Sky Italia è stata multata dal Garante per la protezione dei dati personali per gravi violazioni nelle sue attività di marketing, in particolare per l’uso di dati personali acquisiti da terzi senza verificare correttamente il consenso degli interessati.
La società ha inviato comunicazioni promozionali, sia tramite SMS che telefonate, a utenti che non avevano espresso un consenso libero e specifico, come richiesto dal Regolamento europeo sulla protezione dei dati (GDPR).
In alcuni casi, Sky ha fatto riferimento a consensi acquisiti molto tempo prima, senza aggiornarli secondo le nuove normative, e ha trattato dati di persone che si erano iscritte al servizio NOW senza garantire che queste avessero effettivamente accettato di ricevere offerte commerciali.
Inoltre, la società non ha rispettato l’obbligo di consultare il Registro Pubblico delle Opposizioni, che avrebbe dovuto escludere i numeri iscritti da ogni tipo di contatto promozionale.
La mancanza di controlli adeguati e l’utilizzo di consensi inadeguati hanno portato il Garante a vietare a Sky di continuare a trattare dati personali per scopi commerciali senza effettuare verifiche adeguate e a imporle di aggiornare le proprie pratiche per rispettare le normative in materia di protezione dei dati.
Indice degli argomenti
La catena promozionale
Il provvedimento del Garante per la protezione dei dati personali evidenzia un aspetto fondamentale in materia di trattamento dei dati: la responsabilità del titolare, in questo caso Sky Italia, non si limita solo alle proprie attività dirette, ma si estende anche alle operazioni affidate a soggetti terzi.
Il titolare del trattamento, infatti, ha l’obbligo di garantire il rispetto delle normative sulla privacy lungo tutta la catena del trattamento, dal momento della raccolta dei dati fino alla loro utilizzazione finale.
In particolare, Sky Italia, come titolare del trattamento, era tenuta a un controllo adeguato e continuo su tutti gli “anelli” della catena del trattamento, a partire dalla selezione dei dati da utilizzare, passando per la verifica della loro liceità, fino alla sottoscrizione del contratto con l’interessato.
Questo implica una valutazione documentata dell’intero processo, in cui devono essere analizzate e garantite la trasparenza e la correttezza delle informazioni fornite agli utenti, nonché l’effettiva libertà e consapevolezza del loro consenso.
Nel caso specifico, Sky aveva esternalizzato alcune operazioni a terzi, come la raccolta dei dati tramite moduli online su siti gestiti da autonomi titolari del trattamento. Questi soggetti avevano ottenuto il consenso degli utenti per scopi promozionali e successivamente trasmesso i dati a Sky.
Tuttavia, la documentazione fornita dalla società non è risultata sufficientemente dettagliata per permettere una verifica accurata della liceità dei trattamenti.
La prova dell’acquisizione del consenso per telemarketing
Un aspetto cruciale emerso dall’indagine del Garante riguarda la validità della documentazione prodotta da Sky Italia a supporto dell’acquisizione del consenso per le attività di telemarketing.
I file Excel, nei quali la società ha registrato i dettagli degli asseriti consensi rilasciati dagli utenti, sono risultati modificabili. Questa caratteristica li rende inidonei a comprovare in modo inequivocabile la volontà espressa dagli interessati per il trattamento dei loro dati personali.
Secondo le disposizioni del Codice dell’Amministrazione Digitale (CAD), che regolano anche il settore privato, i documenti informatici utilizzati per attestare il consenso devono possedere caratteristiche di immodificabilità e integrità, come stabilito dalle Linee guida dell’AgID sulla formazione e conservazione dei documenti informatici.
Tali requisiti sono essenziali per garantire che il consenso raccolto possa essere validamente utilizzato come prova. In particolare, le Linee guida specificano che le operazioni di registrazione e conservazione dei documenti devono includere misure di protezione dell’integrità dei dati, come la registrazione nei log di sistema e l’adozione di modalità di conservazione sicure.
Tuttavia, i file Excel prodotti da Sky non rispondono a questi requisiti, in quanto non sono estratti direttamente dai sistemi informatici aziendali e non godono delle garanzie necessarie di immodificabilità.
Di conseguenza, tali documenti non sono stati considerati validi sul piano probatorio, poiché privi di quelle caratteristiche di oggettività e integrità che renderebbero il consenso realmente verificabile.
