Il ruolo di titolare del trattamento è attribuibile a tutti i soggetti che contribuiscono a stabilire le finalità e le modalità del trattamento.

Garant für den Schutz personenbezogener Daten: Ordinanza ingiunzione nei confronti di Plurima s.r.l. die 11 März 2021
Die Tatsache
Nell’Ordinanza oggetto di commento, il Garante per la protezione dei dati personali è stato chiamato a intervenire nel merito di una questione nata nel 2017 in ragione di numerose doglianze, quantificabili in varie centinaia, contenute in segnalazioni e reclami, che erano state presentate all’Autorità da utenti che avevano ricevuto chiamate promozionali da TIM S.p.a.
insbesondere, detti utenti lamentavano la ricezione di numerose chiamate promozionali da parte della società Plurima s.r.l., per conto di TIM S.p.a., avvenute nonostante la mancata prestazione del consenso degli interessati a ricevere le suddette comunicazioni commerciali e in alcuni casi nonostante la loro iscrizione al Registro pubblico delle opposizioni o comunque successivamente al loro esplicito rifiuto di ricevere tali tipologie di comunicazioni.
I suddetti fatti lamentati dai ricorrenti si erano concentrati nel periodo temporale intercorso tra il 2017 e i primi mesi del 2019 e hanno richiesto una complessa attività istruttoria da parte del Garante per verificare la sussistenza di un’eventuale responsabilità della Società Plurima s.r.l., quale partner di Tim, che per suo conto, aveva svolto la suddetta attività di comunicazione.
All’esito dell’attività istruttoria è emerso che: (ich) la Società aveva contattato 1253 utenze telefoniche referenziate, ossia non inserite nelle apposite liste di contattabilità ma suggerite da altri utenti individuati e contattati sulla base delle suddette liste di contattabilità; (ii) nei confronti di questi utenti “referenziati” la società non aveva acquisito alcun consenso dell’interessato.
Per questa ragione il Garante ha ritenuto possibile la violazione del principio di liceità del trattamento, secondo quanto disposto dal Regolamento Europeo per la protezione dei dati personali (Gdfri).
In considerazione di ciò, l’Ufficio ha deciso di avviare il procedimento amministrativo per la violazione della disciplina privacy e di conseguenza ha prospettato alla Plurima s.r.l. la possibile applicazione delle sanzioni amministrative previste dal citato Regolamento europeo, invitandola a fornire le proprie osservazioni relativamente all’addebito configurato.
Nella sua difesa, la società Plurima ha specificato le modalità con cui il trattamento era stato effettuato nonché il proprio ruolo.
In dieser Hinsicht, la società, in primo luogo, ha ritenuto di aver agito in qualità di mero responsabile del trattamento, di aver osservato il mandato di Tim, di aver contattato i soggetti referenziati essendone a conoscenza Tim e di aver agito in virtù del principio di legittimo interesse e in modo tale da assicurare correttezza circa le attività di documentazione e trattamento dei dati.
In secondo luogo, la società ha sostenuto che tale attività non sarebbe da configurare come illecito trattamento, poiché esito di un processo interno di individuazione dei soggetti referenziati, e dunque idonei al trattamento. In merito, la società Plurima forniva indicazioni ben precise riguardo le circostanze temporali dell’acquisizione dei contatti sei soggetti “referenziati”, l’origine del numero “referenziato”, la natura del rapporto amicale o parentale del soggetto che aveva fornito il contatto “referenziato” nonché il nome dell’operatore e del supervisore dell’operazione.
schließlich, Plurima s.r.l., ha documentato di aver fornito l’informativa privacy prevista dal citato Regolamento europeo agli interessati al momento del contatto telefonico.
Iscriviti al nostro corso

