Trattamento illecito di dati da parte di Sky Italia, il Garante lo sanziona

Il Garante Privacy è intervenuto con un nuovo intervento in data 16 settembre 2021 con provvedimento nr. 332 – Registro dei provvedimenti – per contrastare il fenomeno del telemarketing selvaggio. Nel caso di specie sotto il mirino del Garante Privacy è Sky Italia. L’Azienda ha attuato, attraverso chiamate promozionali illecite, l’irrogazione da parte dell’Autorità in materia, una sanzione di oltre 3 milioni di euro, vietando, inoltre, a Sky Italia l’ulteriore utilizzo del trattamento dei dati personali per i soli fini promozionali, in particolar modo di quelli che vengono carpiti attraverso liste acquisite da altre società.

Da cosa origina il provvedimento

Il Garante Privacy ha rilasciato mediante un comunicato stampa tutte le informazioni per poter ricostruire in maniera completa la vicenda. Innanzi tutto il provvedimento del Garante giunge al termine di una complessa attività istruttoria che è stata avviata a seguito di molteplici segnalazioni nonché reclami di soggetti che lamentavano la ricezione di telefonate indesiderate, effettuate per promuovere i servizi offerti da Sky, sia direttamente sia tramite call center di altre società. Molte le criticità riscontrate, in particolare l’effettuazione di chiamate promozionali senza informativa e senza consenso, utilizzando liste non verificate, acquisite da altre società. A questo punto il Garante ha chiesto in primis a Sky Italia di condividere le proprie deduzioni nel merito della vicenda ed la stessa ha affermato, tra l’altro, che: il segnalante ha ricevuto il contatto indesiderato in quanto “ha prestato ad autonomo titolare del trattamento … il consenso alla cessione dei dati personali a terzi per fini marketing”; “Sky ha sottoscritto [con “autonomo titolare”] un contratto avente ad oggetto attività di cessione di dati personali … in forza del quale ha ricevuto il contatto condensato del [segnalante]”.  Ancora, stando a quello che dice il Garante, la Società avrebbe pertanto “contattato legittimamente [il segnalante] sulla scorta del consenso … Sky non ha quindi posto in essere alcun illecito trattamento di dati personali”. A differenza di quanto comunicato da Sky Italia il consenso a comunicare i propri dati a terzi dato dagli utenti della società fornitrice delle liste non autorizzava a utilizzare i nominativi a fini promozionali. Sky Italia per svolgere legalmente la propria attività avrebbe dovuto, a inizio telefonata, fornire all’utente una propria informativa spiegando la provenienza dei dati e, soltanto dopo aver ricevuto in quella sede il consenso dell’utente, procedere con la proposta commerciale. 

Ancora più importante, come sottolineato dal Garante, Sky avrebbe dovuto verificare attraverso le proprie “black-list” che le persone da contattare non avessero espresso la loro contrarietà a ricevere telefonate pubblicitarie proprio in relazione ai suoi prodotti. Fra le altre misure imposte a Sky Italia, il Garante ha prescritto l’agevolazione dell’esercizio dei diritti da parte degli interessati attraverso canali atti alla ricezione delle dichiarazioni di opposizione al trattamento, anche tramite indirizzo pec, il quale viene indicato nel registro delle imprese. C’è da dire che sino a questo momento Sky Italia non aveva ritenuto un valido punto di contatto per la privacy l’indirizzo pec ivi indicato.Sky dovrà, inoltre, nominare i fornitori, che svolgono attività promozionali per suo conto, responsabili di tutte le fasi del trattamento: ciò anche al fine di ribadire che la Società, in qualità di titolare, ha l’obbligo di vigilare sul loro operato e verificare la corretta gestione dei contatti promozionali. Nel determinare l’ammontare della sanzione l’Autorità ha tenuto conto della gravità delle violazioni riscontrate, che si riferiscono a condotte “di sistema” radicate nelle procedure societarie e del fatto che Sky, da molti anni presente sul mercato italiano, avrebbe dovuto impostare le proprie scelte di fondo nel rispetto della normativa sulla privacy.

Questo provvedimento segna profondamente il panorama aziendale italiano, e fa comprendere a chi gestisce attività del calibro di Sky Italia, così come ex avverso realtà minori, l’importanza del trattamento dei dati personali dei fruitori dei servizi di quell’azienda; ancora, sancisce la responsabilità delle stesse aziende in merito al trattamento dei dati personali e connatura a 360 gradi il rispetto del GDPR.