Consumatori  -  Redazione P&D  -  18/02/2022

L'Autorità Garante per la riservatezza interviene a tutela degli utenti vittime del telemarketing aggressivo - Giovanni Di Salvo

"Nessuno dubita che la sicurezza sia un bene da assicurare a tutti i cittadini".

  • Abstract.
  • Abstract (inglese).
  • Introduzione.
  • La Autorità Garante ed il telemarketing “aggressivo”. Il “caso” Vodafone.
  • Conclusioni. Telemarketing o truffa?

Abstract.

L’articolo illustra il “Caso” giudiziario che vedeva contrapposti l’Autorità Garante per la Riservatezza e la Società Vodafone. Nella fattispecie la Società Vodafone si era avvalsa di una rete di operatori minori e di call center per promuovere e commercializzare beni, servizi e prodotti telefonici, mediante il telemarketing; ma con pratiche commerciali scorrette e modalità tali da ingenerare confusione nei consumatori. Inoltre gli accertamenti svolti dall’Autorità evidenziavano diverse ed importanti criticità del sistema (così come concepito), che riguardavano tanto la violazione della normativa sulla riservatezza, in riferimento alle modalità obbligatorie di perfezionamento del consenso; quant'anche dei fondamentali principi di soggettivazione, di  responsabilizzazione e di implementazione delle tutele della privacy. Sino dalla fase di progettazione dei trattamenti, giammai predisposti in conformità del Regolamento Europeo.

Abstract (inglese).

The article illustrates the judicial "Case" between the Italian Data Protection Authority and the Vodafone Company. In this “Court Case”, the Vodafone Company used a network of smaller operators and call centres to promote and market goods, services and telephone products trought telemarketing; but with unfair commercial practices and methods that lead to confusion among consumers. Moreover, the investigations carried out by the Authority highlighted several and important criticisms of the system (as conceived), which concerned both the violation of the Rules on privacy, or on confidentiality, in reference to the mandatory methods of processing consent; as well as the fundamental principles of subjectivity, accountability and implementation of privacy protections. Even from the design phase of the treatments, we never prepared in accordance with the European Regulation

°°°

Introduzione.

Nell'era della globalizzazione contemporanea, nella quale si anticipano i concetti di uniformità, di unionismo (concetti che saranno rivoluzionati) e gli temi che saranno oggetto di ripetute osservazioni critiche, si discutono, si scompongono e si ricompongono a vario modo i diritti fondamentali. In ragione delle nuove istanze e delle mutate esperienze costituzionali, europee ed internazionali.

Al riguardo potrebbe apparire "scontato" l'intervento del Garante della Riservatezza. Eppure questo Ente, tanto vituperato negli anni trascorsi, ha saputo intravedere ciò che accade fuori le sedi istituzionali, al di là dell'ordine stato-centrico, degli equilibri, delle proporzioni. E nelle realtà delle dinamiche socio-economiche. Sino ad imporsi con i potenti dispositivi pubblici, ma con la ragionevolezza, la  tempestività e senza indulgere in proselitismi, o clientelismi, di sorta. Pur dinanzi ad un "caso" riguardante i produttori di determinati beni e servizi, che, in un numero sempre più frequenti di occasioni, vengono considerati responsabili per le lesioni cagionate alle persone. E per i danni derivanti dai beni e dai servizi che mettono in circolazione.

Ridefinendo,  così, i confini sorvegliati dallo spazio pubblico. Ed assecondando le ragioni di una spontanea rivolta culturale, conseguente alla "escalation" dei cyber-crimini ed alle pratiche di marketing, che hanno favorito condotte commerciali indesiderate ed aggressive.

La questione, infatti, si riproponeva in tutta la propria dimensione, innovatrice, contraddittoria e degradante. Ovvero, si riproponevano quei quesiti che, come annunciò il prof. S. Rodotà, "ci accompagneranno negli anni a venire, perché sono fortissime le spinte verso la costruzione di una società del controllo totale". Per la quale: "Sembra quasi che la versione tecnologica della lotta tra bene e male si riassuma nel conflitto tra controllo e riservatezza, tra sicurezza e libertà". E dove si propone un "nuovo confine, che in un mondo sempre più saturo di tecnologia, separa la democrazia dall'autoritarismo".

La Autorità Garante ed il telemarketing “aggressivo”. Il “caso” Vodafone.

Nella fattispecie il Garante dopo aver istruito una approfondita e complessa indagine, avviata a seguito delle migliaia di segnalazioni e dei reclami inoltrarti dagli utenti, che lamentavano indesiderati, molesti e reiterati contatti telefonici, effettuati da un noto gestore telefonico (Vodafone/ c. altri) e dalla sua rete di vendita, per promuovere i servizi di telefonia e di internet offerti dall’azienda, condannava, con provvedimento del 16 novembre 2020, il medesimo. Per avere trattato in modo illecito i dati personali di milioni di utenti per finalità di telemarketing.

Inoltre ordinava il pagamento di una sanzione di circa 12 milioni e 250 mila euro. E di adottare una serie di misure per conformarsi alle normative nazionali ed europee sulla tutela dei dati personali e sensibili.

