Decine di segnalazioni da parte dell’utenza e il Garante avvia un procedimento nei confronti di Sky: trattamento dati non autorizzato per finalità di marketing, informative inidonee e mancato controllo sulle liste degli utenti da contattare. Il provvedimento con cui il Garante ha sanzionato Sky per oltre tre milioni di euro, offre interessanti spunti di riflessione sulle modalità di questa attività, sulle informative rese dai subfornitori agli interessati al momento del contatto e, come sempre, le irregolarità sulla nomina dei responsabili esterni. Il provvedimento è decisamente articolato e tratta in particolare, oltre alle altre contestazioni, il rapporto con le aziende che, a loro dire, offrirebbero liste di persone che hanno prestato il consenso ad essere contattati per offerte e promozioni.

Sul punto la decisione del Garante è chiara nello stabilire che il consenso alla cessione di un dato da Titolare ad altro Titolare (nella fattispecie Sky riceveva gli elenchi da aziende che li raccoglievano proprio per cederli), non implica consenso né autorizza il cessionario ad utilizzarli liberamente bensì, in particolare, per i contatti mediante operatore umano nel corso del contatto promozionale, dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali comunicati. Ergo l’interessato deve essere messo in condizione di potersi opporre a forme di trattamento che non siano quelle automatizzate che, viceversa, permettono un regime semplificato per l’utilizzo dati.

Segnale di allarme, quindi, per tutti coloro che acquistano dati di utenti che possono essere contattati: al momento del contatto deve essere fornita un’informativa che renda l’utente edotto “che il dato è stato raccolto presso terzi ed indicando il titolare originario del dato”, consentendogli, ad esempio, di revocare il consenso originariamente prestato.

Inoltre, il Garante, sempre con riferimento proprio all’acquisizione delle liste di contattabilità da soggetti terzi, non ha aderito alla linea di difesa di Sky secondo cui questa non sarebbe tenuta a verificare la corretta acquisizione da parte dei soggetti terzi del consenso per la comunicazione dei dati né ad effettuare operazioni di scrematura dei predetti dati rispetto a quelli inseriti nelle proprie black list. Ed invero, il Garante ha sottolineato come sia preciso onere di chi acquisisce dati personali quello di verificare che i soggetti contattati siano non solo “consensati” ma anche, cosa ancora più importante, non siano persone che avevano in passato espresso una inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi della Società. Questo mancato controllo porta ad una elusione delle norme sul diritto di opposizione in quanto una revoca già espressa del consenso nei confronti di un titolare non determinerebbe la cessazione dei contatti promozionali. Ciò, oltre a determinare un risultato giuridicamente illogico (lo svuotamento del diritto di opposizione), comporterebbe l’ulteriore grave conseguenza che l’interessato non potrebbe più controllare la sorte dei suoi dati, posto che nemmeno una chiara opposizione ai contatti promozionali rivolta a un titolare potrebbe portare alla definitiva cessazione di tali contatti.

Altro argomento difensivo di Sky, puntualmente smontato dal Garante, è la circostanza che il massimo di contatti che i suoi operatori possono effettuare nei confronti dei possibili clienti sarebbe 28; il numero è stato ritenuto chiaramente causa di manifesto disagio per l’utenza.

Il provvedimento si articola ulteriormente sulle violazioni contestate a Sky e ritenute sussistenti con una decisione che ha portato il Garante ad una sanzione per il cui calcolo si è tenuto conto della gravità delle condotte, ritenute radicate nel sistema delle procedure societarie e, oltretutto, aggravate dalla presenza della società da anni sul mercato e, quindi, nel non aver fatto tesoro di un bagaglio di conoscenze ed esperienza sul punto. Inoltre, oltre alla sanzione economica, il Garante ha imposto il divieto di trattamento dati acquisiti mediante liste per finalità di marketing, l’adozione di procedure adeguate al GDPR per le successive attività di marketing e modalità e strumenti che agevolino il diritto di opposizione degli interessati.