Cessione dei dati personali: società multata per avere utilizzato in maniera ampia il consenso ottenuto
Il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se al soggetto sono garantiti una scelta effettiva e il controllo sui propri dati
Multa di 300.000 euro per una società fornitrice di energia elettrica e gas, colpevole di avere utilizzato in maniera troppo ampia il consenso, fornito da alcune persone, alla cessione dei dati personali a terzi per finalità di marketing. Per il ‘Garante per la privacy’ (provvedimento del 27 febbraio 2025) è inaccettabile pensare ad un consenso ‘no limits’. Ciò perché il consenso alla cessione dei dati personali a terzi per finalità di marketing può considerarsi realmente libero soltanto se al soggetto sono garantiti una scelta effettiva e il controllo sui propri dati. L’utilizzo di formule generiche che non permettano di selezionare la singola categoria merceologica delle offerte commerciali desiderate (per esempio, telefonia, forniture energetiche, servizi assicurativi, moda, auto ecc.), non è quindi in linea con la normativa privacy e non può far venir meno gli effetti della opposizione manifestata con l’iscrizione al ‘Registro Pubblico delle Opposizioni’. Identico principio vale per ‘form’ e informative che ostacolino l’esercizio dei diritti riconosciuti al soggetto in ordine alla scelta degli strumenti attraverso cui ricevere le comunicazioni promozionali. Nel caso specifico, il ‘Garante’ ha sanzionato ‘Energia Pulita srl’, società fornitrice di energia elettrica e gas, per aver trattato in modo illecito i dati di un centinaio di persone che hanno lamentato la ricezione di chiamate indesiderate effettuate in mancanza di un’idonea base giuridica e, in molti casi, utilizzando tecniche commerciali particolarmente insidiose. Secondo il ‘Garante’, il ricorso a simili ‘form’ per l’acquisizione del consenso non permette di esprimere una valida, consapevole e inequivocabile manifestazione di volontà, realizzando invece un’incontrollabile diffusione di dati personali a favore di una platea indistinta di operatori. Difatti, si è accertato che la società si è avvalsa di soggetti interni ed esterni all’organizzazione aziendale, violando gli obblighi gravanti sul titolare del trattamento riguardo ad individuazione, formazione, direzione e monitoraggio sull’operato dei soggetti designati. Multa a parte, comunque, il ‘Garante’ ha ordinato alla società di predisporre adeguati controlli sulla propria rete di vendita e implementazioni dei sistemi, per escludere che possano fare ingresso nel patrimonio aziendale contratti generati da contatti illeciti.