Il Garante per la protezione dei dati personali (Gpdp) ha sanzionato Comparafacile per 40.000 e intimato alla società di cancellare tutti i dati personali acquisiti illecitamente. Il provvedimento, emesso lo scorso 18 luglio e reso noto lo scorso 11 settembre, trae origine dal reclamo di un cittadino che, nonostante fosse iscritto al Registro pubblico delle opposizioni (Rpo), continuava a ricevere chiamate promozionali anche dopo la richiesta di cancellazione dei dati.
Il Garante della privacy ha accertato che Comparafacile, comparatore di prezzi online specializzato che mette a confronto tariffe luce, gas, internet, telefonia mobile, “dopo aver acquistato le anagrafiche da un’azienda estera, contattava le persone per chiedere se fossero interessate a ricevere offerte commerciali e, in caso affermativo, inviava loro un sms con un link a una landing page in cui avrebbero potuto fornire il consenso”. Il primo contatto telefonico avveniva quindi “senza aver verificato il consenso degli interessati (eventualmente acquisito dalla società fornitrice dei dati) e senza aver fornito loro alcuna informativa, la cui visione era subordinata all’accesso alla landing page, quindi alla manifestazione di interesse verso i servizi”.
Nel provvedimento del 18 luglio 2023 nei confronti di Comparafacile, il Garante ha spiegato che l’uso di un meccanismo che costringa l’utente a dichiararsi interessato ai servizi di un’azienda per acquisire l’informativa non è legittimo e che, di conseguenza, il consenso non informato non può essere considerato un valido presupposto per l’attività di marketing.
L’Autorità non ha peraltro accolto le giustificazioni della società che affermava di agire in qualità di responsabile del trattamento e non di titolare. “Ma proprio le attività svolte da Comparafacile, dalla selezione del fornitore da cui acquistare le liste alla definizione della finalità (promuovere i propri servizi), fino alla scelta del canale di contatto, la rendono invece titolare del trattamento. Ed è al titolare che sono riconducibili sia gli adempimenti previsti dalla normativa che la responsabilità per le presunte violazioni”, conclude il Garante.
Il Gpdp ha inoltre comminato una sanzione di 100.000 euro a Tiscali, con il provvedimento del 18 luglio scorso che rientra nell’ambito delle attività ispettive. Dall’istruttoria è emerso che “la società forniva una informativa lacunosa, senza indicare alcun termine temporale per la conservazione dei dati, in particolare per le finalità di marketing e profilazione”. Sebbene Tiscali, spiega il Garante, abbia sostenuto di aver operato nel rispetto di quanto previsto dall’informativa, l’Autorità ha evidenziato come sia sanzionabile anche un non idoneo adempimento dell’obbligo di informativa, a prescindere dall’aver cagionato o meno un pregiudizio all’interessato. Peraltro, la società aveva effettuato attività di cosiddetto soft spam, inviando – nel giro di quattro mesi – sms a oltre 160.000 clienti che non avevano manifestato il proprio consenso a ricevere comunicazioni promozionali.
“La società ha interpretato in modo illegittimamente estensivo la normativa che prevede l’invio di comunicazioni pubblicitarie senza il consenso dell’interessato solo via posta elettronica ed esclusivamente a determinate condizioni: quali, ad esempio, l’aver ad oggetto prodotti e/o servizi forniti dal titolare e non da terzi, e che tali utilità siano analoghe a quelli già acquistate dall’interessato”, conclude il Garante per la protezione dei dati personali.
