Nel panorama attuale, la protezione dei dati personali rappresenta una delle sfide più delicate e centrali per aziende e professionisti. Una recente sanzione del Garante per la protezione dei dati personali riporta l'attenzione sul tema del consenso per finalità di telemarketing, imponendo nuove riflessioni sulle pratiche di acquisizione e trattamento dei dati.
Il caso: sanzione da 300.000 Euro per trattamento illecito
Il Garante ha inflitto una sanzione amministrativa di 300.000 euro a una società operante nel settore dell’energia elettrica e del gas. Il motivo? Il trattamento illecito dei dati personali di quasi cento soggetti, i quali lamentavano di aver ricevuto telefonate commerciali non richieste, senza che fosse presente una valida base giuridica a supporto di tali attività.
Consenso al telemarketing: serve libertà e specificità
Il provvedimento del Garante sottolinea che il consenso alla cessione dei dati a terzi per finalità di marketing deve essere realmente libero e informato. Non basta una generica accettazione: l’interessato deve essere messo in condizione di scegliere in maniera granulare:
- Le categorie merceologiche di riferimento;
- I destinatari dei dati;
- I prodotti o servizi specifici oggetto di comunicazione.
Quando queste opzioni non sono esplicitamente fornite, il consenso si trasforma in una scelta binaria: accettare tutto o niente. Questa modalità, tuttavia, non garantisce il controllo effettivo sui dati personali e non permette un'espressione della volontà chiara e inequivocabile, come richiesto dal GDPR.
I problemi della filiera del trattamento
Durante l’istruttoria, è emerso che la società in questione non aveva effettuato verifiche adeguate sull'intera filiera del trattamento dei dati. I controlli tecnici e organizzativi erano assenti o inefficaci, esponendo il sistema al rischio di attivazioni di forniture a partire da contatti illeciti.
In particolare:
- I dati personali provenivano da portali web privi di adeguate garanzie sulla loro provenienza.
- Non vi era una corretta acquisizione del consenso da parte degli utenti.
- Mancava l'informativa chiara sul trattamento dei dati.
Le attività di vigilanza sui responsabili del trattamento erano limitate a meri adempimenti formali, senza alcuna verifica sostanziale o in loco.
Violazioni nella gestione dei curricula
Un ulteriore elemento critico è stato riscontrato nella gestione delle candidature lavorative. La società si serviva di un form online per la raccolta dei curricula, ma senza fornire l’informativa privacy, in violazione dei principi di chiarezza e trasparenza imposti dal GDPR. Anche in questo caso, si è riscontrato un trattamento illecito dei dati personali.
Le conseguenze del provvedimento
A fronte delle numerose violazioni, il Garante ha disposto:
- Il divieto di ulteriore trattamento dei dati personali delle persone segnalanti.
- L’obbligo di implementare controlli efficaci sulla rete di vendita.
- Misure specifiche per prevenire la conclusione di forniture basate su contatti e contratti illeciti.
Considerazioni finali: serve un cambio di paradigma
Alla luce di questo provvedimento, diventa evidente come sia necessario per le aziende rivedere profondamente le modalità di raccolta del consenso per finalità commerciali. Non si tratta solo di adempiere a un obbligo formale, ma di costruire una relazione di fiducia con gli utenti, fondata sulla trasparenza e sul rispetto delle loro scelte.
ISCRIVITI GRATIS
ACCEDI
