Il Garante della Privacy multa per 80.000 euro l’Azienda Ospedaliera “Cardarelli” di Napoli

Reading Time: 2 minutes

“Per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri l’Azienda ospedaliera Cardarelli di Napoli si è vista applicare dal Garante per la privacy una multa di 80mila euro”. E’ quanto viene riportato dalla newsletter dell’Autorità garante, notizia ignorata dai media, e scarsamente riportata dai giornali on line. Una sanzione di 60000 euro è stata applicata anche “alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.”

E’ successo che

“collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato (…) possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti.”

Documenti che riguardavano anche dati sensibili, come le certificazioni mediche riguardanti alcuni candidati.

Data la gravità delle circostanze, il Garante della Privacy, composto tra l’altro anche dall’eccellente avvocato Guido Scorza, ha deciso di irrogare la sanzione, che l’Azienda Opedaliera Cardarelli di Napoli dovrà pagare entro 30 giorni dalla notifica del provvedimento. Sul sito del Garante della Privacy è stato pubblicato il provvedimento integrale, come misura accessoria alla sanzione. Preferisco darvi la notizia e non ripubblicarlo (anche se si tratta di un documento pubblico, indubbiamente).

Il tutto è stato sollecitato da una semplice segnalazione di un utente. Il che rivela come non sia un’idea peregrina fare una segnalazione al Garante, senza il bisogno di accedere ad atti più formali come il reclamo o il ricorso. Insomma, la semplice segnalazione funziona e come.

“Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento”. Qualora si preferisse presentare un reclamo, il Garante della Privacy precisa che tale presentazione è totalmente gratuita.

I furbetti del bonus Covid-19: il Garante per la Privacy apre un’istruttoria con richiesta di informazioni all’INPS

Reading Time: < 1 minute

In relazione alla vicenda del cd. bonus Covid partite Iva, il Garante per la protezione dei dati personali questa mattina ha inviato una richiesta di informazioni all’Inps e ha aperto una istruttoria in ordine alla metodologia seguita dall’Istituto rispetto al trattamento dei dati dei beneficiari e alle notizie al riguardo diffuse.

Il Garante chiede all’Inps di conoscere, in particolare:

quale sia la base giuridica del trattamento effettuato sui dati personali dei soggetti interessati; l’origine e tipi di dati personali trattati, riferiti alla carica di parlamentare e amministratore locale e regionale; le modalità con cui è stato effettuato il trattamento, con specifico riguardo all’operazione di “raffronto” dei dati personali dei soggetti richiedenti o beneficiari del bonus, con quelli riferiti alla carica di parlamentare e amministratore locale e regionale; l’ambito del trattamento ed eventuali comunicazioni a terzi di tali dati.

Roma, 12 agosto 2020

da: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9448048

Gli avvoltoi del contributino

Reading Time: 5 minutes

E’ accaduto che cinque parlamentari (che definire “furbetti” sarebbe un eufemismo) hanno chiesto il sussidio di 600 euro per le imprese e le partite IVA in proprio. Su questi cinque, in tre l’hanno ottenuto, agli altri due è stato rifiutato.

Ma com’è stato possibile che un parlamentare, dico, un parlamentare, si sia permesso di prendersi la briga e di certo il lusso anche solo di richiedere un bonus integrativo, solo perché, contemporaneamente, per caso è anche titolare di una partita IVA la cui attività collegata si è fermata durante il lock down del virus? Con lo stipendio che prende da parlamentare aveva bisogno anche degli aiuti di stato pagati con i denari dei cittadini? Evidentemente sì, se la domanda l’ha fatta e gli è stata pure accettata.

E’ compatibile essere titolari di un’impresa con il ruolo di parlamentare? Sì, non ci sono controindicazioni legali. Pensiamo ai tanti insegnanti di diritto che esercitano contemporaneamente la professione di avvocato, o a quelli di economia-aziendale, magari part-time, che fanno anche i commercialisti.

E’ legale, dunque, tutto questo? Assolutamente sì. Glielo ha permesso una norma del cavolo, fatta con i piedi dal governo, che consente a CHIUNQUE di fare la richiesta di attribuzione del bonus. Dunque, sia chiaro, e sia detto una volta per tutte: in questo comportamento non c’è NULLA di illegale.

Sul piano morale, le cose cambiano un pochettino, e il discorso è un tantinello più lungo. A parte la questione economica, per cui uno si chiede se sia etico che un parlamentare che guadagna fior di quattrini tra stipendio e indennità, vada a raschiare il barile per accaparrarsi sciattamente anche i 600 euro destinati dallo Stato a chi è con l’acqua alla gola e non ce la fa, c’è una questione di priorità di diritti non da poco. Quando la notizia si è sparsa, tutti, ma proprio tutti, dal Presidente della Camera Fico in giù, si sono uniti in un solo coro: “Fuori i nomi”. E a questa schiera, stavolta mi lego anch’io. Per una volta non morrò pecora nera (questa l’hanno capita in due, la Essebì e qualche altro gucciniano incallito) l’INPS, che eroga il contributo, ha fatto marcia indietro: per una questione di privacy, hanno detto. E allora è venuto fuori il Garante per la Protezione dei Dati Personali che ha ufficialmente comunicato che sì, i nomi si possono pubblicare.

La trasparenza della Pubblica Amministrazione, che è una casa di vetro, come la definiva Filippo Turati, non viene prima del diritto del singolo alla riservatezza dei propri dati personali. Tutti i diritti hanno pari dignità. Non è vero che perché la Pubblica Amministrazione ha l’obbligo di trasparenza, allora il diritto del singolo a veder riconoscere e proteggere le informazioni su di lui (fosse anche solo un indirizzo e-mail di riferimento), soccombe e sparisce. No, sussistono tutti e due. Bisogna vedere caso per caso. E in questo caso il Garante ha detto che i nomi si possono pubblicare. Punto e basta.

Del resto, ci sarà pure uno straccio di autocertificazione da qualche parte, una firma su una domanda, un atto in in cui si chiede un intervento pubblico (dunque è pubblico anche l’atto), in cui si dichiarano determinate circostanze. Se queste circostanze sono vere, i cinque parlamentari che hanno presentato richiesta non hanno nulla da temere, a parte il linciaggio della folla e la messa al pubblico ludibrio della stampa periodica. Se qualcuno ha dichiarato il falso va perseguito per falso in atto pubblico. Delle due l’una.

E invece i nomi tardano ad arrivare. Il sito web di “Repubblica” prova a fare i nomi di due sospettati eccellenti della Lega, cui il partito ha imposto di non rispondere alle chiamate sul cellulare (figuratevi voi a che punto sono ridotti!). Ora, la domanda nella domanda, secondaria ma anch’essa legittima, è: “E se non fossero loro?” Sbattuti in prima pagina (o bisognerebbe dire Home Page?) e intrisi dell’untoraggio del sospetto. Ma si sa che la calunnia è un venticello assai gentile.

I nomi, dunque, tutti vogliamo i nomi. Vogliamo sapere per scegliere di non votarli più e di non rinnovare loro l’incarico parlamentare e le funzioni svolte finora. Almeno questo. E i nomi salteranno fuori, presto o tardi. Loro, i cinque, non dicono niente. Tacciono. E vorrei anche vedere. Anche se tutti intorno premono. Ma è solo questione di tempo. Quel tempo che deve trascorrere prima che questa buffa sceneggiata con protagonisti dei veri e propri avvoltoi, venga messa in secondo piano dalla stampa, e cessi di essere tra le parole di tendenza su Twitter, dove non si parla d’altro. Basterà aspettare la dichiarazione dei redditi dell’anno prossimo e avere pubblico accesso a quelle informazioni. Facile come bere un bicchier d’acqua frizzante.

Questa tendenza alla stigmatizzazione di atteggiamenti e atti solo già di per sé deplorevoli, è l’altra faccia della medaglia di quella tendenza forcaiola del dàgli all’untore di manzoniana memoria. Vogliamo i nomi (che è giusto che escano fuori) per gridare e lanciare addosso a questi poveretti (perché un parlamentare che si riduce a fare una domanda di bonus da 600 euro per le imprese è un poveretto, anche se non certo dal punto di vista economico) gli strali della nostra indignazione e della nostra frustrazione davanti agli usi e abusi del potere. Sono il populismo e il giustizialismo legaioli che gli si stanno ritorcendo contro. Ce lo voglio proprio vedere il popolo delle partite IVA e delle false fatturazioni, oltre che delle prestazioni in nero, soprattutto quello più nordaiolo, dare del delinquente a chi ha avuto accesso a un pubblico contributo. Ma perché, loro cos’hanno fatto?

