Nell’ambito dei trattamenti per finalità di marketing riconducibili al colosso dell’intrattenimento, il Garante Privacy ha rilevato una serie di violazioni sostanziatesi, principalmente, nell’assenza del prescritto consenso e di idonea informativa, nel non aver effettuato controlli sulle liste di contatti acquisite da soggetti terzi, nel non aver correttamente nominato i fornitori quali responsabili del trattamento, nell’inadeguata gestione delle richieste di opposizione pervenute.
Mediante il provvedimento n. 332 del 16 settembre 2021, l’Autorità ha espresso l’importante principio secondo cui, nell’ambito delle attività promozionali con operatore umano successive alla c.d. “cessione di liste”, il titolare cessionario non potrà avvalersi del consenso originariamente rilasciato al titolare cedente (legittimante la comunicazione dei dati a soggetti terzi per finalità di marketing), ma, nel corso del contatto promozionale, dovrà fornire una propria informativa - che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali acquisiti - e, solo dopo aver acquisito un nuovo consenso, potrà procedere ad effettuare la proposta promozionale.
Le accertate violazioni, complessivamente intese, hanno comportato l’applicazione nei confronti del titolare del trattamento di una sanzione amministrativa pari ad euro 3.296.326,00, coincidente con il 2,5% del fatturato di Sky Italia s.r.l.
L’attività istruttoria e le violazioni contestate
Il procedimento per l’adozione dei provvedimenti di cui all’art. 58 GDPR promosso dal Garante Privacy nei riguardi di Sky Italia s.r.l. trae origine da una complessa attività istruttoria avviata dall’Autorità a seguito della ricezione di plurime segnalazioni e reclami inviati da interessati che lamentavano continui contatti telefonici indesiderati effettuati da Sky e dalla relativa rete di vendita per la promozione di servizi di telefonia e internet.
Con l’avvio del procedimento in parola, il Garante ha contestato alla società una pluralità di violazioni in relazione, principalmente, ai seguenti ambiti di trattamento:
a) contatti promozionali effettuati da Sky sulla base di contratti di cessione dei dati personali (c.d. “cessione liste”) sottoscritti con altre società terze (di seguito, anche, i “Terzi”);
b) contatti promozionali effettuati da partner commerciali per promuovere i servizi di Sky.
In dettaglio, per quanto attiene ai trattamenti di cui alla lettera a), il Garante ha rilevato la sussistenza del consenso legittimante la comunicazione dei dati personali dai Terzi alla Società. Sarebbero però emerse una serie di carenze con riferimento al successivo trattamento marketing effettuato da Sky nella propria qualità di titolare, in particolare dal punto di vista della corretta acquisizione del consenso, del rilascio di idonea informativa ai sensi dell’art. 14 GDPR, dello svolgimento di attività di deduplica delle liste acquisite rispetto al Registro delle opposizioni e alle black-list della Società.
Con riferimento ai trattamenti di cui alla lettera b), occorre precisare che la prassi commerciale presa in esame dall’Autorità si concretizzasse nelle seguenti modalità: invio di un SMS – da parte dei fornitori della Società – mediante il quale si invitava gli interessati ad inviare un SMS con testo ‘OK’ a una numerazione (del fornitore) per essere ricontattati da Sky; successivamente a tale manifestazione di volontà, il fornitore si impegnava a comunicare alla Società il numero dell’utenza cellulare da ricontattare per la promozione dell’offerta.
A mente del Garante, tale prassi comporterebbe che, sia al momento dell’acquisizione delle liste di anagrafiche, sia al momento della comunicazione dei dati a Sky, i fornitori risulterebbero inseriti stabilmente nell’ambito del trattamento svolto dalla Società; tale evidenza non sarebbe stata sufficientemente presa in considerazione da Sky al fine di definire, in maniera corretta ed in base a quanto stabilito negli artt. 28 e 29 del GDPR, la distribuzione delle responsabilità in capo a sé stessa ed ai propri fornitori.
