Il Garante ha sanzionato un'agenzia immobiliare per aver contattato con finalità di marketing, in violazione al GDPR, un utente il cui numero era stato reperito online.

I fatti: l'utente infastidito presenta reclamo al Garante

Un utente infastidito ha presentato, qualche mese fa, un reclamo al Garante per la Protezione dei dati personali. Oggetto della segnalazione è l'uso del suo numero di telefono, reperibile online con un qualsiasi motore di ricerca, a finalità di marketing. Il soggetto della segalazione è invece una agenzia immobiliare romana affiliata a Tecnocasa. L'utente in questione aveva negato il consenso all'ennesima chiamata dell'Agenzia. All'ulteriore contatto a finalità di marketing ha presentato quindi reclamo al Garante.

Il Garante avvia l'istruttoria

A seguito della segnalazione, il Garante avviava l'istruttoria richiedendo all'agenzia immobiliare di presentare la propria difesa e chiarire alcuni punti sul trattamento dei dati. L'agenzia ammetteva al Garante di aver contattato l'uomo, a fini di marketing, in due diversi casi. Un primo caso, nel quale confermano di aver ricevuto il diniego ad ulteriori contatti, e un secondo caso per un "mero errore commesso in buona fede". Accortasi dell'errore, l'Agenzia ha dichiarato di aver proceduto alla cancellazione dei dati dell'utente.

A parte l'errore, l'Agezia si è difesa dicendo che i dati sono stati trattati lecitamente. Questi, ovvero nome, cognome e numero di telefono, sono stati

“reperiti su internet consultando i siti web www.trovanumeri.com e www.psicologi.it, e svolgendo un’indagine nominale sul motore di ricerca su Google”.

Insomma, pubbliche le fonti "pubblici" i dati.

Il reclamante, da parte sua, sottolineava come l'Agenzia avesse omesso:

"le numerose altre telefonate, anche negli anni precedenti, dove già era stato fatto presente, con estrema cortesia, di non gradire chiamate con offerta di servizi non richiesti, non mancando di invitare, con altrettanta gentilezza, alla cancellazione dei propri dati e della propria moglie dalle loro banche dati”.

Per saperne di più > GDPR e Marketing: il committente delle campagne risponde anche per le società terze

I risultati dell'istruttoria del Garante: trattamento illegittimo dei dati a fini di marketing e raccolta consenso

Il Garante ha sottolineato come, indipendentemente dal numero di contatti oggetto di reclamo, l'agenzia abbia effettuato operazioni di trattamento dati senza preventivo consenso informato. Azione svolta continuativamente, essendo continuo il reperimenti di contatti via web. Inoltre la società:

• non ha fornito all'interessato le informazioni relative ai dati non raccolti direttamente presso l'interessato (art 14 gdpr);
• non ha dato riscontro alla richiesta di cancellazione dei dati nei tempi previsti dalla legge. L'agenzia non ha neppure fornito spiegazioni in merito alla mancata risposta.

In entrambi i casi l'agenzia quindi ha mancato di adottareIn entrambi i casi l'agenzia quindi ha mancato di adottare:

"un sistema che agevoli l’esercizio dei diritti degli interessati".

Non solo: l'Agenzia non ha chiarito neppure il numero di dati raccolti online, l'eventuale profilazione svolta e i meccanismi per consentire agli interessati l'esercizio dei propri diritti.

Il titolare del trattamento quindi, in questo caso la società intestataria dell'agenzia immobiliare, ha violato le previsioni degli artt. 5 e 24 del GDPR, in particolare con riferimento al principio di accountability previsto dal Regolamento. Inoltre il Garante ha specificato come anche la prima telefonata finalizzata ad ottenere il consenso ai fini di marketing, vada essa stessa considerata come una "comunicazione commerciale". Il riferimento è alla sentenza della Corte di Cassazione 26 Aprile 2021 n.11019 che:

• stabilisce l'illeicità di chiamate per il recupero del consenso degli interessati;
• ribadisce che “il trattamento dei dati dell'interessato per chiedere il consenso per fini di marketing è esso stesso un trattamento per finalità di marketing”.

La sanzione del Garante: illegittimo usare numeri online per fini di marketing

Insomma per i Garante raccogliere dati sul web per telefonare agli abbonati chiedendo un consenso per essere ulteriori contattati per offrire i propri servizi è illegittimo. Ha quindi ingiunto alla società:

• una sanzione di 5.000 euro;
• la pubblicazione del provvedimento, con i nomi societari in chiaro, sul sito dell'Autorità;
• di comunicare entro 30 giorni all'autorità Garante quali siano le iniziative intraprese per limitare la raccolta dati e impedire trattamenti dei dati per la quale l'agenzia non disponga di un valido consenso;
• di approntare tempestivamente procedure atte a favorire e agevolare l'esercizio dei diritti degli interessati.

 Il testo completo del provvedimento è disponibile qui