In casa M5S, poi, la musica è quella da Requiem. Si sono inventati (pensate che geniacci!) un’autocertifazione in cui rinunciano alla privacy, da firmare e da ritornare a strettissimo giro di posta. Ora, un’autocertificazione attesta delle circostanze personali, non delle scelte di voler rinunciare ai propri diritti. Se io ho un diritto ce l’ho e basta, anche se non ne usufruirò mai. E se non ne usufruisco non ho bisogno di autocertificare proprio una bella verza di nulla. Non voglio andare a votare a un referendum abrogativo? Eppure è un mio diritto votare. Non ho mica bisogno di autocertificarlo. Che si vuole conseguire con questo pastrocchio-pagliacciata? Far vedere che si è trasparenti ed onesti? Lo facciano tramite la loro dichiarazione dei redditi, piuttosto, ché le autocerticazioni lasciano il tempo che gtrovano. E poi “rinunciano” alla privacy? Allora pubblichino direttamente il loro nome, cognome, indirizzo, e-mail, numero di telefono, preferenze sessuali, politiche, religiose, a chi destinano l’8 per mille e a chi il 5 per mille, mettano tutto on line sul loro odiosissimo Rousseau, fatto coi piedi anche lui, e poi stiano ad aspettare. Voglio dire, se la logica è “io non ho bisogno della privacy perché non ho nulla da nascondere”, allora la logica non regge. Perché questa gente chiude e sigilla le raccomandate che spedisce? Perché se no non afriverebbero? Ma no, perché se no qualcuno potrebbe prendere visione del loro contenuto, è chiaro. Perché non ci dice dove sono raggiungibili telefonicamente se qualche cittadino vuole porre loro una domanda? Non lo fanno, certo. La loro mail personale col cavolo che te la fanno vedere, c’è quella di stato della Camera dei Deputati. Dove neanche ti rispondono (questo blog ha provato in passato più volte a inviare delle comunicazioni circolari a un gruppo parlamentare o a più parlamentari di diversi gruppi, e gli effetti sono stati catastrofici, pochissime risposte su centinaia di mail inviate). Se gli chiedi “Scusi, lei è gay o lesbica?” ti dicono subito “Ma come si permette, lei non sa con chi sta parlando, sono affari miei!”. La privacy la si invoca solo quando ci fa comodo.

E così, quello che se la sta passando peggio di tutti, adesso, è un imprenditore tessile di Castiglion delle Stiviere, nel mantovano, che produce calze da donna e che è costretto a vivere con il telefono blindatissimo se no i suoi gli dànno il benservito. Ma guardate a cosa deve essere ridotta una persona di potere da parte di quello stesso potere che quella persona rappresenta!

La caccia all’uomo continua. Stay tuned.

Per la foto: Di Presidenza della Repubblica, Attribution, Collegamento

Garante della Privacy – Sanzione di 800.000 euro nei confronti di Iliad

Reading Time: 28 minutes

Registro dei provvedimenti
n. 138 del  9 luglio

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Iliad Italia S.p.A. (di seguito indicata anche come: “Iliad” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi effettuati nei giorni 27, 28 e 29 maggio 2019 presso la sede legale della Iliad Italia S.p.A. in Milano;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

A partire dalla fine del 2018 sono pervenuti al Garante alcuni reclami e segnalazioni riferiti a diverse modalità di trattamento dei dati personali poste in essere da Iliad.

In particolare, le questioni portate all’attenzione dell’Autorità hanno riguardato il trattamento dei dati della clientela per l’attivazione di sim card e la relativa modalità di acquisizione di dati di pagamento, il trattamento per finalità promozionali proprie e di terzi e le misure adottate per la conservazione dei dati nell’area personale dei clienti.

Data la natura e l’eterogeneità delle questioni rappresentate ed in considerazione del fatto che la Società, in quanto nuovo operatore di comunicazioni elettroniche, non era mai stata oggetto di interlocuzioni con il Garante, si è ritenuto opportuno effettuare una valutazione complessiva nell’ambito di un unico accertamento ispettivo che è stato condotto nei giorni 27, 28 e 29 maggio 2019.

2. ESITI DELL’ISTRUTTORIA

Nel corso di tale accertamento sono state effettuate verifiche che, a partire dalle singole segnalazioni e seguendo la prassi dell’Ufficio per la conduzione degli accertamenti in loco, hanno permesso di valutare anche in via più generale le modalità con cui vengono effettuati i trattamenti e le misure tecniche e organizzative adottate dalla Società.

All’esito di tale attività sono emerse violazioni delle norme in materia di protezione dei dati personali e sono stati altresì rilevati alcuni trattamenti che avrebbero potuto verosimilmente violare tali norme. Pertanto, in data 11 ottobre 2019, è stato notificato alla Società l’avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice per la contestazione delle violazioni del Codice e del Regolamento.

La Società ha fatto pervenire le proprie osservazioni in replica con nota dell’8 novembre 2019 e con un’audizione tenuta il successivo 10 dicembre.

2.1. Accettazione contestuale delle condizioni contrattuali e dell’informativa privacy.

Al fine di verificare in via generale i processi aziendali più strettamente connessi al trattamento dei dati personali degli utenti, le operazioni sono iniziate con la verifica delle attività necessarie ad attivare una nuova utenza mediante accesso al sito web www.iliad.it.

In tale contesto è stato verificato che la procedura che conduceva alla conferma dell’ordine prevedeva, una volta inseriti tutti i dati, l’obbligatoria spunta di una casella con la quale il soggetto dichiarava di “aver preso visione e accettato le condizioni generali, la carta dei servizi, la brochure dei prezzi e l’informativa privacy di Iliad sul trattamento dei dati personali” (cfr. pag. 3 del verbale del 27 maggio). I documenti ivi richiamati, compresa l’informativa, erano facilmente raggiungibili mediante apposito link.

Si rileva, tuttavia, che i trattamenti elencati nell’informativa pubblicata sul sito web sono sia di natura facoltativa che obbligatoria e, in alcuni casi (trattamenti per finalità di marketing e profilazione) sono subordinati all’acquisizione di uno specifico consenso.

Tuttavia, la formulazione della dichiarazione sopra menzionata, contemplando contestualmente la “presa visione” e la “accettazione” dell’informativa, poteva indurre il dubbio che la raccolta del consenso per finalità di marketing – che pure è prevista in maniera specifica in una delle schermate precedenti – avvenisse in tale ultima sede proprio con la spunta “per accettazione”.

Pur risultando corretta la presentazione dell’informativa al momento della raccolta dei dati, come previsto dall’art. 13 del Regolamento, e tenuto conto che il titolare del trattamento deve poter dimostrare, documentandone la presa visione, di aver reso tali informazioni, appare superflua la contestuale menzione anche dell’accettazione dell’informativa dal momento che a tale dizione non si può attribuire altro significato che quello di mera conferma di lettura;  in caso contrario, infatti, procedendo alla spunta della casella, il soggetto si troverebbe ad esprimere un consenso al trattamento che non sarebbe né libero, perché la spunta è obbligatoria e unica per l’accettazione anche delle clausole contrattuali, né specifico perché riguardante tutti i trattamenti menzionati nell’informativa. A tal proposito si richiama quanto contenuto nei considerando 42 e 43 del Regolamento in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Pertanto, l’Ufficio, con nota dell’11 ottobre 2019, ha contestato alla Società che tale trattamento – tenuto conto che, nei termini descritti, l’intenzione del titolare non pareva essere quella di ottenere un consenso al trattamento, ma solo di dimostrare di aver ottemperato agli obblighi informativi – non aveva il carattere della chiarezza e dell’intelligibilità e, dunque, si sarebbe potuto porre in contrasto, in particolare, con i principi di correttezza e trasparenza espressi dall’art. 5, par. 1, lett. a) del Regolamento.

Con la memoria difensiva dell’8 novembre 2019, la Società ha dichiarato che, pur ritenendo “che l’approccio sino ad ora seguito sia conforme ai principi di liceità e trasparenza […], nell’ottica di migliorare sempre i servizi ai propri utenti, Iliad ha rimosso il riferimento all’informativa sul trattamento dei dati personali dalla frase contestata”. La stessa ha inoltre allegato la nuova schermata nella quale, al termine della procedura di attivazione utenza, viene richiesto di selezionare la presa visione e accettazione di Condizioni generali, Carta dei servizi e Brochure prezzi mentre, in un separato spazio viene mostrato il seguente avviso: “I tuoi dati personali saranno trattati in conformità con Informativa Privacy di Iliad sul trattamento dei dati personali”.

2.2. Richiesta del consenso per finalità di marketing.

Durante l’accertamento ispettivo è stata esaminata la procedura di registrazione presente sul sito www.iliad.it, volta alla richiesta di una nuova utenza, ed è stato riscontrato che, in calce alla pagina di inserimento dei dati anagrafici, era presente una casella da spuntare per prestare il consenso al trattamento dei dati personali per finalità promozionali della stessa Iliad. La mancata spunta della casella consentiva comunque di andare avanti nella sottoscrizione del contratto. Ciò in conformità all’informativa privacy dove, al punto 4 lett. i), era contemplato il trattamento per finalità di marketing previo espresso consenso dell’interessato.

A tal proposito, con dichiarazioni rese a verbale (cfr. pag. 2 verbale del 28 maggio) la Società ha chiarito che “la spunta della checkbox, relativa alla richiesta del consenso per finalità promozionali, vista nella procedura di attivazione online, non comporta la registrazione di tale manifestazione del consenso nei sistemi informativi di Iliad, in quanto la Società non svolge attività di marketing diretto”.

L’Ufficio, pertanto, con la menzionata nota dell’11 ottobre, ha evidenziato che, in assenza di un trattamento per finalità promozionali risultava inconferente sia la sua menzione nell’informativa, sia la richiesta di uno specifico consenso; di contro, qualora la società avesse inteso invece effettuare tale tipo di trattamento, non avrebbe potuto dimostrare la corretta acquisizione dei consensi degli interessati, non avendoli registrati. Analogamente è stato messo in evidenza che al punto 4, lett. j) dell’informativa, era prevista la possibilità di utilizzare i dati forniti dall’interessato “per l’invio di comunicazioni di marketing focalizzate sugli interessi e sulle esigenze dell’utente”. Anche in questo caso risulta non pertinente il riferimento ad un trattamento, la profilazione finalizzata al marketing, che in realtà non viene effettuato (e per il quale, in questo caso, non è neanche prevista la richiesta dello specifico consenso).