Le osservazioni di Sky
Rispetto alle descritte contestazioni, la Società, in merito ai contatti promozionali effettuati sulla base dei contratti di cessione di dati personali sottoscritti con Terzi, ha essenzialmente rilevato come, a mente del principio di accountability, non potrebbe ritenersi sussistente un onere puntuale di verifica e di controllo in capo al titolare cessionario rispetto a tutti i singoli numerosi dati di contatto ceduti dai partner commerciali. Questi ultimi, infatti, dovrebbero essere qualificati come autonomi titolari, chiamati a rispondere in via esclusiva del proprio trattamento, con conseguente estraneità di Sky che non sarebbe tenuta né a controllarne l’operato né a condividere la propria black-list.
In buona sostanza, la liceità del trattamento in esame risulterebbe documentata dalle informative fornite dai Terzi agli interessati – nelle quali si menziona correttamente la cessione dati a soggetti terzi – e dall’acquisizione del relativo consenso.
Con riferimento alla descritta prassi di telemarketing – nonché alle connesse attività di trattamento dati - di cui alla precedente lettera b), la Società ha rilevato come alcuni dei propri partner commerciali avrebbero agito come titolari autonomi del trattamento in considerazione dell’autonomia loro attribuita per lo svolgimento delle attività contrattualmente convenute; in particolare, costoro avrebbero raccolto “dati consensati marketing di terzi” nei propri database per poi utilizzarli per il perseguimento di proprie autonome finalità, quali la trasmissione di SMS promozionali a propri interessati previamente informati, senza ricevere alcuna istruzione da Sky.
Le conclusioni del Garante ed i principi espressi dal Provvedimento
Con riferimento al trattamento di dati personali effettuato da Sky successivamente all’acquisizione delle liste da soggetti terzi, l’Autorità ha conclusivamente rilevato che, se il consenso prestato dagli interessati ai Terzi costituisce idonea base giuridica per la comunicazione di dati da titolare cedente (i Terzi) a titolare cessionario (Sky), ciò non vale in relazione al successivo trattamento in forza del quale la Società ha poi contattato gli interessati.
Tale decisiva statuizione risulta conseguente all’evidenza per cui, a mente dell’Autorità, il regime di semplificazione (previsto dal un provvedimento reso dallo stesso Garante in data 4 luglio 2013) per cui “qualora l’interessato rilasci il ... consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale” ovvero, se sono “stati forniti all’interessato anche gli altri elementi previsti all’art. 13 del Codice”, questi potranno effettuare nei suoi confronti attività promozionale senza il rilascio “agli interessati un’ulteriore informativa”, fa esclusivo riferimento alle “attività promozionali con modalità automatizzate” di cui all’art. 130, comma 1 e 2 del Codice Privacy. Ne deriva che, per le attività promozionali effettuate mediante contatti con operatore umano, il titolare cessionario non potrà avvalersi del citato regime di semplificazione, conseguendone che, nel corso del contatto promozionale, questi dovrà fornire una propria informativa -che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali (in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento) – e, solo dopo aver acquisito un nuovo consenso, potrà procedere ad effettuare la proposta promozionale. Tanto, peraltro, sarebbe ricavabile dal combinato disposto tra gli artt. 6, 7 e 14, par. 3, lett. b), del GDPR.
Con riferimento all’ulteriore contestazione in esame, il Garante ha osservato che i partner/fornitori, che operano al fine di “sollecitare i clienti...a inviare un SMS con testo “OK”” per essere ricontattati da Sky, operano, di fatto, come se fossero stati preposti dal titolare al trattamento, dunque in piena e sostanziale aderenza alla definizione di “responsabile” (cfr. il provvedimento n. 230 del 15 giugno 2011). Una differente impostazione renderebbe il committente della campagna pubblicitaria del tutto estraneo e “irresponsabile” da scelte e processi che sono ricompresi a pieno titolo nella campagna medesima e che hanno quale unica finalità e conseguenza quella di far confluire, proprio nei database del committente, informazioni personali dei cd. “prospect” al fine di veicolare nei confronti degli stessi una proposta commerciale relativa ai propri servizi.
Da ultimo, si segnala un’ulteriore interessante statuizione dell’Autorità che, mediante il medesimo Provvedimento, ha ritenuto del tutto ingiustificato il mancato riscontro ad un interessato reclamante rivoltosi ad un valido indirizzo p.e.c. della Società - peraltro indicato quale indirizzo ufficiale di contatto nel registro delle imprese – giustificato da Sky sul presupposto che non risultasse un “canale” espressamente dedicato alla privacy.
