L’ultimo in ordine di tempo a essere sanzionato dal Garante della Privacy è stato Fastweb colpito con una multa da 4 milioni e mezzo di euro. Secondo il comunicato stampa del Garante della Privacy non si tratta di un provvedimento eccezionale, ma è solo uno dei molti provvedimenti che sono seguiti alle indagini condotte su tutti i maggiori utilizzatori del telemarketing per la vendita di contratti. Sono ben 70 milioni le sanzioni impartite dal Garante della Privacy, che hanno avuto lo scopo di regolamentare attività di telemarketing considerate troppo aggressive e hanno colpito Eni Gas e Luce, Tim, wind Tre, Iliad Italia e Vodafone. 

Le indagini sono seguite a numerose segnalazioni da parte di utenti che lamentavano continue telefonate promozionali di servizi di telefonia e di internet effettuate senza il loro consenso. Gli accertamenti svolti dall’autorità del Garante per la Privacy hanno rilevato delle criticità di sistema riconducibili al complesso dei trattamenti effettuati sia nei confronti dell’intere base di clienti della società sia del più ampio ambito di potenziali utenti del settore delle comunicazioni elettroniche. Un sistema collaudato e molto diffuso, che non è sempre riconducibile direttamente alla società i cui servizi ci vengono proposti telefonicamente, ma molto spesso a chi si occupa materialmente di gestire i call center.

Cosa ha contestato il Garante delle Privacy alle società di telemarketing

Nel comunicato diffuso dal Garante della Privacy si legge che

nel corso dell’istruttoria è emerso un allarmante ricorso all’utilizzo di numerazioni fittizie non iscritte nel Registro degli Operatori di Comunicazione. Questo fenomeno, secondo il garante è riconducibile a un sottobosco di call center abusivi che effettuano le attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali.

Oltre a questa sono state ipotizzate violazioni che hanno riguardato la corretta gestione delle liste dei contatti fornite da partner esterni senza che questi ultimi avessero acquisito il consenso libero specifico e informato degli utenti della comunicazione dei propri dati. 

In sostanza il Garante per la Privacy contesta il fatto che i call center che si sono occupati di contattare i potenziali utenti non siano iscritti al ROC: si tratta di un registro tenuto dall Autorità Garante per le Comunicazioni il cui scopo è quello di conoscere con precisione chi ci sia dietro a ogni azienda che si occupi di trattare dati personali.

Che cosa si contesta alle società di telecomunicazioni

Il Garante della privacy sostiene che le indagini svolte hanno individuato misure di sicurezza dei sistemi per la gestione della clientela inadeguate. All’autorità sono giunte numerose telefonate di utenti che lamentavano di essere stati contattati da sedicenti operatori di Fastweb che in particolare tramite WhatsApp cercavano di farsi dare i documenti di identità dei contraenti. L’ipotesi è che lo scopo finale fosse quello di portare a termine truffe del tipo phishing, spamming, o altri tipi di frode.

Il Garante della Privacy ha inoltre individuato altre criticità nell’attività promozionale svolta dalla società di telecomunicazioni, in collaborazione con un altro soggetto per avere usato liste clienti fornite da quest’ultime senza prima avere ottenuto il consenso a usarli a scopo di marketing. Si obietta inoltre che le modalità usate per uno specifico servizio offerto dalla società, fossero tali da impedire di fatto agli utenti di prestare un consenso libero, specifico e informato e inoltre di disattivare il servizio in modalità automatizzata.

Oltre a imporre il pagamento della multa il Garante per la Privacy ha

ordinato di adeguare i trattamenti in materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di chiamate effettuate dalla rete di vendita attraverso numerazioni telefoniche censite e iscritte al Roc. Imposto inoltre di incrementare le misure di sicurezza per impedire l’accesso abusivo ai propri database, dove sono conservati i dati personali degli utenti. Infine divieto di usare i dati contenuti nelle liste anagrafiche fornite da partner terzi, se questi non abbiano ottenuto preventivamente il consenso, libero specifico e informato dagli interessati alla comunicazione a terzi dei propri dati.

Cosa sono i dati personali per il Garante della privacy

Per il nostro ordinamento i dati personali, che ricevono tutela attraverso il Garante per la Privacy sono tutte le informazioni che identificano o rendono identificabile direttamente o indirettamente una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, la sua salute, il suo stile di vita e in generale su tutto quello che lo riguarda nella sfera privata. 

Cosa intende il Garante della Privacy per trattamento dei dati personali

Ciò che la normativa sia nazionale che europea ritiene sia particolarmente meritevole di attenzione è il trattamento che viene fatto dei dati personali dei cittadini. Secondo quanto riportato dal sito del Garante della Privacy

per trattamento si intende qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di procedure informatizzate e applicate a dati personali o insieme di dati personali.

