(a cargo de Federica De Stefani, abogada y responsable de Aidr Regione Lombardia) El Garante para la protección de datos personales interviene de nuevo en el delicado tema del telemarketing salvaje e impone una multa de más de 3 millones de euros a Sky.
La disposición surge luego de una larga y compleja investigación iniciada a raíz de decenas de denuncias y denuncias de personas que se quejaron de recibir llamadas telefónicas no deseadas, realizadas para promocionar los servicios que ofrece Sky, tanto directamente como a través de los call center de otras empresas.
En sus investigaciones, la Autoridad encontró muchos problemas críticos, incluida la realización de llamadas promocionales sin información y sin consentimiento, utilizando listas no verificadas, adquiridas de otras empresas.
El análisis de la orden judicial emitida por el Garante ofrece importantes elementos de reflexión y destaca algunos pasos de las actividades de telemercadeo aptos para constituir "pautas" para la correcta ejecución de la misma.
Volvemos al delicado equilibrio entre negocio, procesamiento de datos y protección de datos.
La protección de datos personales no debe, como se indica expresamente en el art. 1 del Reglamento europeo, ser un obstáculo para las actividades económicas.
Se trata de conciliar dos necesidades distintas (empresarial y de protección de datos) que solo son aparentemente irreconciliables, a menudo consideradas como tales por la falta de conocimiento profundo de la legislación.
El procedimiento de telemarketing
El telemarketing es una técnica que utilizan las empresas para promocionar sus productos. En el caso concreto, analizado por orden judicial de la Autoridad, Sky adquirió listas de usuarios de empresas de terceros para contactar con fines de marketing expreso.
El procedimiento para la realización de esta actividad, según lo dispuesto en el reglamento europeo de protección de datos personales, incluye los siguientes pasos:
- Adquisición por parte de la tercera empresa en subcontratación del consentimiento del usuario para comunicar sus datos a terceros.
- Adquisición de los nombres por Sky.
- Uso por parte de Sky de las listas adquiridas contactando al cliente y proporcionándole su propia información.
- Adquisición, nuevamente por parte de Sky, del consentimiento del usuario para formular propuestas comerciales y solo después de dicha adquisición, posibilidad, por parte del operador, de formular la propuesta comercial.
Según la investigación realizada por el Garante, el procedimiento seguido para la actividad promocional de Sky carecía de algunos elementos esenciales, limitándose al uso de los nombres adquiridos a empresas terceras ya "aprobadas".
El punto fundamental es exactamente este: el consentimiento proporcionado por el usuario a la tercera empresa representó una base legal válida solo para la comunicación de los nombres a Sky y no también para el uso posterior de los mismos con fines de marketing por parte de esta última.
También cabe añadir que Sky debería, antes de realizar cualquier operación, comprobar a través de sus listas negras que las personas a contactar no han manifestado su oposición a recibir llamadas publicitarias relacionadas con sus productos.
El PEC como canal idóneo para el ejercicio de los derechos del interesado
Otro elemento destacable se refiere a los canales puestos a disposición de los usuarios para el ejercicio de sus derechos.
La Autoridad, de hecho, ha prescrito a Sky incluir entre los canales para recibir las declaraciones de oposición al tratamiento, también la dirección PEC indicada en el registro de empresas, una dirección que hasta ahora no había sido considerada un punto de contacto válido para la privacidad. .
Empresas de subcontratación y calificación del procesador de datos
Por último, la orden de amparo aclara otro aspecto importante, a saber, la calificación de las empresas de terceros que forman las listas de nombres utilizados con fines de marketing, reiterando, una vez más, como ya se hizo en el pasado, que las agencias de subcontratación no pueden ser calificadas como controladores de datos independientes.
La disposición en cuestión, en particular, enfatiza expresamente que “la supuesta propiedad formal no corresponde, ni siquiera en términos concretos, a las facultades estrictamente previstas por el Código para la configuración y ejercicio de la propiedad, que son y siguen siendo prerrogativa exclusiva de los directores. Entre estos, en primer lugar: - tomar decisiones relativas a las finalidades del tratamiento de los datos de los destinatarios de las campañas promocionales con el fin de enviar publicidad o material de venta directa o investigación comercial o comunicación comercial realizada por terceros que actúen en subcontratación para el desempeño de las actividades de promoción y marketing antes mencionadas de bienes, productos y servicios; - emitir instrucciones y directivas vinculantes hacia los subcontratistas, que se correspondan sustancialmente con las instrucciones que el responsable del tratamiento debe dar al responsable; - llevar a cabo funciones de control con respecto al trabajo de los propios subcontratistas ".
De ello se deduce, por tanto, como consecuencia natural que estos sujetos también deben recibir una designación expresa y formal como responsables del tratamiento, de acuerdo con lo dispuesto en el art. 29 Normativa.