A Garante per la protezione dei dati personali - Autoridade italiana para a Proteção de Dados Pessoais - (“Garante”) impôs à Vodafone Itália o pagamento de uma coima de 800 mil euros por ter realizado campanhas de marketing que violavam a legislação anterior ao Regulamento Geral de Proteção de Dados (“RGPD”).
A Garante proibiu a operadora telefónica de enviar mensagens de texto e fazer chamadas para fins de marketing àqueles titulares de dados pessoais que não expressaram um consentimento livre e expresso ou que pediram à operadora para não serem mais contactados com ofertas comerciais.
Recordamos que, à luz das normas ainda vigentes no que respeita ao tratamento de dados pessoais e à proteção da privacidade no sector das comunicações electrónicas (Directiva n.º 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, a chamada Directiva “e-Privacy”, transposta em Portugal pela Lei n.º 41/2004, de 18 de agosto) as ações de marketing apenas podem ser efectuadas quando o titular dos dados tenha dado o seu consentimento expresso e prévio ou se a entidade que efectua estas ações tenha obtido os dados de contacto no contexto de uma venda ou prestação de serviços, i.e. num contexto de clientela, e tenha informado o cliente da possibilidade de se opor a ações de marketing no momento da recolha dos dados, dando-lhe ainda a possibilidade de se opor (caso não o tenha feito inicialmente) por ocasião de cada comunicação que efectue.
Estando a Directiva “e-Privacy” em processo de revisão, e no intuído de se coordenar com as disposições do RGPD, prevê-se a adopção de um novo Regulamento “e-Privacy”, sendo que o texto proposto e em fase de discussão se prevê que o consentimento exigidos para as ações de marketing tenha as mesma exigências previstas no RGPD, isto é, que deve ser expresso, informado, livre, óbvio e granular, facilmente identificável, resultar de uma ação positiva e explícita, documentado, renovado com a periodicidade possível e, ainda, concedido de forma desagregada de demais termos e condições.
Importa, ainda, salientar que o titular dos dados pessoais tem de ser informado de que tem o direito de retirar o seu consentimento a qualquer momento e este deve ser tão fácil de retirar como de conceder.
Retomando o caso em apreço, a Garante, após várias investigações, deparou-se com o facto de milhões de pessoais terem sido contactadas por telefone ou por mensagens de texto sem o seu consentimento, além de que, as campanhas promocionais foram dirigidas a clientes atuais e potenciais.
Apesar de a Vodafone ter tomado uma série de medidas destinadas a alcançar a conformidade, a Garante considerou que tais violações eram mais graves do que as ocorridas anteriormente em situações da mesma espécie, tendo em conta o tipo de operadora que é e o número extremamente elevado de contactos realizados, em menos de dois anos, que elevaram o nível de invasão das campanhas promocionais.
Quanto à primeira violação, a Vodafone acabou por pagar o valor da coima mínima resolvendo assim a questão. Quanto à segunda violação, a Autoridade quadruplicou o valor da coima prevista para casos de violação de dados pessoais armazenados em banco de dados devido às condições económicas do infrator.
Em virtude de tal circunstância a coima aumentou de €200.000 para €800.000.