Entra nella community

Telemarketing: numeri, consensi e opposizioni

Il lato oscuro delle chiamate commerciali

Quante volte riceviamo una telefonata commerciale senza aver mai lasciato i nostri dati?

E se a fare questa telefonata fosse proprio la tua azienda?

Obiettivo è far crescere l’azienda, promuovere un nuovo prodotto, però serve visibilità, numeri da contattare, mail a cui inviare promo. Come fare?

Mi rivolgo a un fornitore ed il gioco è fatto… (pensi)…

Però succede che chi riceve quella chiamata si domandi: “Perché mi state disturbando? Da dove avete preso il mio numero?”

Sapresti rispondere?

Hai mai pensato che in quel preciso istante non è solo l’immagine della tua azienda a essere in gioco, ma anche la tua responsabilità giuridica?

Che ogni volta che componi un numero dovresti poter dimostrare come lo hai ottenuto, se c’è stato un consenso valido e se hai controllato il Registro delle Opposizioni.

Ancora oggi dietro queste chiamate si nasconde una filiera poco trasparente di acquisizione dati, come emerge da un recente provvedimento dell’Autorità Garante.

La riflessione

Relativamente al telemarketing si potrebbe semplicemente dire: non basta acquistare liste da un fornitore per pensare di essere in regola.

Ma il punto, che ritengo emblematico emergere da questo caso, è l’approccio alla base di scelte come quelle portate avanti dall’azienda come dal fornitore, tutte volte a non considerare che dietro numeri, mail, dati e informazioni, vi sono persone.

E la questione non è legata – solo – alle comunicazioni indesiderate (pur se il caso parte da quello) ma al traffico che di quei dati viene fatto.

Dimostrare la liceità dei dati che utilizzo è un dovere di trasparenza e correttezza verso gli interessati, che deve essere sostanziale, prima che formale.

Forse la domanda non è se stiamo usando i dati, ma come li stiamo usando.

La tua azienda saprebbe rispondere oggi a un interessato che chiede “da dove avete preso il mio numero?”

 

Ogni settimana in Privacy in azienda affrontiamo casi reali raccontati con linguaggio chiaro e un approccio pratico.

Perché la privacy non è un obbligo da subire.

È fiducia da conquistare, è rischio da prevenire, è vantaggio competitivo.

 

Leggi IL CASO completo

Condividi:

IL CASO

Un cittadino, saturo di ricevere telefonate promozionali indesiderate da parte di una società del settore immobiliare, interpella la società che spiega di aver acquistato i contatti da un fornitore esterno, indicando proprio quest’ultimo come soggetto in grado di fornire chiarimenti, dichiarando di non poter fornire informazioni precise.

La risposta oltremodo generica porta il cittadino a presentare reclamo.

Il Garante decide allora di approfondire ed alla società viene chiesto:

  • come fossero regolati i rapporti contrattuali con il fornitore;
  • se fosse stato verificato l’esistenza di un consenso valido per l’utilizzo dei dati a fini commerciali;
  • quali informative venissero fornite durante le chiamate e quale script fosse utilizzato dagli operatori;
  • se le utenze contattate fossero state verificate nel Registro Pubblico delle Opposizioni (RPO);
  • come venissero gestite le eventuali richieste di opposizione degli interessati.

Emerge che proprio quel fornitore era già stato oggetto di un’altra istruttoria del Garante, che aveva fatto emergere diverse criticità nella raccolta e gestione dei consensi per finalità di marketing.

Le stesse liste erano state cedute a più agenzie, alimentando una catena di contatti commerciali non trasparenti.

La società non fornisce risposte, non chiarisce i dubbi, anzi.

Ammette di non sapere in che modo il fornitore avesse raccolto i consensi, riferisce di aver contattato circa un centinaio di persone dalle liste ricevute e dichiara di non avere certezze né sull’informativa resa, né sulla gestione delle opposizioni.

E soprattutto, non si era curata di consultare il Registro delle Opposizioni prima di effettuare le chiamate.

La valutazione del Garante

Al termine dell’istruttoria, l’Autorità ha deciso di avviare un procedimento formale, essendo emersa la piena responsabilità della società.

Il modo in cui aveva gestito i dati dei contatti sollevava più di una criticità (rectius: violazione) rispetto al GDPR e alla normativa di settore.

In particolare, tra i profili rilevati:

  1. Mancata verifica della liceità del trattamento La società non aveva controllato né documentato i presupposti per utilizzare quei dati: mancava la certezza dell’informativa resa agli interessati e del consenso valido, e non veniva effettuato alcun riscontro nel Registro Pubblico delle Opposizioni (violazione artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7, 13, 14 del Regolamento e art. 130, commi 3 e 3-bis, del Codice).
  2. Risposte incomplete agli interessati Quando un utente chiedeva chiarimenti sull’origine o l’uso dei propri dati, la società rinviava al fornitore delle liste. Una scelta che comportava inevitabili ritardi e, di fatto, non garantiva un’informazione piena e tempestiva (violazione artt. 12 e 15 del Regolamento).
  3. Nessun adempimento data protection Emergeva che non erano stati effettuati adempimenti in materia di protezione dei dati personali (violazione artt. 5, par. 2, 24 e 25 del Regolamento).

