Ordinanza di ingiunzione da GPDP nei confronti di Sky Italia S.R.L. - 09/2021

Per il team di 𝗔𝗿𝗲𝗮 𝗟𝗲𝗴𝗮𝗹𝗲 giovedì significa 𝗖𝗼𝗳𝗳𝗲𝗲 𝗣𝗿𝗶𝘃𝗮𝗰𝘆.

La pausa pranzo di oggi è stata dedicata all’ordinanza di ingiunzione comminata dall’Autorità Garante per la Protezione dei Dati Personali nei confronti di Sky Italia S.R.L., del 16 settembre 2021, pubblicata il 19 ottobre 2021 e consultabile QUI.

Il provvedimento ha portato ad una sanzione di oltre 3 milioni e duecento mila euro, oltre al divieto di effettuare ulteriori trattamenti di dati a fini promozionali realizzato con liste acquisite da società terze.

Vi proponiamo di seguito un breve riassunto dei fatti, curato dall’avvocato Sergio Aracu.

I TEMPI

• l’Autorità Garante avvia la sua attività istruttoria nel primo semestre del 2020, prosegue poi con circa cinque mesi di indagini e richiesta di informazioni;
• ad aprile 2021 il Garante avvia il procedimento ufficiale;
• a settembre 2021 arriva l’ordinanza di ingiunzione a Sky Italia S.R.L.;
• a ottobre 2021 la pubblicazione dell’ordinanza di ingiunzione con comunicato stampa.

I NUMERI CHE HANNO DATO SPUNTO ALL’AZIONE DEL GARANTE

Sono 37 i fascicoli aperti dal Garante, che ha altresì preso in considerazione un numero imprecisato di reclami diretti da parte di interessati (reclamo ex Art. 77 del GDPR)

LE VIOLAZIONI

L’Autorità Garante contesta a Sky Italia violazioni rispetto a moltissime norme del GDPR, tra le quali le più significative sono:

• violazione dell’Art. 5, par. 1 e 2 (principi applicabili al trattamento di dati personali, quindi in particolare liceità, correttezza, trasparenza, e capacità di comprovare il rispetto di tali principi – accountability );
• aver trattato i dati in assenza della corretta base di legittimazione (Art. 6 par.1 e Art. 7 con chiaro riferimento al Consenso);
• non aver comunicato al Garante le procedure susseguenti all’acquisizione delle liste di contattabilità da soggetti terzi né se fossero stati effettuati controlli a campione sui consensi rilasciati dagli interessati né, in fine, se le liste fossero state oggetto di deduplica rispetto al Registro delle Opposizioni ed alle proprie black-list;
• non aver fornito idonea informativa, sin dal primo contatto utile, rispetto ai trattamenti successivi alla ricezione delle liste raccolte da Terzi e trasmesse a Sky (per i quali Sky era Titolare) (Art. 14);
• non aver registrato correttamente le opposizioni dei contattati, in particolare quelle spedite dagli interessati sulla PEC ufficiale di Sky Italia (Art. 21) e non aver quindi adottato un sistema utile ad agevolare l’esercizio dei diritti dell’interessato (Art. 12 par 2), tra cui proprio il diritto all’opposizione (continuando pertanto a contattare tali soggetti);
• non aver formalizzato e gestito correttamente i rapporti con i fornitori (Art. 28).

LA CURIOSITA'

Interessante, oltre alla linea difensiva di Sky, anche il passaggio con cui il Garante ha stigmatizzato come “aggravante”, il carattere significativamente negligente delle condotte contestate:

“le costanti interlocuzioni di Sky con l’Autorità e la presenza della Società nel mercato da molti anni avrebbero dovuto consentire alla sanzionata di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo”.