Il telefono squillava, creando disagi agli utenti che non avevano chiesto di essere contattati: chiamate promozionali illecite, poiché svolte senza consenso e quindi in violazione delle norme sulla data protection. Nei guai per questa pratica selvaggia di telemarketing è finito Sky Italia, sanzionato dal Garante privacy per circa 3,3 milioni di euro. L’autorità ha vietato inoltre “l’ulteriore trattamento dei dati a fini promozionali realizzato con liste acquisite da altre società”, si legge in una nota ufficiale, e ha indicato all’operatore come mettersi in regola.
La sanzione assume particolare rilevanza inquadrata in un contesto più ampio di rapporti tra imprese e data protection. Come spiega Anna Cataleta, partner senior di P4I, la multa “evidenzia quanto ancora oggi, e nonostante i numerosi precedenti in tema di marketing e di telemarketing, aziende di grandi dimensioni non riescano a bilanciare gli obiettivi di business con le tutele previste dall’ordinamento in tema di privacy”.
Indice degli argomenti
L’indagine del Garante privacy su Sky Italia
Al Garante della privacy sono giunte decine di segnalazioni da parte di persone che lamentavano di ricevere telefonate promozionali indesiderate in cui si pubblicizzavano i servizi di Sky. Queste, spiega il Garante, venivano svolte “direttamente sia tramite call center di altre società. Molte le criticità riscontrate, in particolare l’effettuazione di chiamate promozionali senza informativa e senza consenso, utilizzando liste non verificate, acquisite da altre società”. L’autorità ha quindi avviato una fase di indagine per accertare la situazione.
Il nuovo registro delle opposizioni contro gli abusi privacy, ecco l’attuale testo
Il Garante ha sottolineato che il consenso “a comunicare i propri dati a terzi dato dagli utenti alla società fornitrice delle liste non la autorizzava a utilizzare i nominativi a fini promozionali. Per svolgere correttamente l’attività di telemarketing Sky, all’inizio della telefonata, avrebbe dovuto fornire all’utente una propria informativa spiegando anche la provenienza dei dati e – solo dopo aver ottenuto il consenso – procedere con la proposta commerciale”. Questo non solo non avveniva, ma oltretutto Sky “avrebbe dovuto, prima di effettuare una qualunque operazione, controllare attraverso le proprie black list che le persone da contattare non avessero espresso la loro contrarietà a ricevere telefonate pubblicitarie proprio dei suoi prodotti”.
Anche la pec per fare opposizione al consenso Sky
Il Garante ha quindi prescritto a Sky di “prevedere tra i canali di ricezione delle dichiarazioni di opposizione al trattamento, anche l’indirizzo Pec indicato nel registro delle imprese, indirizzo che finora la Società non aveva ritenuto un valido punto di contatto per la privacy”. L’operatore inoltre dovrà indicare i fornitori come responsabili di tutte le fasi del trattamento dei dati, con il fine di sottolineare che la società in quanto titolare del trattamento deve vigilare su come agiscono e verificare che i contatti avvengano in modo corretto.
La sanzione a Sky
Sky è stato multato per circa 3,3 milioni di euro. Una cifra determinata tenendo conto “della gravità delle violazioni riscontrate, che si riferiscono a condotte “di sistema” radicate nelle procedure societarie e del fatto che Sky, da molti anni presente sul mercato italiano, avrebbe dovuto impostare le proprie scelte di fondo nel rispetto della normativa sulla privacy”, spiega l’autorità.
Cataleta: “Confusione giuridica prima che organizzativa”
Le contestazioni “riguardano temi noti come la differenza fra contatti automatizzati o con operatore, cessione dei dati, verifica dei consensi, obblighi di trasparenza”, precisa Cataleta. Ciò “denota una confusione giuridica prima ancora che organizzativa. Permane una scarsa conoscenza del titolo X del Codice della privacy e comunque dei provvedimenti storici dell’Autorità come quello del 2013 sullo spamming. Ancora molta strada deve essere fatta in termini di competenze e capacità organizzative”, conclude l’esperta.
Le due principali violazioni in dettaglio
Di seguito le parti del provvedimento che chiariscono le due principali violazioni.