Il Garante, nel ricostruire le responsabilità, ha chiarito alcuni punti essenziali che è bene rivedere:

  • l’agenzia immobiliare era titolare del trattamento, poiché decideva finalità e mezzi del contatto promozionale;
  • l’aver delegato al fornitore la gestione del consenso non sollevava il titolare in ogni caso dalle proprie responsabilità;
  • l’attività di telemarketing era condotta senza idonea base giuridica e senza un’adeguata informativa agli interessati;
  • la mancata consultazione del RPO rendeva illegittime tutte le campagne promozionali condotte.

Il quadro complessivo evidenziava quindi un deficit di accountability, ossia di responsabilizzazione del titolare, in violazione dei principi cardine del GDPR.

Un altro aspetto critico riguardava la gestione dei diritti degli interessati: le richieste venivano reindirizzate al fornitore, con il risultato di allungare i tempi e rendere incerto il riscontro, in violazione degli obblighi di tempestività e completezza previsti dal GDPR.

Il Garante infine ribadiva un ulteriore punto fermo: nessuna clausola contrattuale di manleva con i fornitori può sollevare il titolare dal dovere di verificare la liceità dei trattamenti e di rispettare i principi di correttezza, trasparenza e legittimità.

Risultato inevitabile

Il Garante, confermando le violazioni contestate, ha applicato l’art. 83 GDPR valutando aggravanti e attenuanti, che meritano anch’esse una riflessione.

Aggravanti principali:

  • Gravità delle violazioni: assenza di verifiche sui numeri contattati, gestione inadeguata delle richieste degli interessati, informativa carente nelle chiamate promozionali;
  • Condotta negligente: totale mancanza di attenzione alla normativa fino all’intervento dell’Autorità;
  • Difformità rispetto a prassi note: inosservanza nonostante numerosi provvedimenti del Garante già emessi in materia di marketing;
  • Scarsa cooperazione: risposte sintetiche e generiche, indice di noncuranza verso i doveri di collaborazione.

Attenuanti considerate:

  • assenza di precedenti procedimenti a carico della società;
  • natura dei dati trattati (anagrafici e di contatto, non dati particolari);
  • capacità economica ridotta, valutata sull’ultimo bilancio di esercizio.

La decisione

In una logica di proporzionalità, l’Autorità ha irrogato:

  • una sanzione pecuniaria di 40.000 euro, pari allo 0,2% del massimo edittale;
  • la pubblicazione del provvedimento sul sito del Garante, come sanzione accessoria, in considerazione della gravità e della scarsa collaborazione mostrata.

LA NOSTRA FORMAZIONE

Privacy & Data Protection

+QI-AI = Security

La formula per aumentare i livelli di sicurezza nella tua azienda.

La sicurezza digitale è un tema ormai noto diventato centrale per le aziende e i suoi dipendenti. Quello che non è sempre noto e che spesso è il fattore umano ad agevolare gli attacchi informatici, spesso per disattenzione, frenesia, leggerezza e poca conoscenza. Gli errori più comuni: practice obsolete o assenti, inconsapevoli condivisioni di informazioni e dati, utilizzo incauto dei dispositivi aziendali, poca attenzione alle mail ricevute e scelta di password non efficaci.

Come tutelarsi? Cosa fare?

Proteggere i dati aziendali, l’infrastruttura e la continuità aziendale richiede competenze specialistiche e strategie efficaci non sempre presenti in azienda. Fare formazione a tutti i livelli aziendali è la vera e unica rivoluzione culturale che tutelerà l’azienda e che ne accrescerà il valore.

Il metodo CompetenceLab “Cogito Ergo Cresco”

Offriamo una Compliance Privacy mirata all’analisi e gestione dei rischi e un corso di formazione rivolto a tutti i dipendenti sul corretto utilizzo degli strumenti e sulla tutela dei dati e quindi della tua azienda.

Ogni azienda è unica. Contattaci per un preventivo personalizzato.

Entra nella Community

Vuoi restare in contatto con CompetenceLab?
Organizzare un evento insieme a noi? Oppure proporre un tema su cui riflettere? Entra a far parte della nostra Community!





    CompetenceLab nasce per guidare un cambiamento, per affiancare persone e aziende nello sviluppo di un pensiero critico. Scelte sostenibili per migliorare la nostra società.
    Seguici sui social
    Facebook-f Icon-instagram-2 Icon-linkedin Icon-youtube Tiktok
    Link utili
    Contatti
    • Claudia Sorrenti Avvocato
    • P.I.: 11094161004
    • Powered by Xonex.it