentato, tra i diritti degli interessati e le aspettative circa il trattamento dei relativi dati personali e l’interesse del titolare stesso”, cioè mancava del tutto un Legitimate Interest Assessment (LIA) a fondare la liceità dell’operato della società. Non c’era stata nessuna riflessione sugli interessi in gioco.

Non è finita: la società è risultata aver contatto telefonicamente i predetti contatti, senza seguire la procedura di consultazione del Registro delle Opposizioni – su cui abbiamo scritto in questa sede più volte, anche per dare conto dell’attuale riforma in atto. Dulcis in fundo, non ha dato corso a numerose richieste di esercizio dei diritti degli interessati.

I contatti non regola sono risultati di diversi milioni di interessati. Le violazioni contestate degli artt. 6 e 7 del GDPR, con contestuale violazione dei principi di liceità, correttezza e trasparenza del trattamento (art. 5), nonché del principio di accountability (sempre ex art. 5).

Ecco che il Garante ha dunque deciso, il 13 maggio ultimo scorso, per un’adeguata sanzione pecuniaria di tre milioni di euro, comminata a Iren. Da ultimo, l’autorità ha anche rivolto un avvertimento alla società, colpevole di aver fornito una rappresentazione e una documentazione probatoria incompleta ed inidonea durante la fase istruttoria, il che può integrare la violazione di quei doveri di collaborazione cui il titolare del trattamento è tenuto ai sensi dell’art. 31 GDPR.

Quali insegnamenti apprendere

Paiono piuttosto ovvie le lezioni, ormai trite, che possiamo ricavare per tutti i titolari che operano in maniera analoga alla società sanzionata, cioè che acquisiscono liste contatti per fini di marketing.

Le riassumiamo comunque qui, a fronte di una realtà purtroppo non sempre ricettiva alle buone pratiche sul tema e pertanto potrebbe giovare ripeterle ancora una volta:

  1. acquisire sempre e solo liste di contatti non già “in buona fede”, come asserito anche in sede difensiva in questo caso, bensì ad es. a fronte di campioni di prove idonee a certificare un corretto operare o altre forme di verifica e audit;
  2. verificare in particolare l’uso di consensi specifici per la comunicazione dei dati alla propria impresa quale terzo, in sede di raccolta;
  3. non utilizzare i medesimi dati per costituire “multi-party supply chain”, catene di titolari basate su di un unico consenso;
  4. comprovare i consensi informati, in maniera specifica ed esaustiva (un esempio può essere la consent receipt indicata nel recente standard ISO 29184).

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr