Logo Tom's Hardware

Telemarketing illegale ma organizzato, la multa da 3 milioni cambierà qualcosa?

Il Garante Privacy ha sanzionato un sistema di telemarketing illegale ben strutturato, basato su traffico illecito di dati, inganni telefonici e contratti porta a porta mascherati da assistenza tecnica.

Avatar di Avv. Giuseppe Croari

a cura di Avv. Giuseppe Croari

avv.

Immagine id 15003

Avv. Giuseppe Croari – Dott. Francesco Zizzo

Il Garante per la protezione dei dati personali ha di recente sanzionato Acea Energia S.p.A. ed altre ditte minori, per una somma pari a 3.000.000 di euro, contestandole un uso illecito dei dati personali finalizzato a realizzare un massivo procacciamento di contratti di fornitura di servizi energetici con modalità illecite.

In questi mesi la maggior parte di noi è stata vittima di veri e propri “bombardamenti telefonici” da call center che millantavano di un imminente pericolo che cadeva sulle nostre forniture di gas/luce, dopo un rapido controllo il tentativo di truffa è stato svelato, nel migliore dei casi. Il fenomeno però ha avuto una risonanza enorme in Italia, creando quello che lo stesso Garante definisce un “sottobosco” di call center che agiscono al di fuori della legge.

 L’attività per cui è stata sanzionata Acea ha molto a che vedere con questa operazione illecita dato che secondo il Garante, la società Fer-Energy s.r.l. ha trasmesso delle liste con dati di utenti che avevano di recente effettuato il passaggio da un gestore luce e/o gas ad un altro (cd. liste “switch-out”) ad alcuni operatori sul mercato, in particolare un’agenzia direttamente contrattualizzata con Acea, la ditta individuale “Stefanelli Federica”. 

Immagine id 29969

Quest’ ultima ha permesso di tenere in collegamento Acea con il call center di M.G. Company s.r.l., in maniera tale che quest’ultima non fosse formalmente inserita nella filiera commerciale di Acea.

M.G. Company s.r.l ha, attraverso un traffico illecito di dati, procacciato aggressivamente contratti per Acea, il canovaccio che ci consegna il GDPD prevede che: 

  1. Venivano inventati presunti problemi tecnici legati al passaggio dal vecchio al nuovo fornitore per far leva sulla diffidenza del cliente e convincerlo ad attivare un contratto con Acea. In particolare, sostenevano che c’era il rischio – in realtà inesistente – di ricevere bollette da entrambi i fornitori (quello disdetto e quello nuovo) con conseguenti costi aggiuntivi per il cliente.
  2. a questo punto, l’operatore del call-center proponeva come soluzione un “rientro tecnico” temporaneo in Acea, necessario – a suo dire – per risolvere il presunto disguido e riallineare correttamente le forniture. Questo rientro sarebbe avvenuto a condizioni particolarmente vantaggiose (con uno sconto del 40%), come forma di compensazione per i disagi subiti.
  3. una volta ottenuta l’adesione verbale del cliente, veniva fissato un appuntamento con un venditore porta-a-porta, presentato come “incaricato Acea”. Prima della visita, l’operatore del call-center inviava al venditore, tramite WhatsApp, l’audio delle telefonate con il cliente. Questo serviva a metterlo al corrente delle informazioni (anche false) già fornite, in modo da rendere più credibili e coerenti i discorsi durante l’incontro a casa e facilitare così la firma del nuovo contratto con Acea.
  4. All’esito dal contatto telefonico, gli utenti che si dimostravano disposti alla sottoscrizione del nuovo contratto venivano raggiunti a domicilio dai c.d. runner per la relativa finalizzazione, trasformando così una vendita di fatto telefonica in una “porta a porta”.

Questo sistema prevedeva l'utilizzo di liste di dati personali acquisite da altre società aderenti al network in assenza di uno specifico consenso e senza fornire un'informativa preventiva agli interessati

Le liste contenevano informazioni dettagliate sugli utenti (numero di telefono, codice fiscale, POD, PDR, matricola del contatore e modalità di pagamento). 

Le contestazioni del Garante Privacy

Il garante ha svolto un’operazione meticolosa ricostruendo l’intera catena di scambi illeciti di dati personali: dalle agenzie esecutrici fino al cliente finale del servizio. Le principali violazioni riguardano: assenza di base giuridica e informativa idonea, commercio illecito di dati personali e violazione delle disposizioni in materia di sicurezza.

Assenza di una idonea informativa e una lecita base giuridica

M.G. Company ha utilizzato liste di utenti di provenienza illecita, svolgendo trattamenti dei dati personali contrari ai principi di liceità, correttezza e trasparenza. 

Questo trattamento dei dati personali non ha mai avuto , come ben sappiamo noi “interessati”, alcuna base giuridica, e soprattutto non è mai stata fornita alcuna informativa sul trattamento.

Allo stesso modo non risulta che, quantomeno nel primo contatto con l’operatore telefonico, “gli interessati avessero ricevuto dalla società una idonea informativa sui trattamenti di dati posto che gli script informativi di contatto, rinvenuti nei call-center di M.G. Company, sono risultati del tutto ingannevoli e inidonei a far comprendere agli interessati, non solo la reale portata del complessivo trattamento dei dati, ma anche la stessa necessità di procedere con l'attivazione di un contratto con Acea Energia. Del resto, una corretta informativa avrebbe disvelato la natura radicalmente illecita dei trattamenti svolti”.

Per gli “addetti ai lavori” è evidente la gravità di queste due violazioni, posto che, come ci ricorda l’art 6 del GDPR , nessun trattamento può essere posto in essere senza che esista una base giuridica.

 La base non deve essere necessariamente sempre il consenso, questo è un mito da sfatare, un’idonea base è tranquillamente rinvenibile anche nelle altre cinque lettere dello stesso articolo. 

È innegabile che la più frequente sia il consenso ma sta proprio nell’ingegno del legale riuscire ad individuare una base giuridica idonea alla situazione specifica.

Commercio illecito di dati personali

Molto spesso le aziende non hanno contezza della sensibilità dei dati che gestiscono ed accade che questi vengano inviati, con superficialità, ad altri operatori senza un titolo legittimo, sia che si compia l’atto in buona fede o meno, una condotta del genere è una violazione grave del GDPR.

Per questo il Garante presta particolare attenzione alle liste di utenti del caso specifico, dato che queste, riportano informazioni sensibili quali: numero di telefono, codice fiscale, numero del POD, del PDR e della matricola del contatore, nonché modalità di pagamento delle bollette.

Le stesse modalità con cui le liste passavano da un soggetto all'altro, prima via e-mail e poi, a seguito di un audit da parte di una società committente, via Telegram , sono sintomo della scarsa trasparenza di tali operazioni. 

La fornitura di liste veniva però retribuita a Fer-Energy s.r.l. con operazioni di scambio di collaboratori e storno delle provvigioni, modalità tutt’altro che convenzionali.

In questo caso specifico non c’era un inquadramento giuridico lecito ma in realtà è possibile per le aziende scambiarsi i dati degli utenti a fronte di un’idonea nomina ex art 28 GDPR.

In questo caso “Acea Energia, in qualità di titolare del trattamento dei dati dei clienti procacciati, ha designato la D.I. Stefanelli Federica quale responsabile del trattamento ex art. 28 del Regolamento; dall’altro, come ha dichiarato la stessa sig.ra Stefanelli, quest’ultima non ha provveduto alle relative nomine dei propri collaboratori e non ha richiesto ad Acea Energia la relativa autorizzazione ad avvalersi di sub-responsabili.”

Il Garante nell’ottica di inquadrare comunque una situazione illecita alla radice ha fatto notare che “Il trasferimento dei dati risulta essere stato effettuato da Fer-Energy s.r.l. quale autonomo titolare del trattamento, in assenza di uno specifico consenso sul punto e anche di altra idonea base giuridica. Quando due aziende agiscono in modo indipendente, ognuna è titolare autonoma e responsabile delle proprie attività sui dati, il GDPD dà conto come ,in questo caso , l’interesse e i mezzi che connotano la condotta di Fer-Energy s.r.l. la qualificherebbe come titolare autonomo.

Il regolamento privacy non è un ostacolo ma una risorsa

Questo caso ha riportato al centro dell’attenzione pubblica l’importanza della tutela dei dati personali, non solo per i consumatori, ma soprattutto per le aziende. Troppo spesso il GDPR viene percepito come un mero obbligo burocratico calato dall’alto, anziché come uno strumento strategico di trasparenza, affidabilità e competitività. 

Eppure, una corretta gestione dei dati può trasformarsi in un valore aggiunto, persino in un elemento distintivo in chiave di marketing. Al contrario, farne un uso illecito per ottenere vantaggi immediati si rivela, nel tempo, un boomerang che colpisce duro, sul piano legale e reputazionale.

 

Leggi altri articoli

👋 Partecipa alla discussione! Scopri le ultime novità che abbiamo riservato per te!

0 Commenti

⚠️ Stai commentando come Ospite. Vuoi accedere?

Questa funzionalità è attualmente in beta, se trovi qualche errore segnalacelo.