Il Garante per la protezione dei dati personali (Gpdp) ha irrogato una sanzione di 60.000 euro a un call center operante nel settore dei contratti di energia elettrica per trattamento illecito di dati personali. Lo ha comunicato il Garante, precisando che la società aveva già ricevuto una sanzione di 10.000 euro per non aver risposto alla richiesta di informazioni dell’Autorità, attivatasi dopo il reclamo di un utente che lamentava di aver ricevuto telefonate promozionali senza consenso. Dopo la sanzione per il mancato riscontro, l’Autorità ha avviato un accertamento ispettivo per verificare la liceità dei trattamenti effettuati dal call center.
Dai controlli è emerso che la società aveva acquisito le anagrafiche del reclamante da un list provider con sede in Moldavia, dal quale aveva acquistato 100.000 contatti utilizzati per effettuare oltre 32.600 telefonate. Le chiamate avevano portato alla sottoscrizione di circa 300 contratti.
A seguito dell’attività ispettiva, il Garante della privacy ha riscontrato numerose violazioni. L’Autorità ha rilevato, in particolare, che il call center non aveva controllato la regolarità delle liste acquisite dal proprio partner commerciale. Non aveva infatti verificato l’origine dei dati, se l’informativa agli utenti era stata resa e se i consensi dei destinatari della campagna promozionale erano stati acquisiti. Lo stesso call center, inoltre, nel corso delle telefonate non forniva informazioni sulla propria identità limitandosi a richiedere all’utente di poter essere ricontattato qualora interessato ai servizi offerti.
La società, infine, prima di avviare le campagne promozionali non aveva neppure effettuato le dovute verifiche nel Registro pubblico delle opposizioni, né aveva adottato misure idonee a consentire il riscontro alle istanze degli utenti.
Alla luce delle gravi violazioni riscontrate e del carattere colposo della condotta, il Garante con il provvedimento n. 561 del 30 novembre 2023, ha pertanto inflitto al call center una multa di 60.000 euro.
L’Autorità ha ingiunto anche alla società di cancellare tutti i dati acquisiti illecitamente e di attivare idonee misure tecniche, organizzative e di controllo affinché il trattamento dei dati personali degli utenti avvenga nel rispetto della normativa privacy lungo tutta la filiera.