Trattamento su liste di contattabilità
In primo luogo, con riferimento al trattamento di dati personali effettuato da Sky successivamente all’acquisizione delle liste di contattabilità da soggetti terzi, si rileva che, se il consenso prestato dagli interessati ai predetti Terzi costituisce idonea base giuridica per la comunicazione di dati da titolare (i Terzi) a titolare (Sky), ciò non vale in relazione al successivo trattamento in forza del quale Sky ha poi contattato gli interessati.
Il regime di semplificazione previsto dal citato provvedimento dell’Autorità del 4 luglio 2013 per cui “qualora l’interessato rilasci il … consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale” ovvero, se sono “stati forniti all’interessato anche gli altri elementi previsti all’art. 13 del Codice”, questi potranno effettuare nei suoi confronti attività promozionale senza il rilascio “agli interessati un’ulteriore informativa”, fa riferimento esclusivamente alle “attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2”. Ne deriva che Sky, per le attività promozionali effettuate mediante contatti con operatore umano, non può avvalersi del regime di semplificazione previsto dal provvedimento del 2013, ma, nel corso del contatto promozionale, dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali comunicati alla Società (in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento) e solo dopo aver acquisito il consenso potrà procedere ad effettuare la proposta promozionale. Ciò, peraltro, è quanto si ricava dal combinato disposto degli artt. 6, 7 e 14, par. 3, lett. b), del Regolamento.
Nel caso di specie, la Società non ha dimostrato di aver fornito agli interessati, destinatari di contatti promozionali da parte di un soggetto al quale non avevano rilasciato espressamente il consenso al trattamento dei dati per finalità promozionali, un’idonea informativa che li rendesse edotti, tra l’altro, “che il dato è stato raccolto presso terzi ed indicando il titolare originario del dato”, consentendogli, ad esempio, di revocare il consenso originariamente prestato al Terzo.
In particolare, lo script prodotto da Sky fa riferimento a ipotesi di contatto di persone presenti nei database di Sky ovvero negli elenchi telefonici (“nominativo Sky” e “nominativo estratto da elenchi telefonici”) e non contiene alcuna indicazione in merito al caso in esame in cui Sky ha effettuato i contatti promozionali sulla base dei contratti di cessione dei dati personali sottoscritti con Terzi. Tantomeno ciò risulta dall’allegato 14 alla memoria difensiva, un documento contenente un’informativa privacy prospect in cui, sebbene si espliciti che la Società utilizza dati “forniti a Sky da società terze alle quali [l’interessato] ha fornito apposito consenso alla cessione dei .. dati per finalità di marketing ad aziende facenti parti delle categorie merceologiche indicate all’interno dell’informativa privacy a te erogata da tali società terze”, non è stata chiarita l’esatta origine del dato e inoltre non si comprende in quale occasione e con quali modalità tale informativa verrebbe comunicata all’interessato, trattandosi di un documento che si compone di 5 pagine e la cui lettura integrale da parte dell’operatore nel corso di un contatto telefonico promozionale non può essere seriamente presa in considerazione come modalità ordinaria di adempimento di quanto prescritto agli artt. 13 e ss. del Regolamento.
In secondo luogo, con riferimento proprio all’acquisizione delle liste di contattabilità da soggetti terzi, non si ritiene condivisibile l’orientamento di Sky secondo cui quest’ultima non sarebbe tenuta a verificare la corretta acquisizione da parte dei medesimi soggetti terzi del consenso per la comunicazione dei dati né ad effettuare operazioni di scrematura dei predetti dati rispetto a quelli inseriti nelle proprie black list.
Al contrario, posto che la campagna promozionale è indirizzata a promuovere servizi di Sky, ricevuti i dati di contatto da parte di Terzi, è onere della stessa Sky verificare che i soggetti che vengono contattati siano soggetti “consensati” e, cosa ancora più importante, non siano persone che abbiano espresso una inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi della Società. Se così non fosse, le norme relative al diritto di opposizione per i trattamenti promo-pubblicitari potrebbero essere facilmente eluse, poiché la revoca del consenso effettuata nei confronti di un titolare non determinerebbe la cessazione dei contatti promozionali. Ciò, oltre a determinare un risultato giuridicamente illogico (lo svuotamento del diritto di opposizione), comporterebbe l’ulteriore grave conseguenza che l’interessato non potrebbe più controllare la sorte dei suoi dati, posto che nemmeno una chiara opposizione ai contatti promozionali rivolta a un titolare potrebbe portare alla definitiva cessazione di tali contatti.
