La vicenda.
Nel 2015 Telecom Italia Spa ha intrapreso – tramite le società partner Sentel e Netsi – una campagna pubblicitaria telefonica nei confronti di ex clienti denominata “campagna recupero consensi” che ha comportato l’utilizzo dell’intera base dei dati dei clienti c.d. “cessati e non consenzienti”, circa 2.000.000 di anagrafiche.
La campagna era stata ideata allo scopo di acquisire il consenso al trattamento dei dati personali per finalità promozionali da parte di coloro che in precedenza non lo avevano manifestato oppure lo avevano espressamente revocato al momento della cessazione del rapporto contrattuale onde verificare se i medesimi, passato qualche tempo, avessero intenzione di cambiare idea.
In seguito a tale iniziativa sono state numerose le segnalazioni al Garante da parte di utenti che lamentavano contatti telefonici senza aver prestato il consenso (informato e liberamente espresso, così come prescritto dagli artt. 23 e 130 co. 3 del Codice Privacy) all’utilizzo dei propri dati personali per finalità promozionale; molti dei reclamanti, anzi, dichiaravano di essersi espressamente opposti al trattamento per finalità commerciali ai sensi dell’art. 7, co. 4 lett. b) del d.lgs 196/03.
Le violazioni del Codice privacy contestate.
In relazione alle suddette segnalazioni l’Autorità Garante della Privacy ha avviato un procedimento che si è concluso con il provvedimento n. 275 del 22 giugno 2016.
Gli accertamenti svolti hanno confermato che Telecom aveva effettuato operazioni di trattamento finalizzate allo svolgimento di attività promozionali senza consenso degli interessati, violando gli artt. 23 e 130, co. 3 del Codice Privacy.
La norma dispone che le comunicazioni per finalità promozionali sono possibili solo con il consenso informato dell’interessato, che deve essere manifestato in modo espresso, libero e specifico (in tal senso si veda il provv. 1° ottobre 2015, n. 503, emesso sempre nei confronti di Telecom ancorché con riguardo all’illecito trattamento di dati riferiti ad un’utenza “riservata”); ciò significa che qualunque trattamento di dati personali, indipendentemente dalla sua natura promozionale o meno, che sia svolto da soggetti privati, deve essere effettuato previa acquisizione di un valido consenso ai sensi dell’art. 23 del Codice ovvero in presenza di una delle condizioni indicate al successivo art. 24, che esimono dalla raccolta del consenso stesso.
Nel caso di specie, secondo il Garante, l’aver qualificato i soggetti che dovevano essere contattati nell’ambito della campagna “recupero consenso” come “cessati e non consenzienti” dimostrava già di per sé che Telecom aveva inteso svolgere dei trattamenti di dati personali in difetto delle condizioni summenzionate, ossia dei trattamenti illeciti da cui deriva l’inutilizzabilità dei dati raccolti.
Perchè una sanzione così elevata?
Il Garante spiega che l’importo della sanzione è stato determinato in considerazione sia dell’ingente numero di soggetti coinvolti dalla campagna “recupero consensi”, sia del fatto che le violazioni sono risultate “connotate da gravi elementi specificità giacché Tim S.p.A. ha intrapreso una attività di contatto telefonico rivolta a soggetti che avevano espresso una chiara volontà di segno contrario, raggiungendoli con comunicazioni indesiderate o di disturbo (…) sulla base di una scelta consapevole e non per mera negligenza”, sia infine della circostanza che la società risultava recidiva, essendo già stata sanzionata più volte per fatti similari (si veda, ad es., l’ordinanza-ingiunzione n. 433 del 3 ottobre 2013 riguardante una campagna pubblicitaria diretta a soggetti che avevano revocato il proprio consenso, esercitando i diritti previsti dall’art. 7, comma 4, lett. b), del Codice della Privacy; in precedenza, con provvedimento del 30 maggio 2007, il Garante aveva già prescritto a Telecom di adottare “le misure necessarie per rendere il trattamento dei dati conforme alle disposizioni vigenti per ciò che concerne, specificamente, la possibilità di effettuare chiamate di carattere pubblicitario, promozionale o commerciale solo nei confronti di soggetti per i quali risulti documentato in modo adeguato il preventivo consenso informato rispetto al contatto telefonico […]”).
Il Tribunale di Milano, innanzi al quale Tim Spa ha impugnato il provvedimento sanzionatorio, ha confermato la sanzione (Trib. Milano sentenza n. 5022/2017 del 5 maggio 2017). Del resto non capita praticamente mai che la giustizia ordinaria, innanzi alla quale vanno proposte le opposizioni, disattenda le prescrizioni del Garante.
Scenari (non troppo) futuri.
In tale contesto il nuovo Regolamento EU 679/2016 in materia di protezione dei dati personali (obbligatorio dal 25 maggio prossimo), che prevede sanzioni ben più elevate rispetto alla normativa attualmente vigente (fino a 20 milioni di euro o al 4% del fatturato mondiale annuo, se superiore) non sembra una buona notizia per chi intenda continuare ad ignorare i diritti degli utenti.
