Nella infinita guerra contro le comunicazioni telefoniche indesiderate, la confisca delle banche dati dei call center delle società sanzionate potrebbe rappresentare un significativo passo avanti per porre finalmente un argine concreto al continuo proliferare del telemarketing aggressivo.
L’operazione è stata avviata dai Finanzieri del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche di Roma, in collaborazione con i militari del Comando Provinciale della Guardia di Finanza di Verona, lo scorso 6 giungo, in attuazione del Provvedimento del 13 aprile 2023 [9893718] del Garante per la protezione dei dati personali.
Frutto di un partenariato, regolato da un protocollo d’intesa tra Garante privacy e Guardia di Finanza, il ricorso allo strumento della confisca è un segnale di forte innalzamento della strategia di contrasto da parte dell’Autorità che, evidentemente, non considera sufficiente la mera ricerca di collaborazione attiva con gli operatori di settore più virtuosi. L’obiettivo finale, in tal senso, è quello di approvare un codice di condotta che ponga fine agli abusi che vessano quotidianamente migliaia di cittadini, i quali, il più delle volte, non hanno mai prestato il consenso necessario per ricevere – anche più e più volte al giorno – questo tipo di chiamate. Se da un lato, quindi, il Garante segue la strada di una più adeguata regolamentazione delle operazioni di telemarketing, dall’altro, incrementa la propria attività di controllo e repressione delle illegalità che tuttora si registrano in questo ambito, affiancando al rimedio della sanzione pecuniaria quello della confisca materiale delle banche dati, strumento essenziale per chiunque voglia operare in questo settore. L’auspicio è quello di riuscire a garantire, così, una maggiore sicurezza per tutti i cittadini, nella loro qualità di utenti dei vari servizi di telefonia fissa e mobile.
Le attuali regole del telemarketing
Col Decreto del Presidente della Repubblica del 27 gennaio 2022, n. 26 (Regolamento recante disposizioni in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all’utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell’articolo 1, comma 15, della legge 11 gennaio 2018, n. 5), il c.d. Registro Pubblico delle Opposizioni (RPO) che, in origine, era riservato alle sole utenze di telefonia fissa, è stato esteso a tutti i numeri nazionali riservati, inclusi i cellulari. Pertanto, a seguito di questa recente modifica normativa, ciascun intestatario potrà iscrivere al RPO tutti i propri numeri di telefono – sia fissi che mobili, sia presenti negli elenchi telefonici pubblici, sia riservati – e ciò, in linea di principio, dovrebbe impedire che vi possano, poi, essere ulteriori chiamate di telemarketing, da parte dei vari operatori del settore. Eventuali consensi e/o autorizzazioni al trattamento dei dati personali concessi, in precedenza, per finalità di invio di materiale pubblicitario, vendita diretta, comunicazione commerciale o anche per il compimento di ricerche di mercato, verranno immediatamente revocati con l’iscrizione al Registro. Tale revoca dovrà essere considerata efficace anche con riferimento alle chiamate automatizzate o “robocall”. Per ricevere di nuovo le chiamate di telemarketing l’interessato dovrà rilasciare un apposito e specifico consenso in data successiva a quella di iscrizione al RPO.
Il provvedimento n. 184 del 13 aprile 2023
Questa regolamentazione, sempre più puntuale e dettagliata, rischia però di essere vanificata da quell’insieme di attività che il Garante ha definito spesso come una sorta di “sottobosco”, che favorisce l’odierna espansione del telemarketing illegale, mediante il ricorso ad affidamenti a società minori, che operano al di fuori e in spregio delle norme che regolamentano il settore, anche a causa di evidenti deficit, in sede di controllo, da parte delle grandi aziende committenti.
