800 561720
Mediante il provvedimento del 27 febbraio 2025 l'Autorità Garante per la protezione dei dati personali ha sanzionato una società fornitrice di energia elettrica e gas per un importo pari a 300.000 € e fornito importanti chiarimenti per la conformità dei trattamenti perseguiti a fini promozionali. In che modo tali indicazioni integrano le precedenti linee guida? Un approfondimento comparativo.
Il contesto
Nel corso del 2024, l'autorità Garante per la protezione dei dati personali avviava un procedimento nei confronti della società Energia Pulita srl, in seguito alla ricezione di molteplici reclami. In particolare, i segnalanti lamentavano la ricezione di chiamate promozionali indesiderate e l'utilizzo di tecniche commerciali invasive.
Il Garante rilevava che Energia Pulita:
- aveva contattato numerazioni telefoniche iscritte nel registro pubblico delle opposizioni;
- aveva omesso di effettuare controlli sulla filiera dei trattamenti effettuati mediante terze parti, alimentando l'indotto del c.d. sottobosco del telemarketing;
- mediante terze parti, effettuava trattamenti illeciti e ricorreva a tecniche commerciali particolarmente insidiose per gli utenti (in alcuni casi, ad esempio, gli operatori telefonici fingevano la sussistenza di problemi tecnico-amministrativi per proporre, con l'inganno, l’attivazione di una fornitura energetica proprio con Energia Pulita);
- aveva effettuato attività di formazione, in materia di protezione dei dati personali, unicamente nel corso del 2024, dimostrando lacune in termini di aggiornamenti periodici e accountability;
- aveva implementato dei form, sul sito aziendale, carenti in termini di chiarezza, trasparenza e liceità (con riferimento ai consensi richiesti).
L'importanza del provvedimento in breve
Gli accertamenti effettuati dall'Ufficio del Garante rilevavano anche non conformità in relazione ai form implementati da terze parti, a cui Energia Pulita si appoggiava per la raccolta dei consensi al trattamento dei dati. Fra i consensi raccolti, in relazione al delicato tema della cessione del dato a terze parti, l'Autorità forniva alcuni importanti chiarimenti.
La novità del provvedimento è costituita, in particolare, dalle nuove concrete indicazioni del Garante relative alla corretta individuazione delle categorie merceologiche e degli strumenti utilizzati per effettuare le comunicazioni promozionali. L’Autorità, infatti, ha disposto che “l’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate” non è in linea con la normativa privacy. “Lo stesso principio”, prosegue l'Autorità, “vale per form e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali”.
L'esito dell'istruttoria
Al termine delle indagini, sulla base del quadro complessivo degli elementi rilevati e della documentazione acquisita, il Garante ha comminato una sanzione finale pari a 300.000 €, vietato ogni ulteriore trattamento dei dati personali dei segnalanti e imposto alla società di implementare adeguate verifiche sulla rete di vendita, al fine di garantire la liceità dei trattamenti svolti. In particolare, l'Autorità ha ribadito come non sia sufficiente limitarsi a formalizzare con i responsabili nominati obblighi da rispettare: è necessario che tali obblighi siano seguiti “dall’effettiva realizzazione in concreto di efficaci e penetranti iniziative di verifica anche in loco o a campione”. Il mancato presidio della filiera dei soggetti coinvolti ha determinato le gravi violazioni della normativa rilevate, nonché il perpetrarsi di condotte particolarmente lesive della sfera di riservatezza dei soggetti segnalanti e di tutti gli altri interessati contattati illecitamente.
La cessione del dato a terze parti: le linee guida del 2013
Rispetto al tema della cessione del dato terze parti che, come anticipato, rappresenta la principale novità del caso in esame, il Garante aveva già fornito specifiche indicazioni mediante il noto provvedimento a carattere generale “Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013”.
Nelle linee guida, l'Autorità disponeva che:
- chi, quale titolare del trattamento, intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa;
- l’informativa individui, oltre agli altri elementi indicati nella norma, anche ciascuno dei terzi o, in alternativa, indichi le categorie (economiche o merceologiche) di appartenenza degli stessi (ad esempio: "finanza", editoria", "abbigliamento);
- occorre che il titolare acquisisca un consenso specifico per la comunicazione (e/o cessione) a terzi dei dati personali per fini promozionali, nonché distinto da quello richiesto dal medesimo titolare per svolgere esso stesso attività promozionale.
