Tutela dei consumatori: l’intervento del Garante Privacy contro il telemarketing selvaggio

A seguito di verifiche d’ufficio[1] volte al controllo delle attività di trattamento attuate per finalità promozionali nell’ambito delle più generali attività di contrasto al telemarketing selvaggio ma anche in risposta ai reclami presentati da cittadini, il Garante, al termine di complesse istruttorie, è intervenuto con l’adozione di importanti provvedimenti sanzionatori nei confronti di alcune società di servizi[2]. I provvedimenti, altresì, ingiungono alle Società l’adozione di criteri e misure di sicurezza per assicurare la compliance al GDPR ma anche disegnano la corretta interpretazione di importanti istituti quali, nel caso che oggi affrontiamo, il rilascio del consenso da parte dei soggetti interessati.

Tutti i settori coinvolti

L’intervento del Garante contro il fenomeno del telemarketing selvaggio, da ultimo, ha colpito Wind Tre spa con l’applicazione di una sanzione di 347.520 euro per trattamento illecito di dati personali a fini promozionali e per la mancata adozione di misure tecniche e organizzative in grado di garantire la privacy dei clienti all’interno delle aree riservate del sito della Società. 

Il provvedimento del Garante giunge al termine di un’istruttoria avviata a seguito di diverse segnalazioni di utenti che lamentavano la ricezione di telefonate promozionali indesiderate e del reclamo di un cliente che riferiva di aver visualizzato, nella propria area riservata, i dati personali di un altro cliente. Nel corso di attività ispettive, era emerso l’avvalimento di alcuni partner commerciali che utilizzavano liste di contatti raccolti illecitamente. Le liste, in molti casi, erano state predisposte da soggetti extra-UE senza offrire adeguate garanzie, con consensi non adeguatamente dimostrati e con i tempi di conservazione troppo estesi o addirittura non indicati. Inadeguate sono state anche ritenute le misure tecnico-organizzative del sistema di registrazione all’area riservata dei clienti ed è stata accertata la mancata notifica all’Autorità dell’avvenuta violazione dei dati personali del cliente (data breach).

Nel determinare l’ammontare della sanzione, il Garante ha tenuto conto della piena collaborazione offerta dalla società, delle categorie di dati interessati dalle violazioni (dati comuni) e del livello avanzato di misure di implementazione tecnico-organizzative e di sicurezza che la società aveva iniziato a modificare prima dell’istruttoria in vista dell’adesione al Codice di condotta in materia di telemarketing e teleselling.

Nel provvedimento n. 100 del 27 febbraio 2025 il Garante, accertata l’illiceità delle condotte poste in essere da una società immobiliare ha applicato una sanzione amministrativa pecuniaria ma ha anche ingiunto (con obbligo di rendicontazione) l’adozione di idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali) (artt. 6, 7 e 14 del Regolamento) oltre a misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato. Le iniziative intraprese dalla Società devono essere comunicate all’Autorità, entro trenta giorni dalla notifica del provvedimento.

Merita particolare attenzione il provvedimento n. 114 del 27 febbraio 2025 nei confronti di Energia Pulita, società fornitrice di energia elettrica e gas, sanzionata per aver trattato in modo illecito i dati di un centinaio di persone che si erano rivolte all’Autorità lamentando la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e, in molti casi, utilizzando tecniche commerciali particolarmente insidiose. Stigmatizzato il ricorso a format per l’acquisizione del consenso che non permettono di esprimere una valida, consapevole e inequivocabile manifestazione di volontà, realizzando, altresì al contrario, un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori.  Nel corso dell’istruttoria dell’Autorità, è stato altresì accertato che la società si è avvalsa di soggetti interni ed esterni all’organizzazione aziendale, violando gli obblighi gravanti sul titolare del trattamento riguardo all’individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati. Oltre al pagamento della sanzione di 300mila euro, il Garante ha vietato alla società l’ulteriore trattamento dei dati personali dei segnalanti e le ha ingiunto di predisporre adeguati controlli sulla propria rete di vendita e implementazioni dei sistemi, per escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti.

Come spesso accade i provvedimenti del Garante vanno oltre la semplice decisione in merito ad un caso concreto per costituire una chiave di lettura degli istituti fondamentale del GDPR. Ed è questo uno di quei casi di maggiore interesse.  Il Garante chiarisce come il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se all’interessato sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è in linea con la normativa privacy e non fa venir meno gli effetti dell’opposizione che è stata manifestata con l’iscrizione al Registro Pubblico delle Opposizioni. Lo stesso principio vale per format e informative che ostacolino l’esercizio dei diritti riconosciuti all’interessato in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali.

Il consenso

Disciplinato dall’art. 7 del GDPR è una delle basi giuridiche per il trattamento dei dati personali, ma solo al ricorrere di alcune specifiche condizioni: deve essere libero, rilasciato per uno scopo specifico, informato ed inequivocabile e deve essere ottenuto con modalità chiare e comprensibili per l’individuo interessato. Occorre anche la consapevolezza che il consenso può essere revocato in qualsiasi momento.

