Vodafone’s Maxi Sanction for Aggressive Telemarketing

  • Posted By Pierangela Rodilosso
  • |
  • 30 November 2020
  • |
  • 0 comments
Vodafone’s Maxi Sanction for Aggressive Telemarketing

Sharing is caring!

On 12 November 2020, the Italian Data Protection Supervisor issued order no. 224 under Article 58, paragraph 2, of Regulation (EU) 2016/679 (after this “the Regulation” or “GDPR”) against Vodafone S.p.A. (after this “Vodafone” or “the Company”). The Authority fined the Company for aggressive telemarketing activities for 12 million 250 thousand euros.

The Guarantor had to start a complex investigation following an excessive number of complaints received from the parties concerned against Vodafone, which reported persistent and undesirable telephone contacts promoting services by the Company and its sales network.

On 7 February 2020, the Guarantor sent the Company a request for information and production of documents under Article 157 of Legislative Decree no. 196 of 30 June 2003 (after this the “Privacy Code”) concerning the methods used to carry out telemarketing activities, thereby initiating a complex investigation.

As a result of the proceedings, the Authority ascertained a series of violations by Vodafone concerning the provisions of the Regulation and the Privacy Code:

  • the Company has not implemented effective control systems in the personal data collection network to ensure the protection of the Company’s entire customer base;
  • in the transfer of personal data following the purchase of personal lists, the Company did not comply with the conditions for the acquisition of free, specific and informed consent for the communication of personal data between independent data controllers, involving 4,500,000 data subjects in 2019;
  • Vodafone has attempted to attribute system failures to generic, undocumented human errors concerning several complaints that have complained of unwanted contacts by telephone and text message, even after the exercise of the right to object;
  • the Company has failed to implement measures of proportionate effectiveness to ensure, and be able to demonstrate, that the processing was carried out under the Regulations, to ensure the confidentiality and integrity of the processing systems and services permanently;
  • Vodafone has failed to notify the Guarantor of the violation of personal data and has not fully implemented the requests to exercise the rights of data subjects.

One of the determining factors in the issue of this measure against Vodafone was the fact that the Company had been aware for years of the alarming context in which the phenomenon of unsolicited calls and illegal contacts for promotional purposes took place, as it was already the recipient of various prescriptive and injunctive measures, as well as numerous administrative sanctions. In fact, from December 2018 to June 2020, the Office of the Guarantor opened 438 files against Vodafone concerning telemarketing activities and the sending of promotional messages by or on behalf of the Company.

Also, reports and complaints received by the Authority and initial feedback from Vodafone showed that the promotional telephone contacts were made using numbers not belonging to Vodafone’s sales network and not registered with the ROC (Register of Communication Operators). Such telephone calls were outside the Company’s sphere of control and regulation.

According to the Guarantor, the continuation of this situation could have created awareness, on the part of those who had made the promotional contacts, of the impunity of their conduct and would have fuelled the consolidation of illegal practices that were invasive and harmful to users.

In a very short time, therefore, Vodafone will have to introduce systems to prove that processing for telemarketing purposes is carried out in compliance with the provisions on consent, demonstrate that contracts are only activated following promotional calls made by its sales network, through numbers recorded and registered with the ROC, strengthen security measures to prevent abusive access to customer databases and provide a full response to requests for the exercise of rights made by complainants.

Finally, the Guarantor has prohibited Vodafone from any further processing of data for promotional or commercial purposes carried out through the acquisition of personal lists from third parties, without the latter having acquired specific, free and informed consent from users for the communication of their data.

****

LA MAXI SANZIONE DEL GARANTE A VODAFONE PER TELEMARKETING AGGRESSIVO 

Il 12 novembre 2020 il Garante italiano per la protezione dei dati personali ha emesso il provvedimento n. 224 ai sensi dell’art. 58, co. 2, del Regolamento (UE) 2016/679 (di seguito “il Regolamento” o “GDPR”) nei confronti di Vodafone S.p.A. (di seguito “Vodafone” o “la Società”). L’Autorità ha sanzionato la Società per l’attività di telemarketing aggressivo per 12 milioni 250 mila euro.

