With an injunction order dated 7 April 2022, the Italian Data Protection Authority sanctioned a commercial company for €20,000.00, as it had used a customer’s data without consent and had also failed to comply with a request to exercise the data subject’s rights to obtain information on the processing of his data.
The latter, in particular, had received a call from the company, even though during a previous call, he had asked not to be disturbed anymore and had never consented to the publication of his data in public lists or directories, nor to the use of his contacts for commercial or marketing purposes. Therefore, the data subject had sent the company a request. He asked for the contact details of the telemarketing company that would provide his data, objected to processing those data, and requested their deletion. The company, however, did not respond to that request or to the reminder sent by the data subject. The request for information made by the Authority also remained unanswered.
In this regard, it should be noted that pursuant to Article 12 of Regulation (EU) 2016/679 (GDPR), the data controller must respond to the data subject’s request to exercise rights under Articles 15-22 of the GDPR without undue delay and, in any event, no later than one month from receipt of the request. This deadline may be extended by two months, if necessary, considering the complexity and number of requests.
The Authority, therefore, found violations of the current legislation on the protection of personal data and, in particular, of Articles 157 and 166, paragraph 2, of Legislative Decree No. 196/2003 (Privacy Code), for having failed to respond to a request for information from the Authority; of Articles. 15, 17, and 21 of the GDPR, for having failed to respond to the data subject’s requests for access, cancellation, and objection to the processing of their personal data for direct marketing purposes; and Articles 130(3) and 166(2) of the Privacy Code, for having made promotional calls to the data subject without having previously obtained their consent.
As pointed out by the Authority, the data controller, by failing to reply to the data subject’s requests, made it impossible for the latter to exercise his rights, essentially depriving him of control over his data.
The Authority, therefore, taking into account the omissive conduct engaged in by the data controller, the duration of such conduct, the turnover recorded by the company in the financial year 2019, and the general socio-economic context, and applies the principles of effectiveness, proportionality and dissuasiveness set out in Art. 83(1) of the GDPR and the necessary balancing of those principles with the freedom to conduct business, it imposed the administrative sanction of €20,000.00, in addition to the ancillary sanction of the publication of the measure on the Authority’s website and the annotation of the measure in its internal register.
In addition, the Authority issued a warning to the company not to carry out the processing of the same type as that which was the subject of the complaint without obtaining the necessary consent from the data subjects, ordered it to meet and respond to the complainant’s requests concerning the exercise of the rights under Articles 15, 17 and 21 of the GDPR, and imposed a ban on any further processing of the data subject’s data.
****
TELEMARKETING E PRIVACY: SANZIONATA UNA SOCIETA’ PER MANCATO RISCONTRO AD UN CLIENTE
Con ordinanza ingiunzione del 7 aprile 2022, il Garante per la protezione dei dati personali ha sanzionato una società commerciale per € 20.000,00, in quanto la stessa aveva utilizzato senza consenso i dati di un cliente e non aveva, inoltre, ottemperato alla richiesta di esercizio dei diritti dell’interessato volta ad ottenere informazioni sui trattamenti dei propri dati.
Quest’ultimo, in particolare, aveva ricevuto una chiamata dalla società, nonostante nel corso di una precedente chiamata avesse richiesto di non essere più disturbato e non avesse mai acconsentito alla pubblicazione dei propri dati in liste o elenchi pubblici, né all’utilizzo dei propri contatti per fini commerciali o di marketing. Pertanto, l’interessato aveva inviato alla società una richiesta con la quale chiedeva i riferimenti dell’azienda di telemarketing che avrebbe fornito i dati personali, si opponeva al trattamento di tali dati e ne chiedeva la cancellazione.
La società, tuttavia, non forniva alcun riscontro a detta richiesta, né al sollecito inviato dall’interessato. Priva di riscontro rimaneva anche la richiesta di informazioni formulata dall’Autorità Garante.
Al riguardo, si precisa che ai sensi dell’art. 12 del Regolamento (UE) 2016/679 (GDPR), il titolare del trattamento deve riscontrare la richiesta dell’interessato di esercizio dei diritti ai sensi degli artt. 15-22 del GDPR senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Termine questo che può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.
Il Garante, dunque, ha riscontrato le violazioni della vigente normativa sulla protezione dei dati personali e, in particolare, degli artt. 157 e 166, comma 2, del D.Lgs. 196/2003 (Codice Privacy), per avere la società omesso di riscontrare una richiesta di informazioni dell’Autorità; degli artt. 15, 17 e 21 del GDPR, per avere omesso di fornire riscontro alle richieste dell’interessato di accesso, cancellazione e opposizione al trattamento dei propri dati personali per finalità di marketing diretto; degli artt. 130, comma 3, e 166, comma 2, del Codice Privacy, per avere effettuato chiamate promozionali all’interessato senza averne previamente acquisito il consenso.
Come evidenziato dall’Autorità, la società titolare del trattamento, omettendo di dare riscontro alle richieste dell’interessato, ha reso a quest’ultimo impossibile l’esercizio dei propri diritti, sottraendogli in buona sostanza il controllo dei propri dati personali.
Il Garante, quindi, tenuto conto delle condotte omissive poste in essere dal titolare del trattamento, della durata delle stesse, del fatturato registrato dalla società nell’esercizio 2019 e del contesto socio-economico generale ed applicando i principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del GDPR e del necessario bilanciamento di tali principi con la libertà di impresa, ha irrogato la sanzione amministrativa di € 20.000,00, oltre alla sanzione accessoria della pubblicazione del provvedimento sul sito dell’Autorità ed all’annotazione del provvedimento nel proprio registro interno.
Il Garante, inoltre, ha rivolto un avvertimento alla società affinchè non effettui trattamenti della stessa tipologia rispetto a quelli oggetto del reclamo senza acquisire il necessario consenso dagli interessati, ha ingiunto alla stessa di soddisfare e dare riscontro alle richieste del reclamante relativamente all’esercizio dei diritti di cui agli artt. 15, 17 e 21 del GDPR e le ha imposto il divieto di ogni ulteriore trattamento dei dati dell’interessato.
_____________________________________________________________
For more information on this please contact:
Avv.Pierangela Rodilosso
Head of Privacy Team & Senior Associate
E.: rodilosso@pglegal.it