Entre janeiro de 2022 e março de 2023, o O Garante de Proteção de Dados Italiano (Garante Per la Protezione dei Dati Personali) várias reclamações contra a empresa de eletricidade Facile.Energy SRL. Os reclamantes afirmaram ter recebido chamadas de telemarketing indesejadas sem consentimento prévio e, em alguns casos, apesar de estarem inscritos no Registro Público de Oposições (RPO) da Itália, que permite aos cidadãos optarem por não receber chamadas de telemarketing. Além disso, alguns reclamantes relataram que a empresa ativou contratos de fornecimento de energia a preços injustos sem solicitação.

O controlador argumentou que o processamento era legal, afirmando que as chamadas eram feitas por um "teleseller", responsável por encontrar números de telefone de potenciais clientes e contatá-los em nome do controlador. A empresa alegou que o contrato de teleselling obrigava o processador a obter o consentimento dos titulares dos dados antes de contatá-los e continha uma cláusula de indenização que eximia o controlador de responsabilidade pelo cumprimento das leis de proteção de dados pelo processador.

O Garante criticou a conduta do controlador, afirmando que as evidências mostravam um “quadro preocupante de não conformidade com o GDPR”. Rejeitou o argumento do controlador baseado no contrato de teleselling, afirmando que tal acordo não isenta o controlador de respeitar o GDPR nem o impede de ser responsabilizado em caso de violação.

A decisão foi fundamentada, principalmente, nos seguintes artigos do GDPR:

1. Artigo 24(1): O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir e demonstrar que o processamento é realizado em conformidade com o GDPR.
2. Artigo 28(1): O controlador deve escolher processadores que ofereçam garantias suficientes para cumprir o GDPR e supervisionar constantemente suas atividades de processamento. A supervisão baseada apenas em uma cláusula contratual foi considerada insuficiente.
3. Artigo 5(1)(f), 5(2), 24(1), 25(1), 28(1) e 32: A falta de supervisão resultou na ausência de base legal para o processamento dos dados pessoais.

Além disso, o garante destacou que mais de 5000 contratos foram concluídos através desse processamento ilegal, configurando uma violação do Artigo 6(1)(a) combinado com o Artigo 5(1)(a) GDPR.

Observou-se que o Artigo 130(3-bis) do Código de Proteção de Dados da Itália proíbe os controladores de contatarem números de telefone para fins de marketing, o que representa uma revogação do consentimento. Como 106 reclamantes inscritos no RPO foram contatados, a DPA concluiu que houve violação do Artigo 130(3) e 130(3-bis) do Código de Proteção de Dados da Itália, além do Artigo 5(1)(a) e 6(1)(a) GDPR. O RPO italiano é um registro de opt-out para aquelas pessoas que não desejam receber ligações de telemarketing.

Durante o cálculo da multa, a DPA criticou o comportamento do controlador durante o processo, considerando-o "desatento" às regras procedimentais, solicitando várias prorrogações de prazo sem fornecer argumentos significativos. A violação foi considerada particularmente grave conforme o Artigo 83(2)(a) GDPR. Com base nesses motivos, a DPA emitiu uma multa de €100.000.

Com informações GDPRHub

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4, com revisão humana.