Tra gennaio e febbraio 2020 il Garante per la protezione dei dati personali ha applicato sanzioni per un totale complessivo di quasi 40 milioni di euro. Per l’Italia sono i primi casi di sanzione di importo molto significativo in tema di protezione dati personali dall’entrata in vigore del GDPR e seguono la scia di provvedimenti già intrapresi da diverse altre Autorità europee.
Il Garante mostra la sua faccia più dura, dando risonanza a situazioni di non conformità che indurranno molte imprese a reagire, rimettendo in priorità gli investimenti in ambito data protection.
Nonostante le ultime recenti evoluzioni socio-economiche a livello globale, il Garante sta continuando a portare avanti le attività ispettive pianificate e non ci aspettiamo dei rallentamenti o un rilassamento della soglia di attenzione. Sarà inoltre verosimile un intensificarsi nei prossimi mesi del coordinamento tra le Autorità data protection europee per mettere in chiaro che non saranno possibili arbitraggi transnazionali per le multinazionali che operano cross-border o per i “Big” che hanno deciso/cercano un approdo in uno Stato membro.
Gli ambiti oggetto di sanzione
Le sanzioni comminate nel periodo di riferimento del presente articolo si focalizzano sulle attività indesiderate di marketing telefonico e sull’attivazione di prodotti e servizi non richiesti, ambiti che hanno un impatto diretto significativo su un numero ingente di interessati. Il telemarketing, in particolare, dal 2017 a oggi è stato sempre presente nella programmazione semestrale di ispezione dell’Autorità. Nell’argomentare le sanzioni il Garante sottolinea che “tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. […] I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato un sensibile miglioramento del fenomeno”.
Che cosa emerge dall’analisi delle sanzioni?
Da un’analisi dei provvedimenti sanzionatori possiamo trarre alcune considerazioni importanti, che riportiamo qui di seguito.
Numero dei reclami: il numero dei reclami pervenuti pare non essere indicativo della decisione di intervento dell’Autorità, visto che uno dei provvedimenti era stato preceduto da solo otto reclami; ciò al contrario ad esempio della sanzione dell’Autorità francese CNIL ad uno dei più grandi fornitori di servizi over-the-top, in cui a scatenare l’apertura dell’istruttoria sono state associazioni con una base di sottoscrittori di circa 10 mila persone. Da quei pochi reclami l’autorità italiana ha rilevato condotte “di sistema”, che hanno avuto dirette ricadute sul trattamento dei dati personali svolto per finalità di telemarketing e teleselling nel loro complesso, con conseguente estensione dei casi oggetto di sanzione alla totalità dei clienti della società.
Consenso raccolto da terzi: l’Autorità pone sotto la lente di ingrandimento la prassi di avvalersi di fornitori di contatti – i cosiddetti “list provider” – per individuare i destinatari delle attività di telemarketing. I list provider fungono da broker dei contatti raccolti da società terze, denominate “editori”. L’Autorità sostiene che i consensi acquisiti dagli editori non possono valere per giustificare il trasferimento di dati personali dai list provider ai loro clienti, in quanto si dispiegherebbero “effetti a catena del tutto imprevedibili che l’interessato non sarebbe più in grado di controllare”. Questa interpretazione crea un precedente di notevole portata, in quanto impedisce ai list provider di vendere contatti per cui non hanno raccolto direttamente un consenso.
Il Garante ritiene inoltre che debbano prevalere i consensi forniti allo specifico Titolare che intende farne uso, rispetto a quelli acquisiti da fonti terze, necessariamente più generici. L’Autorità non ritiene ammissibile l’utilizzo di un consenso positivo acquisito da fonti terze, se l’interessato ha negato un consenso direttamente al Titolare, anche se tale decisione è meno recente e si riferisce ad un ex-cliente ancora presente negli archivi. Anche in questo caso l’effetto è significativo, poiché comporta operativamente la necessità di riuscire a gestire non solo (come è ovvio) l’evoluzione del consenso nel corso del tempo, ma anche gli eventuali conflitti tra raccolta diretta e fonti terze.
Nel caso specifico, dal provvedimento emerge con chiarezza che i consensi acquistati da terzi non possono essere utilizzati dal Titolare per “bonificare” consensi precedentemente negati.
Soggetti referenziati: i soggetti “referenziati” (cioè i contatti suggeriti dalle persone che ricevono le telefonate promozionali) non sono presenti nelle liste di contatto che il committente fornisce ai servizi di call center, in quanto acquisiti solamente durante l’esecuzione della chiamata da parte dell’operatore. L’Autorità sostiene che tali contatti siano da sottoporre a verifiche preventive rispetto all’esecuzione della chiamata, al fine di appurare la liceità dei trattamenti. In assenza di questa attività il Titolare non sarebbe infatti in grado di dimostrare di aver operato con scelte consapevoli, in violazione del principio di accountability.
Contitolarità tra committenti e call center: per tutti i contatti individuati in autonomia dai call center, e dunque non presenti nelle liste di contatto fornite dai committenti, il Garante ipotizza la qualificazione di un rapporto di contitolarità tra Titolare e call center, in quanto questi ultimi hanno ecceduto al ruolo di meri responsabili, determinando finalità e mezzi nell’ambito di un disegno unitario e di fatto condiviso, nel quale entrambi traggono un vantaggio di natura economica.
