(από Federica De Stefani, δικηγόρο και υπεύθυνη για την Aidr Regione Lombardia) Ο Εγγυητής για την προστασία των προσωπικών δεδομένων επεμβαίνει ξανά στο λεπτό θέμα του άγριου τηλεμάρκετινγκ και επιβάλλει πρόστιμο άνω των 3 εκατομμυρίων ευρώ στον Sky.
Η διάταξη έρχεται μετά από μια μακρά και περίπλοκη έρευνα που ξεκίνησε μετά από δεκάδες αναφορές και καταγγελίες από άτομα που παραπονέθηκαν ότι έλαβαν ανεπιθύμητα τηλεφωνήματα, που έγιναν για την προώθηση των υπηρεσιών που προσφέρει η Sky, τόσο απευθείας όσο και μέσω τηλεφωνικών κέντρων άλλων εταιρειών.
Στις έρευνές της, η Αρχή εντόπισε πολλά κρίσιμα ζητήματα, συμπεριλαμβανομένης της πραγματοποίησης διαφημιστικών κλήσεων χωρίς πληροφορίες και χωρίς συναίνεση, χρησιμοποιώντας μη επαληθευμένες λίστες, που αποκτήθηκαν από άλλες εταιρείες.
Η ανάλυση της διαταγής ασφαλιστικών μέτρων που εκδόθηκε από τον Εγγυητή προσφέρει σημαντική τροφή για σκέψη και υπογραμμίζει ορισμένα βήματα των δραστηριοτήτων τηλεμάρκετινγκ που είναι κατάλληλα για να αποτελέσουν «κατευθυντήριες γραμμές» για τη σωστή εκτέλεση των ιδίων.
Επιστρέφουμε στη λεπτή ισορροπία μεταξύ επιχειρήσεων, επεξεργασίας δεδομένων και προστασίας δεδομένων.
Η προστασία των προσωπικών δεδομένων δεν πρέπει, όπως ρητά αναφέρεται στο άρθ. 1 του Ευρωπαϊκού Κανονισμού, αποτελούν εμπόδιο στις οικονομικές δραστηριότητες.
Πρόκειται για τον συνδυασμό δύο διαφορετικών αναγκών (επιχειρήσεων και προστασίας δεδομένων) που είναι φαινομενικά ασυμβίβαστες, συχνά θεωρούνται ως τέτοιες λόγω έλλειψης εις βάθος γνώσης της νομοθεσίας.
Η διαδικασία για τηλεμάρκετινγκ
Το τηλεμάρκετινγκ είναι μια τεχνική που χρησιμοποιούν οι εταιρείες για την προώθηση των προϊόντων τους. Στη συγκεκριμένη περίπτωση, που αναλύθηκε με διαταγή ασφαλιστικών μέτρων της Αρχής, η Sky απέκτησε λίστες χρηστών τρίτων εταιρειών για να επικοινωνήσει για λόγους ταχείας μάρκετινγκ.
Η διαδικασία διεξαγωγής αυτής της δραστηριότητας, σύμφωνα με τις πρόνοιες του ευρωπαϊκού κανονισμού για την προστασία των προσωπικών δεδομένων, περιλαμβάνει τα ακόλουθα βήματα:
- Απόκτηση από την τρίτη εταιρεία σε εξωτερική ανάθεση της συναίνεσης του χρήστη για κοινοποίηση των δεδομένων του σε τρίτους.
- Απόκτηση των ονομάτων από τον Σκάι.
- Χρήση από τη Sky των λιστών που αποκτήθηκαν επικοινωνώντας με τον πελάτη και παρέχοντάς του τα δικά του στοιχεία.
- Απόκτηση, πάλι από τη Sky, της συναίνεσης του χρήστη για τη διατύπωση εμπορικών προτάσεων και μόνο μετά την απόκτηση αυτή, δυνατότητα, από τον χειριστή, να διατυπώσει την εμπορική πρόταση.
Σύμφωνα με την έρευνα που διενήργησε ο Εγγυητής, η διαδικασία που ακολούθησε για τη διαφημιστική δραστηριότητα της Sky στερούνταν ορισμένων ουσιωδών στοιχείων, περιοριζόμενη στη χρήση των ονομάτων που αποκτήθηκαν από τρίτες εταιρείες που έχουν ήδη «εγκριθεί».