Gli accertamenti svolti dall’Autorità evidenziavano diverse ed importanti criticità "del sistema", che riguardavano tanto la violazione della normativa sulla riservatezza, in riferimento alle modalità obbligatorie di perfezionamento del consenso; quant'anche dei fondamentali principi di soggettivazione, di  responsabilizzazione e di implementazione delle tutele della privacy. Sino dalla fase di progettazione dei trattamenti, giammai predisposti in conformità del Regolamento Europeo.

Criticità riconducibili, ad avviso del Garante, "al complesso delle operazioni svolte dalla società nei confronti sia dell’intera base dei clienti di Vodafone, sia del più ampio ambito dei potenziali utenti del settore delle comunicazioni elettroniche".

Infatti, nel corso dell’istruttoria emergeva un "allarmante fenomeno di utilizzo di numerazioni fittizie e, comunque, non censite nel Registro degli Operatori di Comunicazione (ROC), per realizzare i contatti promozionali".

Un fenomeno anomalo riscontrato dallo stesso gestore, per il quale le cause erano da ricondursi ad un "sottobosco di call - center abusivi, che effettuano attività di telemarketing in totale spregio" delle normative europee, delle disposizioni interne e delle misure di sicurezza in materia di protezione dei dati personali e sensibili. Così come anche (a mio avviso) delle normative inerenti l'esercizio delle attività di agenzia e di intermediazione commerciale, professionale, od occasionale.

Ulteriori profili di violazione erano rilevati nella gestione delle liste dei nominativi da contattare ed acquisite dai  fornitori esterni. Liste che i partners commerciali della società avevano ricevute da altre aziende eppoi trasferite, o cedute,  all’operatore telefonico. In assenza del consenso libero, informato, necessario e specifico degli utenti.  

L’Autorità ordinava, quindi, al gestore telefonico soccombente di introdurre dei sistemi che consentano di “comprovare che i trattamenti predisposti ed attuati ai fini delle operazioni commerciali e di telemarketing” si svolgano (sebbene, a mio avviso, sarebbe stato più esaustivo "richiamare" anche il c.d. "teleselling"; che ha generato non poche confusioni tra gli operatori ed il mercato) nel rispetto delle disposizioni italiane. Oltre che delle normative europee in materia di riservatezza e di consenso informato.

Inoltre il Garante ordinava alla società soccombente che, ”dovrà dimostrare che i contratti siano attivati, unicamente, a seguito di chiamate promozionali effettuate dalla sua rete di vendita”, attraverso numerazioni censite ed iscritte, regolarmente e legalmente, al Registro ROC. Ed, ancora, la società dovrà "irrobustire le misure di sicurezza al fine di impedire accessi abusivi”, o comunque illeciti, ai databases dei clienti. E fornire pieno riscontro alle legittime richieste di esercizio consapevole dei propri diritti, così come formulate dagli utenti.

Conclusioni. Telemarketing o truffa?

Risultavano, quindi,  inadeguate anche le misure di sicurezza dei sistemi di gestione della clientela. Questione circa la quale il Garante aveva già ricevuto numerosi reclami e segnalazioni da parte dei clienti diretti e degli altri utenti, che erano stati contattati tanto dai sedicenti operatori telefonici, quanto dagli intermediari del commercio (spesso fittizi; e perciò obbligati all'iscrizione nell'apposita sezione del R.E.A.), che agirono in nome, o per conto,  del gestore condannato. Intermediari i quali chiesero di inviare i documenti di identità (eppoi passaporti, tessere sanitarie, patenti di guida, fatture aziendali, codici fiscali, parte IVA, dati bancari, IBAN ed altri dati sensibili) ai propri indirizzi email, od a quelli degli stessi operatori telefonici. Invii da perfezionarsi, per l’appunto, attraverso i più comuni social network, o tramite altri sistemi di messaggistica (quali, ad esempio, Whatsapp, Telegram, Messenger, Gmail, Libero, etc.). Indirizzi di destinazione dei dati talvolta intestati (come detto) agli operatori telefonici dei call center, ai team leader dei call center, ad intermediari anonimi ed addirittura a terze persone fittizie, o del tutto sconosciute.

Al fine, evidentemente, di perseguire, mediante spamming, phishing e quant’altro, la realizzazione di specifici disegni criminali finalizzati all’accaparramento della clientela (ad esempio, mediante la profilazione illegale dei dati dei clienti), all’arricchimento, (ad esempio, mediante truffe, raggiri e pratiche commerciali illecite). Così come di altre e specifiche attività fraudolente, o comunque illecite.

L'Autorità Garante, infine, vietava al gestore ogni ulteriore trattamento dei dati anagrafici, personali o sensibili con finalità promozionali, commerciali o di telemarketing. Operati mediante le acquisizioni delle liste anagrafiche da società estranee, o presso soggetti terzi. Ed ancor più quando tali trattamenti siano posti in essere dagli operatori telefonici e dagli intermediari,  ma senza ch codesti abbiano acquisito, a propria volta e dagli utenti finali, il consenso libero, specifico ed informato per il trattamento, la elaborazione, la diffusione, la comunicazione o la cessione dei dati riservati.

Il 20.10.2020. 

Revisione il 18.2.2022.

In allegato l'articolo integrale con note


Allegati



Autore

immagine A3M

Visite, contatti P&D

Nel mese di Marzo 2022, Persona&Danno ha servito oltre 214.000 pagine.

Libri

Convegni

Video & Film