Consenso “vincolato” per l’accesso a promozioni: l’Autorità contesta la scelta di vincolare l’attivazione di un servizio che eroga vantaggi e sconti al rilascio del consenso per finalità di marketing, unendo la finalità contrattuale con la diversa finalità promozionale e determinando così una compressione della volontà dell’interessato, in violazione dei principi di correttezza del trattamento e della libertà di manifestazione del consenso.
Queste considerazioni vanno a nostro avviso lette anche alla luce delle conseguenze per l’interessato, visto che il Titolare considera questo consenso valido per qualsiasi attività promozionale effettuata dall’azienda, non permettendo dunque all’interessato di beneficiare del servizio ed esercitare, allo stesso tempo, il diniego alla ricezione di chiamate promozionali.
Tempi di conservazione: l’Autorità rileva il mancato rispetto dei tempi di conservazione, riscontrando contratti cessati da oltre 20 anni ancora presenti negli archivi, ben oltre i tempi di prescrizione di 10 anni definiti per legge, oppure posizioni di ex-clienti ancora visibili dagli operatori del customer care dopo 5 anni dal passaggio ad altro operatore, in violazione delle Policy aziendali (vedi nota 1).
Il tema della cancellazione o distruzione degli archivi al termine del periodo di conservazione è particolarmente oneroso per le imprese, ma occorre fare delle scelte ed essere in grado di documentarle, sostenerle ed implementarle di conseguenza, anche nei casi più complicati, come ad esempio in presenza di grandi quantità di sistemi ed archivi “stratificati” derivanti da molteplici operazioni societarie, oppure in presenza di archivi cartacei organizzati con criteri di classificazione che non favoriscono l’individuazione degli interessati e quindi la distruzione in tempi rapidi e con investimenti sostenibili.
Data breach: l’Autorità contesta la tardiva individuazione e gestione degli episodi di violazione occorsi ed il coinvolgimento del DPO solo alcuni mesi dopo il rilevamento del problema.
La presenza di frequenti “disallineamenti”, “anomalie” ed “errate associazioni” induce a ritenere che le misure tecniche e organizzative poste in essere non siano efficaci nello scongiurare il ripetersi degli eventi anomali oggetto di notifica.
Monitoraggio dei responsabili: sono riscontrati significativi disallineamenti tra i flussi inviati ai call center per l’esecuzione delle chiamate, i dati utilizzati effettivamente durante lo svolgimento delle chiamate ed i flussi di riscontro degli esiti delle chiamate. In alcuni casi sono stati posti in essere controlli, ma ne sono stati trascurati gli esiti negativi, con il conseguente verificarsi di ingenti danni per gli interessati, come l’attivazione e addebito di servizi non richiesti. Tali disallineamenti hanno portato ad un elevato numero di anomalie e trattamenti illeciti e sono da imputare, secondo l’Autorità, a una carenza nella vigilanza dell’operato dei fornitori da parte dei Titolari, che avrebbero trascurato il proprio ruolo fondamentale di committenti.
Le attività ispettive del Garante
Le ispezioni sono intraprese in quanto parte di un piano ispettivo predefinito, annunciato prima dell’inizio di ogni semestre, oppure scatenate da un incidente significativo (lo è solo il 10% del totale degli incidenti segnalati all’Autorità vedi nota 2) o come reazione a molteplici reclami degli interessati. Le ispezioni durano in media 2-3 giorni e in questo breve lasso di tempo si deve essere preparati a dimostrare ai rappresentanti dell’Autorità di aver operato scelte organizzative ben precise e orientate al rispetto dei principi su cui si fondano le norme sulla protezione dei dati personali. Uno strumento di gestione proattiva efficace può essere rappresentato dalle simulazioni di attività ispettiva e dalle simulazioni di data breach che, se effettuate correttamente, possono andare a costituire una palestra per la vera ispezione e, al tempo stesso, un ottimo indicatore della maturità dell’organizzazione negli ambiti sui quali il Garante pone particolare attenzione .
Conclusioni
Dalle evidenze sopra esposte (che trovano corrispondenza nella nostra quotidiana esperienza in consulenza, anche a livello internazionale) riemerge con “nuova” forza la necessità di concentrarsi sulle attività più impattanti sugli interessati, operando scelte consapevoli ed implementando le azioni che ne derivano, anche di controllo.
È essenziale inoltre presidiare costantemente le attività esternalizzate e le evoluzioni societarie, come le acquisizioni, che possono far crescere i rischi in ambito data protection in maniera talvolta incontrollata.
1 Proprio per inadempienze nel rispetto dei tempi di conservazione l’Autorità tedesca del lander di Berlino ha comminato una sanzione di 14,5 milioni di euro ad una società operante nel settore del real estate.
2 Fonte: dichiarazione di Cosimo Comella, rappresentante dell’autorità Garante nel convegno “Cybersecurity 360 summit” del 14 novembre 2019