La Cassazione ha confermato il divieto del Garante della Privacy nei confronti di Tim di portare avanti la campagna “recupero consenso“. Un’iniziativa mirata ad acquisire il via libera all’utilizzo dei dati dei clienti che, in precedenza, avevano escluso di voler essere contattati telefonicamente “per finalità promozionali”. Ad avviso dei supremi giudici, che hanno disatteso la tesi che tale campagna non sarebbe “riconducibile alla nozione di comunicazione commerciale”, “una comunicazione telefonica finalizzata a ottenere il consenso per fini di marketing, da chi l’abbia precedentemente negato, è essa stessa una comunicazione commerciale“.
Le motivazioni della Corte suprema
Con questa decisione, contenuta nella sentenza 11019 depositata ieri dalla Prima sezione civile della Corte suprema, la Cassazione ha respinto il ricorso dei legali della società telefonica contro la pronuncia del Tribunale di Milano del 5 maggio 2017 che aveva ritenuto legittimo il divieto emesso dal Garante il 22 giugno 2016, atto con il quale si vietava “l’ulteriore trattamento per finalità di marketing dei dati personali riferiti alle utenze oggetto della campagna”. Secondo il Tribunale, non era consentito “vanificare la volontà degli interessati (che già avevano negato il consenso) mediante una campagna marketing in due tempi volta, prima, a riacquisire il consenso già negato e, dopo, a realizzare l’attività promozionale vera e propria, trattandosi di un trattamento illecito di dati, stante la intrinseca inscindibilità tra la campagna di acquisizione del consenso e la finalità di marketing”. Per i magistrati di Milano, inoltre, “doveva essere inibita l’utilizzazione dei consensi comunque ottenuti, in quanto illecitamente acquisiti sulla base di un trattamento illecito di dati personali”.
Anche per quanto riguarda questo aspetto, la Cassazione è in totale sintonia con il verdetto di merito e rileva che il divieto di trattare i dati vale anche in favore di “coloro che abbiano comunque prestato il loro consenso”, dato che si tratta sempre di consenso scaturito da un utilizzo non consentito dei dai personali del cliente. “La finalità della chiamata telefonica è, in effetti, pur sempre quella di effettuare proposte commerciali, a prescindere dal fatto che con la stessa telefonata si effettui o meno anche la vendita di beni o servizi (come possibile ed anche avvenuto in concreto, nulla impedendo al call-center di effettuare immediatamente un’offerta commerciale, senza bisogno di sollecitazioni da parte delle persone contattate)”.
Se si ritenesse che contattare i clienti per il recupero del consenso sia ammesso, allora – avvertono i supremi giudici – “lo stesso sistema del cosiddetto opt-out sarebbe di fatto vanificato”, e risulterebbe dunque inutile aver iscritto la propria utenza nel “registro pubblico delle opposizioni”. I clienti che vogliono tornare sui loro passi e “mutare opinione rispetto al trattamento dei loro dati personali, revocando il dissenso già espresso”, possono farlo, ma – sottolinea la Cassazione – solo “nell’ambito di iniziative che li vedano protagonisti”. Ad esempio, come osservato dal Tribunale, “mediante contatto gratuito con il numero 119 o nel contesto di richieste di informazioni”.
I commenti alla sentenza: le nuove richieste al governo
Commentando la sentenza, l’Unione nazionale consumatori dichiara che si tratta di una “ottima notizia. Sarebbe stato il colmo se, mentre attendiamo da oltre tre anni di poter revocare con l’iscrizione al Registro delle opposizioni tutti i vecchi consensi precedentemente espressi, ora non valessero nemmeno i vecchi dinieghi. È di tutta evidenza che ottenere il consenso all’utilizzo dei dati per fini di marketing non può che essere una comunicazione commerciale, senza se e senza ma. Ora chiediamo che il nuovo Registro entri al più presto in vigore e per questo abbiamo lanciato la petizione sul nostro sito”, afferma Massimiliano Dona, presidente dell’Unc.
“La sentenza della Corte di Cassazione che conferma il divieto per la Telecom e le compagnie telefoniche di effettuare telemarketing selvaggio sugli utenti, che hanno già negato il consenso a essere contattati per finalità promozionali, rappresenta un passaggio fondamentale a tutela dei cittadini, sempre più tartassati dalle continue telefonate delle aziende che non di rado nascondono vere e proprie truffe”, scrive invece su Facebook la deputata di Italia Viva Giusy Occhionero. “Ora il governo valuti se non sia opportuno rafforzare i poteri di vigilanza e sanzione attribuiti alle authority, come Garante della Privacy e Agcom, anche inasprendo le multe previste, per creare un deterrente ancora più forte contro la sempre maggiore aggressività di certe compagnie telefoniche. A pagare troppo spesso sono gli anziani, che rischiano di trovarsi vittima di raggiri”.
Telemarketing selvaggio, il Garante sanziona tre call center
Nel frattempo il Garante della Privacy ha sanzionato tre società di call center che contattavano con offerte commerciali indesiderate decine di migliaia di utenti. Rispettare la volontà degli utenti di non essere più disturbati, effettuare telefonate di marketing solo con preventivo specifico consenso, adottare adeguate misure tecniche e organizzative per rispettare la privacy degli utenti: queste sono alcune delle prescrizioni, in aggiunta alle multe, che l’Autorità ha imposto.
Dalla complessa attività istruttoria e ispettiva del Garante è emerso che i tre call center avevano chiamato numerose persone non incluse nelle liste ufficiali fornite dal committente, utilizzando delle cosiddette utenze ‘fuori lista’. I numeri telefonici fuori lista erano spesso riferibili a utenti che non avevano fornito un libero e specifico consenso a essere contattati per promozioni commerciali o si erano appositamente iscritti nel Registro pubblico delle opposizioni. In molti, tra l’altro, avevano più volte manifestato agli operatori dei call center o della società committente la volontà di non essere più disturbati e di essere inseriti nelle cosiddette black list. Alcuni numeri telefonici utilizzati per le chiamate commerciali, inoltre, non appartenevano a utenze “referenziate”, ovvero suggerite da qualche familiare o conoscente, ma erano di provenienza incerta o non verificata e documentata.
Il Garante ha poi rilevato la violazione del principio di privacy by design, ossia la mancanza di un adeguato governo del trattamento dei dati necessario per garantire il rispetto dei diritti degli interessati previsti dal Regolamento Ue (Gdpr).
Nel calcolare l’ammontare delle sanzioni (rispettivamente di 80 mila, 15 mila e 5 mila euro), l’Autorità ha tenuto conto, tra i vari aspetti, del differente livello di gravità delle violazioni commesse dai tre call center e della cooperazione offerta all’Autorità, ma anche del periodo di grave crisi socio-economica collegata all’emergenza pandemica. In tutti e tre i casi, il Garante non ha ritenuto validamente utilizzata la base giuridica del legittimo interesse, ha vietato l’ulteriore utilizzo per il marketing dei dati trattati illecitamente e ha prescritto la tempestiva adozione di tutte le misure necessarie ad assicurare il corretto trattamento, con particolare riguardo ai dati ‘fuori lista’ e a quelli presenti in black list.