Il Garante privacy, in esito agli accertamenti portati avanti di concerto con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza di Roma, ha disposto per la prima volta la misura accessoria della confisca di banche dati nei confronti di due call center che effettuavano attività di telemarketing illegale.
L’azione si inserisce nel solco dei provvedimenti presi dal Garante per contrastare il fenomeno, sempre più pressante, del telemarketing in violazione della normativa in materia di protezione dei dati personali.
La segnalazione è arrivata dalla Compagnia della Guardia di Finanza di Soave (VR), e ha portato all’attenzione del Garante quattro società che, in esito ai successivi accertamenti, sono risultate svolgere attività costituenti una delle varie forme del c.d. “sottobosco”, che il Comunicato Stampa del Garante riporta quale “causa dell’odierna espansione del telemarketing illegale: un fenomeno che si alimenta con affidamenti ed attività al di fuori delle norme, ma anche per un insufficiente controllo da parte delle grandi aziende committenti” [1].
In particolare, due delle quattro aziende coinvolte (quelle veronesi), acquisivano liste di anagrafiche prive di indicazioni in ordine alle modalità di raccolta dei dati e di acquisizione del necessario consenso da parte dei potenziali clienti, senza peraltro effettuare alcuna verifica in ordine a tali elementi. Gli interessati venivano contattati dai call center abusivi, che promuovevano servizi energetici con l’obiettivo di procacciare nuova clientela. Dagli accertamenti è emerso che, per ciascun procacciatore, l’attività di acquisizione clienti prevedeva il contatto quotidiano telefonico di circa cinquanta soggetti, da cui dovevano derivare otto appuntamenti per le giornate successive, finalizzati alla conclusione di contratti di fornitura energetica. Gli operatori, segnala il Garante, proponevano “offerte commerciali di diverse compagnie energetiche, giungendo anche a proporre, dopo poco tempo, passaggi inversi fra queste, al fine di accrescere le proprie provvigioni”[2].
I contratti così conclusi venivano trasferiti alle altre due società, toscane, che li inserivano nei database delle compagnie interessate, senza però avere mai ricevuto incarico formale in tal senso e senza che fossero adottate le misure adeguate in termini di compliance e sicurezza. L’intero processo, infatti, non era supportato da alcuna procedura interna, né dalla formalizzazione dei ruoli dei soggetti coinvolti nel trattamento.
A seguito delle richieste effettuate dal Garante, tre delle quattro società non hanno presentato memorie difensive né richiesto audizioni davanti all’Autorità, mentre una, pur avendo richiesto audizione, “ha tuttavia inteso articolare la propria difesa senza fornire alcuna spiegazione delle numerose e gravi violazioni contestate”[3]. A partire dal “così plateale atteggiamento che in nessun momento ha evidenziato una reale volontà di interlocuzione costruttiva con l’Autorità”[4], il Garante conclude per la radicale illiceità dei trattamenti effettuati dalle quattro società e, oltre a sanzionarle per diverse migliaia di euro e disporre il divieto di effettuare ogni trattamento che preveda l’utilizzo delle liste e i database nella loro titolarità, dispone, per due di loro, la sanzione accessoria della confisca dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite. Tale ultima misura è giustificata non solo dal totale spregio, ab origine, della normativa in materia di dati personali e dal giudizio prognostico di rilevante pericolosità in relazione ai futuri trattamenti, ma anche, e forse soprattutto, “la confisca appare funzionale a tutelare adeguatamente l’elevato numero di interessati, loro malgrado incappati nel complesso di attività illecite sin qui descritto. La misura della confisca assume, dunque, il significato di restituire, quantomeno idealmente e figurativamente, agli interessati, il senso di una adeguata tutela dei propri dati personali per il tramite di una pubblica Autorità, a fronte del fatto che l’oggetto della confisca […] rappresenta al contempo lo strumento e il prodotto dell’insieme di violazioni sin qui richiamate”[5].
La misura manifesta una strategia sempre più aggressiva adottata dal Garante nella repressione del fenomeno in esame, che si coordina con l’elaborazione e pubblicazione[6] di codici di condotta per gli operatori del settore e con l’adozione di provvedimenti sanzionatori, generalmente nei confronti delle grandi compagnie, per la non adeguata sorveglianza sui call center abusivi, che ne spendono indebitamente il nome. A tale ultimo proposito, è emblematico il recente provvedimento adottato dal Garante nei confronti di Tim, sanzionata per 7.631.175 euro[7]. È interessante notare come l’Autorità, pur evidenziando alcuni importanti miglioramenti compiuti, “probabile testimonianza della buona volontà delle grandi imprese”, sottolinei la necessità di “ulteriori e più incisivi passi verso l’eradicazione di una vera e propria piaga sociale che danneggia gli operatori corretti ed esaspera, ormai a livelli non più accettabili, i cittadini”.
La strategia sembra essere, allora, quella della responsabilizzazione dei grandi players del settore, nell’ottica di un’azione repressiva del fenomeno proveniente da più fronti. In tal modo, dietro la minaccia di sgradite sanzioni, anche le grandi imprese sono portare a ricoprire un ruolo importante nella lotta a questa pratica abusiva.
[1] Comunicato stampa del 6 giugno “Telemarketing selvaggio: il Garante privacy confisca banche dati”.
[2] Ibid.
[3] Provvedimento del 13 aprile 2023 [doc. web 9893718].
[4] Ibid.
[5] Ibid.
[6] Si ricorda la recente pubblicazione del “Codice di Condotta per le attività di telemarketing e teleselling”, approvato con Provvedimento del 9 marzo 2023 [doc. web 9868813].
[7] Provvedimento del 13 aprile 2023 [doc. web 9894662]