Telemarketing selvaggio: Garante privacy sanziona Iren per 3 mln di euro / Parte 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Telemarketing selvaggio: Garante privacy sanziona Iren per 3 mln di euro / Parte 1

Messaggio da Giancarlo Favero »

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9670025

Grazie e buona lettura,

Giancarlo Favero

Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. - 13 maggio 2021

Registro dei provvedimenti
n. 192 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1 ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Sono pervenuti al Garante diversi reclami e segnalazioni rispetto a trattamenti di dati personali per finalità di marketing riferiti ad Iren S.p.A. ed Iren Mercato S.p.A. da parte di soggetti i cui dati personali non sono stati forniti direttamente alle società, bensì acquisiti da altre fonti.

Ulteriori doglianze hanno riguardato la ricezione di contatti di natura promozionale in assenza di uno specifico consenso da parte degli interessati, ovvero nonostante l’iscrizione dell’utenza telefonica contattata nel Registro pubblico delle opposizioni (di seguito “RPO”), nonché il mancato riscontro alle richieste di esercizio dei diritti da parte degli interessati.

1.2 Richiesta di informazioni e riscontro fornito da Iren Mercato S.p.A.

Sulla base di tali istanze, l’Ufficio ha inviato una richiesta cumulativa di informazioni ed esibizione di documenti ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e 157 del Codice, nei confronti di Iren S.p.A. ed Iren Mercato S.p.A., in data 29 aprile 2020, cui è stato fornito riscontro, con nota del successivo 28 maggio.

Nella suddetta nota è stato preliminarmente rappresentato che Iren S.p.A. opera quale società holding del Gruppo Iren e che le attività di natura commerciale sono svolte dalla controllata Iren Mercato (di seguito “Iren Mercato” o “Società”), nell’ambito dei servizi di approvvigionamento e vendita di energia elettrica, gas e calore per teleriscaldamento.Rispetto alle specifiche doglianze pervenute all’Autorità (XX, XX, XX, XX, XX), la Società ha dichiarato, confermando quanto in parte già rappresentato nelle risposte fornite ad alcuni reclamanti e segnalanti, che i relativi dati personali sono stati acquisiti sulla base del consenso al trattamento “per l’invio di informazioni ed offerte commerciali anche da parte di terzi”, a seguito dell’iscrizione degli interessati al sito on line promoemail.org, gestito da Walldata Group LLC (di seguito “Walldata”) e che quest’ultima ne ha successivamente trasferito le anagrafiche alla Nethex Digital Marketing S.r.l. (di seguito “Nethex”).

Come emerso dalla ricostruzione fornita all’Autorità, i dati sono stati poi ceduti ad Iren Mercato dalla Nethex, essendo la stessa subentrata, a seguito della cessione di ramo d’azienda, nelle attività di teleselling e telemarketing precedentemente svolte dalla Aten@ S.r.l. (di seguito “Aten@”) con la quale Iren S.p.A. aveva stipulato accordi contrattuali.

In particolare detti accordi prevedevano la fornitura e cessione a favore di Iren Mercato “di liste di anagrafiche mobile relative ad interessati aventi valido consenso espresso ed informato per lo svolgimento – anche da parte di soggetti terzi – di attività di teleselling/telemarketing promozionali”.

Nella ricostruzione dei trasferimenti di dati operati dalle sopra menzionate società, in una specifica ipotesi (XX), è stato poi evidenziato che il lamentato contatto promozionale nei confronti del segnalante sarebbe stato ascrivibile unicamente a You Call S.r.l.s. con la quale la Società non ha mai intrattenuto alcun rapporto contrattuale.

Con riguardo alle segnalazioni pervenute da titolari di utenze riservate che hanno lamentato indebiti contatti promozionali, in assenza di un consenso al trattamento dei propri dati per finalità di marketing diretto (XX, XX), la ricostruzione delle relative vicende fornita all’Autorità ha invece evidenziato l’asserita acquisizione del relativo consenso per finalità promozionali di terzi attraverso un altro sito on line. Nello specifico il sito www.treofferteweb.com di comparazione e servizi di energia, gestito dalla Voice S.r.l. (di seguito “Voice”), la quale ha effettuato l’attività di telemarketing nell’interesse di Iren Mercato in veste di responsabile esterno del trattamento.