Il Garante ha dovuto avviare una complessa istruttoria a seguito di una quantità eccessiva di lamentele ricevute dagli interessati nei confronti di Vodafone, che segnalavano persistenti e indesiderati contatti telefonici di promozione dei servizi da parte della Società e della sua rete di vendita.

Il 7 febbraio 2020 il Garante ha inviato alla Società una richiesta di informazioni ed esibizione di documenti ai sensi dell’art. 157 del D.Lgs. 30 giugno 2003, n. 196 (di seguito “Codice Privacy”) relativamente alle modalità di svolgimento delle attività di telemarketing, avviando in tal modo una complessa istruttoria.

All’esito del procedimento, l’Autorità ha accertato una serie di violazioni da parte di Vodafone con riferimento alle norme del Regolamento e del Codice Privacy, e in particolare:

  • la Società non ha implementato sistemi di controllo nella rete di raccolta dei dati personali efficaci per garantire la protezione dell’intera base clienti della società;
  • nel trasferimento dei dati personali in seguito all’acquisto delle liste anagrafiche, la Società non ha rispettato le condizioni per l’acquisizione del consenso libero, specifico e informato per la comunicazione dei dati personali fra autonomi titolari del trattamento, coinvolgendo 4.500.000 interessati nell’anno 2019;
  • Vodafone ha cercato di attribuire i disguidi di sistema a generici errori umani non documentati con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, anche successivamente all’esercizio del diritto di opposizione;
  • la Società ha omesso di attuare misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è stato effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento;
  • Vodafone ha omesso di notificare al Garante la violazione di dati personali e non ha dato piena attuazione alle richieste di esercizio dei diritti degli interessati.

Tra i fattori determinanti nell’emissione di tale provvedimento nei confronti di Vodafone, la circostanza che la Società era a conoscenza da anni dell’allarmante contesto in cui si inquadrava il fenomeno delle chiamate indesiderate e dei contatti illeciti con finalità promozionali, in quanto già destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative. E difatti, dal dicembre 2018 al giugno 2020 l’Ufficio del Garante ha aperto 438 fascicoli nei confronti di Vodafone riguardanti le attività di telemarketing e di invio di messaggi promozionali da parte o per conto della Società.

Inoltre, dalle segnalazioni e dai reclami pervenuti all’Autorità e dai relativi primi riscontri di Vodafone è emerso che per effettuare i contatti telefonici promozionali si utilizzavano numerazioni non facenti capo alla rete di vendita di Vodafone e non iscritte al ROC (Registro degli Operatori di Comunicazione). Tali telefonate erano fuori dalla sfera di controllo e regolamentazione della Società.

Secondo il Garante, il prolungarsi di tale situazione avrebbe potuto creare la consapevolezza, da parte di coloro che avevano effettuato i contatti promozionali, dell’impunità della propria condotta e avrebbe alimentato il consolidarsi di pratiche illegali invasive e dannose per gli utenti.

In brevissimo tempo, quindi, Vodafone dovrà introdurre dei sistemi che consentano di comprovare che i trattamenti a fini di telemarketing si svolgano nel rispetto delle disposizioni in materia di consenso, dimostrare che i contratti siano attivati solo a seguito di chiamate promozionali effettuate dalla propria rete di vendita, attraverso numerazioni censite e iscritte al ROC, irrobustire le misure di sicurezza al fine di impedire accessi abusivi ai database dei clienti e fornire pieno riscontro alle richieste di esercizio dei diritti formulate dai reclamanti.

Il Garante, infine, ha vietato a Vodafone ogni ulteriore trattamento di dati con finalità promozionali o commerciali svolto mediante l’acquisizione di liste anagrafiche da soggetti terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli utenti per la comunicazione dei propri dati.

Leave a Comment

shares