Estratto SIG – Le sanzioni GDPR del Garante fanno rumore
Il Garante privacy ha diffuso con un comunicato stampa la notizia di due significative sanzioni irrogate applicando le pertinenti prescrizioni del GDPR. Si tratta di violazioni compiute in tema di telemarketing e teleselling indesiderato (provv. n. 232 dell’11/12/2019, doc. web n. 9244365) e contratti non richiesti (provv. n. 231 dell’11/12/2020, doc. web n. 9244358).
Nel primo caso è stata irrogata una sanzione di Euro 8,5 milioni e 3 milioni per il secondo.
L’importanza dei casi esaminati ci induce ad interrompere la consueta alternanza tra Alert e Editoriale, per poterne commentare più diffusamente i passi significativi in due diverse tornate: nella puntata odierna esaminiamo il provvedimento sul telemarketing e la ricchezza di dettagli applicativi ed interpretativi che vi si colgono, in chiaro e in filigrana.
Sintesi
A testimonianza del fatto che la disciplina a protezione dei dati personali è trasversale – in quanto i dati personali sono alla base dell’agire economico e non – le sanzioni irrogate mediante i due provvedimenti citati riguardano aspetti con forti connotazioni che sono tipiche della tutela dei consumatori ma che, allo stesso tempo, costituiscono violazioni a prescrizioni del GDPR e del codice privacy.
Una prima sanzione di 8,5 milioni di euro, determinata applicando i parametri dell’articolo 83 del regolamento, riguarda trattamenti illeciti nelle attività di telemarketing e teleselling oggetto di segnalazioni e reclami, inoltrati all’indomani della piena applicazione del Gdpr.
Tra le violazioni riscontrate vi sono telefonate pubblicitarie effettuate senza il consenso della persona contattata o nonostante il suo diniego, oppure senza tener conto delle utenze registrate nel Registro pubblico delle opposizioni; l’assenza di misure tecnico organizzative per la gestione dei consensi o dinieghi; tempi di conservazione dei dati superiori a quelli consentiti.
La seconda sanzione di 3 milioni di euro riguarda la conclusione, mediante agenzie esterne, di contratti non richiesti spesso contenenti dati inesatti, non veritieri e recanti sottoscrizioni apocrife.
In aggiunta all’irrogazione delle sanzioni, che possono essere impugnate dinanzi al tribunale ordinario nei trenta giorni successivi, l’azienda condannata ha anche ricevuto l’ordine di adottare modalità organizzative e gestionali a correzione delle precedenti prassi, idonee ad assicurare il rispetto dei principi di correttezza, liceità del trattamento nonché di esattezza e aggiornamento dei dati.