Il recente intervento del Garante per la Protezione dei Dati Personali nei confronti di Acea Energia S.p.A. e di un network di agenzie terze rappresenta una nuova e significativa azione repressiva nel settore del marketing telefonico, spesso caratterizzato da prassi elusive e da un sistematico aggiramento delle garanzie previste dal Regolamento (UE) 2016/679 (GDPR).
L’azione dell’Autorità è stata avviata a seguito di un esposto presentato da Moreno Morello, inviato della trasmissione “Striscia la Notizia”.
Con riguardo ad Acea Energia Acea S.p.A., quest’ultima è stata ritenuta responsabile per illecita acquisizione e utilizzo di dati personali (contatti promozionali effettuati senza consenso valido, né informativa adeguata); mancata designazione del Responsabile ( trattamento effettuato da terzi senza contratto di nomina conforme all’art. 28 GDPR); accessi non autorizzati ai sistemi informatici da parte di personale non autorizzato; inadeguate misure di controllo e di prevenzione rispetto al fenomeno di telemarketing selvaggio, riconducibile ad una colpa in eligendo ed in vigilando.
Nello specifico, il marketing telefonico, secondo il Garante, veniva utilizzato come strumento di captazione forzata della volontà contrattuale, in aperto contrasto con i principi di liceità, correttezza e accountability che fondano l’intero sistema europeo di data protection.
Il Garante, all’esito dell’istruttoria, ha emesso due distinti provvedimenti, colpendo non solo il trasgressore principale, ma l’intera catena di fornitori e partner. Una sanzione pecuniaria di 3 milioni di euro è stata comminata nei confronti di Acea Energia S.p.A., mentre sanzioni complessive pari ad 850.000 euro sono state comminate nei confronti di agenzie e società terze coinvolte, per aver effettuato attività di telemarketing aggressivo e trattamento illecito di dati personali senza il necessario consenso degli interessati.
Due riflessioni: nell’ affidare a terzi (in outsourcing) attività che comportano l’uso di dati personali è fondamentale scegliere con attenzione chi tratterà tali dati per conto dell’azienda (Titolare del Trattamento) per non contravvenire il GDPR; l’azione giornalistica investigativa è estremamente efficace nello stimolare l’intervento delle autorità competenti o meglio la segnalazione, nell’architettura di tutela del GDPR, ha una forza dirompente che consente di comunicare violazioni anche in assenza di un pregiudizio individuale.
Nel GDPR non è necessario dimostrare un danno individuale per segnalare una violazione: basta che ci sia una violazione del Regolamento. Ciò è rivoluzionario. La segnalazione può partire da chiunque – anche da chi non è direttamente coinvolto – e può smuovere le autorità di controllo, perchè il Regolamento Europeo ha rotto l’approccio classico del diritto che si basa sul nesso danno/lesione/interesse.
Avv. Simona Maruccio
Giornalista pubblicista, opera da molti anni nel settore della compliance aziendale, del marketing e della comunicazione.