Quanto poi ai provvedimenti richiamati dalla Società (provvedimento n. 280 del 9 maggio 2018, doc. web. 9025666 e provvedimento di carattere generale del 29 maggio 2003) gli stessi appaiono del tutto inconferenti rispetto al caso in argomento poiché sebbene il primo si riferisca a doglianze “di diversi segnalanti [i quali] hanno lamentato che la ricezione delle chiamate promozionali indesiderate (riconducibili all’attività di Telefonika) è avvenuta senza aver manifestato alcun consenso e, in alcuni casi, nonostante l’iscrizione delle rispettive utenze nel cd. Registro delle opposizioni”, i processi di trattamento non sono assimilabili a quelli svolti da Sky; mentre il secondo, oltre a riguardare trattamenti relativi all’invio di messaggi di posta elettronica (equiparabili ai trattamenti automatizzati e quindi assoggettati a una disciplina diversa), in ogni caso prevede che “chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati nell´art. 10 della legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui l´interessato possa esercitare i diritti riconosciuti dalla legge”.
L’Autorità prende atto che Sky ha dichiarato:
– di aver “comunque effettuato controlli a campione sui consensi raccolti”. In particolare, in sede di audizione, Sky ha precisato di aver dato luogo dal 2013 al giugno 2021 a “16 audit di terze parti”;
– di “contra[re] con la BL tutte le liste prospect (incluse le anagrafiche provenienti da cessioni di liste da terze parti…)”;
– di aver “progressivamente abbandonato l’utilizzo di contratti di cessione dati (‘Cessione Leads’), preferendo … modalità meno invasive delle telefonate, tra cui l’SMS”.
Pur riconoscendo che le attività di cui sopra sono potenzialmente idonee ad arginare il fenomeno delle chiamate indesiderate, deve evidenziarsi che, in concreto, numerosi contatti sono stati posti in essere in violazione delle disposizioni in materia di informativa, consenso e accountability, e deve pertanto confermarsi la responsabilità di Sky in ordine a quanto contestato al punto 1).
Va inoltre osservato che Sky ha considerato non veritiera la circostanza espressa da alcuni segnalanti di essere stati destinatari di numerose telefonate da parte dei call-center della Società nell’arco di pochi giorni, affermando che il sistema consente di effettuare nei confronti del medesimo interessato al “Massimo 28 tentativi di chiamata per anno”. Al riguardo, deve rilevarsi che tale impostazione oltre ad essere in netto contrasto con quanto dichiarato da diversi segnalanti, appare in ogni caso idonea a determinare un rilevante disagio per l’interessato. A ciò deve aggiungersi che Sky non ha documentato la procedura in base alla quale i call-center acquisiscono e registrano le opposizioni espresse dagli interessati nel corso del contatto telefonico. Dall’insieme di tali elementi deve desumersi la sussistenza della contestata violazione, sempre ricompresa al punto 1) dell’art. 21 del Regolamento, in materia di esercizio del diritto di opposizione.
Contratti pubblicitari con alcuni fornitori
Dall’istruttoria svolta è emerso che Sky ha sottoscritto contratti di Advertising con alcuni fornitori (es. Indicta S.rl.l, R&D Communication s.r.l. e Brands Up S.r.l.) per lo svolgimento di “un’attività promo pubblicitaria… che si realizzerà attraverso una serie di campagne pubblicitarie… per promuovere la sottoscrizione di contratti televisivi a pagamento di Sky… tramite SMS rivolti ad un target di clienti” del fornitore (o di Wind Tre S.p.A., come nel caso di Brands Up), che hanno espresso consenso al marketing di terzi. Tale attività promozionale “è finalizzata a sollecitare i clienti, una volta ricevuta la comunicazione pubblicitaria, a inviare un SMS con testo ‘OK’ a una numerazione [del fornitore] per essere ricontattati da Sky. Solo successivamente al rilascio del suddetto consenso, [il fornitore] si impegna a comunicare a Sky il numero dell’utenza cellulare… dei clienti che hanno autorizzato ad essere ricontattati da un operatore telefonico Sky per la promozione dell’offerta”.
