GDPR

Telemarketing selvaggio: il Garante sanziona Enel Energia

2137 0

Il Garante per la protezione dati personali, con l’Ordinanza ingiunzione n. 443 del 16 dicembre 2021, ha inflitto ad Enel Energia una sanzione di € 26.513.977 per il trattamento illecito dei dati personali degli utenti a fini di telemarketing.
Oltre al pagamento della multa, la società dovrà adottare una serie di misure dettate dall’Autorità per conformarsi alla normativa nazionale ed europea sulla tutela dei dati.

Enel Energia e telemarketing selvaggio

Il provvedimento arriva al termine di una complessa attività avviata dall’Autorità a seguito di centinaia di segnalazioni e reclami di utenti. Le lamentele riguardavano:

  • la ricezione, in nome e per conto di Enel Energia, di telefonate promozionali indesiderate, anche su disco pre-registrato;
  • la difficoltà di esercitare i propri diritti in tema di protezioni dati personali;
  • problemi derivanti dalla gestione dei dati nell’ambito dei servizi di fornitura energetica, ivi compresi i trattamenti svolti tramite l’area riservata del sito della società e la app di gestione dei consumi (cd. Profilo unico).

Garante Privacy e telemarketing nel settore energetico

L’ufficio del Garante ha verificato come il fenomeno del telemarketing nel settore energetico, con l’approssimarsi della scadenza per il passaggio dal mercato tutelato dell’energia elettrica e del gas al mercato libero, abbia registrato un netto e preoccupante incremento. Nel corso dell’istruttoria è emerso un cronico, intenso e sempre più invasivo fenomeno di telefonate promozionali indesiderate. Le chiamate venivano effettuate in assenza del necessario consenso, verso utenze riservate o iscritte al Registro delle opposizioni, oltre al tardivo o mancato riscontro a istanze di esercizio dei diritti di accesso ai dati personali o di opposizione al trattamento per finalità di marketing.

La sanzione del Garante Privacy ad Enel Energia

Alla luce delle violazioni riscontrate, il Garante Privacy ha applicato la sanzione amministrativa pecuniaria in riferimento.

L’Autorità ha inoltre ingiunto a Enel Energia di adeguare ogni trattamento di dati svolto dalla rete di vendita a modalità e misure idonee a comprovare che l’attivazione di offerte e servizi e l’attivazione di contratti avvenga solo a seguito di contatti promozionali su numerazioni telefoniche censite e iscritte al Registro degli operatori della comunicazione (ROC).

Enel Energia dovrà anche implementare ulteriori misure tecniche e organizzative per gestire le istanze di esercizio dei diritti degli interessati, in particolare il diritto di opposizione alle finalità promozionali, in modo da dare riscontro agli interessati non oltre 30 giorni dalla richiesta.

Attività di marketing e GDPR

Come noto il Regolamento UE n. 2016/679 sulla protezione dei dati personali (GDPR) attribuisce grande rilevanza alla profilazione, ma meno spazio al marketing poiché ciò che più preoccupa il legislatore comunitario è l’attività di profilazione condotta con l’ausilio di strumenti automatici.

L’attività di marketing non viene certo considerata di per sé un’attività illegittima, ma può diventare oggetto di particolare interesse dal punto di vista privacy (vedi ad esempio l’art. 21 del GDPR).

Il marketing ed il direct marketing: definizioni

Il termine marketing deriva dall’inglese market (mercato), cui viene aggiunta la desinenza del gerundio per indicare la partecipazione attiva; cioè l’azione sul mercato stesso da parte delle imprese destinata al piazzamento di prodotti o servizi, considerando come finalità il maggiore profitto e come causalità la possibilità di avere prodotti capaci di realizzare tale operazione finanziaria.

Oggetto di maggiore interesse per i nostri fini è il direct marketing che è un insieme di tecniche di marketing attraverso le quali aziende commerciali, ma anche enti (ad esempio organizzazioni pubbliche e no profit) comunicano direttamente con clienti e utenti finali consentendo di raggiungere un target definito, con azioni mirate che utilizzino una serie di strumenti, anche interattivi, ottenendo in tal modo delle risposte oggettive misurabili, quantificabili e qualificabili.