A chi detiene e tratta dati personali altrui sono imposte particolari cautele sia per quanto riguarda l’uso che viene fatto dei dati, che non può eccedere quelli per cui hanno ricevuto una espressa autorizzazione. In secondo luogo devono avere particolare cura nel conservarli e nel proteggerli. Questo significa non cederli a terzi senza esservi stati autorizzati, ma significa anche adottare tutte le cautele messe a disposizione dalla tecnologia per evitare che entrino in possesso di soggetti che non ne hanno diritto e che presumibilmente ne faranno un uso illegittimo.

Quali sono le tutele previste i dati personali

I diritti ai quali facciamo e che sono oggetti di tutela attiva da parte del Garante della Privacy sono riconosciuti anche dall’Unione Europea e riguardano tutti i nostri dati indipendentemente dal fatto che siano trattati all’interno dell’unione se le attività riguardano l’offerta di beni e servizi a soggetti che si trovino in Europa con o senza richiesta di un pagamento. Inoltre tutte le attività in cui i dati personali siano usate per il monitoraggio di comportamenti all’interno dell’Unione europea.

Il titolare dei dati personali ha sempre diritto di chiedere a un soggetto interessato a trattare dati, se sia in corso un trattamento dei propri dati personali. Nel caso la risposta sia positiva a richiesta deve essere informato delle ragioni per cui i suoi dati personali siano usati.

Diritto inoltre a chiedere che i propri dati siano rettificati nel caso siano inesatti o necessitino di essere aggiornati. Diritto anche a chiedere la cancellazione se i dati non siano più necessari ai fini per cui inizialmente sono stati raccolti, ma anche semplicemente in tutti i casi in cui abbia un ripensamento e decida di revocare il consenso dato inizialmente, oppure di limitarne la portata.

Vi è poi il diritto all’opposizione per motivi connessi alla situazione particolare dell’interessato da specificare nell’opposizione. Non è richiesta alcuna motivazione nel caso i dati vengono utilizzati per finalità di marketing diretto.

Come tutelare i propri dati personali

La prima possibilità che vi viene offerta dal regolamento numero 679 del 2016 dell’Unione Europea è quello di rivolgersi direttamente all’interessato, inteso come la società pubblica o privata o il singolo che detenga e tratti o si appresti a trattate i nostri dati personali. La richiesta può riguardare, a seconda delle necessità un solo dato o un solo tipo di trattamento, oppure in generale tutti i nostri dati detenuti e tutti i possibili trattamenti previsti dalla legge. Il sito del Garante della Privacy mette a disposizione un modulo già predisposto da compilare con i propri dati e dove indicare la richiesta che intendiamo fare. Il modulo va spedito senza particolari formalità usando lettera raccomandata, o anche una email. L’unica accortezza è quella di sceglierà una modalità che ci permetta di avere una ricevuta alla spedizione o alla ricezione della missiva.

Il titolare dei dati ha l’obbligo di rispondere entro un mese dal ricevimento della richiesta, salvo che un giustificato motivo renda plausibile un ritardo. I tempi di risposta sono allungati fino a due mesi nel caso tenuto conto della complessità della domanda o del numero elevato di richieste ricevute, si renda necessario avere più tempo a disposizione per completare la pratica. Il titolare anche in questa ipotesi, deve comunque entro un mese contattare il richiedente per confermare di avere ricevuto la domanda.

Come presentare un reclamo al Garante della Privacy

Chi ritenga che i propri dati personali siano stati utilizzati in modo scorretto, o comunque che meritino maggior protezione può rivolgersi al Garante per la Privacy presentando un reclamo. Lo stesso può essere presentato e sottoscritto in prima persona, oppure attraverso un avvocato, un procuratore, un organismo o un’associazione senza scopo di lucro. In queste ipotesi al reclamo dovrà essere allegata una procura e tutta la documentazione necessaria a individuare il nome della persona per cui la contestazione è presentata. Sul sito del Garante della Privacy è presente un modello scaricabile del reclamo.

Il Garante della Privacy inizierà un’attività istruttoria preliminare sulla base del reclamo. In pratica avvierà delle indagini per verificare l’esistenza di violazione di dati personali. All’istruttoria potrà seguire un procedimento amministrativo formale al temine del quale Il Garante della Privacy può emanare delle sanzioni.

Contro la decisione del Garante della Privacy è possibile presentare un ricorso in sede giurisdizionale sia da parte di chi abbia chiesto l’inizio delle indagini, sia da parte di chi sia il destinatario delle sanzioni o delle limitazioni.