Alla luce di quanto sopra, si possono distinguere due diverse fasi di attività promozionale (i) una prima fase, che vede come protagonisti i partner/fornitori, i quali “raccolgono dati consensati marketing di terzi nei propri data base, li organizzano ed utilizzano per i loro specifici ed autonomi scopi, nonché trasmettono sms promozionali a propri interessati previamente informati e consensati marketing di terzi, per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi” e (ii) una seconda fase, eventuale, in cui il protagonista dell’attività di marketing è Sky, la quale effettua contatti promozionali nei confronti degli utenti che hanno “clicca[to] OK sul SMS per conoscere l’offerta di Sky”.
Al riguardo, si rileva che non è condivisibile l’impostazione di Sky secondo cui nella prima fase “i partner sono classificati titolari autonomi” in quanto “si occupano … dei trattamenti… per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi”.
Nel caso di specie, deve osservarsi che la campagna promozionale effettuata dai partner/fornitori per conto di Sky non è costituita dalla mera illustrazione dei servizi e dei prodotti della Società, ma dall’invio di sms promozionali finalizzati ad ottenere un flusso di informazioni di ritorno verso questi ultimi (la risposta positiva del soggetto contattato a ricevere la promozione di Sky) e una comunicazione dei dati di contatto alla stessa Sky, a fronte di un opt-in (l’SMS di “OK”) estremamente (e arbitrariamente) semplificato.
In tale caso è evidente che, fermo restando quanto osservato nel paragrafo precedente in tema di accountability, i partner/fornitori, che trasmettono sms promozionali ai propri interessati al fine di promuovere dei servizi per conto di Sky nonché al fine di “sollecitare i clienti…a inviare un SMS con testo “OK”” per essere ricontattati da Sky “operano di fatto, e a tutti gli effetti, come se fossero stati ‘preposti dal titolare al trattamento di dati personali’, dunque in piena e sostanziale aderenza alla definizione del ‘responsabile’” (cfr. il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web n. 1821257). Una differente impostazione, oltre a rappresentare una marcata forzatura delle regole in materia di protezione dei dati personali laddove arbitrariamente si modificano ruoli e responsabilità dei vari soggetti che concorrono a realizzare un trattamento che invece deve considerarsi unitario, principalmente a garanzia degli interessati, renderebbe il committente della campagna pubblicitaria, in questo caso Sky, del tutto estraneo e “irresponsabile” da scelte e processi che sono ricompresi a pieno titolo nella campagna medesima e che hanno quale unica finalità e conseguenza quella di far confluire, proprio nei database del committente, informazioni personali dei cd. “prospect” al fine di veicolare nei confronti degli stessi una articolata proposta commerciale relativa ai propri servizi. La conseguenza di tale impostazione è idonea a impedire all’interessato il pieno controllo dei propri dati e un compiuto esercizio dei diritti nei confronti del soggetto nell’interesse del quale i trattamenti sono svolti.
Come già osservato dall’Autorità in passato (cfr. il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web n. 1821257) “deve essere … ribadito che le agenzie in outsourcing … non possono essere considerate quali titolari autonomi, dal momento che all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;-impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;-svolgere funzioni di controllo rispetto all’operato degli outsourcer medesimi”.
Si è notato che “È … sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia – come nei casi esaminati – il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali … già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell´art. 29”.
Dalla designazione a responsabile del trattamento, come noto, deriva l’obbligo del titolare di vigilare sull’operato di quest’ultimo. I nuovi principi dettati del Regolamento inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione (accountability) e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.
Al riguardo, si è già evidenziato che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso” (cfr. il provvedimento n. 143 del 9 luglio 2020).
Sky pertanto agendo in qualità di titolare anche con riferimento alla cosiddetta prima fase della campagna promozionale avrebbe dovuto verificare che i soggetti contattati avessero ottenuto l’informativa e rilasciato un idoneo consenso alla ricezione di SMS promozionali e non fossero inseriti nelle BL della Società. Successivamente, a fronte dell’“OK” espresso dagli interessati, Sky avrebbe potuto contattare questi ultimi ma, in occasione del contatto avrebbe dovuto fornire gli elementi di cui all’art. 14 del Regolamento e acquisire il consenso per il contatto promozionale con operatore umano, cosa che sulla base della documentazione fornita dalla Società non risulta sia avvenuta.
Alla luce di quanto sopra, si conferma la responsabilità di Sky in ordine alla violazione degli artt. 5 parr. 1 e 2, 6, par. 1, 7, 14, nonché 28 e 29 del Regolamento, di cui al punto 2) della contestazione.