Gli strumenti utilizzati per l’attività promozionale: l’articolo 130 del Codice
Per quanto riguarda, invece, i mezzi utilizzati per l’attività di marketing, ricordiamo che il Codice privacy, prevede, all’articolo 130, la raccolta del consenso per “l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale”, disposizione che si estende “anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo”.
La cessione del data terze parti: il provvedimento del 27 febbraio 2024
Tornando al caso oggetto del provvedimento Energia Pulita, l’informativa adottata dalla società includeva l'indicazione delle categorie merceologiche dei soggetti terzi e dei singoli strumenti utilizzati. La formula per l'acquisizione del consenso per la cessione del dato terze parti era specifica e nessun consenso risultava essere pre-selezionato.
L'Autorità ha rilevato che tale impostazione “non consente di conferire un consenso libero, specifico e granulare”. Ciò, “In ragione dell’ampia formulazione utilizzata in ordine alla platea numerosa e indistinta dei cessionari dei dati personali operanti in settori molto differenti”.
La formulazione utilizzata dalla Società:
«Acconsento la cessione per scopi di marketing e commerciali, con l’uso del telefono con operatore e/o con sistemi automatizzati (es. email, sms) e/o invio di materiale promozionale a mezzo posta, a terzi soggetti facenti parte delle seguenti categorie economiche e merceologiche: Turistico, tempo libero, High Tech, Moda, Arredamento, Largo Consumo, Food & Beverage, Finanza, Banche, Assicurazioni, Energia, Ambiente, Comunicazione, Media, Entertainment, Real Estate, Farmaceutico, Automobili, Abbigliamento e tessile, Formazione, Energia, Editoria, ICT, Reatail, Sport, Telecomunicazioni, e Servizi in generale (per la lista completa clicca qui)».
Ancora, secondo il Garante l'utilizzo di formulazioni simili non consente agli interessati di esprimere “una volontà granulare e differenziata per esempio in relazione alla categoria merceologica delle offerte commerciali che desidera ricevere”.
Pertanto, la società avrebbe dovuto implementare il form in modo da permettere agli interessati di selezionare le singole macro-categorie merceologiche o categorie di destinatari dei dati.
Gli strumenti utilizzati per l’attività promozionale: il provvedimento del 27 febbraio 2024
Allo stesso modo, il Garante ha criticato l'impostazione del form anche per quanto attiene agli strumenti attraverso cui venivano veicolate le comunicazioni commerciali.
In particolare, l'Autorità ha chiarito che gli interessati devono essere in grado di scegliere i canali tramite i quali ricevere le offerte oggetto dell'attività promozionale. Pertanto, form e informative devono essere impostati in modo tale da non ostacolare l'esercizio dei diritti riconosciuti ai soggetti interessati in merito alla scelta degli strumenti utilizzati per la trasmissione delle comunicazioni promozionali.
Considerazioni
In conclusione, il provvedimento contiene sicuramente importanti indicazioni da non trascurare, in quanto applicabili a tutti i soggetti che effettuano attività promozionale o che intendano perseguire finalità quali la cessione di dati personali a terze parti.
Dai chiarimenti forniti dal Garante discende una rigorosa applicazione della normativa, tale da richiedere un'attenta valutazione dei concreti trattamenti svolti e delle informazioni rese agli interessati. I form di raccolta dati ed i moduli per la raccolta dei vari consensi marketing, per essere allineati al provvedimento, dovranno necessariamente essere impostati in modo tale da permettere agli interessati di esprimere effettivamente “una valida, consapevole e inequivocabile manifestazione di volontà”, sia in relazione alle singole categorie merceologiche delle offerte commerciali che si desidera ricevere, sia in relazione ai singoli canali di comunicazione.
Provvedimenti come quello analizzato oggi, non essendo oggetto di linee guida a carattere generale, rischiano di passare in secondo piano, pur essendo di primaria importanza per i chiarimenti forniti.
Scopo dell’Associazione è anche quello di promuovere la conoscenza di provvedimenti di questo tipo e la creazione di una rete di associati che ne favorisca il dibattito e la corretta applicazione.
Se desideri aderire ad ASSO DPO clicca qui.
Se non l'hai ancora fatto, ti invitiamo ad iscriverti alla newsletter.