Analoghe indicazioni sono state offerte rispetto all’asserita acquisizione del consenso degli interessati (XX, XX) per l’invio di informazioni ed offerte commerciali, anche da parte di terzi, sulla base dell’iscrizione al sito web, www.mypiggybank.biz gestito da Oversky Inv LLC (di seguito “Oversky”) che ne ha, in seguito, ceduti i dati ad Iren Mercato. Il rilascio di un consenso nei medesimi termini è stato richiamato anche rispetto ad una segnalante (XX) risultata iscritta al sito www.smartlead.it, nella titolarità della ClickADV S.r.l. (di seguito “ClickADV”), i cui dati, con modalità analoghe a quelle sopra richiamate, sono stati in un primo tempo ceduti alla Nethex e, in seguito, trasferiti da quest’ultima ad Iren Mercato.

A comprova dell’acquisizione del consenso degli interessati Iren Mercato ha fornito la documentazione acquisita dalle diverse società coinvolte.

Quanto al profilo del mancato riscontro all’esercizio dei diritti, lamentato in particolare da un segnalante (XX), la Società ha documentato la tempestività della risposta fornita all’interessato nel rispetto di quanto previsto dall’art. 12, par. 3 del Regolamento, attestando l’impegno ad effettuare la cancellazione dei relativi dati. Con riguardo, invece, al lamentato contatto promozionale effettuato sull’utenza iscritta al Registro pubblico delle opposizioni (XX), la Società ne ha richiamato, quale causa, l’erronea indicazione del numero di telefonia dell’interessato da parte di un cliente di Iren Mercato, reale destinatario della comunicazione.

Rispetto al quadro sopra delineato, infine, la Società ha puntualmente indicato le differenti modalità adottate per la raccolta dei dati dei potenziali clienti “fino alla lettura del Provvedimento dell’11 dicembre 2019 nei confronti della società Eni Gas e Luce S.p.A., pubblicato in data 17/01/2020 da parte di codesta Autorità” (1) e dato atto di essersi attivata e di aver rivisto, proprio alla luce delle indicazioni emerse nel menzionato provvedimento, i processi riferibili all’acquisizione dei consensi ai trattamenti per finalità promozionali da parte di terzi e dei trasferimenti di dati personali.

1.3 Chiusura dell’istruttoria ed avvio del procedimento per l’adozione dei provvedimenti correttivi

Dai riscontri forniti dalla Società sono emersi, con riguardo alle diverse doglianze pervenute all’Autorità, profili di criticità legati sia a successive comunicazioni di dati tra autonomi titolari (espressamente da parte di Nethex (subentrata ad Aten@) ad Iren Mercato, rispetto all’iniziale acquisizione sui siti gestiti da Walldata e da ClickADV), in assenza dello specifico consenso degli interessati, sia all’assenza di un’idonea documentazione volta a comprovare il rilascio del necessario consenso al trattamento dei dati per la comunicazione a terzi per finalità di marketing diretto.

Con riguardo al primo profilo, come già evidenziato dal Garante, in particolare nel menzionato provvedimento n. 232/2019 nei confronti di Eni Gas e Luce S.p.A (di seguito “Eni”) il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato.

In questi termini è stata rilevata la violazione degli artt. 6, par.1, lett. a) e 7, par.1 del Regolamento, con contestuale violazione dei principi di liceità, correttezza e trasparenza del trattamento (art. 5, par. 1, lett. a) del Regolamento), nonché del principio di accountability (art. 5, par. 2 del Regolamento).

Con riguardo al secondo profilo, circa la rilevanza probatoria della documentazione offerta a supporto dell’acquisizione dello specifico consenso da parte degli interessati rispetto all’attività di telemarketing di Iren Mercato, ne sono state puntualmente rilevate le carenze tenuto conto dei riscontri inizialmente forniti.

Rispetto a Walldata tali criticità sono emerse con riguardo alla tabella relativa ai “dati log degli interessati”, riportata nella documentazione riferibile alla stessa, non essendo stato possibile individuare, tra i vari campi evidenziati (relativi ai nominatavi, all’indirizzo fisico ed IP), quello attestante la registrazione-valorizzazione del consenso. Così come, nell’allegato modulo “opt-in e consensi prestati”, è risultata presente solo la formula di prestazione dei consensi senza alcuna indicazione circa una manifestazione di volontà effettivamente riferibile agli interessati.