Affinché il consenso possa essere fornito liberamente, la persona deve avere libertà di scelta e deve poter rifiutare o revocare il consenso senza ritrovarsi svantaggiata. Ne consegue che il consenso non è fornito liberamente se, ad esempio, esiste un evidente squilibrio tra la persona e l’organizzazione (ad esempio, rapporto datore di lavoro/dipendente) o qualora l’organizzazione richieda il consenso al trattamento di dati personali non necessari quale condizione per l’adempimento di un contratto o di un servizio.

Affinché il consenso sia informato, l’interessato deve ricevere, almeno, le seguenti informazioni:

• l’identità dell’organizzazione che tratta i dati;
• le finalità per le quali i dati vengono trattati;
• il tipo di dati che verranno trattati;
• la possibilità di revocare il consenso fornito (ad esempio, un collegamento per cancellare l’iscrizione alla fine di un’e-mail);
• se applicabile, il fatto che i dati saranno utilizzati per decisioni esclusivamente automatizzate, compresa la profilazione;
• se il consenso è collegato a un trasferimento internazionale, i possibili rischi di un trasferimento di dati verso paesi terzi non soggetti a decisioni della Commissione in merito all’adeguatezza e privi di garanzie appropriate.

La segnalazione al Garante delle telefonate indesiderate

Il servizio telematico è stato attivato dal Garante per consentire a chiunque di segnalare la ricezione di telefonate indesiderate[3] e sostituisce integralmente la segnalazione tramite il modello cartaceo.

Il modello da compilare è necessariamente specifico e dettagliato: richiede infatti che il cittadino fornisca una serie articolata di informazioni sulle telefonate ricevute, sulla società, sui tempi e le modalità, tutte ovviamente necessarie per avviare un’istruttoria ma che impongono una attenta rendicontazione degli eventi. La corretta e completa compilazione consente al Garante di intervenire con propri provvedimenti che, se ben mirati, potrebbero effettivamente incidere sul comportamento delle Società, anche bloccandone l’attività.

Prospettive

Dopo il fallimento del Registro pubblico delle opposizioni[4], laddove, secondo i dati resi noti da associazioni di consumatori, oltre la metà degli iscritti continua ad essere bersagliato da indesiderate chiamate commerciali degli operatori, l’intervento del Garante è sicuramente un passo in avanti. Le aziende dovrebbero essere consapevoli dei rischi concreti (anche se alcuni esperti sono convinti che alle imprese costi meno pagare le multe piuttosto che tenere aggiornati i database) che corrono e i cittadini, consapevoli dei loro diritti hanno maggiori aspettative percependo maggiormente il fastidio e il senso di impotenza.

Mancato funzionamento originato dalla non applicabilità delle disposizioni del Registro ai call center ubicati all’estero, da escamotage per aggirare le disposizioni anche con l’utilizzo di sistemi automatizzati o che rendono impossibile, al di là della dichiarazione dell’operatore che chiama, individuare chi vi sia veramente dietro.

Miglioramenti potranno venire dall’effettiva adesione da parte delle aziende al Codice di condotta per le attività di telemarketing e teleselling[5] approvato da Garante su proposta delle associazioni di committenti, call center, teleseller, list provider e associazioni di consumatori. L’organismo di monitoraggio, elemento indispensabile per il suo effettivo riconoscimento, è stato accreditato dal Garante con provvedimento n. 148 del 7 marzo 2024.

Sicuramente un ruolo importante lo assume l’informazione e la formazione: la consapevolezza dei nostri diritti e l’attenzione al momento del rilascio di consensi; consensi che ci vengono richiesti in tantissime occasioni e che possono portare, per superficialità o per fretta da parte nostra, ma anche per mancanza di chiarezza o per scarsa cura e professionalità di chi li richiede, ad autorizzare espressamente il contatto telefonico. Un ruolo importante lo assume l’attenzione ai “cookies” che troppo spesso trascuriamo: dobbiamo sempre personalizzare il trattamento o rifiutarlo continuando, ove possibile, ad usufruire del servizio senza per forza digitare “Accetta”.

Impariamo anche a diffidare di quei siti che non ci danno tale possibilità: li stiamo pagando con i nostri dati personali.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA

[1] Anche nel Piano ispettivo relativo al 1° semestre 2025 l’attenzione del Garante è puntata, tra l’altro, sulle imprese che gestiscono call center e servizi di e-mail marketing, con un particolare focus proprio sull’uso illecito di indirizzi e-mail e banche dati. Cfr. Provvedimento n. 808 del 19 dicembre 2024.

[2] Cfr. Garante per la protezione dei dati personali, provvedimenti n.100 del 27 febbraio 2025, Immobiliare 1923;   n.774 del 12 dicembre 2024, Wind;  n. 775 del 12 dicembre 2024, Start To Fly;  n.736 del 27 novembre 2024, E.ON Energia;  n. 553 del 12 settembre 2024, Sky Italia.

[3] Informazioni e approfondimenti sono disponibili anche alla pagina del sito GPDP.  

[4] Registro Pubblico delle Opposizioni: come funziona e modalità di iscrizione.

[5] Il Garante ha approvato il Codice di Condotta per le attività di telemarketing e teleselling con delibera n. 70 del 9 marzo 2023.