Con la memoria difensiva dell’8 novembre 2019, la Società ha innanzitutto precisato che “a differenza di altri operatori del mercato delle telecomunicazioni, Iliad non svolge alcuna attività di marketing, telemarketing o profilazione degli utenti […] e svolge attività promozionali principalmente tramite il canale televisivo e digitale che non comporta il trattamento dei dati personali degli utenti”. Poi, con specifico riguardo al punto contestato, ha dichiarato che “Iliad ha intenzione di svolgere un trattamento dei dati personali dei propri utenti per finalità promozionali e, per questa ragione, Iliad ha inserito tale finalità di trattamento nella propria informativa sul trattamento dei dati personali ed ha predisposto un sistema di raccolta dei consensi […]. Tuttavia, detta attività è stata fino ad ora posticipata proprio perché – a causa di un problema tecnico – la società non ha potuto registrare i consensi”. La stessa ha, infatti, aggiunto che il sistema di raccolta dei consensi, già predisposto, era risultato affetto da un bug di progettazione che impediva di identificare l’utente, la data e l’ora in cui veniva effettuata la spunta della checkbox relativa al consenso. La Società ha pertanto corretto l’errore e da luglio 2019 tutti i consensi vengono registrati a sistema; ciò consente agli utenti di esprimere la propria volontà di conferimento o di revoca del consenso anche attraverso l’apposita funzione presente nell’area personale.

Inoltre, si dà atto che la Società ha dichiarato di non aver previsto tra le sue procedure la cessione dei dati dei clienti a terzi per finalità promozionali (cfr. verbale del 28 maggio 2019) e pertanto non trova diretto fondamento quanto lamentato in alcune segnalazioni in merito alla ricezione di chiamate promozionali dopo aver attivato un’utenza Iliad.

2.3 Idoneità delle Simbox a garantire la riservatezza degli interessati.

Nel corso dell’accertamento ispettivo è stato richiesto alla Società di descrivere le modalità di assegnazione delle sim ai clienti. Iliad ha chiarito che le nuove utenze possono essere richieste tramite il sito web o recandosi presso i canali di vendita fisici (punti vendita a marchio Iliad o appositi spazi, detti “corner”, allestiti in luoghi aperti al pubblico). In tutti i casi la società ha predisposto apposite procedure per identificare i soggetti che richiedono l’attivazione di una utenza telefonica, in conformità a quanto disposto dalle vigenti norme in materia di contrasto al terrorismo (legge 31 luglio 2005, n. 155).

Nel caso dell’attivazione via web l’utente può scegliere se procedere subito all’identificazione tramite il sito oppure rimandare tale fase al momento della consegna della sim tramite corriere. Nel primo caso, viene richiesto, al termine della procedura, di allegare la copia del documento di riconoscimento registrando un breve video nel quale si dichiara di voler sottoscrivere il contratto; nel secondo caso, invece, l’identificazione dell’intestatario della sim viene fatta direttamente dal corriere, nominato responsabile del trattamento e appositamente istruito per tale procedura.

Se invece l’attivazione di una nuova sim viene effettuata tramite i canali fisici, la società ha predisposto delle apposite macchine, denominate “Simbox”, con le quali i clienti possono effettuare l’acquisto in autonomia, inserendo i propri dati e terminando la procedura con la scansione del documento e la registrazione di un videomessaggio di assenso alla conclusione del contratto. Il personale presente nei negozi ha solo funzione di assistenza ai clienti e non viene coinvolto nella procedura di attivazione dell’utenza.

Le videoregistrazioni così effettuate sono visionate da operatori di back office che, effettuato un confronto con il documento caricato, concludono la procedura consentendo l’attivazione dell’utenza.

Durante l’accertamento svolto dall’Autorità è stata simulata la modalità di attivazione di un’utenza mediante utilizzo di una Simbox installata presso un punto vendita. Durante tale attività, documentata mediante riprese fotografiche (cfr. all. 5 al verbale del 28 maggio) è stato possibile verificare che all’interno del negozio erano presenti diverse macchine pubblicamente accessibili per effettuare in autonomia la procedura.

È stato contestato ad Iliad che la telecamera installata sulla Simbox è in grado di effettuare una ripresa con un angolo di circa 180 gradi; come si evince anche dalla documentazione agli atti tale modalità potrebbe consentire di registrare l’immagine pure delle persone che si trovino a passare dietro o di lato al soggetto che sta effettuando l’operazione; le registrazioni fotografiche, di cui all’allegato 5 del verbale del 28 maggio, mostrano infatti che l’inquadratura della telecamera non riprende solo il viso della persona che effettua la registrazione ma anche le persone dietro di essa. Allo stesso tempo, l’assenza di misure idonee a garantire la riservatezza dei clienti durante le operazioni, potrebbe consentire a chiunque si trovi nei locali di visualizzare i dati digitati sullo schermo della Simbox e di ascoltare il contenuto del videomessaggio (durante il quale l’utente deve pronunciare il proprio nome e cognome).

Occorre, inoltre, tenere conto che tali macchine sono installate, non solo nei negozi Iliad, ma anche (e prevalentemente) presso appositi spazi allestiti presso stazioni ferroviarie e centri commerciali e anche in questo caso non sono previste particolari misure volte a tutelare la riservatezza dei clienti, considerato in particolare che si tratta di luoghi caratterizzati, in generale, da una notevole affluenza di persone (cfr. all. 2 al verbale del 27 maggio dove è presente la foto di due Simbox posizionate all’interno di un centro commerciale).

Del resto, anche nel contratto di appalto di servizi sottoscritto con la società che si occupa della gestione operativa delle aree poste nei centri commerciali, non vi è alcun richiamo in merito a particolari accorgimenti da osservare nel posizionamento delle Simbox per il rispetto di canoni di riservatezza (cfr. all. 2 al verbale del 27 maggio).

Nel fornire proprie osservazioni in replica, Iliad ha rappresentato che la telecamera della Simbox si attiva solo per il breve lasso di tempo (massimo 10 secondi) necessario ad effettuare la registrazione e non consente di inquadrare nitidamente i soggetti che passano in prossimità della macchina. Inoltre, con riguardo alla possibilità, contestata dal Garante, di esporre i dati personali digitati dagli utenti alla vista di soggetti terzi, la Società ha affermato che le dimensioni dello schermo e il suo posizionamento non dovrebbero consentire a terzi di leggere il testo digitato dal momento che la visuale sarebbe coperta dalla persona che effettua l’operazione e tenuto conto che il carattere di inserimento è di colore grigio.

Ciò precisato, pur continuando a ritenere che le misure adottate siano già conformi alle norme, la società ha comunque introdotto le seguenti soluzioni correttive:

– nella schermata che appare all’utente all’avvio della procedura di registrazione, viene mostrato il seguente avviso: “assicurati di non registrare immagini di terzi, di essere solo, di fronte e posizionato in modo che l’intero viso sia visibile e identificabile”;

– le registrazioni raccolte, non appena validate dagli operatori del customer care, sono rese visibili solo ai manager della funzione customer care e, trascorsi sei mesi, sono accessibili solo alla funzione JAS (Judicial Authority Services) per la durata del contratto.

Inoltre, nel corso dell’audizione tenuta il 10 dicembre 2019, Iliad ha aggiunto che la registrazione video non viene conservata nelle Simbox, ma viene memorizzata direttamente nel database centrale; inoltre, i video contenenti immagini di terzi sono immediatamente cancellati dagli operatori addetti alla procedura di identificazione con contestuale interruzione del processo e richiesta al cliente di effettuare una nuova registrazione. La Società ha inoltre precisato che l’operatore addetto all’identificazione e l’assistente presente nei punti vendita non possono effettuare copie dei documenti forniti dai clienti o delle registrazioni effettuate.

2.4.  Rispetto delle norme in materia di accesso e conservazione dei dati di traffico telefonico e telematico.

Nel corso dell’accertamento condotto il 28 maggio 2019, è stato fatto accesso al sistema CRM della società, sia con profilo di operatore sia con profilo di amministratore, per verificarne il contenuto. È stato così rilevato, e riportato a verbale, che il profilo “amministratore del reparto di customer care” poteva visualizzare i dati di traffico telefonico degli utenti in chiaro accedendo al sistema mediante digitazione di userid e password. Inoltre, i dati accessibili erano relativi al traffico effettuato da agosto 2018.

È stato pertanto contestato alla società che tale procedura non poteva considerarsi conforme alle norme in materia di conservazione dei dati di traffico telefonico e telematico di cui agli art. 123, 132 e 132-ter del Codice e sulla base di quanto prescritto dal Garante con provvedimento generale del 17 gennaio 2018 (in www.garanteprivacy.it doc web n. 1482111). Ciò in quanto:

1. l’incaricato con profilo di amministratore – che, essendo addetto alla funzione customer care, avrebbe potuto avere accesso solo ai dati conservati per finalità di fatturazione, poteva invece visualizzare dati conservati per un periodo superiore ai sei mesi consentiti dall’art. 123 del Codice (sono risultati presenti dati di traffico di agosto 2018 alla data di maggio 2019);

2. lo stesso ha avuto accesso al sistema contenente i dati di traffico digitando unicamente username e password, senza pertanto utilizzare tecniche di strong authentication al momento dell’accertamento;

Inoltre, in conseguenza di quanto accertato sopra, non risultava attuata la prescrizione di conservare le diverse tipologie di dati in sistemi informatici separati, dal momento che l’operatore, accedendo al sistema CRM, poteva visualizzare anche dati generati in un periodo eccedente i sei mesi.