Analoghe criticità sono emerse con riguardo ai dati acquisiti da Voice, stante la mera attestazione da parte di quest’ultima dell’acquisizione di un generico consenso degli interessati per finalità commerciali, collegato alla relativa numerazione ed il sintetico richiamo a dati asseritamente acquisiti in fase di registrazione al sito web, oltre che l’impossibilità di evincere a quali finalità fosse riferibile il consenso degli interessati riprodotto con una valorizzazione a “SI”.

Anche rispetto ai riscontri documentali acquisisti da Oversky, le criticità si sono appuntate sull’esame delle schermate del sistema prodotte da quest’ultima che riportavano la menzione di consensi rilasciati dagli interessati e valorizzati come “accepted”, anche in tal caso senza alcuna indicazione circa il trattamento al quale gli stessi erano riferibili. Ciò avuto particolare riguardo al trattamento connesso ad attività di promozione commerciale anche di terzi che avrebbe dovuto legittimare i successivi contatti telefonici avvenuti nell’interesse di Iren Mercato. In tal senso si è evidenziata la violazione degli artt. 6, par. 1, lett. a) e 7, par. 1 del Regolamento e dell’art. 130, comma 3 del Codice.

Quanto al lamentato contatto promozionale effettuato sull’utenza iscritta al Registro pubblico delle opposizioni, la circostanza descritta dalla Società rispetto all’erroneo utilizzo della numerazione telefonica dell’interessato è stata valutata sotto il profilo dell’opportunità che la Società approntasse puntuali verifiche della correttezza dei dati in proprio possesso, al fine di evitare indebite comunicazioni nei confronti di soggetti estranei ad ogni rapporto con essa.

In relazione al coinvolgimento di You Call S.r.l.s., in quanto titolare della numerazione chiamante alla quale è risultato riconducibile il lamentato contatto telefonico promozionale effettuato in nome di Iren Mercato, è stata invece rilevata la mancanza di ogni supporto documentale alla base delle dichiarazioni fornite all’Autorità ed un’indicativa carenza di controllo e monitoraggio da parte della Società sulla propria filiera rispetto al fenomeno dell’indebita attivazione di contratti di fornitura energetica da parte di “procacciatori non ufficiali” che definisce un indotto privo di garanzie per gli utenti.

In tal senso si è rilevata la violazione dei principi di accountability (art., 5, par 2 del regolamento) e di privacy by design (art. 25, par. 1 del Regolamento in relazione al necessario rispetto di canoni di prevenzione, funzionalità, trasparenza e sicurezza del trattamento.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1 Memoria difensiva ed audizione di Iren Mercato S.p.A.

In considerazione dei rilievi critici sopra evidenziati, in data 12 ottobre 2020 è stata in-viata ad Iren Mercato la comunicazione di avvio del procedimento ai sensi dell’art. 166, com-ma 5, del Codice.

Il 10 novembre 2020 la Società ha fatto pervenire un’ampia memoria difensiva, corredata da copiosa documentazione, rappresentando che:

- Iren Mercato ha acquisito legittimamente ed in buona fede i dati personali da Nethex, (subentrata come fornitore delle anagrafiche ad Aten@ sulla base di un contratto precedentemente stipulato da quest’ultima in data 19 luglio 2018), ottenendo garanzie rispetto alla piena osservanza della normativa in materia di protezione dei dati personali (cfr. pag. 16 della memoria);

- i dati personali ceduti alla Società da Nethex sono stati raccolti, in maggior misura, nell’ambito del portale generalista promoemail.org, gestito da Walldata e ceduti previo specifico ed autonomo consenso degli interessati in relazione sia alla comunicazione a terzi per finalità promozionali sia alla cessione a soggetti terzi;

- fino alla pubblicazione del provvedimento rivolto ad Eni ed all’interpretazione “innovativa” offerta dall’Autorità, la Società ha operato nel pieno rispetto della disciplina al tempo vigente, dovendosi considerare valido, in virtù del combinato disposto degli artt. 13 e 23 del Codice, il consenso libero e specifico “con riferimento ad un trattamento riferibile ad attività promozionale da parte di terzi ovvero di indefinite categorie di destinatari” (cfr. pag. 9 della memoria);

