Unsolicited promotional activities: the Italian Data Protection Authority fines Eni Gas e Luce for 8 million euros.

The company Eni Gas e Luce has received from the Italian Data Protection Authority an administrative sanction of € 8,500,000.00 for unwanted telemarketing activities and unlawful management of contact data used for marketing campaigns. The company was sanctioned for having made advertising calls without the consent of the data subjects, for not having adopted adequate technical and organizational measures to implement the expressions of will of the data subjects and for having kept the data of the data subjects for a longer period than the necessary period to pursue the purposes. This is what emerged from the investigations of the Guarantor, which began following some reports received by the Authority during 2018 and 2019.

IL FATTO:

Tra la fine del 2018 e l’inizio del 2019, il Garante per la protezione dei dati personali ha avviato alcune indagini in merito alla gestione delle campagne marketing da parte della società Eni Gas e Luce (EGL); molti utenti lamentavano infatti la ricezione di chiamate promozionali da parte di EGL in assenza di consenso. Al termine delle indagini il Garante ha potuto riscontrare diverse anomalie nella gestione dei contatti utilizzati per le campagne marketing da parte della società, con particolare riferimento all’acquisizione dei dati e alla successiva conservazione degli stessi. Le indagini hanno fatto emergere infatti che la società EGL acquisiva liste di contatti tramite list provider senza effettuare alcun controllo su questi ultimi e senza verificare il rispetto della normativa relativa al trattamento dei dati personali; la società EGL non verificava in alcun modo infatti che i fornitori, in fase di raccolta dei dati degli utenti, procedessero alla consegna dell’informativa e all’acquisizione del consenso ai sensi del Regolamento UE 2016/679. Dalle indagini del Garante emergevano ulteriori anomalie nella gestione dei contatti usati per finalità di marketing; in particolare, la società EGL risultava aver effettuato, nel periodo oggetto di indagine, alcune chiamate promozionali in assenza del consenso da parte degli interessati nonché verso numerazioni telefoniche iscritte nel Registro pubblico delle opposizioni. Un ulteriore rilevo sollevato dal Garante riguardava infine i tempi di conservazione dei dati, poiché dalle indagini si riscontrava la presenza nei database della società EGL di contratti cessati dal 1998. Al termine delle indagini, il Garante accertava pertanto la violazione di disposizioni del Regolamento UE 2016/679 e del Codice privacy, con riferimento all’effettuazione di telefonate pubblicitarie senza il consenso (e talvolta in presenza di esplicito diniego), la mancata adozione di misure tecnico organizzative per garantire il corretto recepimento delle espressioni di volontà degli interessati e la conservazione dei dati personali contenuti nei contratti per tempi superiori a quelli connessi al perseguimento delle finalità per le quali i dati sono trattati.

Il Garante, alla luce di quanto rilevato nel corso delle indagini, prescriveva alla società di procedere all’implementazione di procedure e strumenti di controllo per verificare, almeno a campione, lo stato dei consensi degli interessati inseriti nelle liste acquisite dai fornitori esterni (list provider) e, sempre al fine di rimediare alle criticità riscontrate, di implementare meccanismi volti ad automatizzare i flussi di dati dal CRM alla black list della società.

La descritta sanzione del Garante è stata erogata ai sensi del Regolamento UE 679/2016 che prevede, all’articolo 83, le “condizioni generali per infliggere sanzioni amministrative pecuniarie” ossia i criteri e parametri da considerare al fine di erogare sanzioni amministrative in materia di trattamento dei dati personali; tale disposizione del Regolamento è finalizzata a garantire l’effettività, proporzionalità e dissuasività delle sanzioni. Nel rispetto di tale previsione, il Garante, nel Provvedimento in esame, al fine di commisurare la sanzione ha ritenuto rilevante l’ampio numero di potenziali interessati coinvolti nella vicenda e la gravità della violazione, anche in considerazione della “particolare pervasività dei contatti illeciti nell’ambito di attività di telemarketing e teleselling, potenzialmente lesivi del diritto alla tranquillità individuale e il diritto alla riservatezza”. Nelle valutazioni del Garante ha avuto particolare importanza anche l’aver riscontrato carenze organizzative che hanno portato alla mancata attuazione dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita (i c.d. principi di “privacy by design e by default”). La sanzione è stata commisurata anche alla luce della durata della violazione (dall’entrata in vigore del Regolamento al termine della istruttoria del Garante) e del carattere negligente del trattamento e, infine, in considerazione dei vantaggi economici derivanti dalle attività di telemarketing e teleselling svolte in violazione della normativa in materia di protezione dei dati personali. Nel Provvedimento citato il Garante ha inoltre asserito che, con riferimento alle attività di telemarketing, “deve ritenersi raggiunto da tutti gli operatori del settore una sufficiente consapevolezza dei principi generali che devono essere osservati per garantire la corretta tutela degli Interessati”. Per quantificare la sanzione amministrativa, il Garante ha in ogni caso considerato le attività poste in essere da EGL in seguito alle indagini, per mitigare e limitare le conseguenze della violazione.

PERCHÉ È IMPORTANTE:

Il Provvedimento in esame risulta di notevole interesse poiché ricorda, ancora una volta, l’importanza delle disposizioni previste in materia di trattamento dei dati personali relative alle attività di c.d. telemarketing. Tali attività sono espressamente riconosciute dal Garante come particolarmente pervasive e, dunque, necessitano di particolare attenzione da parte degli operatori economici, al fine di garantire effettiva tutela agli interessati. Il Garante ha ritenuto di rilevante gravità la violazione anche in ragione della tipologia di trattamento e in considerazione del fatto che, oggi, il livello di consapevolezza in merito alle tematiche relative al trattamento dei dati personali degli operatori economici deve essere adeguato. Non è dunque più ammissibile, per un operatore economico ignorare la normativa privacy in materia di attività di marketing, né prescindere dalla predisposizione di un adeguato assetto organizzativo per garantire il rispetto della normativa vigente a partire dalla fase di progettazione delle attività.

Per non perderti le novità e gli approfondimenti di Tonucci & Partners, iscriviti alle nostre newsletter

    I have read the Privacy Policy
    and i authorized the treatment of my personal data

    No Comments
    Leave a Reply