Con nota dell’8 novembre 2019, Iliad ha ritenuto non fondate le contestazioni ricevute dal Garante sulla base del fatto che le informazioni contenute nello screenshot di cui all’allegato 6 al verbale di accertamento del 28 maggio 2019, “non permettono di ricostruire i flussi di comunicazione degli utenti a cui si riferiscono e non possono pertanto considerarsi dati di traffico”. A tal proposito occorre evidenziare che il contenuto cui si riferisce la società (allegato 6), essendo riferito all’accesso fatto con profilo di operatore, non è mai stato oggetto di contestazione da parte dell’Autorità e pertanto risulta impropriamente citato. La contestazione, invece, si è basata sull’accesso effettuato con profilo di amministratore che, come riportato nel verbale del 28 maggio 2019 sottoscritto dalla parte, “può visualizzare ulteriori informazioni quali i dati del traffico telefonico uscente in chiaro a decorrere, per la scheda dell’utente visualizzato, da agosto 2018”. Su tale punto non sono pervenute altre osservazioni da parte di Iliad né con la menzionata memoria difensiva, né durante la successiva audizione.

Inoltre, con riguardo al contestato accesso effettuato senza adottare tecniche di strong authentication, la Società, nella propria memoria difensiva ha dichiarato che “con riferimento al gestionale Mobo oggetto di ispezione nello specifico ma in generale relativamente a tutti i sistemi aziendali, Iliad ha adottato una duplice tecnologia di autenticazione. Infatti, oltre all’inserimento della username e password dell’utente che accede al sistema, vi è una forma di autenticazione automatica determinata dalla connessione esclusivamente dei devices aziendali alla rete Iliad. Al momento dell’accesso alla rete Iliad tramite il device aziendale, infatti, il sistema effettua un primo riconoscimento del dipendente Iliad e un secondo riconoscimento avviene al momento dell’accesso al gestionale Mobo”. La stessa, tuttavia, non ha allegato alcuna documentazione comprovante quanto dichiarato e occorre evidenziare che tale giustificazione non è stata fatta presente al momento dell’accertamento.

Con la nota dell’8 novembre 2019, la Società ha fornito proprie osservazioni anche riguardo al fatto che, al momento dell’accertamento, i dati di traffico telefonico generati oltre i sei mesi sono risultati presenti nel sistema gestionale del customer care, in difformità da quanto prescritto dal Garante in merito alla necessità, trascorsi i primi sei mesi, di operare una separazione dei sistemi informatici deputati alla conservazione dei dati per le diverse finalità. A tal proposito la società ha dichiarato di aver “creato un unico database con misure di sicurezza e livelli di accesso differenziati (CRM i.e. gestionale Mobo e JAS) a seconda delle finalità del trattamento e del relativo termine di conservazione. Tale sistema ha quindi una separazione di carattere logico invece che fisico”.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1 Accettazione contestuale delle condizioni contrattuali e dell’informativa privacy.

Il trattamento descritto al punto 2.1., le cui motivazioni si richiamano interamente, per come posto in essere prima delle modifiche apportate dalla Società, non risultava pienamente conforme ai principi espressi dal Regolamento. Ciò in quanto la formulazione proposta nella schermata di conclusione del contratto risultava inconferente richiedendo la “accettazione” dell’informativa e non solo la sua presa visione e tale richiesta era, per di più, formulata insieme alle conferme di carattere contrattuale. Come noto, l’informativa redatta dal titolare ha la funzione di rendere noto all’interessato ogni aspetto del trattamento dei dati personali; tale natura meramente esplicativa fa sì che il titolare, pur potendo pretendere dall’interessato di confermarne la presa visione, non possa tuttavia richiedere anche di esprimere, attraverso una generica e generale accettazione, una volontà che risulterebbe di fatto analoga ad un consenso.

L’Ufficio pertanto, pur avendo compreso che, nei termini descritti, l’intenzione del titolare non pareva essere quella di ottenere un consenso al trattamento ma solo quella di dimostrare di aver ottemperato agli obblighi informativi, ha ritenuto necessario contestare la mancanza dei requisiti della chiarezza e dell’intelligibilità con la conseguenza di un possibile trattamento in contrasto, in particolare, con i principi di correttezza e trasparenza espressi dall’art. 5, par. 1, lett. a) del Regolamento.

Le misure correttive adottate dalla Società, a seguito della contestazione ricevuta, risultano sufficienti a separare gli obblighi informativi dalla raccolta del consenso, restituendo a tale fase del trattamento la necessaria chiarezza.

Su tale aspetto, dunque, non si ritiene di adottare specifiche misure correttive, ad eccezione di quanto indicato al punto 4.1 del presente provvedimento.

3.2. Richiesta del consenso per finalità di marketing.

Con riguardo al trattamento descritto al punto 2.2., si evidenzia che la Società, sulla base delle dichiarazioni rese, fino al luglio 2019 ha richiesto agli interessati di prestare il proprio consenso al trattamento per finalità promozionali senza tuttavia tenere traccia di tale volontà. Ciò sarebbe avvenuto perché, come in un primo momento dichiarato a verbale, la Società non effettuava (e risulterebbe non effettuare tuttora) attività di marketing diretto ma anche, come successivamente sostenuto nella memoria difensiva, a causa di un bug presente nel sistema preposto alla registrazione dei consensi.

Sulla base delle dichiarazioni rese, si deve pertanto ritenere che, come già contestato, la richiesta di un consenso per finalità promozionali, specificamente menzionate nell’informativa, senza che tale trattamento esista o sia previsto, risulti in contrasto con il principio di correttezza e trasparenza di cui all’art. 5, par. 1, lett. a), del Regolamento.

Tuttavia, preso atto dell’intenzione della Società, non menzionata nel corso dell’accertamento ispettivo, ma resa nota in sede difensiva, di voler effettivamente porre in essere un trattamento per finalità promozionali, tenuto conto degli interventi correttivi apportati, e del fatto che la Società ha dichiarato di considerare come negato il consenso dei soggetti registrati prima di luglio 2019, si ritiene che, anche su tale punto, non sussistano i presupposti per adottare specifiche misure correttive, ad eccezione di quanto indicato al punto 4.1 del presente provvedimento.

3.3 Idoneità delle Simbox a garantire la riservatezza.

Le verifiche effettuate simulando la sottoscrizione di un contratto tramite Simbox, hanno suscitato alcune perplessità in ordine alla riservatezza della procedura. Pertanto è stato contestato alla Società che un simile trattamento può esporre gli interessati al rischio di accessi non autorizzati violando il principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento.

Le misure correttive introdotte dalla Società (descritte al punto 2.3) possono ritenersi idonee a contenere il rischio, ma potrebbero non essere sufficienti, soprattutto nel caso di totem posizionati in luoghi aperti al pubblico (non solo i punti vendita Iliad ma anche i corner) che sono, in generale, caratterizzati da maggiore affluenza di persone.

Inoltre, tenuto conto del complessivo trattamento effettuato anche prima dell’adozione delle misure correttive, si ritiene integrata la violazione dell’art. 5, par. 1, lett. f) del Regolamento con riguardo alla mancata adeguatezza delle misure adottate per garantire la riservatezza dei dati personali.

Ciò premesso, ai sensi dell’art. 58, par. 2, lett. a), si ritiene di dover rivolgere alla Iliad un ammonimento in merito alle rilevate violazioni della riservatezza mediante l’uso della Simbox e di dover, di conseguenza, ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire maggiore riservatezza agli interessati al momento dell’effettuazione della registrazione del video adottando specifici accorgimenti per il posizionamento delle macchine, collocandole in maniera tale da non poter consentire accessi indebiti alle informazioni (ad esempio in prossimità di una parete) o inserendo dei pannelli posteriori, ovvero prevedendo, distanze di cortesia ed integrando conseguentemente le istruzioni al personale addetto all’assistenza.

3.4. Rispetto delle norme in materia di accesso e conservazione dei dati di traffico telefonico e telematico.

Come ricostruito al punto 2.4., nel corso dell’attività ispettiva è stato accertato che l’incaricato addetto al customer care con profilo di amministratore poteva visualizzare dati di traffico telefonico in chiaro, generati da più di sei mesi, accedendo al sistema, denominato “Mobo”, preposto alla gestione del customer care.

La condotta della Società è stata valutata alla luce delle disposizioni di cui agli art. 123, 132 e 132-ter del Codice che dettano specifiche indicazioni in merito alle misure da adottare nella conservazione dei dati di traffico. In particolare, l’art. 132-ter impone ai fornitori di servizi di comunicazione elettronica di avvalersi, ai sensi dell’art. 32 del Regolamento, di misure tecniche e organizzative adeguate al rischio esistente. Tali misure, da considerarsi, allo stato dell’arte, quale requisito minimo di sicurezza generalmente utilizzato dagli operatori presenti sul mercato, sono in concreto identificabili con quanto prescritto dal Garante, in materia di conservazione dei dati di traffico, con provvedimento generale del 17 gennaio 2008 (in www.garanteprivacy.it doc web n. 1482111, come modificato dal successivo provvedimento del 24 luglio 2008, doc. web n. 1538224), in base al quale:

– il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo ad incaricati specificamente autorizzati e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione; per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (e generati da più di sei mesi), una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato;

– i sistemi informatici utilizzati per i trattamenti di dati di traffico conservati per esclusiva finalità di giustizia devono essere differenti da quelli utilizzati anche per altre funzioni aziendali (come fatturazione, marketing, antifrode); è tuttavia ammissibile un primo periodo, di 6 mesi dalla generazione, durante il quale i dati possono essere trattati con sistemi informatici non esclusivamente riservati alle finalità di giustizia;

– il fornitore deve definire e attribuire agli incaricati specifici profili di autorizzazione differenziando le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati.