- tale impostazione, previgente al Regolamento, è stata confermata anche dalla nuova normativa sulla base degli analoghi requisiti, previsti per il consenso, dagli artt. 6 e 7 ed anche dell’art. 13 che rappresenta una riformulazione del precedente art. 13 del Codice;

- anche le Linee-guida del Garante in materia di spam (2) hanno previsto, con riguardo alla necessaria acquisizione di un consenso specifico per comunicazione e/o cessione a soggetti terzi a fini di marketing, che “il titolare del trattamento (nrd. che) intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa ai sensi dell’art.13, comma 1 del Codice”;

- la liceità del trasferimento a terzi di dati personali per lo svolgimento di attività di marketing “non specificando in quali (e quanti) soggetti debbano identificarsi le cd. third parties :”transfer the data to third parties for their own marketing activitie…” deve rinvenirsi anche nella posizione assunta dal WP 29 nell’Opinion 15/2011 (WP249 “on the definition of consent”);

- analogamente, poco prima della definitiva applicabilità del Regolamento, anche nel provvedimento emanato dall’Autorità il 22 maggio 2018 nei confronti di Supermoney S.p.A. (3), il richiamo al requisito del consenso è, pro futuro, formulato nei termini di un consenso libero e specifico nonché documentato, anche con riferimento alle finalità promozionali e di comunicazione/cessione a terzi, dovendosi con ciò ritenere, sulla base di un’interpretazione storico-letterale, che “la medesima Autorità abbia, in un primo tempo, considerato conforme tale orientamento anche rispetto al Regolamento” (cfr. pagg.9-11 della memoria);

- pertanto, nei confronti degli interessati che “acconsentendo alla ricezione di offerte di telemarketing da parte di terzi” hanno dichiarato inequivocabilmente di voler essere contattati, la Società non ha inteso effettuare trattamenti pregiudizievoli per la loro sfera privata, “proponendosi al contrario di rispondere alle istanze che gli stessi hanno validamente manifestato”;

- con riguardo, in particolare, al ruolo rivestito da Nethex, tale società deve essere inquadrata nella figura giuridica dell’intermediario (cd. broker di informazioni) avendo la stessa ”esclusivamente organizzato l’effettiva comunicazione dei dati raccolti”, senza effettuare “alcuna autonoma attività di sfruttamento per finalità promozionale sui medesimi dati” (cfr. pag. 12 della memoria);

- in occasione di precedenti ispezioni ed interlocuzioni con la Società, l’Autorità non ha svolto rilievi “rispetto ad analoghe condotte assunte circa tale modalità di acquisizione di anagrafiche relative a dati di soggetti che abbiano prestato apposito consenso ad attività promozionale da parte di soggetti terzi”;

- la Società ha comunque tempestivamente adeguato le proprie procedure al più rigoroso e specifico indirizzo espresso dall’Autorità;

- il trattamento dei dati personali effettuato dalla Società, a prescindere dalla validità del consenso prestato, troverebbe comunque “una base giuridica adeguata ed equiordinata” nel perseguimento di un suo legittimo interesse per finalità di marketing diretto, stante il contenuto del Considerando 47 del Regolamento, dovendosi, nel caso di specie, dare rilievo alla circostanza che l’interessato, all’atto della registrazione al sito on line, avrebbe potuto ragionevolmente attendersi che i propri dati sarebbero stati ceduti a terzi e comunque utilizzati per trattamenti ulteriori per finalità promozionali di terzi come Iren Mercato;

- in relazione alla prova dell’acquisizione di un idoneo consenso degli interessati con riguardo alle lamentate telefonate promozionali, Iren Mercato aveva già ottemperato nel suo primo riscontro, tenuto conto che rispetto a tale dimostrazione il Regolamento non prevede specifiche modalità, per cui la Società ha inteso dimostrare, con “metodi propri”, in linea con i principi di responsabilizzazione e minimizzazione, “come “ e “quando” erano stati raccolti i dati e i consensi degli interessati;

- rispetto ai singoli casi in cui la predetta prova è stata ritenuta inidonea, ad ulteriore comprova della correttezza del proprio operato, la Società ha comunque richiesto e prodotto documentazione aggiuntiva a tutti i fornitori dei dati, offrendo puntuale riscontro circa la corretta acquisizione del consenso degli interessati;