Το θεμελιώδες σημείο είναι ακριβώς αυτό: η συναίνεση που παρείχε ο χρήστης στην τρίτη εταιρεία αντιπροσώπευε έγκυρη νομική βάση μόνο για την κοινοποίηση των ονομάτων στη Sky και όχι επίσης την περαιτέρω χρήση τους για σκοπούς μάρκετινγκ από την τελευταία.
Θα πρέπει επίσης να προστεθεί ότι η Sky θα πρέπει, πριν προβεί σε οποιαδήποτε επιχείρηση, να ελέγχει μέσω των μαύρων λιστών της ότι τα άτομα με τα οποία πρέπει να επικοινωνήσετε δεν είχαν εκφράσει την αντίθεσή τους στη λήψη διαφημιστικών κλήσεων σχετικά με τα προϊόντα της.
Το PEC ως κατάλληλος δίαυλος για την άσκηση των δικαιωμάτων του ενδιαφερόμενου
Ένα άλλο αξιοσημείωτο στοιχείο αφορά τα κανάλια που διατίθενται στους χρήστες για την άσκηση των δικαιωμάτων τους.
Η Αρχή, μάλιστα, έχει ορίσει στον Sky να συμπεριλάβει μεταξύ των καναλιών λήψης των δηλώσεων αντίθεσης στην επεξεργασία, και τη διεύθυνση PEC που αναγράφεται στο μητρώο εταιρειών, μια διεύθυνση που μέχρι τώρα δεν είχε θεωρηθεί έγκυρο σημείο επαφής για το απόρρητο .
Οι εταιρείες εξωτερικής ανάθεσης και τα προσόντα του επεξεργαστή δεδομένων
Τέλος, η διαταγή διαταγής αποσαφηνίζει μια άλλη σημαντική πτυχή, δηλαδή τον χαρακτηρισμό των τρίτων εταιρειών που σχηματίζουν τους καταλόγους ονομάτων που χρησιμοποιούνται για σκοπούς μάρκετινγκ, επαναλαμβάνοντας, για άλλη μια φορά, όπως έχει ήδη γίνει στο παρελθόν, ότι τα γραφεία εξωτερικής ανάθεσης δεν μπορούν να χαρακτηριστούν ως ανεξάρτητους ελεγκτές δεδομένων.
Ειδικότερα, η εν λόγω διάταξη τονίζει ρητά ότι «η φερόμενη τυπική ιδιοκτησία δεν αντιστοιχεί, έστω και συγκεκριμένα, στις εξουσίες που προβλέπει αυστηρά ο Κώδικας για τη διαμόρφωση και την άσκηση της κυριότητας, οι οποίες αποτελούν και παραμένουν αποκλειστικό προνόμιο της οι εντολείς. Μεταξύ αυτών, πρώτα απ 'όλα: - λήψη αποφάσεων σχετικά με τους σκοπούς της επεξεργασίας των δεδομένων των παραληπτών διαφημιστικών εκστρατειών με σκοπό την αποστολή διαφημιστικού υλικού ή απευθείας πωλήσεων ή εμπορικής έρευνας ή εμπορικής επικοινωνίας που διεξάγεται από τρίτα μέρη που ενεργούν σε εξωτερική ανάθεση για την απόδοση των προαναφερθεισών δραστηριοτήτων προώθησης και εμπορίας αγαθών, προϊόντων και υπηρεσιών· - να εκδίδουν δεσμευτικές οδηγίες και οδηγίες προς τους εξωτερικούς συνεργάτες, που ουσιαστικά αντιστοιχούν στις οδηγίες που πρέπει να δώσει ο υπεύθυνος επεξεργασίας στον διαχειριστή· - να εκτελεί λειτουργίες ελέγχου σχετικά με την εργασία των ίδιων των εξωτερικών αναδόχων».
Επομένως, ως φυσικό επακόλουθο προκύπτει ότι και αυτά τα υποκείμενα πρέπει να λάβουν ρητή και επίσημη ονομασία ως υπεύθυνοι επεξεργασίας δεδομένων, σύμφωνα με τις διατάξεις του άρθ. 29 Κανονισμοί.