Il Garante per la protezione dei dati personali ha sanzionato Sky Italia S.r.l. con una multa di 842.062 euro per violazioni relative al telemarketing e all’invio di comunicazioni commerciali. L’indagine, avviata dopo 275 segnalazioni tra aprile 2022 e marzo 2023, ha rilevato che Sky ha effettuato attività promozionali senza adeguata verifica dei consensi e delle informative privacy. La società non ha controllato l’iscrizione delle utenze al Registro Pubblico delle Opposizioni e ha utilizzato consensi obsoleti, talvolta antecedenti al GDPR, memorizzati in file Excel modificabili. Inoltre, ha accorpato consensi per finalità distinte (marketing e comunicazioni a terzi) e ha considerato valido il consenso automatico ottenuto durante la registrazione al sito o reso obbligatorio per accedere ai servizi. Il Garante ha imposto a Sky di adottare misure per garantire la liceità dei contatti e vietato il trattamento promozionale dei dati degli account NOW in assenza di un consenso esplicito.

La sanzione inflitta a Sky Italia dal Garante Privacy deve servire da monito anche per le aziende di più piccole dimensioni.

Ed invero, il Regolamento Generale sulla Protezione dei Dati (GDPR) si applica a tutte le aziende, indipendentemente dalle dimensioni, che trattano dati personali di cittadini dell’Unione Europea. Non importa se l’azienda è una multinazionale o una piccola impresa locale: le regole fondamentali del GDPR sono valide per tutti.

Ecco i principi che devono essere osservati:

1. Consenso chiaro e inequivocabile:Il consenso degli utenti deve essere specifico, libero, informato e inequivocabile. Non può essere ottenuto automaticamente durante la registrazione a un servizio o imposto come obbligatorio per accedere a una piattaforma.
2. Distinzione delle finalità del consenso:Le finalità di marketing e di comunicazione dei dati a terzi devono essere chiaramente separate. Un unico consenso cumulativo non è valido.
3. Documentazione adeguata dei consensi:I consensi devono essere tracciabili e verificabili. L’utilizzo di strumenti modificabili, come i file Excel, non garantisce l’integrità e l’autenticità delle informazioni raccolte.
4. Registro Pubblico delle Opposizioni:Prima di avviare campagne di telemarketing, è obbligatorio verificare che i numeri contattati non siano iscritti al Registro Pubblico delle Opposizioni.
5. Adeguamento continuo al quadro normativo:I consensi raccolti prima dell’entrata in vigore del GDPR devono essere riesaminati e aggiornati per garantire la loro validità alla luce delle normative attuali.
6. Account non equivale a consenso:Il semplice possesso di un account su una piattaforma non implica automaticamente il consenso a ricevere comunicazioni promozionali.
7. Responsabilità nei trattamenti delegati a terzi:Anche quando i dati vengono acquisiti da fornitori terzi, l’azienda è responsabile della verifica della validità dei consensi e della liceità dei dati utilizzati.
8. Misure di controllo interne:È fondamentale implementare controlli periodici e a campione per verificare la conformità delle attività di marketing alla normativa sulla protezione dei dati.

In sintesi: La trasparenza, la chiarezza nella raccolta dei consensi, la documentazione adeguata e l’aderenza costante alle normative privacy sono elementi essenziali per evitare sanzioni e preservare la fiducia degli utenti.

L’articolo integrale apparso sulla NEWSLETTER del Garante della Privacy

Telemarketing: il Garante Privacy sanziona Sky Italia
Oltre 840mila euro per consensi e informative non in regola

Il Garante per la protezione dei dati personali ha sanzionato Sky Italia srl per numerose violazioni riscontrate durante le attività di telemarketing e di invio di comunicazioni commerciali.

L’Autorità, intervenuta a seguito di 275 segnalazioni relative al periodo compreso fra il 1° aprile 2022 e il 28 marzo 2023, ha accertato che la società ha svolto attività di marketing, telefonico e tramite sms, in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso.

Sky, inoltre, non ha consultato l’iscrizione delle utenze contattate nel Registro Pubblico delle Opposizioni prima di ogni campagna promozionale.

Dalla complessa istruttoria è emerso che alcune delle utenze erano state contattate in base ad un consenso acquisito molto tempo prima e in alcuni casi in epoca antecedente alla piena efficacia del GDPR, senza che la società ne verificasse l’idoneità anche dopo il cambio del quadro normativo.

La documentazione dei consensi acquisiti da società fornitrici di dati è apparsa inoltre non idonea a comprovare in modo inequivocabile la volontà degli interessati, in quanto Sky conservava i dettagli dei consensi in file Excel modificabili. In alcuni casi, in violazione della normativa, Sky considerava valido un consenso che conteneva, in un’unica formulazione, le distinte finalità di marketing e di comunicazione di dati a terzi per attività promozionali. Inoltre Sky considerava idoneo il consenso al marketing automaticamente fornito dagli utenti in fase di registrazione al sito internet e quello reso obbligatoriamente per poter usufruire del servizio offerto.

Comminando una sanzione pecuniaria di 842.062 euro il Garante ha ingiunto a Sky di verificare, anche mediante controlli a campione, la liceità delle utenze da contattare e di adottare misure adeguate a contestualizzare la volontà dell’interessato a ricevere telefonate promozionali, registrando nei sistemi le modalità e i tempi di acquisizione dei dati personali.

In assenza di uno specifico consenso degli interessati, l’Autorità ha vietato ogni ulteriore trattamento con finalità promozionale dei dati personali riferiti ad account aperti sulla piattaforma NOW. Disporre di un account per una piattaforma on demand non significa infatti aver espresso un consenso alla ricezione di comunicazioni promozionali.

(Fonte: www.garanteprivacy.it)