La decisione del Garante
Preliminarmente l’Autorità ha esaminato la prima difesa della società relativa al suo asserito ruolo di mero responsabile del trattamento.
Secondo il Garante, considerando la complessiva condotta della Società quest’ultima deve essere considerata di fatto come titolare del trattamento (e non mera responsabile), insieme alla società mandante TIM, relativamente al trattamento dei dati delle numerazioni “referenziate” per finalità promozionali.
Secondo il Garante Plurima ha infatti contribuito a stabilire le finalità promozionali e le modalità di contatto, organizzandole anche in assenza di specifiche istruzioni operative fornite dalla stessa TIM, che le ha poi accettate recependo i contratti conclusi da Plurima con i soggetti referenziati e incamerandone gli utili, e risulta così aver ecceduto dalle competenze che il suo ruolo di mero responsabile avrebbe comportato.
In considerazione di tale ruolo di co-titolare del trattamento, gravavano su Plurima tutti gli obblighi in materia di protezione dei dati personali e alla stessa erano applicabili tutti i principi sanciti dalla relativa normativa.
In ogni caso, il Garante ha precisato che il ruolo di mero responsabile del trattamento non avrebbe comunque escluso la illeicità della condotta della società consistente nel non aver acquisito il consenso degli interessati: infatti dall’istruttoria è emerso che i contatti “referenziati” venivano chiamati in base a una costante prassi operativa decisa dalla società e non dipesa da iniziative personali dei suoi dipendenti.
In secondo luogo, il Garante ha evidenziato che, per giustificare il trattamento dati posto in essere da Plurima in assenza del consenso degli interessati, non è possibile invocare come base giuridica l’esistenza del legittimo interesse alle attività di marketing.
Ciò in quanto: (ich) il legittimo interesse all’attività di marketing e/o il presunto interesse del soggetto “referenziante” che coinvolge l’amico o il parente nell’offerta fornendo i suoi contatti, sebbene esistente, non può sostituire il consenso dell’interessato quale legittima base giuridica del trattamento dati per finalità di marketing (che infatti non può prescindere dal consenso dell’interessato); tatsächlich, la disciplina in materia di privacy ammette il legittimo interesse come base giuridica soltanto a condizione che non prevalgano gli interessi, i diritti e le libertà fondamentali dell’interessato alla protezione dei dati personali, e prevede che il titolare del trattamento debba effettuare un apposito bilanciamento per verificare che l’interesse legittimo non prevalga illecitamente su tali diritti dell’interessato; (ii) jedenfalls, il titolare del trattamento non può utilizzare in maniera retroattiva il legittimo interesse quale base giuridica del trattamento, per giustificarlo a posteriori qualora risulti carente il consenso dell’interessato; tatsächlich, è necessario che per poter eseguire i trattamenti per finalità di marketing è necessario prima acquisire il consenso degli interessati e fornire a questi ultimi un’informativa privacy nella quale è già stata decisa e indicata la base giuridica del trattamento (non potendosi, dann, modificarla a posteriori).
In considerazione di tutto quanto sopra, l’Autorità ha ritenuto che la società Plurima si sia resa responsabile di illecito trattamento dei dati personali per mancanza del consenso degli interessati, in violazione della regola per cui i trattamenti per finalità promozionali richiedono un consenso informato, libero, specifico e documentato.
Conseguentemente, l’Autorità Garante ha disposto la limitazione definitiva del trattamento dei dati personali degli interessati, in mancanza di un consenso libero e specifico, ed ha ordinato alla Società di implementare gli strumenti tecnici e organizzativi per assicurare che siano oggetto di attività promozionale solo gli utenti dei quali dispongono un consenso che deve essere, come prima detto, informato, libero, specifico e documentato.
schließlich, è stata disposta nei confronti della Società Plurima s.r.l. una sanzione amministrativa pecuniaria pari all’importo di euro 5.000,00 per la violazione sopra indicata, e la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, oltre che l’annotazione nel registro interno dell’autorità delle violazioni e delle misure adottate.

Werden Sie Autor von Legge.it
Finde mehr heraus!

Das könnte Sie auch interessieren

Die Richtlinien für die Tracking-App werden vom Europäischen Datenschutzausschuss vorgegeben.

di MuiaPier Paolo
26 maggio 2020

Il parere del Garante Privacy sullo schema predisposto da AgID per l’erogazione del servizio pubblico wi-fi free

di MuiaPier Paolo
16 Dezember 2020

Il parere del Garante sullo schema di regolamento che disciplina il Sistema Informativo Trapianti (SIT) e il Registro nazionale dei donatori di cellule riproduttive

di MuiaPier Paolo
28 Oktober 2019

Le prescrizioni del Garante privacy relative al trattamento di particolare categorie di dati nei rapporti di lavoro

di MuiaPier Paolo
9 September 2019

The post Il ruolo di titolare del trattamento è attribuibile a tutti i soggetti che contribuiscono a stabilire le finalità e le modalità del trattamento. erschien zuerst auf Diritto.it.
Quelle: Diritto.it