All’esito dell’attività istruttoria condotta, l’Ufficio ha ritenuto che gli elementi acquisiti potessero configurare delle violazioni ad ha pertanto avviato il procedimento di cui all’art. 166, comma 5 del Codice. A fronte delle puntuali contestazioni ricevute, la Società – che pure ha presentato una memoria di 22 pagine ed è stata ascoltata in una successiva audizione – ha risposto sul punto in maniera non esaustiva e talvolta equivoca.

Nello specifico caso relativo alla conservazione dei dati di traffico, Iliad ha replicato che le contestazioni ricevute erano da considerarsi infondate in quanto, a suo parere, vi sarebbero state tre questioni da considerare:

1) i livelli di accesso ai dati personali;

2) la verifica che attraverso il gestionale Mobo fosse possibile visionare i dati di traffico;

3) il termine di conservazione dei dati personali.

Con riguardo al primo punto, Iliad ha dichiarato di aver adottato livelli di accesso ai sistemi differenziati in base al ruolo dei dipendenti e, anche nel caso in esame, l’accesso al sistema Mobo consente livelli di visibilità delle informazioni differenti a seconda del profilo (operatore/ amministratore). In merito a ciò, deve osservarsi che tale aspetto non è mai stato oggetto di contestazione da parte dell’Ufficio che, invece, ha contestato il fatto che l’incaricato, in quanto addetto al customer care (ancorché con il profilo di amministratore) ha potuto visualizzare dati conservati per un periodo superiore ai sei mesi, termine oltre il quale non dovrebbe più essere consentito al personale addetto a verificare la correttezza della fatturazione (quale è l’amministratore di customer care) e dovrebbe, invece, essere riservato alle sole figure autorizzate ad accedere ai dati di traffico conservati per finalità di giustizia.

Relativamente al secondo punto, come già descritto al paragrafo 2.4, la Società ha osservato che lo screenshot inserito nell’allegato 6 al verbale del 28 maggio 2019 non contiene dati di traffico e, per tale motivo, la contestazione non sarebbe fondata. Come già ricordato, l’allegato cui fa riferimento la Società è quello relativo all’accesso effettuato con profilo di operatore che non è mai stato oggetto di contestazione da parte dell’Ufficio. L’accesso effettuato con il profilo di amministratore di sistema è invece riportato nell’allegato 7, che mostra come l’incaricato abbia fatto accesso al sistema digitando userid e password e che la piattaforma di customer care tiene traccia delle operazioni effettuate dall’amministratore; inoltre, il risultato complessivo di tale accesso, in cui si dà atto della presenza di “dati del traffico telefonico uscente in chiaro a decorrere, per la scheda dell’utente visualizzato, da agosto 2018” è stato riportato nel verbale che la parte ha sottoscritto e non ha mai successivamente contestato.

Inoltre, la Società, nella menzionata memoria, proseguendo in merito alla asserita infondatezza della contestazione (terzo punto dell’elenco di cui sopra), ha aggiunto che “in ogni caso Iliad conferma che l’accessibilità ai dati di traffico nel sistema Mobo è attualmente limitata ad un periodo di sei mesi dalla loro registrazione”. È pertanto da considerarsi indubbia, in quanto confermata dalla stessa Iliad, la presenza di dati di traffico nel sistema di customer care (Mobo) e, come sottolineato dall’avverbio “attualmente”, i tempi di conservazione sono ora limitati a sei mesi potendo così dedurre che tale termine di conservazione fosse prima diverso e che, verosimilmente, la Società abbia posto in essere un intervento correttivo (che tuttavia non ha menzionato né tantomeno documentato).

La contestazione rivolta ad Iliad ha riguardato anche l’aspetto connesso alla conformità del procedimento di autenticazione. Come riportato nel verbale del 28 maggio 2019, l’incaricato con profilo di amministratore ha effettuato l’accesso al sistema di customer care inserendo una user-id e una password (come riportato nell’allegato 7 al verbale). È stato pertanto contestato che, al momento dell’accertamento, non è stata utilizzata la misura dell’autenticazione a due fattori che, come prescritto nel provvedimento del Garante, è necessaria per garantire la riservatezza dei dati di traffico anche se conservati solo per finalità di fatturazione.

Come descritto al punto 2.4, la società, nella propria memoria difensiva ha dichiarato che l’autenticazione a due fattori è data in automatico “dalla connessione esclusivamente dei devices aziendali alla rete Iliad. Al momento dell’accesso alla rete Iliad tramite il device aziendale, infatti, il sistema effettua un primo riconoscimento del dipendente Iliad e un secondo riconoscimento avviene al momento dell’accesso al gestionale Mobo”. Sul punto si richiama il menzionato provvedimento del Garante che ammette che «tale fase di autenticazione può essere realizzata con procedure strettamente integrate alle applicazioni informatiche con cui il fornitore tratta i dati di traffico, oppure con procedure per la protezione delle singole postazioni di lavoro che si integrino alle funzioni di autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il fornitore deve assicurare che non esistano modalità di accesso alle applicazioni informatiche da parte dei propri incaricati di trattamento che consentano di eludere le procedure di strong authentication predisposte per l’accesso alla postazione di lavoro». Pertanto, pur considerando che la giustificazione addotta dalla Società potrebbe essere in linea di principio accettabile con riguardo solo ai dati generati entro i sei mesi, essa appare tuttavia tardiva e dunque non più verificabile, in quanto fatta presente solo dopo aver ricevuto la contestazione e non durante l’accertamento ispettivo; la stessa è, altresì, non documentata dal momento che la Società si è limitata ad affermare che una prima fase di autenticazione è superata con l’accesso al device aziendale senza tuttavia comprovare, né durante l’accertamento ispettivo, né successivamente, che lo strumento utilizzato dall’incaricato possedeva le caratteristiche necessarie ad identificare l’utilizzatore in maniera univoca. Si deve, peraltro, ricordare che per l’accesso ai dati generati da più di sei mesi, è in ogni caso richiesto che una delle tecnologie di autenticazione sia basata su caratteristiche biometriche dell’incaricato.

Infine, i rilievi mossi nei confronti della Società, hanno riguardato più in generale le modalità di conservazione dei dati di traffico che, sulla base delle risultanze istruttorie, destavano perplessità anche in ordine alla conservazione separata in funzione della finalità (fatturazione o giustizia). Infatti, la presenza di dati di traffico generati da più di sei mesi nel sistema dedicato alla gestione dei clienti, ha comportato la contestazione alla Società del mancato rispetto della prescrizione di conservare in sistemi informatici separati le diverse tipologie di dati.

In relazione a tale specifica contestazione, la Società ha replicato soltanto che “Iliad ha creato un unico database con misure di sicurezza e livelli di accesso differenziati (CRM i.e. gestionale Mobo e JAS) a seconda della finalità del trattamento e del relativo termine di conservazione. Tale sistema ha quindi una separazione di carattere logico invece che fisico […] Iliad non ha deciso di procedere ad una duplicazione fisica dei database a seconda della finalità del trattamento”. Dalla laconica risposta della Società, che pure ha ricevuto puntuali contestazioni e ha avuto ampiamente modo di articolare la propria difesa, si può solo evincere che è presente un unico sistema, separato logicamente mediante accessi differenziati in base alle finalità e ai tempi di conservazione. La Società, tuttavia, non ha fornito alcuna spiegazione in merito al contestato accesso ai dati generati da oltre sei mesi da parte dell’incaricato dell’area customer care che, per la funzione svolta, non avrebbe dovuto accedere a tali dati tenuto conto che, stando a quanto dichiarato, la separazione logica in base alle finalità avrebbe dovuto comunque impedire tale accesso.

Pertanto, la risposta sopra riportata, conferma quanto già contestato in merito alla mancata separazione dei sistemi deputati alla conservazione dei dati di traffico.

Il citato provvedimento del Garante, infatti, prescrive che i dati conservati per esclusive finalità di giustizia siano conservati in sistemi informatici distinti fisicamente – e non logicamente – da tutti gli altri sistemi aziendali e a tali sistemi siano applicate misure dedicate quali, tra le altre, l’accesso solo a personale autorizzato con sistemi di riconoscimento a due fattori (di cui uno biometrico) e la cifratura dei dati. Lo stesso provvedimento ammette anche che, a scelta del titolare, i dati generati fino a sei mesi, possano essere conservati in un unico sistema per poter essere trattati anche per finalità di giustizia, senza necessità di ricorrere ad alcuna separazione; tale facoltà, tuttavia, è applicabile, come detto, solo entro i sei mesi dalla generazione e pertanto, in presenza di dati generati da più di sei mesi, non può considerarsi applicabile al caso in esame.

Pertanto, le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, non consentono, in ogni caso, di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e non risultano idonee ad escludere la responsabilità della parte in ordine a quanto contestato non avendo esse contribuito a dimostrare che le misure adottate dalla società possano ritenersi rispondenti alle misure di sicurezza – allo stato dell’arte disponibili e adottate in via generale dagli operatori di comunicazione elettronica – descritte nel provvedimento del Garante in materia di conservazione dei dati di traffico.

