TELEMARKETING SELVAGGIO: la multa confermata dalla Corte di Cassazione e le sanzioni del nuovo regolamento UE

Corte Cass.,  17/08/2016, nr. 17143

La Corte di Cassazione conferma la multa di 300 mila euro per telemarketing illecito, la sanzione applicata sarebbe stata uguale a norma del Regolamento UE privacy (2016/679)?

Innanzitutto, si precisa che la sentenza  ha inizio con la decisione del Garante della Privacy, già confermata dal Tribunale di Milano, che il titolare, la nota società Fastweb, impugna avanti la Cassazione. Nell’istruttoria si accertava che Fastweb e i suoi call center utilizzavano numeri di telefono che derivavano da elenchi telefonici formati prima dell’agosto 2005, “senza che la società cessionaria dei dati (Fastweb SpA) avesse fornito la prova di aver inoltrato la prescritta informativa per l’acquisizione del consenso degli interessati all’utilizzazione dei dati di loro pertinenza”. Il Garante, quindi,  quantificò la sanzione in una somma di 300 mila euro, oggi confermata dalla Corte di Cassazione.

Lo stesso illecito potrebbe essere sanzionato anche sulla base del Regolamento Europeo, e il quantum della sanzione potrebbe essere diverso.

Il nuovo Regolamento, infatti, prevede un sistema di sanzioni amministrative pecuniarie che devono essere in concreto effettive, proporzionate e dissuasive (art. 83 Regolamento UE) . Nei singoli casi il Garante potrà decidere se applicare sanzioni amministrative pecuniarie in aggiunta a misure di carattere prescrittivo o interdittivo o al posto di tali misure. Ad esempio nel caso di una violazione di minore entità o se la sanzione amministrativa pecuniaria dovesse costituire un onere sproporzionato per il titolare “trasgressore”, lo stesso Garante potrebbe applicare un ammonimento (rif. Art. 58 Regolamento UE).

I criteri per valutare se per il singolo caso la sanzione da applicare è effettiva, proporzionata e dissuasiva, sono stabiliti dal regolamento e sono:

• la natura, la gravità e la durata della violazione, anche in considerazione del numero degli interessati e dei danni da questi subiti;

• il carattere intenzionale o colposo dell'infrazione;

• le azioni intraprese dal Titolare o dal Responsabile per mitigare i danni subiti dagli interessati;

• il grado di responsabilità del Titolare o del Responsabile, anche sotto il profilo tecnico, e le misure organizzative attuate per prevenire le violazioni;

• eventuali rilevanti violazioni precedenti da parte del Titolare o del Responsabile;

• il livello di cooperazione con l'autorità di vigilanza, al fine di porre rimedio alla violazione e mitigarne i possibili effetti negativi;

• le categorie di dati personali oggetto della violazione;

• l’adesione a codici di condotta o a meccanismi di certificazione riconosciuti;

• ogni altro fattore aggravante o attenuante applicabile alle circostanze del caso;

• i benefici finanziari ottenuti, o le perdite evitate, direttamente o indirettamente, per effetto della violazione commessa.

Se il Titolare o il Responsabile hanno commesso, intenzionalmente o per negligenza, più violazioni alle disposizioni del Regolamento connesse a una stessa operazione di trattamento di dati personali, l'importo totale della sanzione non dovrà superare l'importo indicato per la violazione più grave.

Un’altra novità molto interessante riguarda il quantum delle sanzioni.

Sono soggette a sanzioni amministrative fino a 10 milioni di euro, o in caso di un'impresa, fino al 2% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, le violazioni delle disposizioni relative agli obblighi del Titolare o del Responsabile “minori” (es. art.  8, consenso dei minori ,25 privacy by design e privacy by default, etc).

Sanzioni amministrative fino a 20 milioni di euro, o in caso di un'impresa, fino al 4% del fatturato totale annuo mondiale dell’esercizio precedente, se superiore, sono invece previste per le violazioni in materia di principi base del trattamento, condizioni per il consenso, diritti degli interessati, trasferimento di dati personali all’estero, mancata ottemperanza a un ordine o a una limitazione temporanea o definitiva del trattamento disposti dall'autorità di vigilanza.

A parere di chi scrive, quindi, la sanzione a fastweb con il nuovo Regolamento UE sarebbe stata nettamente più severa.