Con provvedimento del luglio scorso, il Garante Privacy ha comminato una sanzione pari all'1% della sanzione massima edittale nei confronti della società Merlini srl - agenzia che svolge attività di commercializzazione dei prodotti di Wind Tre spa - constatando una pluralità di violazione nel trattamento dei dati personali, derivanti, in particolar modo, da una serie di irregolarità nel rapporto tra agente e relativi procacciatori.
I fatti
L'indagine del Garante per la protezione dei dati personali (“Garante”) si è inizialmente focalizzata su un call center che, tramite il contatto di potenziale clientela, offriva i servizi telefonici della società Wind Tre spa (“Wind Tre”). A seguito delle espletate verifiche, emergeva come tali attività facessero capo alla società “Alessandro Corbelli Sunrise srls” e, con specifico riferimento alle correlate operazioni di trattamento sui dati personali , si appurava:
- l'impossibilità di dimostrare l'origine dei dati degli utenti contattati;
- l'inottemperanza alle procedure implementate da Wind Tre per le attività di telemarketing e teleselling ;
- l'assenza di fornitura di un'adeguata informativa ai sensi dell'art. 14 GDPR nel contesto della telefonata.
Tali manifeste irregolarità inducevano ad un ulteriore approfondimento dal quale emergeva “ un significativo legame operativo ” tra la predetta società di call center e la “Merlini srl” (in seguito, “Merlini”). In particolare quest'ultima, a fronte di un regolare contratto di agenzia (comprensivo sia della designazione a responsabile del trattamento che delle relative istruzioni), svolgeva attività di commercializzazione dei prodotti di Wind Tre, a tal fine avvalendosi di alcuni procacciatori dislocati sul territorio nazionale , tra cui figurava la summenzionata Alessandro Corbelli Sunrise srls
I principi desumibili dal provvedimento
Messe in luce le dinamiche alle base dei rapporti tra i soggetti coinvolti nel provvedimento in esame, il Garante ha avuto modo di verificare – e, per l'effetto, tacciare risultando di illiceità - comesse mancante una qualunque forma scritta d'accordo – ivi includendosi anche una designazione in ambito privacy - tra Merlini ei cd. “procacciatori”.
Da tale sostanziale premessa ne discendeva una violazione dell'art. 28 GDPR (per aver fatto ricorso ai procacciatori in relazione ad attività di trattamento di dati personali di titolarità di Wind Tre senza che quest'ultima ne fosse informata e, ancora, per non aver posto in capo ai procacciatori i medesimi obblighi in materia di protezione dei dati personali che Merlini aveva nei confronti di Wind Tre) e dell'art . 29 GDPR (per aver consentito che i predetti trattamenti fossero svolti da soggetti che non hanno ricevuto dal titolare del trattamento le necessarie istruzioni).
Sul punto il Garante non ha accolto la difesa di Merlini, a mente della quale il procacciatore sarebbe da ritenersi quale titolare autonomo, operando sul mercato come libero professionista in ricerca di potenziali clienti. Il Garante, infatti, riteneva che tale argomentazione dovesse soccombere dinanzi alla sussistenza di elementi oggettivamente contrastanti quali la spendita del nome del titolare da parte del call center , nonché l'accesso da parte di quest'ultimo a dati di titolarità di Wind Tre mediante utilizzo di credenziali che rimangono nell'esclusiva disponibilità di Merlini.
A tanto si aggiunga che, in base a quanto stabilito dall'art. 1, comma 11, della Legge n. 5/2018, Merlini fosse da ritenersi responsabile anche delle condotte poste in essere dalla società Alessandro Corbelli Sunrise srls in violazione delle disposizioni della predetta legge.
Alla luce di quanto sopra, il Garante Privacy ingiungeva a Merlini di porre rimedio alla descritta situazione di illiceità nei riguardi dei procacciatori e, tra le alte misure imposte, prevedeva altresì il pagamento della somma di euro 200.000,00 a titolo di sanzione amministrativa per le irregolarità complessive riscontrate, pari all'1% della sanzione massima edittale.
Avv.ti Vincenzo Colarocco e Pietro Maria Mascolo