Alla luce del nuovo quadro normativo costituito dal Regolamento e dal Codice, si deve infatti ritenere che le specifiche prescrizioni del provvedimento del Garante del 17 gennaio 2008 siano da considerare alla stregua delle basilari misure di sicurezza del trattamento applicabili ai fornitori di servizi di comunicazione elettronica. Il mancato rispetto di tali prescrizioni deve considerarsi equivalente alla mancanza di misure tecniche e organizzative adeguate al rischio esistente e, di conseguenza, integra la violazione dell’art. 132-ter del Codice.

Per quanto sopra riportato, inoltre, deve ritenersi altresì, integrata la violazione dell’art. 123 del Codice, con riguardo alla conservazione eccedente i sei mesi nei sistemi adibiti a finalità di fatturazione.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al presente paragrafo, si rende necessario ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiungere ad Iliad di adeguare le misure di sicurezza poste a tutela dei dati di traffico conformandole a quanto prescritto dal Garante con il provvedimento del 17 gennaio 2008 come modificato dal provvedimento del 24 luglio 2008. Inoltre, tenuto conto che le contestazioni rivolte alla Società non si sono dimostrate sufficienti a sollecitare un intervento correttivo da parte di quest’ultima, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, parr. 4 e 5, del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

4.1. Informativa e consenso.

Le condotte accertate ai punti 3.1. e 3.2. della presente decisione integrano rispettivamente la violazione dell’art. 5, par. 1, lett. a), del Regolamento.

Tuttavia, tenuto conto:

– delle intenzioni del titolare che, sulla base di quanto acquisito in atti, non paiono volte a realizzare consapevolmente gli effetti delle condotte contestate e sono piuttosto riconducibili ad un’applicazione negligente delle norme;

– della presumibile mancanza di conseguenze in capo agli interessati dal momento che la finalità promozionale del trattamento non sarebbe stata ancora realizzata;

– delle misure adottate e volte a risolvere le criticità sopra indicate,

si ritiene che esse possano essere qualificate come violazioni “di grado minore” alla luce dell’art. 83, par. 2 e del considerando 148 del Regolamento e che, pertanto, possa essere sufficiente al riguardo ammonire Iliad, ai sensi dell’art. 58, par. 2 lett. b) del Regolamento per la mancata osservanza dell’ art. 5, par. 1, lett. a) del Regolamento, nonché dei principi di cui all’art. 25 del Regolamento, significando, altresì, che in difetto si rende applicabile la sanzione di cui all’art. 83, par. 5 lett. a) del Regolamento.

4.2. Simbox e misure di sicurezza.

Le condotte accertate al punto 3.3 della presente decisione sono idonee ad esporre gli interessati al rischio di accessi non autorizzati ai dati personali e dunque sono suscettibili di integrare la violazione del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento.

Tuttavia tenuto conto delle misure correttive introdotte dalla Società idonee a contenere tale rischio, nonché degli accorgimenti adottati con riferimento ad eventuali video contenenti immagini di terzi, si ritiene che anche tale violazione possa essere qualificata “di grado minore” alla luce dell’art. 83, par. 2 e del considerando 148 del Regolamento.  Pertanto si ritiene sufficiente al riguardo ammonire Iliad, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento in merito alle rilevate violazioni della riservatezza mediante l’uso della Simbox e, contestualmente, ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d) del medesimo Regolamento, di adottare misure correttive idonee a garantire maggiore riservatezza agli interessati al momento dell’effettuazione della registrazione del video adottando gli specifici accorgimenti indicati al punto 3.3 della presente decisione.

4.3. Misure di sicurezza applicate alla conservazione dei dati di traffico.

Le condotte accertate al punto 3.4 della presente decisione integrano le violazioni degli artt. 132-ter e 123, comma 2 del Codice, soggette rispettivamente alla sanzione di cui all’art. 83, par. 4 e par. 5 del Regolamento.

4.4. Quantificazione della sanzione amministrativa pecuniaria.

In ragione di quanto sopra prospettato, risulta applicabile l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5 del Regolamento.

In particolare, ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al precedente punto 4.3, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso  [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento (UE) 2016/679), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze:

1. l’ampia portata dei trattamenti riguardanti la conservazione dei dati di traffico) che, sulla base degli elementi forniti e in mancanza di altre specificazioni in merito, si possono ritenere di carattere sistemico e dunque estesi alla generalità dei clienti del servizio di telefonia mobile di Iliad relativi a circa 3 milioni di utenze alla data dell’accertamento ispettivo, come dalla stessa dichiarato (art. 83, par. 2, lett. a) del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che, per l’inadeguatezza delle misure di sicurezza, sono stati esposti a violazione una tipologia di dati personali (i dati di traffico telefonico) per i quali il legislatore, in considerazione dell’elevato pregiudizio derivante dal trattamento, ha predisposto delle norme di carattere speciale a tutela della conservazione (art. 83, par. 2, lett. a) del Regolamento);

3. il grado di responsabilità del titolare del trattamento, tenuto conto che le misure tecniche e organizzative descritte non sono risultate adeguate allo stato dell’arte, nonostante le prescrizioni del Garante siano da considerarsi ormai ampiamente note fra gli operatori dei servizi di comunicazione elettronica, in quanto impartite con un provvedimento generale del 2008, più volte oggetto di specifici provvedimenti applicativi;

4. il generale approccio tenuto da Iliad nel trattamento dei dati personali (art. 83, par. 2, lett. d) del Regolamento), considerato che, oltre quanto evidenziato al punto precedente, pure le violazioni descritte ai punti 3.1, 3.2. e 3.3, pur se considerate  di carattere minore, hanno comunque mostrato un quadro complessivamente negligente nell’applicazione, sin dalla progettazione, di misure di tutela degli interessati che, date le costanti e numerose pronunce del Garante, sono ormai da considerarsi comunemente note ai titolari del trattamento (si vedano, anche qui, i numerosi provvedimenti in merito alla correttezza dell’informativa e alla raccolta del consenso e, con riguardo al rispetto di misure idonee ad evitare accessi non autorizzati, mediante, ad es. l’istituzione di distanze “di cortesia”, i numerosi interventi chiarificatori del Garante, tra i quali,  ad es. la nota del 30.3.1998, doc. web n. 39464);

5. il grado di cooperazione con l’Autorità di controllo, dal momento che la Società si è limitata a ritenere infondate le violazioni contestate, sostenendo le proprie ragioni con argomentazioni spesso non pertinenti con quanto accertato a verbale, e tenuto conto che, a fronte delle contestazioni ricevute in materia di conservazione dei dati di traffico, la stessa, diversamente da quanto fatto con gli altri rilievi ricevuti, non ha ritenuto di dover intervenire in alcun modo per adeguare le proprie misure di sicurezza, limitandosi solo a confermare l’attuale presenza nel sistema Mobo di dati di traffico generati da non più di sei mesi (art. 83, par. 2, lett. f) del Regolamento);

6. la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, emersa nel corso di un’attività ispettiva (art. 83, par. 2, lett. h) del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle misure adottate da Iliad che, ancorché non sufficienti, appaiono comunque utili ad attenuare parte delle conseguenze pregiudizievoli delle violazioni riscontrate;

2.  della rilevante perdita registrata nel 2018, superiore al valore della produzione (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società, anche in ragione della recente presenza sul mercato italiano, non ha avuto precedenti procedimenti sanzionatori, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati, debba applicarsi alla Iliad la sanzione amministrativa del pagamento di una somma pari al 4% della sanzione edittale massima di 20 milioni di euro, corrispondente a euro 800.000,00 (ottocentomila). La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, comma 5, tenuto conto che il 4% del fatturato di Iliad Italia S.p.A. risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In tale quadro, si ritiene altresì – in considerazione della delicatezza dei trattamenti di cui è stata accertata l’illiceità alla luce dei diritti fondamentali degli interessati e dell’elevato numero degli stessi- che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ricorda che in caso di inosservanza del presente provvedimento, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti di Iliad Italia S.p.A., con sede legale in viale Francesco Restelli, 1/A, Milano, C.F. 13970161009,

a) con riguardo alle violazioni riscontrate relativamente alle corrette modalità di somministrazione dell’informativa e del consenso degli interessati (punti 3.1. e 3.2 in premessa), ammonisce Iliad, ai sensi dell’art. 58, par. 2 lett. b) del Regolamento per la mancata osservanza dell’art. 5, par. 1, lett. a), del Regolamento, nonché dei principi di cui al successivo art. 25 del Regolamento;

b) con riguardo alle violazioni riscontrate relativamente alle videoregistrazioni effettuate mediante Simbox (punto 3.3. in premessa): ai sensi dell’art. 58, par. 2, lett. a), del Regolamento ammonisce Iliad in merito alle rilevate violazioni della riservatezza e, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla stessa di adottare, entro 120 giorni dal ricevimento del presente provvedimento, le misure correttive indicate in premessa, idonee a garantire maggiore riservatezza agli interessati durante l’utilizzo di dette apparecchiature;

c) con riguardo alle violazioni riscontrate relativamente alla conservazione dei dati di traffico telefonico (punto 3.4. in premessa), ai sensi dell’art. 58, par. 2, lett. d), ingiunge di adottare, entro 120 giorni dal ricevimento del presente provvedimento, tutte le misure necessarie a rendere il trattamento conforme al provvedimento del Garante del 17 gennaio 2008 come modificato dal provvedimento del 24 luglio 2008;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

e) ai sensi dell’art. 157 del Codice, richiede di comunicare, entro i successivi 30 giorni, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto, con un riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Iliad Italia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 800.000,00 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 800.000,00 (ottocentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Garante della Privacy – Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 9 luglio 2020 – 16.729.600 euro a titolo di sanzione amministrativa

Reading Time: 61 minutes

Registro dei provvedimenti
n. 143 del 9 luglio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Wind Tre S.p.A. (di seguito indicata anche come: “Wind Tre” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi condotti nei confronti di Wind Tre e di alcuni partner commerciali della stessa;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con una pluralità di segnalazioni e reclami sono stati portati all’attenzione dell’Autorità diversi trattamenti di dati personali posti in essere da Wind Tre, prevalentemente (ma non esclusivamente) riconducibili a condotte finalizzate all’attività promozionale.

