Schedature illegittime, dati catastali usati senza consenso e pressanti chiamate a migliaia di cittadini: partono le maxi sanzioni e arriva lo stop del Garante Privacy
Il Garante Privacy ha sanzionato una società di servizi e nove agenzie immobiliari per telemarketing aggressivo e illecito, che coinvolgeva contatti insistenti tramite telefonate e WhatsApp a migliaia di proprietari di immobili, senza il loro consenso. Le agenzie utilizzavano elenchi dettagliati con numeri di telefono e dati catastali, ottenuti anche tramite il portale Sister dell’Agenzia delle Entrate, creando una vera schedatura di massa dei residenti in aree di interesse commerciale.
Le sanzioni, fino a 40.000 euro per le agenzie e 100.000 euro per la società fornitrice dei dati, sono solo le prime: altre seguiranno al termine delle indagini. Nei casi più gravi, il Garante ha vietato l’uso ulteriore dei dati e ne ha imposto la cancellazione. Le agenzie dovranno ora assicurarsi di rispettare la normativa GDPR, verificando la presenza di un consenso valido e consultando il Registro delle opposizioni, oltre ad attuare misure efficaci per tutelare i diritti degli interessati.
IL FATTO
Nel periodo tra maggio 2022 e aprile 2024, numerosi interessati hanno segnalato la ricezione di comunicazioni promozionali da parte di agenzie immobiliari, le quali dichiaravano di aver ricevuto i dati personali (inclusi numeri di telefono mobile) da Realmaps S.r.l., società attiva nella fornitura di liste di contatto per finalità commerciali. L’Autorità ha pertanto avviato un’ispezione presso la sede della società nei giorni 9 e 10 aprile 2024 per verificare la liceità dei trattamenti effettuati.
LE IRREGOLARITA’ ACCERTATE
Il Garante ha riscontrato una lunga serie di violazioni, tra cui:
– Trattamento illecito dei dati personali: Realmaps ha acquisito da list provider milioni di dati personali senza verificarne l’effettiva liceità né la validità dei consensi prestati dagli interessati (violazioni degli artt. 6, 7, 13, 14 del GDPR).
– Assenza di informativa e di consenso informato: né Realmaps né i list provider hanno fornito idonea informativa o raccolto un consenso specifico e documentato per la comunicazione a terzi dei dati per finalità promozionali.
– Designazioni non formalizzate e accessi non tracciati: l’accesso al database avveniva anche da parte di ex collaboratori non formalmente designati, mediante credenziali condivise e prive di tracciabilità (violazioni artt. 28, 29 GDPR e art. 2-quaterdecies del Codice).
– Mancata gestione dei diritti degli interessati: Realmaps non ha riscontrato in modo adeguato le istanze di opposizione e cancellazione dei dati da parte degli interessati (violazione artt. 12 e 21 GDPR).
– Mancata limitazione dei tempi di conservazione: i dati erano conservati sine die, senza riferimenti temporali o criteri certi di conservazione (violazione art. 5, par. 1, lett. e GDPR).
– Sito web in violazione: il form di contatto obbligava a un consenso unico e generico, e l’informativa privacy risultava inaccessibile per mesi (violazione artt. 5, 6, 7, 12 GDPR).
LA SANZIONE
Il Garante ha comminato a Realmaps S.r.l.:
– Una sanzione amministrativa pecuniaria pari a € 100.000,00 (centomila euro), determinata tenendo conto della gravità delle violazioni, della durata delle stesse, dell’alto numero di interessati coinvolti (oltre 2 milioni di anagrafiche) e della capacità economica della società.
– L’ordine di cessazione dei trattamenti illeciti, con divieto di utilizzo di liste per finalità promozionali in assenza di consenso libero, specifico e informato.
– L’obbligo di adottare misure organizzative e tecniche, tra cui: designazione formale di incaricati e responsabili, predisposizione del registro dei trattamenti, facilitazione nell’esercizio dei diritti, adozione di procedure per il controllo dei consensi.
– L’obbligo di aggiornare l’informativa del sito web con recapiti corretti e distinguere i consensi per finalità differenti.
– Pubblicazione integrale del provvedimento sul sito del Garante, quale sanzione accessoria.
COSA CI CONSEGNA QUESTA VICENDA
Questa vicenda rappresenta un caso emblematico di violazioni sistemiche nel trattamento dei dati personali in ambito marketing. Le principali lezioni da trarre sono:
La responsabilità non si trasferisce: ogni soggetto che tratta dati personali (anche se ricevuti da terzi) è tenuto a verificarne la liceità, inclusi consenso e informativa. Non basta “fidarsi” delle clausole contrattuali con i fornitori.
Serve una governance reale dei dati: l’uso di credenziali condivise, la mancata formalizzazione degli incarichi e l’assenza di controlli costituiscono violazioni sostanziali della sicurezza e della tracciabilità, in contrasto con i principi di accountability e privacy by design.
Il marketing aggressivo è sotto osservazione: la comunicazione a terzi per finalità promozionali richiede consensi specifici e documentati, non generici o cumulativi. L’epoca del “consenso a cascata” è definitivamente superata.
Il sito web non è solo una vetrina: ogni punto di raccolta dati, incluso un form di contatto, deve essere conforme ai principi del GDPR. L’assenza dell’informativa o l’uso di consensi precompilati è sanzionabile.
In definitiva, il caso Realmaps rafforza il principio secondo cui il rispetto della normativa privacy non è un onere burocratico, ma una condizione essenziale per la legittimità e la sostenibilità delle attività di marketing e di business.
(Fonte: www.garanteprivacy.it)
