La seconda sanzione milionaria irrogata dall’autorità di supervisione nazionale contiene anch’essa numerosi profili di compliance che meritano di essere esaminati.

Sintesi

Il Garante privacy italiano ha reso noto un ulteriore provvedimento col quale è stata irrogata una sanzione amministrativa di circa 28 milioni di euro per telemarketing indesiderato ed altre violazioni. Il provvedimento segue la falsariga del precedente, sempre in materia di telemarketing, evidenziando come questo ambito sia considerato una priorità per l’autorità, in quanto il «fenomeno (delle chiamate promozionali indesiderate) è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante».

In aggiunta ai profili riconducibili al trattamento di dati personali strettamente collegati al telemarketing, vi sono alcuni passaggi del provvedimento che meritano attenzione per la loro ampia portata come la gestione interna per facilitare l’esercizio dei diritti degli interessati, la prassi dell’accettazione dell’informativa, l’interpretazione operativa dei principi di accountability e privacy by design il valore giuridico della disponibilità di dati personali per una determinata finalità ancorchè gli stessi non siano stati ancora utilizzati a tale scopo ed infine le considerazioni sul dato personale come merce di scambio. Nell’ambito del marketing, invece, suscita attenzione la rinnovata distinzione tra fidelizzazione e marketing, le condizioni di applicabilità della base giuridica dell’interesse legittimo per il trattamento di dati personali per finalità di marketing, i rapporti tra azienda committente e terze parti responsabili del trattamento, anche svolgenti attività di call center.

Provvedimento sanzionatorio contro TIM

Con Provvedimento del 15 gennaio 2020 [doc. web n.  9256486], a seguito di una complessa attività istruttoria che ha riscontrato una serie di violazioni in tema di protezione dei dati personali, il Garante ha irrogato la sanzione amministrativa di € 27,8 milioni. Oggetto principale della vicenda è l’attività di chiamate indesiderate per finalità di marketing (cosiddetto “telemarketing selvaggio”) già oggetto dell’analogo provvedimento sanzionatorio contro ENI Gas e Luce e dell’Editoriale del 23 gennaio 2020.

Al di là delle questioni specifiche di entrambe le vicende, i due provvedimenti offrono ricchi spunti di riflessione che riguardano sia il contesto dei trattamenti di dati personali per finalità di marketing in generale sia quello della disciplina della protezione dei dati personali in senso lato. In questa tornata esaminiamo l’imputazione di responsabilità tra titolare e proprio responsabile, per violazioni compiute da quest’ultimo.

Titolari e responsabili

Quando un titolare si avvale di un responsabile del trattamento per l’effettuazione di operazioni di dati personali per suo conto, è suo compito selezionare la terza parte secondo criteri di affidabilità riguardo al rispetto delle prescrizioni del GDPR [art. 28(1), GDPR]. Tale obbligo ha carattere continuativo, nel senso che non si esaurisce in fase di selezione ma permane per tutto il periodo della collaborazione, come si desume dall’obbligatoria previsione contrattuale con cui il responsabile consente e garantisce di contribuire «alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato» [art. 28(3)(h), GDPR]. Cioè, il titolare deve verificare che il responsabile adempia ai suoi obblighi, anche tramite ispezioni e verifiche ed il responsabile, dal suo canto, deve consentirle e garantirne la collaborazione.