- rispetto al coinvolgimento della You Call S.r.l.s., che ha rappresentato un caso isolato, nessun rapporto contrattuale, come già dichiarato nel precedente riscontro, è stato mai intrattenuto con quest’ultima da Iren Mercato e, sulla base dei riscontri documentali, è risultato come il nominativo della sopra menzionata società non sia mai stato presente nell’elenco dei fornitori contrattualizzati, né in quello di agenzie teleseller coinvolte in campagne promozionali a favore della Società anche nel periodo in cui è avvenuto il lamentato contatto telefonico;

- inoltre, come da verifiche effettuate presso il ROC, la numerazione chiamante utilizzata non è risultata appartenere ad alcuna delle menzionate agenzie;

- con riguardo poi, agli obblighi di monitoraggio e controllo rispetto alla propria rete di agenzie, la Società non autorizza né ha mai autorizzato i partner del canale teleseller ad avere sub agenzie, collaboratori terzi e procacciatori e ha adottato (e documentato) un’apposita procedura di “Gestione Agenzie Retail” per la selezione degli operatori economici di cui si avvale in veste di agenti, nominati responsabili del trattamento, oltre a prevedere espressamente, all’atto della relativa nomina, puntuali modalità di eventuale ricorso ad altro responsabile esterno;

- le agenzie di teleselling contrattualizzate sono inoltre dotate di un accesso dedicato al sistema CRM al fine di trasmettere alla Società i contratti conclusi previa procedura telefonica, con la conseguenza che quest’ultima non può beneficiare di indebite attivazioni di contratti di fornitura energetica da parte di procacciatori non ufficiali.

- in relazione all’episodio del contatto promozionale, avvenuto sull’utenza iscritta al RPO, la Società effettua generalmente controlli periodici, al fine di verificare l’accuratezza dei dati presenti nel database aziendale e provvede al relativo accertamento, in particolare attraverso specifiche campagne di caring e l’aggiornamento immediato delle anagrafiche “incongruenti”; il caso oggetto della segnalazione al Garante ha costituito un’ipotesi isolata rispetto al portafoglio di clienti Iren Mercato ed al volume delle attività svolte sulla customer base.

- rispetto all’osservanza dei principi di accountabilty e di privacy by design la Società ricorre ad un’articolata gestione aziendale delle tematiche privacy che definisce ruoli e responsabilità, un” corpus procedurale privacy” di natura organizzativa , la designazione del DPO, un piano di formazione aziendale per il consolidamento di dette tematiche, di cui sono prova anche l’esiguità dei casi di contestazione e l’assenza di precedenti sanzioni amministrative da parte dell’Autorità rispetto alle condotte ritenute da ultimo illegittime;

- la liceità dei trattamenti, in adesione al principio di responsabilizzazione, è inoltre garantita da specifici controlli sui trattamenti con finalità promozionali e dal monitoraggio sugli orientamenti dell’Autorità nazionale ed europea, tanto che la Società ha subito “adottato procedure in linea con la nuova interpretazione” espressa dal Garante;

- sussistono comunque significative differenze rispetto al caso Eni stante, in particolare, il numero ridotto di doglianze nei confronti di Iren Mercato, l’assenza di prassi generalizzate e lesive, l’assenza di dolo o colpa, nonché la lieve entità delle conseguenze per gli interessati;

Nel corso dell’audizione di cui all’art. 166, comma 6, del Codice, svoltasi in data 9 dicembre 2020 è stato inoltre evidenziato che: 1) i trasferimenti di dati sono avvenuti, in concreto, attraverso due passaggi e non tre, in ragione del ruolo di “broker di dati” rivestito da Nethex; 2) i trattamenti si sono svolti sulla base di un doppio consenso (consenso specifico alla cessione e consenso alla comunicazione a terzi per lo svolgimento di attività di direct marketing) e tale presupposto di liceità era, ed è sufficiente, a giustificare la comunicazione a terzi, sulla base degli artt. 13 e 23 del Codice nel testo in vigore all’epoca dell’operazione di trattamento, ribadendosi il principio del “tempus regit actum”; 3) deve ritenersi come la suddetta comunicazione e il successivo trattamento dei dati per finalità di marketing possano trovare ampia base legale nel presupposto dell’interesse legittimo del titolare del trattamento, auspicandosi, da parte dell’Autorità, un’interpretazione innovatrice ed estensiva del Considerando 47 del Regolamento.

Rispondi