ISSN 2039 - 6937  Registrata presso il Tribunale di Catania
Anno XIII - n. 05 - Maggio 2021

  Ultimissime



Il Garante si esprime su telemarketing aggressivo, direct marketing, diritto all'oblio e diritto di cronaca.

   Consulta il PDF   PDF-1   

GPDP, comunicato del 27 aprile 2021, n. 476.

 

Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti. Queste sono alcune delle prescrizioni, in aggiunta a sanzioni pecuniarie, che il Garante per la protezione dei dati personali ha imposto a tre società di call center che disturbavano con offerte commerciali indesiderate decine di migliaia di utenti.

Dopo le sanzioni alle compagnie telefoniche che avevano commissionato ai call center campagne promozionali senza adeguate istruzioni e controlli, l’Autorità ha effettuato verifiche sull’operato delle società incaricate delle attività di telemarketing.

Dalla complessa attività istruttoria e ispettiva del Garante è emerso che i tre call center avevano chiamato numerose persone non incluse nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze ‘fuori lista’. I numeri telefonici fuori lista erano spesso riferibili a utenti che non avevano fornito un libero e specifico consenso a essere contattati per promozioni commerciali o si erano appositamente iscritti nel Registro pubblico delle opposizioni. In molti, tra l’altro, avevano più volte manifestato agli operatori dei call center o della società committente la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list. Alcuni numeri telefonici utilizzati per le chiamate commerciali, inoltre, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata.

Il Garante ha poi rilevato la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).

Nel calcolare l’ammontare delle sanzioni, l’Autorità ha tenuto conto, tra i vari aspetti, del differente livello di gravità delle violazioni commesse dai tre call center e della cooperazione offerta all’Autorità, ma anche del periodo di grave crisi socio-economica collegata all’emergenza pandemica.

Il primo call center ha commesso il maggior numero di violazioni. Ha, tra l’altro, disturbato un numero più significativo di persone e con un’elevata frequenza, tanto che un utente è stato contattato, nonostante la sua opposizione, anche 155 volte in un mese. Dovrà quindi pagare una sanzione di 80.000 euro.

Anche il secondo call center ha presentato criticità di sistema, relative in particolare alla carente verifica della liceità dei dati contenuti nelle liste di contatto acquistate da imprese terze, anche in relazione alla validità dei consensi forniti per il marketing. Durante l’istruttoria il call center ha, però, affermato di aver proceduto alla nomina di un nuovo Dpo e di aver intrapreso un percorso di complessiva revisione della propria strategia commerciale e della privacy policy. Alla società è stata comminata una sanzione di 15.000 euro.

Al terzo call center è stata contestata una sanzione minore, essendosi adoperato per gestire il problema delle liste di utenze telefoniche “referenziate” tenendo traccia di alcuni elementi come l’origine dei dati e gli operatori che avevano lavorato sulle specifiche utenze. La società, in fase di cessazione delle attività e di liquidazione volontaria, dovrà pagare una sanzione di 5.000 euro.

In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.

Direct marketing, Garante: il diritto di opposizione degli utenti va rispettato

Il diritto degli utenti di opporsi all’uso dei dati a fini di direct marketing va rispettato. E i meccanismi di ricezione delle loro istanze devono essere efficienti e presidiati.

È il principio ribadito dal Garante per la privacy che ha ammonito una società per non aver dato riscontro alle richieste di alcuni utenti che non volevano ricevere email promozionali e le ha ingiunto di adottare le misure organizzative necessarie per fornire una risposta immediata a chi si oppone al direct marketing.

Alla società è stato inoltre vietato il trattamento dei dati senza consenso e per le violazioni riscontrate è stata inflitta una sanzione di 30.000 euro.

Il procedimento è scaturito da due reclami con i quali si lamentava la ricezione di email promozionali inviate dalla società, senza consenso e nonostante l’opposizione dei destinatari manifestata via pec.

I reclamanti segnalavano inoltre l’impossibilità di interrompere gli invii tramite il tasto unsubscribe pure presente nelle email e l’assoluta mancanza di riscontro alle loro richieste di esercizio dei diritti.

La società si era difesa sostenendo che il mancato riscontro era dovuto al fatto che la casella di posta pec non era stata monitorata per diversi mesi a causa di problemi organizzativi e che comunque gli utenti avrebbero dovuto esercitare i loro diritti avvalendosi del modulo presente al link “contattaci”, come indicato nell’informativa privacy pubblicata nel sito web. 

Giustificazioni insufficienti secondo il Garante. Dall’esame delle email ricevute dai reclamanti, alcune delle quali risalenti anche al 2018 è emerso infatti che l’unico modo di individuare in maniera certa un canale di comunicazione era l’indirizzo pec, rinvenibile nei pubblici registri.