Nel caso di specie, le attività investigative sono scaturite da una segnalazione della Compagnia della Guardia di Finanza di Soave (VR) che, a seguito di successivi accertamenti svolti dal Garante, con l’ausilio del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche, ha portato all’individuazione di quattro società, due venete e due toscane, ritenute responsabili di una serie di attività in manifesta violazione delle normative poste a tutela della riservatezza dei dati personali. In particolare, le due società a responsabilità limitata con sede in Verona utilizzavano apposite liste di contatti, acquisite illegalmente, per chiamare i numeri privati di decine di migliaia di soggetti che mai avevano prestato il dovuto consenso, necessario per il trattamento con finalità di marketing promozionale dei propri dati personali. Le due società offrivano contratti commerciali di passaggio a una diversa compagnia energetica, giungendo anche a riproporre alle stesse persone, a distanza di poco tempo, una nuova offerta, con ennesimo passaggio ad altro e diverso operatore, il tutto con la chiara finalità di massimizzare la crescita delle proprie provvigioni. Tutti questi contratti venivano, poi, passati alle due società toscane che provvedevano a inserirli indebitamente nei database delle compagnie. Insieme di attività queste – da ciò il riferimento al c.d. “sottobosco” – che venivano svolte senza alcun formale incarico e, soprattutto, facendo ricorso a forme di distribuzione delle responsabilità in ambito privacy meramente apparenti, e del tutto carenti sul versante della efficacia, per quanto concerne le misure di sicurezza e l’effettiva protezione dei dati presi in carico.
Per tutti questi motivi, stante «la radicale illiceità dei trattamenti come sopra descritti», il Garante ha ritenuto, in primo luogo, che – ai sensi dell’art. 58, par. 2, lett. f) del Regolamento UE 2016/679 – fosse necessario stabilire a carico delle quattro società interessate dal provvedimento in oggetto, un divieto «di ogni ulteriore trattamento finalizzato alla realizzazione di contatti promozionali», nonché «di ogni ulteriore trattamento che preveda l’utilizzo delle liste di anagrafiche acquisite […] e dei database». Non solo: «attesa l’inidoneità di qualunque provvedimento di carattere prescrittivo a sanare le gravissime illiceità realizzate», è stato altresì disposto che il medesimo divieto valga anche per «ogni ulteriore trattamento finalizzato allo svolgimento di attività di data-entry di contratti per l’attivazione di servizi energetici». Ed è proprio per presidiare l’efficacia di questi divieti che si è ritenuto necessario accompagnare il trattamento sanzionatorio, con un rimedio accessorio, comminato ex art. 20 della Legge n. 689/1981, in combinato disposto con quanto previsto dal paragrafo 6 («Ogni Stato membro può prevedere per legge che la sua autorità di controllo abbia ulteriori poteri […]»), del già richiamato art. 58 del Regolamento GDPR.
Nello specifico, il rimedio accessorio previsto è appunto quello della confisca «dei supporti informatici e cartacei contenenti le liste di anagrafiche illecitamente acquisite […], nonché delle liste di anagrafiche e dei moduli cartacei che compongono i database nella disponibilità della società cooperativa», con sede legale in Firenze. Ciò in quanto si è ritenuto concretamente necessario «sottrarre alla disponibilità di tali società un consistente patrimonio informativo (si ribadisce, acquisito e detenuto del tutto illecitamente)», e ciò soprattutto «al fine di impedire in ogni modo riutilizzi illeciti anche da parte di ulteriori soggetti terzi». La confisca viene considerata altresì «funzionale a tutelare adeguatamente l’elevato numero di interessati, loro malgrado incappati nel complesso di attività illecite sin qui descritto». In tal senso, tale rimedio accessorio assume «il significato di restituire, quantomeno idealmente e figurativamente, agli interessati, il senso di una adeguata tutela dei propri dati personali per il tramite di una pubblica Autorità».
Da ultimo, va ricordato che le società interessate dal complessivo trattamento sanzionatorio indicato, ai sensi dell’art. 166, comma 8, del Decreto Legislativo 30 giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (c.d. Codice Privacy), «hanno facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata», somma intera che ammonta a complessivi euro 1,8 milioni di euro, ripartiti tra i quattro gruppi di contravventori, con diversa gradazione a seconda delle responsabilità accertate in capo a ciascuno di essi.