Tenuto conto che la Società è stata già destinataria di un provvedimento inibitorio e prescrittivo per trattamenti analoghi effettuati in vigenza del precedente quadro normativo (cfr. provv. 22 maggio 2018, n. 313, in www.garanteprivacy.it, doc. web n. 8995285), l’istruttoria condotta ha preso in considerazione solo le istanze pervenute dopo il 25 maggio 2018, che sono state oggetto di istruttoria cumulativa ai sensi dell’art. 10, comma 4, del regolamento interno del Garante n. 1/2019 (doc. web n. 9107633). Tale prima attività istruttoria verrà indicata nel corso del presente provvedimento anche come “procedimento A”.

Con diverso procedimento (cfr. fascicoli 139150, 139507, 139505, 140416, 141133) sono stati poi presi in considerazione altri aspetti dell’attività del titolare connessi a segnalazioni pervenute all’Autorità che informavano di attività promozionali, poste in essere per esso dalla filiera di subagenti di un fornitore accreditato, contattando i clienti di un altro operatore telefonico i cui dati personali venivano acquisiti con modalità illegittime.

Questo secondo procedimento verrà indicato di seguito anche come “procedimento B”.

All’esito di dette attività sono emerse diverse violazioni delle norme in materia di protezione dei dati personali.

2. ESITI DELL’ISTRUTTORIA

Le istruttorie condotte hanno comportato l’esame di oltre 100 fascicoli, oltre allo svolgimento di accertamenti ispettivi presso la stessa Wind Tre, presso alcuni partner e presso un altro operatore telefonico. Si deve inoltre considerare l’attualità della condotta o, comunque, dei suoi effetti, date le istanze, di analogo contenuto, pervenute all’Autorità anche successivamente alla formale contestazione inviata alla Società in data 13 maggio 2020, da intendersi qui integralmente richiamata e alla quale si rimanda per ogni elemento di dettaglio.

2.1. Attività promozionale mediante sms, e-mail, fax, telefonate e chiamate automatizzate

Nel periodo preso in esame, come accennato, sono pervenuti al Garante numerosi reclami e segnalazioni relativi alla ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate. In molti casi è stata lamentata la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione.

In risposta a specifiche richieste di informazioni, la Società,

1. in alcuni casi, ha documentato l’acquisizione di uno specifico consenso mediante esibizione dei contratti (proposte di acquisto – pda) sottoscritti dagli interessati;

2. in altri ha documentato l’acquisizione di un consenso che, alla luce degli accertamenti condotti, si è rivelato inidoneo;

3. nei rimanenti casi non è stata in grado di documentare l’avvenuta acquisizione del consenso.

2.1.1. Contatti effettuati senza consenso

La Società, in alcuni riscontri forniti, ha dichiarato che il contatto è avvenuto per errore (cfr. fascicoli 128119, 127661, 130539, 123638,134545, 142932, 121112); in altri casi, che la revoca non era stata tempestivamente recepita per problemi legati alla gestione della corrispondenza o all’identificazione dell’interessato, di cui si dirà meglio in seguito (cfr. fascicoli 141011, 134392, 130266,130344, 145996, 124985, 134434, 133063, 133372, 134997, 128000, 128805, 130356, 129952, 127784).

2.1.2. Contatti effettuati sulla base di un consenso da ritenersi non idoneo

In altri casi, la Società ha risposto alle specifiche richieste di informazioni documentando l’acquisizione di un consenso che, alla luce delle valutazioni compiute, si è rivelato inidoneo.

2.1.2.1.  Consensi risalenti e non conformi al nuovo quadro normativo introdotto dal Regolamento

In particolare, in tre casi (cfr. fascicoli 133088, 134927, 131464), il consenso è stato documentato allegando i contratti sottoscritti dai clienti. Questi, tuttavia, risalenti agli anni 1998/99 non risultano più idonei rispetto al quadro normativo vigente in quanto non consentono di documentare una volontà libera, specifica e informata dell’interessato essendo previsto un solo consenso per finalità di trattamento diverse (attività promozionale del titolare, di terzi, valutazione della soddisfazione della clientela, tutela del credito); a tal proposito si richiamano gli artt. 4, punto 11, e 7 nonché il contenuto del considerando n. 171 del Regolamento in base al quale «qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Pertanto, è onere del titolare valutare se i consensi già acquisiti siano da considerarsi ancora conformi alle norme vigenti; tra queste, si richiamano anche le modifiche normative intervenute successivamente al 1999 volte a disciplinare, con disposizioni di carattere speciale, il trattamento posto in essere nell’ambito dei servizi di comunicazione elettronica (art. 130 del Codice e disposizioni in materia di Registro delle opposizioni) da considerarsi ormai note a tutti gli operatori del settore, anche alla luce delle numerose pronunce del Garante.

2.1.2.2.  Consensi acquisiti direttamente dai partner commerciali

In un caso (cfr. fascicolo 130729), la ricezione di un sms indesiderato è stata giustificata sostenendo che l’invio risultava effettuato direttamente dalla XX Srl, senza utilizzare liste di Wind Tre, sulla base di un consenso autonomamente acquisito per la promozione di servizi di terzi (peraltro non esibito unitamente alla risposta).

A tale proposito si rileva che la Società, con allegato 1 alla nota del 15 luglio 2019, ha fornito la copia di una comunicazione inviata ai propri partner commerciali per richiamarli al rispetto della normativa vigente in materia di marketing. Tra le prescrizioni presenti in tale comunicazione si evidenzia quanto indicato al punto I) dove la Società richiede di “verificare che, nell’eventualità attuiate attività di promozione di nostre offerte, siano contattate solo le numerazioni consensate per i contatti commerciali delle quali Wind Tre è titolare oppure legittimamente acquisite da Voi in proprio e delle quali siete legittimamente titolari, analogamente consensate ai contatti commerciali e alla comunicazione a Società di telecomunicazioni”.

Da tale comunicazione e sulla base di quanto dichiarato in merito alla segnalazione relativa al fascicolo 130729, si evince che la Società prevede, tra le modalità di effettuazione delle campagne promozionali, anche la possibilità di affidare tale trattamento a terzi in qualità di autonomi titolari senza tuttavia garantire che tali contatti non pregiudichino la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali.

2.1.2.3. Consensi acquisiti mediante le app MyWind e My3.

In altri casi, la Società ha documentato il consenso fornendo la schermata del sistema informativo interno da cui risulta prestato un consenso tramite “canali interattivi” o “SelfcareAppAndroid”.

Dall’esame della documentazione allegata si evince che i consensi sono stati forniti dagli interessati accedendo alla propria area personale tramite l’app MyWind o My3.

In particolare, in tre casi (cfr. fascicoli 134496, 138094 e 140940) il consenso, originariamente non presente, risulta acquisito a seguito di una registrazione informatica descritta come “variazione”, che, secondo quanto successivamente illustrato dalla Società, indicherebbe il fatto che l’interessato stesso, operando direttamente tramite i canali Selfcare (di cui le app sono uno strumento) avrebbe richiesto una modifica dello status dei consensi, conferendoli ove non presenti. In due di essi (fascicoli 134496 e 138094) tale variazione risulta effettuata nel mese di dicembre 2018, data in cui è stata implementata una modifica dell’app. Inoltre, in due circostanze (fascicoli 138094 e 140940), tale variazione risulta contestualmente prestata per tutte le tipologie di trattamento elencate nella pagina iniziale dell’app (marketing, profilazione, arricchimento dati, geolocalizzazione, trasferimento a terzi). A tale ultimo riguardo uno dei reclamanti (cfr. fascicolo 138094), in replica al riscontro della Wind Tre, ha ribadito le proprie perplessità in merito ai consensi che risultavano conferiti, evidenziando di non avere idea, per alcuni trattamenti, neanche del significato di quanto riportato (ad esempio per l’”arricchimento dei dati”) e ha altresì  osservato che non avrebbe avuto motivo di fornire all’operatore tutti i consensi in un momento in cui, a causa dei numerosi disservizi, non era più soddisfatto del servizio fornito.

A tal proposito, si osserva che il funzionamento delle app MyWind e My3, preposte alla gestione del profilo utente connesso al servizio telefonico, è stato portato all’attenzione del Garante con una pluralità di altre segnalazioni e reclami (fascicoli 116325, 133895, 133630, 132819, 132840, 132535, 134089, 135405). Tutte le istanze ricevute hanno lamentato, in maniera analoga e con allegazione dei relativi screenshot, che le app in questione obbligavano l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione) salvo poi consentire di revocarli trascorse 24 ore.

Con nota del 17 aprile 2019 la Società, nel dichiarare di aver apportato nell’ultimo trimestre 2018 alcune modifiche alle app in questione, ha allegato le schermate di accesso di entrambe, analoghe a quelle già presentate dai segnalanti, dalle quali è emerso quanto segue:

– veniva enunciata la volontà del titolare di effettuare i cinque trattamenti descritti;

– vi si leggeva che “se preferisci puoi scegliere […] quali consensi prestare su Gestione consensi. Premendo Accetto consenti a Wind Tre di raccogliere e utilizzare le informazioni sopra elencate e da te personalizzate. Dichiaro inoltre di accettare i termini e condizioni e di aver preso visione dell’informativa privacy”;

– premendo il tasto “Annulla”, non era possibile utilizzare l’app perché, a detta della Società, non risultavano accettati termini e condizioni e non risultava la presa visione dell’informativa.