Infine, il tasto unsubscribe presente in calce alle mail non era comunque funzionante, come dimostrato dal fatto che, nonostante il suo utilizzo uno dei reclamanti aveva continuato a ricevere i messaggi indesiderati.

Il Garante ha quindi ritenuto che l’assenza di indicazioni chiare, all’interno delle stesse email promozionali, sulle modalità per contattare la società, insieme alla mancanza di adeguate misure tecniche e organizzative, che avrebbero dovuto consentire il funzionamento del tasto unsubscribe e il corretto monitoraggio della casella di posta  pec, hanno reso impossibile ai reclamanti di esercitare i propri diritti, comportando  l’invio di comunicazioni promozionali anche in presenza di una espressa opposizione.

Oblio: no alla cancellazione di un articolo dall’archivio online di un quotidiano

L’Autorità però sanziona l’editore per non aver risposto alla richiesta del reclamante

Non si può cancellare un articolo dall’archivio online di un quotidiano.

Per bilanciare la libertà di informazione e il diritto all’oblio, si può chiederne la deindicizzazione dai motori di ricerca. L’articolo conserva infatti il suo valore di documento storico e come tale deve rimanere accessibile nella sua integrità agli abbonati e a chi dovesse svolgere specifiche ricerche.

Nel reclamo presentato al Garante, un cittadino chiedeva di ordinare all’editore di un quotidiano nazionale online, di cancellare i propri dati personali da un articolo pubblicato in estratto nell’archivio online. L’uomo riteneva che l’articolo gli recasse pregiudizio e non fosse più attuale, dal momento che riguardava una vicenda giudiziaria risalente al 1998, senza riportarne i successivi sviluppi. Nel frattempo infatti l’imputazione di appropriazione indebita aggravata a suo carico era stata dichiarata estinta per prescrizione dalla Suprema Corte di Cassazione. Lamentava poi che l’editore non avesse dato riscontro alla sua istanza per l’esercizio dei diritti.

Nel ritenere infondata la richiesta di cancellazione il Garante ha considerato l’utilità sociale e il valore di documento storico dell’articolo oltre al fatto che questo fosse stato già deindicizzato dall’editore. L’articolo era infatti consultabile liberamente nell’archivio solo in estratto e integralmente solo dagli abbonati.

Inoltre la data di pubblicazione e la sua collocazione all’interno dell’archivio consentivano di contestualizzare la vicenda, per la quale, in ogni caso, il reclamante non aveva mai fornito documenti dei successivi sviluppi. L’Autorità ha invece ordinato all’editore il pagamento di una sanzione di 20.000 euro per non aver fornito comunque risposta all’interessato, come previsto dal Regolamento, e ha disposto la pubblicazione integrale del provvedimento sul sito web del Garante. 

 

Cronaca, Garante: troppi dettagli causano pregiudizio, soprattutto ai minori

Nel riferire fatti di cronaca, il giornalista deve evitare di riportare informazioni eccedenti che possano ledere la riservatezza delle persone, tanto più se minori.

Il principio è stato ribadito dal Garante per la protezione dei dati personali che ha vietato all’editore di una testata online di trattare dati personali non essenziali relativi alla morte di una donna, lesivi della riservatezza dei suoi familiari, in particolare della figlia minore.

A seguito del reclamo presentato all’Autorità dal marito della donna ritrovata senza vita, il Garante ha accertato che l’articolo, di cui l’uomo richiedeva la rimozione, aveva riportato molti dettagli non essenziali ai fini dell’esercizio del diritto di cronaca.  In particolare venivano descritti aspetti della vita intima della vittima, come l’esistenza di una sua relazione con la persona indagata per la sua morte, e veniva riportato il suo indirizzo di residenza, presso il quale vive tuttora la sua famiglia.

Sulla base del Regolamento europeo e delle Regole deontologiche sull’attività giornalistica, il Garante ha ritenuto illecito il trattamento di queste informazioni, in quanto inessenziali e pregiudizievoli per il marito e soprattutto per la figlia minorenne della vittima, e ha vietato l’ulteriore diffusione dell’articolo.

Considerato che l’editore ha provveduto a sospendere la pubblicazione dell’articolo e che non ha commesso precedenti violazioni analoghe, l’Autorità ha ritenuto sufficiente ammonirlo, invitandolo, entro 30 giorni, a comunicare le iniziative intraprese per dare attuazione a quanto prescritto e ha disposto l’invio del provvedimento al Consiglio nazionale dell’Ordine dei giornalisti.