(av Federica De Stefani, advokat och ansvarig för Aidr Regione Lombardia) Garanten för skydd av personuppgifter ingriper igen i den känsliga frågan om vild telemarketing och ålägger Sky böter på över 3 miljoner euro.
Bestämmelsen kommer efter att en lång och komplicerad utredning påbörjats efter dussintals rapporter och klagomål från personer som klagade över att ha tagit emot oönskade telefonsamtal, gjorda för att marknadsföra de tjänster som Sky erbjuder, både direkt och genom andra företags callcenter.
I sina undersökningar fann myndigheten många kritiska frågor, inklusive att ringa reklamsamtal utan information och utan samtycke, med hjälp av overifierade listor som förvärvats från andra företag.
Analysen av föreläggandet som utfärdats av Garanten ger viktig tankeställare och belyser några steg i telemarketingaktiviteterna som är lämpliga att utgöra "riktlinjer" för korrekt utförande av densamma.
Vi återgår till den känsliga balansen mellan affärer, databehandling och dataskydd.
Skyddet av personuppgifter får inte, som uttryckligen anges i art. 1 i den europeiska förordningen, utgöra ett hinder för ekonomisk verksamhet.
Det handlar om att förena två olika behov (affärs- och dataskydd) som bara till synes är oförenliga, ofta betraktade som sådana på grund av bristande djupgående kunskap om lagstiftningen.
Förfarandet för telemarketing
Telemarketing är en teknik som används av företag för att marknadsföra sina produkter. I det specifika fallet, analyserat av myndighetens föreläggande, förvärvade Sky listor över användare från tredjepartsföretag att kontakta för uttryckliga marknadsföringsändamål.
Förfarandet för att utföra denna aktivitet, enligt bestämmelserna i den europeiska förordningen om skydd av personuppgifter, inkluderar följande steg:
- Förvärv av tredje parts företag i outsourcing av användarens samtycke att kommunicera sina uppgifter till tredje part.
- Förvärv av namnen av Sky.
- Användning av de listor som erhållits genom att kontakta kunden och förse honom med sin egen information.
- Förvärv, återigen av Sky, av användarens samtycke att formulera kommersiella förslag och först efter sådant förvärv, möjlighet, av operatören, att formulera det kommersiella förslaget.
Enligt den undersökning som utfördes av garantigivaren saknade det förfarande som följde för marknadsföringsverksamheten av Sky några väsentliga element, vilket begränsade sig till användningen av namn som förvärvats från tredjepartsföretag som redan är "godkända".
Den grundläggande punkten är just detta: det samtycke som användaren lämnade till det tredje företaget representerade en giltig rättslig grund endast för meddelandet av namnen till Sky och inte också den senare användningen av detsamma för marknadsföringsändamål.
Det bör också tilläggas att Sky, innan någon åtgärd genomförs, bör kontrollera genom sina svarta listor att de personer som ska kontaktas inte hade uttryckt sitt motstånd mot att ta emot reklamsamtal relaterade till dess produkter.
PEC som en lämplig kanal för att utöva den berörda partens rättigheter
Ett annat anmärkningsvärt inslag rör de kanaler som görs tillgängliga för användarna för att utöva sina rättigheter.
Myndigheten har i själva verket föreskrivit Sky att bland kanalerna för att ta emot deklarationerna om invändningar mot behandlingen även inkludera den PEC-adress som anges i företagsregistret, en adress som hittills inte ansetts vara en giltig kontaktpunkt för integritetsskydd. ...
Outsourcing av företag och kvalificering av databehandlare
Slutligen klargör föreläggandet ytterligare en viktig aspekt, nämligen kvalificeringen av de tredjepartsföretag som bildar listorna över namn som används i marknadsföringssyfte, och återigen upprepas, som redan gjorts tidigare, att outsourcingbyråer inte kan kvalificeras som oberoende personuppgiftsansvariga.
Särskilt den aktuella bestämmelsen understryker uttryckligen att "det påstådda formella ägandet inte ens i konkreta termer motsvarar de befogenheter som strikt föreskrivs i koden för konfiguration och utövande av ägande, vilka är och förblir exklusiva rättigheter för rektorerna. Bland dessa, först och främst: - fatta beslut som rör ändamålen med att behandla uppgifter från mottagare av reklamkampanjer i syfte att skicka reklam- eller direktförsäljningsmaterial eller kommersiell forskning eller kommersiell kommunikation utförd av tredje part som agerar i outsourcing av prestanda av ovannämnda marknadsförings- och marknadsföringsaktiviteter av varor, produkter och tjänster, - att utfärda bindande instruktioner och direktiv gentemot uppdragsgivare, i huvudsak motsvarande de instruktioner som den personuppgiftsansvarige ska ge till chefen, - att utföra kontrollfunktioner med avseende på arbetet av utläggarna själva".
Det följer därför som en naturlig följd att även dessa ämnen måste få en uttrycklig och formell beteckning som personuppgiftsansvariga, enligt bestämmelserna i art. 29 Föreskrifter.