Autodeterminazione e tempo: la validità del consenso
Il consenso al trattamento dei dati personali per finalità promozionali, se correttamente acquisito, è valido fino a quando non viene revocato dall’interessato. Questo principio riconosce nel consenso l’espressione della libertà individuale e dell’autodeterminazione, stabilendo che la sua validità non dipenda dal tempo trascorso.
Tuttavia, con il recente intervento del Garante per la protezione dei dati personali, emerge una visione che introduce un’eccezione a questo principio. Sebbene il consenso non venga automaticamente invalidato dal passare del tempo, l’Autorità ha affermato che non può essere considerato valido in modo indeterminato, anche se non revocato.
In pratica, il Garante stabilisce una sorta di “consenso a termine”, ponendo una scadenza implicita sulla sua validità, che deve essere periodicamente rinnovato, tenendo conto dei cambiamenti normativi e delle esigenze di protezione dell’individuo.
Questa interpretazione, pur mirata a tutelare i diritti dell’interessato, solleva interrogativi sulla prevedibilità delle decisioni amministrative. Infatti, l’introduzione di un limite temporale per il consenso, pur non essendo espressamente prevista dalla normativa, rischia di compromettere la certezza delle regole.
Sebbene gli interessati possano sempre revocare il consenso, la necessità di rinnovarlo periodicamente potrebbe generare incertezze e confusione, sia per chi ha dato il consenso in passato, sia per i titolari del trattamento che si trovano a dover navigare in un quadro normativo in evoluzione.
In questo modo, il Garante introduce una limitazione che, seppur orientata alla tutela dell’autodeterminazione, sembra andare contro i principi di certezza, prevedibilità e stretta legalità che dovrebbero caratterizzare le decisioni amministrative.
Granularità del consenso
La granularità del consenso è un concetto cruciale nel contesto del GDPR e si riferisce alla necessità di ottenere il consenso in modo dettagliato e specifico per ogni singola finalità di trattamento dei dati personali.
In altre parole, un utente non può essere costretto a fornire un consenso generico per l’intero trattamento, ma deve essere posto di fronte a richieste chiare e distinte per ciascun scopo specifico (ad esempio, marketing, profilazione, condivisione dei dati con terzi).
E l’Autorità contesta la previsione di un consenso generale obbligatorio per usufruire del servizio. Questo approccio potrebbe ridurre la libertà dell’interessato, creando una sorta di “coazione implicita”, dove l’utente si trova costretto a dare un consenso globale per poter accedere ai servizi, minando la vera libertà di scelta che il GDPR intende tutelare.
Legittimo interesse nell’attività di marketing
Nel contesto delle attività di marketing, un punto cruciale più volte ribadito dall’Autorità Garante riguarda la validità delle basi giuridiche per le comunicazioni promozionali effettuate tramite telefono o sms.
Secondo quanto stabilito dal GDPR e dal Codice della privacy, le comunicazioni promozionali basate su questi strumenti non possono fare riferimento a basi giuridiche generiche, senza considerare le specifiche disposizioni normative in materia.
In particolare, l’articolo 130 del Codice privacy stabilisce che i contatti promozionali effettuati tramite sistemi automatizzati di chiamata senza l’intervento di un operatore possano avvenire esclusivamente con il consenso esplicito dell’interessato (opt-in).
Nel caso di telefonate effettuate con l’intervento di un operatore, invece, il trattamento è consentito in assenza di un diniego esplicito, che può essere esercitato mediante l’iscrizione al Registro Pubblico delle Opposizioni (opt-out).
È quindi evidente che, per le comunicazioni promozionali via telefono o sms, il ricorso al legittimo interesse non è compatibile con la normativa vigente. L’unica eccezione è rappresentata dal cosiddetto “soft spam” di cui all’art. 130, comma 4, del Codice, che consente l’invio di comunicazioni promozionali per la vendita diretta di servizi analoghi, senza il consenso, ma solo attraverso l’e-mail e solo a condizione che l’interessato sia stato adeguatamente informato e non rifiuti tale uso.
Quest’ultima disposizione è di natura speciale e derogatoria rispetto alla regola generale sul consenso, motivo per cui non è suscettibile di interpretazione estensiva.
Pertanto, l’Autorità ribadisce che l’invio di comunicazioni promozionali, specialmente quelle tramite sms e telefonate, deve avvenire nel pieno rispetto delle disposizioni legislative che garantiscono i diritti degli interessati.