L'autore
Recentemente l’Autorità per la privacy ha sanzionato Vodafone per 12 milioni e 250 mila euro per telemarketing aggressivo. Oltre al pagamento della multa, la società dovrà anche adottare una serie di prescrizioni dettate dal Garante per conformarsi alla normativa nazionale ed europea sulla protezione dei dati personali.
Nonostante i diversi provvedimenti e sanzioni già inflitte, numerose sono state le nuove segnalazioni al Garante in merito alle attività promozionali e di telemarketing attuato da Vodafone per promuovere i propri servizi di telefonia e internet, poco tollerato dagli utenti e operato sia di Vodafone che dai suoi partner o fornitori di servizi telematici.
Si sono evidenziate violazioni non solo dell’obbligo del consenso degli interessati, ma anche dei fondamentali principi di accountability e di Privacy by design e by default, che prevedono l’implementazione delle tutele privacy fin dalla fase di progettazione dei trattamenti.
Ma vediamo meglio quali sono i punti su cui porre l’attenzione, soprattutto in caso di attività commerciali o di marketing, sui quali Vodafone è stata colta in fallo tanto da portare il Garante a decidere di erogare una sanzione pecuniaria così ingente.
1) Mancata raccolta dei consensi
Vodafone non si è premurata di verificare che le liste anagrafiche acquisite da aziende esterne fossero supportate dal necessario consenso degli utenti alla comunicazione dei propri dati a partner commerciali.
Va ricordato che “il consenso del contraente deve essere specifico per ciascuna eventuale finalità perseguita e per ciascun eventuale trattamento effettuato, quale in particolare la comunicazione a terzi per l’invio di loro comunicazioni promozionali” secondo quanto già definito nel provvedimento del Garante del 2013.
Non è legittimo quindi acquisire un unico consenso al trattamento dei dati per finalità promozionali proprie o di terzi, così come non è legittima la cessione o comunicazione di tali dati a soggetti terzi perché inviino a loro volta offerte commerciali, anche qualora si tratti di società controllanti o controllate.
Occorre sempre verificare che le liste di contatti che si stanno acquistando da enti terzi siano state raccolte lecitamente richiedendo un consenso preventivo e specifico per questa precisa finalità.
Ricordiamo che chi intende raccogliere dati personali per comunicarli e/o cederli a terzi deve renderlo chiaro nell’informativa, specificando chi sono “i terzi” a cui verranno comunicati o ceduti i dati o a quale categoria merceologica o economica appartengono.
Solo in questo caso, se i dati raccolti erano supportati da una informativa corretta e un consenso espresso in maniera chiara, le aziende che acquistano tali liste di contatti potranno utilizzare i dati in esse contenuti.
Potete chiedere supporto al vostro DPO affinché esegua i dovuti controlli sul fornitore, per non rischiare di utilizzare dati raccolti illecitamente per proprie attività commerciali.
Tra i compiti del DPO c’è anche quello di verificare che i trattamenti potenzialmente rischiosi siano in regola con la normativa e che tutta la documentazione contrattuale ricevuta e inviata dall’azienda sia legalmente corretta. Il DPO tutela le aziende nei confronti di altre organizzazioni e professionisti.
2) Impossibilità di esercitare il diritto di opposizione
Durante le sue attività di ispezione il Garante ha evidenziato la mancanza di una efficiente policy di gestione per l’esercizio dei diritti degli interessati. In alcuni casi le richieste di accesso ai propri dati effettuate dagli utenti non hanno ricevuto riscontro da parte di Vodafone; altre volte gli utenti, nonostante avessero già fatto ricorso al diritto di opposizione, sono stati ricontrattati telefonicamente o tramite sms per offerte commerciali. La compagnia si è giustificata riconducendo questi eventi ad errori umani o disguidi di sistema, peraltro non documentati, ma visto l’ingente numero di segnalazioni tali scusanti non possono ritenersi, secondo il Garante, valide.
È quindi fondamentale, soprattutto quando ci si interfaccia quotidianamente con gli utenti, elaborare robuste ed efficienti procedure per garantire l’esercizio dei diritti agli interessati (artt. 15-22 GDPR).
Quando ci si trova alla presenza di clienti insoddisfatti, essere in grado di dimostrare la trasparenza, l’organizzazione e l’attenzione alla liceità dei trattamenti svolti metterà al sicuro da eventuali ritorsioni nei confronti dell’azienda.
Di nuovo, appoggiarsi all’esperienza di un DPO esterno nell’elaborare corrette ed efficaci procedure per garantire che gli utenti possano esercitare i propri diritti, come prescritto dal GDPR, può salvare da danni ingenti, spesso non solo economici: avere la fama di disinteressarsi e addirittura di violare i diritti degli utenti è sicuramente una pubblicità negativa per l’azienda!
3) Scarse policy di controllo e misure di sicurezza
Si è poi rilevato come Vodafone non abbia provveduto a implementare sistemi di controllo e misure di sicurezza adeguate che garantissero che i dati raccolti e inseriti nei propri database non fossero originati da chiamate promozionali illecite o indesiderate effettuate non rispettando i principi del GDPR.
In aggiunta a ciò, il Garante ha definito le misure di sicurezza dei sistemi di gestione della clientela inadeguate considerando che si sono verificati ripetuti accessi abusivi ai database contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento degli utenti.
Evidentemente quelle attuate non erano misure proporzionate e sufficientemente efficaci per garantire, e in ottica di accountability per dimostrare, che il trattamento venisse effettuato assicurando la riservatezza e l’integrità dei dati personali trattati.
Diventa importantissimo, quindi, seguire i principi di privacy by design e by default ed effettuare fin dal principio una attenta analisi dei rischi per poi testare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate al fine di garantire la sicurezza dei trattamenti effettuati.
Oltre ad affidarsi ad un buon tecnico informatico, un DPO esterno potrebbe essere fondamentale per verificare e garantire che le misure adottate siano effettivamente conformi a quanto richiesto dal GDPR.
Per concludere possiamo affermare, quindi, che occorre conoscere e sapere dimostrare quale percorso compiono i dati per essere certi di riuscire a provare la liceità, la trasparenza e la correttezza con i quali vengono trattati.
In tutte queste attività può essere indispensabile affidarsi ad un responsabile per la protezione dei dati che sorvegli sull’operato aziendale e verifichi che le misure adottate e le policy implementate garantiscano la giusta protezione dai rischi e la reattività richiesta in caso di emergenza.
