Il telemarketing e il trattamento illecito dei dati personali: il caso “Vodafone Italia”

Avv. Francesca De Carlo


Il Garante per la protezione dei dati personali, con provvedimento del 12 novembre 2020, n. 224, ha sanzionato Vodafone Italia s.p.a. con una multa di oltre 12 milioni di euro per aver trattato illecitamente i dati personali di milioni di utenti con condotte di telemarketing aggressivo.

L’Autorità di controllo, nel provvedimento, ha evidenziato le tante carenze presenti all’interno del sistema dell’azienda nel trattamento dei dati: si va dalla violazione dell’obbligo del consenso ai principi di responsabilizzazione ed implementazione delle tutela privacy.

Il problema dei contatti illeciti e delle telefonate indesiderate con finalità commerciali, sono definite dal Garante “di allarme sociale”, tanto da aver indotto l’Autorità stessa, lo scorso anno, ad inviare un’ informativa generale, alla Procura della Repubblica, finalizzata ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

Nel corso dell’istruttoria, è emerso che la Società Vodafone Italia, non ha implementato i controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei a escludere contatti provenienti da numerazioni sconosciute e, in generale, a garantire la correttezza dell’attività di telemarketing.

In particolare, numerosi contatti telefonici promozionali, sono stati effettuati attraverso l’utilizzo di numerazioni non appartenenti alla rete di vendita ufficiale di Vodafone e pertanto non censite nel Registro degli operatori di comunicazione.

Dall’analisi di questa anomalia, il Garante ha ritenuto logico presumere un collegamento con una rete “di call center abusivi che effettuano attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali”.

Su questo presupposto, è emerso che la Vodafone ha ricevuto da partner commerciali esterni, liste di anagrafiche che i primi avevano, a loro volta, ottenuto da altri soggetti terzi e che hanno inoltrato alla Società, in assenza totale del consenso degli interessati.

Nel provvedimento, dunque, si ritiene accertata la responsabilità di Vodafone in ordine alla “violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso Vodafone è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali.

Dall’istruttoria, è emerso anche che, in molti casi, Vodafone non ha tenuto in debita considerazione, la revoca del consenso da parte degli utenti a ricevere messaggi promozionali ed anche dell’iscrizione delle utenze telefoniche fisse nel Registro pubblico delle opposizioni, continuando attraverso i propri operatori Secondo quanto riportato nel provvedimento, “la violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019”.

Un ulteriore profilo di violazione, è stato individuato, nell’accesso continuo a database societari contenenti dati anagrafici, numeri telefonici con il relativo traffico e dati di pagamento, e ciò a causa della mancata adozione di idonee misure tecniche e organizzative, ai sensi dell’articolo 32 del GDPR, già prescritte, alla Vodafone, in due precedenti provvedimenti del 2018. Sulla base delle predette violazioni, l’Autorità ha irrogato alla Società una sanzione di 12 milioni 251mila e 601 euro oltre quella accessoria della pubblicazione del provvedimento sul sito del Garante della Privacy, prescrivendo inoltre ulteriori misure, quali l’adeguamento dei “trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della società attraverso numerazioni telefoniche censite e iscritte al ROC; adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta”.

Infine, il Garante ha vietato ogni ulteriore trattamento di dati con finalità promozionali o commerciali svolto attraverso l’acquisizione di liste anagrafiche da soggetti terzi, senza che questi ultimi abbiano preventivamente acquisito un consenso specifico, libero e informato da parte degli interessati.

Scarica il Provvedimento 224 – 2020

Condivi con:
STAMPA


Social network di professionisti con significativa competenza che offre ai clienti consulenza specialistica

Contatti: info@universolegge.it