L’Autorità di controllo italiana è intervenuta nuovamente in merito ad attività di telemarketing non conforme alla disciplina applicabile, irrogando una delle maggiori sanzioni pecuniarie: 26,5 milioni di euro. Il provvedimento – che ha riguardato anche violazioni di altra natura – è stato emesso a conclusione di un’articolata istruttoria promossa a seguito di numerosi reclami e segnalazioni di utenti.

“Do not call” italiano

Quasi contemporaneamente, giungeva a termine l’iter di approvazione del nuovo regolamento per il Registro Pubblico delle Opposizioni (RPO), l’equivalente italiano delle soluzioni “Do not call” di altri paesi sia europei che extra-UE. Il Consiglio dei ministri del 21 gennaio ha approvato il testo definitivo che verrà adottato con decreto del Presidente della Repubblica, in sostituzione del DPR n. 178/2010, come previsto dalla legge n. 5/2018. I lavori di riforma hanno richiesto esattamente quattro anni.

Il RPO riformato consentirà a tutti gli utenti registrati (riguardo alle pertinenti utenze nazionali fisse o mobili o cosiddette “riservate”) di opporsi a qualsiasi tipo di telefonata commerciale (sia automatizzata sia mediante operatore) nonchè all’uso del proprio indirizzo pubblicato sull’elenco telefonico per l’invio di posta cartacea per la diffusione di materiale pubblicitario o per la vendita diretta, per il compimento di ricerche di mercato o di comunicazione commerciale. Sulle importanti novità contenute nella norma di nuovo conio ci soffermeremo in seguito. 

Istruttoria preliminare

Il provvedimento non ha riguardato un’unica vicenda ma molteplici circostanze che hanno formato oggetto, da parte dell’Autorità, di un’indagine complessiva, adottando un «approccio analitico di tipo sistemico e globale al problema» del telemarketing, riguardo alle modalità seguite dalla società interessata. Difatti, il regolamento 1/2019 del Garante, consente all’autorità «di effettuare l’istruttoria preliminare proprio in relazione a più reclami e segnalazioni aventi il medesimo oggetto o relative al medesimo titolare o responsabile del trattamento, ovvero a trattamenti di dati tra loro correlati».

«Pertanto, l’attività del Garante si è svolta principalmente attraverso istruttorie unitarie e [quattro distinte] richieste di informazioni cumulative», nell’arco temporale dicembre 2018 – luglio 2020. 

Il protrarsi di questa fase per un lungo periodo di tempo ha fatto ritenere alla società che i pertinenti fascicoli dell’autorità fossero stati archiviati oppure che le eventuali sanzioni amministrative fossero prescritte.

Lezione appresa

La vicenda insegna che un’organizzazione oggetto di richieste di informazioni o persino di istruttoria dell’Autorità non deve limitare la propria attenzione a quanto viene di volta in volta richiesto o indagato bensì dovrebbe allargare il proprio orizzonte di analisi all’intero fenomeno di cui quella singola istanza è eventualmente espressione. Detto diversamente, ad esempio, se il riscontro all’esercizio di un diritto privacy determina un reclamo o una segnalazione, non basta accertarsi di cosa semmai non abbia funzionato in quella specifica circostanza, al contrario è opportuno andare più a fondo nell’analisi e appurare se le cause siano attribuibili a un difetto del generale processo interno (ad es. una procedura mal redatta o non condivisa, personale non formato o addestrato, approccio scoordinato e non sistemico come l’indicazione di un indirizzo email per le comunicazioni privacy, errato o non presidiato correttamente).

Il notevole lasso temporale trascorso potrebbe indurre l’organizzazione coinvolta nell’erronea convinzione che gli iniziali approfondimenti dell’autorità non abbiano dato alcun esito e che la relativa pratica possa considerarsi implicitamente archiviata. Tralasciando che qualsiasi decisione al riguardo viene comunque notificata all’organizzazione oggetto di indagine, va considerato che il tempo intercorrente tra la richiesta di informazioni e la finale contestazione degli addebiti può risultare anche molto lungo, in base alla complessità delle circostanze di indagine. Secondo consolidata giurisprudenza di Cassazione, infatti, la data di decorrenza per individuare il termine per la notifica degli estremi della violazione, non va individuata nelle specifiche date riferibili a ciascuna risposta fornita all’autorità, bensì al momento in cui la medesima autorità acquisisce «piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione» (Cass. civ. n. 31635/2018). In altri termini, a tal fine, non si può procedere al mero conteggio formale dei giorni successivi alla ricezione dei riscontri alle varie richieste dell’autorità, ma occorre tener in considerazione il «tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell’infrazione».

Addebiti

Gli addebiti sollevati a carico della società hanno riguardato le seguenti violazioni:

• • Mancata cooperazione con l’autorità
  • Carenza di accountability e di approccio by design
  • Effettuazione di telefonate commerciali indesiderate (senza preventivo consenso o nonostante l’iscrizione dell’utenza al RPO)
  • Indebito ricorso al soft-spam per l’email marketing, in assenza dei requisiti di legge
  • Invalidità del consenso raccolto

• Tardivo riscontro all’esercizio dei diritti

Invio di fatture e altri dati personali a terzi.