Strumenti di promozione più utilizzati

Gli strumenti di promozione e comunicazione più utilizzati a tale scopo sono:

  • promozione commerciale a mezzo di incaricati alla vendita diretta;
  • promozione telefonica, ovvero telemarketing via telefono fisso o mobile;
  • campagne pubblicitarie sui Social Network;
  • campagne pubblicitarie su siti internet;
  • comunicazioni commerciali via posta cartacea (direct mail);
  • comunicazioni commerciali via posta elettronica (email marketing);
  • comunicazioni commerciali via cellulare (mobile marketing);
  • coupon (tagliandi di offerte, omaggi o sconti) inseriti in annunci stampa o siti internet;
  • televendite e spot televisivi su TV interattiva.

E’ evidente, quindi, come una campagna di marketing vada condotta nel rispetto dei principi generali di cui all’art. 5 del GDPR, con adeguata informativa e consenso realmente consapevole.

Il legittimo interesse del titolare

Proprio in tale ottica bisogna considerare che il GDPR ha introdotto il concetto di “legittimo interesse” del titolare quale base giuridica su cui valutare la liceità delle operazioni di trattamento di dati personali.

Si tratta di un concetto nuovo per il nostro ordinamento che consente di considerare legittimo il trattamento dei dati anche qualora lo stesso sia effettuato per perseguire uno scopo legittimo del titolare a condizione che non siano prevalenti su tale scopo gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, 1° comma, lett. f).

Il perseguimento di un legittimo interesse si pone come base giuridica alternativa alle altre previste nell’art. 6 del GDPR.

Il legittimo interesse per finalità di marketing diretto

Nel Considerando 47, il GDPR elenca anche alcuni esempi di legittimo interesse, tra cui il rapporto tra cliente/fornitore o tra datore di lavoro e dipendente. Situazioni in cui è evidente che l’interessato non può non aspettarsi che venga effettuato il trattamento dei propri dati personali proprio per la necessità di perseguire legittimi interessi.
Il considerando in esame espressamente prevede anche che “Può essere considerato legittimo interesse trattare dati personali per finalità di marketing diretto”.

Quest’ultima frase ha fatto nascere non poca confusione tra gli operatori del settore e da più parti si leggono commenti secondo cui non sarebbe più necessario acquisire il consenso degli interessati per attività di marketing diretto, in quanto, appunto, il legittimo interesse del titolare costituirebbe oramai la base giuridica per lo svolgimento di tale attività.

L’art. 130 del d.lgs. n. 196/2003

In realtà deve da subito precisarsi che detta interpretazione non può essere considerata corretta e ciò almeno fino a quando resterà in vigore la direttiva 2002/58/CE (cd. direttiva e-Privacy) che disciplina specificamente il trattamento dei dati personali nel settore delle comunicazioni elettroniche. Di conseguenza, allo stato attuale, con specifico riferimento all’attività di marketing diretto sono applicabili tuttora le regole dettate dall’art. 130 del d.lgs. n. 196/2003 che impongono il rispetto del principio dell’opt-in e quindi del consenso preventivo nel caso di utilizzo di sistemi automatici di chiamata (e-mail, messaggistica internet, ecc.) e del principio dell’opt-out nel caso di ricorso ai call center con la relativa applicazione delle disposizioni impartite in tema di registro pubblico delle opposizioni.

Per un approfondimento sull’argomento consulta i seguenti articoli:

La normativa per il trattamento dei dati sensibili

Dello stesso autore consulta i volumi di EPC Editore

Partecipa al corso di formazione dell’Istituto INFORMA

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici.
Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore

Michele Iaselli

Avvocato, funzionario del Ministero della Difesa, docente a contratto di informatica giuridica all’Università di Cassino e collaboratore della cattedra di informatica giuridica alla LUISS ed alla Federico II.  Presidente dell’Associazione Nazionale per la Difesa della Privacy (ANDIP). Relatore di numerosi convegni, ha pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy, informatica giuridica e diritto dell’informatica con le principali case editrici. Scopri tutte le pubblicazioni di Michele Iaselli edite da EPC Editore