Lo scorso Luglio il Garante della Privacy ha emesso un provvedimento nei confronti di una società che gestisce, tramite altre, i servizi per fissare gli appuntamenti con potenziali clienti di gestori telefonici. Tutto è partito dalle segnalazioni al Garante di utenti evidentemente infastiditi, se non proprio esasperati, dalle telefonate con le quali erano proposti appuntamenti con “consulenti” per offrire piani tariffari personalizzati (a detta degli operatori).

L’accertamento del Garante muoveva quindi dall’accesso da parte della Guardia di Finanza presso un call center, il cui titolare riferiva di come all’interno dei locali si svolgesse solo attività di formazione mentre, all’esito dei controlli, emergeva l’effettiva esistenza di postazioni di lavoro per operatori che promuovevano i servizi di Wind Tre procacciando appuntamenti; veniva reperito anche materiale vario, modulistica e schede dell’azienda di telecomunicazioni, compresi gli appuntamenti che venivano “caricati” nelle agende elettroniche di chi poi si recava dai clienti. Venivano rinvenute liste di persone da contattare con anagrafiche e numeri di contatto e, nella cronologia di computer e telefoni, centinaia di telefonate: oltre 500.000 nominativi di cui la società aveva in disposizione i dati personali. Le giustificazioni del referente, che diceva di non sapere nulla in merito all’origine dei dati in suo possesso, sono state definite dal Garante paradossali, inattendibili e in spregio ai doveri di collaborazione. Dovrebbe essere del resto chiaro a tutti come chiunque maneggi dati debba provare come li abbia ottenuti e che ciò sia avvenuto nel rispetto del GDPR. In sintesi è stata individuata un’attività del tutto abusiva, condotta senza neppure fornire le informative necessarie al momento del contatto.

Emergeva inoltre come il Call Center svolgesse la propria attività per conto di un’agenzia che svolgeva, a sua volta, attività di commercializzazione dei prodotti Wind Tre presso la sua sede di Ponsacco (PI), ovvero la Merlini Srl. Le indagini hanno rivelato come la Merlini Srl operasse mediante contratto di agenzia in veste di responsabile esterno del trattamento e tramite cosiddetti "procacciatori". Il Garante ha richiesto alla Merlini di fornire adeguata documentazione per giustificare il trattamento dati da parte del call center e dei collaboratori di cui quest’ultimo si avvaleva, ma le giustificazioni sono state che il rapporto era con collaboratori indipendenti che non venivano individuati quali responsabili del trattamento: liberi e autonomi nella ricerca di soggetti cui inviare proposte commerciali.

In sintesi il tutto veniva definito con accordi verbali che portavano il call center ad agire con le modalità descritte, senza che esistesse alcun rapporto formale tra le due società e addirittura permettendo al call center di procacciarsi liste di potenziali clienti trasmettendo direttamente i loro dati alla Merlini, senza il minimo rispetto della disciplina in materia di trattamento dati dei quali, tra l’altro, gli interessati non avevano dato autorizzazione alla comunicazione; ma ciò non impediva che tali dati confluissero poi nei database di Wind Tre per il perfezionamento dei contratti.

Sono quindi state contestate alla Merlini:

• l’illecita acquisizione di dati dal call center,
• l’effettuazione di telefonate senza aver consultato il Registro delle Opposizioni,
• l’utilizzo di procacciatori senza avere informato Wind Tre, quale titolare del trattamento,
• ulteriori irregolarità per la gestione del rapporto con il call center senza alcun atto scritto e per aver permesso di svolgere trattamenti a soggetti che non avevano ricevuto alcuna formazione o istruzioni.

La difesa della Merlini si focalizzava sulla responsabilità esclusiva del call center che, secondo l'azienda, aveva proprio l’incarico di reperire la potenziale clientela ed era quindi, di conseguenza, titolare del trattamento dati. 

Il Garante ha valutato negativamente la linea di difesa dell’Agenzia Merlini muovendo dalla considerazione, in primis, dell’assenza di una formalizzazione del rapporto contrattuale e dalla mancanza di alcuna previsione in ordine al trattamento dati. Tutto questo senza neppure debitamente informare la preponente Wind Tre, di cui oltretutto il call center spendeva il nome e disponeva del materiale per la stipula dei contratti. Impossibile quindi, per il Garante, poter ritenere il call center autonomo Titolare.

Da qui la sanzione di ducentomila euro ma non solo: il Garante ha anche imposto alla Merlini la regolarizzazione con tutti i suoi procacciatori dei rapporti contrattuali e, in particolare, degli aspetti relativi al trattamento dati, nonché il divieto di utilizzare i dati personali ottenuti per il tramite del call center “incriminato” e di tutti i dati ottenuti da altri procacciatori che non li abbiano ottenuti nel rispetto del GDPR. La decisione del Garante assume particolare importanza in quanto sancisce come debbano essere regolati i rapporti tra aziende che collaborano tra loro in merito alla disciplina del GDPR. Una decisione che dovrebbe far riflettere molti imprenditori su come vengono gestiti i loro contratti.