Wind Tre, al riguardo, ha affermato che non v’era alcun vincolo a fornire i consensi poiché questi erano previamente gestibili dal link “Gestioni consensi” presente nel corpo del testo e “probabilmente alcuni utenti possono aver frainteso i contenuti della pagina”. Infatti, andando in Gestione consensi si potevano scegliere le singole preferenze; poi “effettuata tale scelta, il cliente tornando alla pagina precedente e premendo accetta conferma la scelta sui consensi appena effettuata e al contempo accetta termini e condizioni”.

In tali casi, pertanto, si evidenzia come la procedura seguita fosse complessa, inadeguata all’utilizzo rapido, tipico di una applicazione per smartphone e, per tali ragioni, idonea ad ingenerare errori da parte dell’interessato con dirette ricadute sulla legittima espressione del consenso. La Società, in ogni caso, nonostante le segnalazioni di volta in volta ricevute, non ha ritenuto di dover intervenire tempestivamente nella configurazione descritta.

Allo stesso modo, occorre considerare, in via generale, che le app del tipo di My3 e MyWind assolvono alla essenziale funzione di consentire all’utente di monitorare i consumi e le soglie di utilizzo dei servizi e, quindi, di controllare la complessiva spesa telefonica. L’impossibilità di tenere sotto controllo le spese correnti può aver rappresentato un ulteriore elemento negativo per l’interessato, nella sua veste di consumatore.

Inoltre, con reclamo dell’8 gennaio 2020 (fascicolo 145970), è stata documentata la conversazione tenuta in chat con operatori del servizio clienti che confermano che “…i consensi sono revocati. se li hai trovati temporaneamente concessi potrebbe essere stato a causa dell’ultimo aggiornamento dell’area clienti perché, per poter accedere, ti viene prima richiesto di prestare i consensi e poi possono nuovamente essere revocati”.

Con nota del 17 febbraio 2020 la Società, nel ribadire che l’espressione di specifici consensi era sempre possibile attraverso il link “Gestione consensi”, ha aggiunto che, al fine di rendere più snello l’utilizzo dell’app, premendo il tasto “Accetta” il cliente poteva confermare contestualmente l’accettazione di termini e condizioni ma anche dei consensi facoltativi non precedentemente espressi, salvo poi la possibilità di modificarli successivamente. La stessa ha, inoltre, aggiunto che “il signor … ha più volte modificato la sua volontà prestando e revocando i consensi precedentemente rilasciati”.

Infine, con reclamo del 5 febbraio 2020 (fascicolo 146873) è stata lamentata ancora una volta l’impossibilità di utilizzare l’app senza necessariamente cliccare sul tasto “Accetta” e senza che si potessero chiaramente comprendere gli effetti di tale manifestazione di volontà. La reclamante ha documentato che, una volta indicato “Accetta”, i consensi presenti nell’area personale risultavano tutti conferiti. La stessa ha inoltre allegato uno scambio di corrispondenza con la casella privacy@h3g.it dalla quale è emerso che la Società ha fornito riscontro indicando, in un primo momento che “una volta effettuato l’accesso all’App potrà modificare i consensi alla sezione Strumenti – Impostazioni – Gestione Consensi”. Alle successive osservazioni contrariate della cliente, la Società ha risposto che “Al solo fine di agevolare e rendere più snello il primo accesso all’App My3 da parte dei nostri Clienti, abbiamo previsto, nel caso in cui il Cliente non voglia andare nella sezione dedicata Gestione Consensi per evitare un ulteriore passaggio, operazione questa comunque effettuabile in qualsiasi momento, di prevedere un tasto Accetto sia per le Condizioni del Servizio sia per i Consensi non precedentemente manifestati. L’Accetto riferito invece all’informativa privacy è da intendersi non come un vincolo dei consensi per usufruire delle funzionalità ma piuttosto quale presa visione delle modalità e finalità del trattamento”.

Tali giustificazioni fornite dalla Società non sono state ritenute accoglibili ed è stata pertanto formulata una specifica contestazione ai sensi dell’art. 166, par. 5 del Regolamento. In base a quanto affermato da Wind Tre, infatti, l’intento della richiesta sarebbe stato quello di far accettare le condizioni contrattuali e dimostrare la presa visione dell’informativa. A ciò evidentemente doveva però aggiungersi anche l’intenzione di acquisire consensi in precedenza non manifestati.

In base a quanto dichiarato, dunque, queste tre diverse manifestazioni di volontà (all’apertura dell’app, con una sola domanda, veniva chiesto: 1) di accettare le condizioni contrattuali; 2) di accettare l’informativa; 3) di fornire – o “convalidare” tutti i consensi richiesti) si sarebbero dovute esprimere con un’unica azione, consistente nella selezione del pulsante “Accetta”. Se anche si volesse ammettere un’utilità di tale tipo di procedura, si dovrebbe rilevare il mancato rispetto di quanto contenuto nell’art. 7, par. 2 del Regolamento nonché nei considerando 42 e 43 in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Inoltre, la proposizione delle menzionate richieste appare anche priva di senso logico dal momento che non è dato comprendere per quale motivo queste venissero reiterate ad ogni accesso all’app. In tal senso, anche avendo voluto considerare la richiesta solo come una conferma di presa visione dell’informativa, essa appare del tutto pretestuosa in mancanza di modifiche dell’informativa stessa che ne rendessero necessaria la riproposizione. Analoga considerazione può essere fatta in merito alle condizioni contrattuali, che si suppongono rese note al momento della sottoscrizione del contratto di servizio (e non modificate ad ogni singolo accesso).

Le numerose segnalazioni pervenute (tutte di analogo contenuto) portano a ritenere che, dietro la mancanza di chiarezza, si celi dunque una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti, regola che non è stata modificata neanche dopo la ricezione delle numerose segnalazioni.

La previsione di una modalità di scelta (asseritamente preventiva) tramite il link “Gestione Consensi”, oltre a dimostrarsi difficilmente comprensibile, appare anche giuridicamente insufficiente a garantire l’espressione di un valido consenso dal momento che, in mancanza di specificazioni in tal senso, si sarebbe sempre potuta considerare superata dalla manifestazione di volontà successivamente espressa premendo il tasto “Accetta”. E, soprattutto, non appare giustificata nella sua reiterazione.

Del tutto insufficiente è da considerarsi, infine, il rimedio consistente nella possibilità di revocare (peraltro non prima di 24 ore) i consensi espressi involontariamente, dal momento che, come noto, l’espressione della volontà deve essere libera e preventiva. La stessa Wind Tre ha dato atto che, in diversi casi, i consensi risultavano prestati e poi revocati più volte. Rimanendo da sottolineare il rischio di utilizzo dei dati nel corso delle predette 24 ore.

Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte non posso considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Con la memoria difensiva del 15 giugno 2020 la Società ha dichiarato che, ad oggi, le due app sono state sostituite dall’unica app WINDTRE, che non richiede più di manifestare il consenso all’accesso.

2.1.2.4.  Consensi prestati con modalità non legittime (manifestazione del consenso non libera).

Come evidenziato al punto 2.1., in numerosi casi la Società ha documentato l’acquisizione del consenso fornendo copia dei contratti sottoscritti dai clienti (cd. pda).

Fatte salve le specifiche anomalie già indicate sopra, si vogliono ora esaminare le modalità generali di raccolta del consenso all’atto della sottoscrizione di un contratto per l’acquisto di una utenza mobile o fissa. Ciò in quanto più volte negli anni è stata portata all’attenzione del Garante, la difficoltà di esprimere un consenso libero e specifico per tutte le finalità del trattamento, nonostante le dichiarazioni della Società in merito alle istruzioni impartite in tal senso ai propri partner.

Da ultimo si richiama una segnalazione del 13 marzo 2020 (cfr. fascicolo 148352) con la quale, con note inviate anche a Wind Tre, è stata lamentata l’impossibilità di esprimere un consenso libero per finalità promozionali, sia preventivamente che successivamente alla sottoscrizione del contratto attivato presso un rivenditore.

Si richiama, inoltre, il reclamo (cfr. fascicolo 136370) con il quale è stato rappresentato, in maniera molto puntuale, che l’operatore addetto alla vendita ha predisposto un contratto con tutte le caselle relative ai consensi già preselezionate e, dopo qualche resistenza opposta alle richieste del cliente, ha modificato solo le selezioni a sistema senza ristampare il contratto. La Società, interpellata in merito, ha risposto con nota del 17 luglio 2019 rappresentando che la volontà del cliente è stata probabilmente equivocata dall’operatore. Sulla base di tali elementi, l’Ufficio aveva disposto la chiusura dell’istruttoria in data 20 novembre 2019. Tuttavia, alla luce di alcuni fatti sopravvenuti, che di seguito si illustrano, deve essere considerato nuovamente quanto emerso anche dalla descritta istruttoria valutando diversamente la buona fede delle dichiarazioni a suo tempo fornite dalla Società

Infatti, con un reclamo del 17 giugno 2019 (cfr. fascicolo 139604) è stato lamentato che, per l’attivazione di una nuova utenza presso un dealer, sarebbe stato da questi predisposto per la firma un contratto contenente i consensi già selezionati senza aver previamente richiesto al cliente di manifestare una volontà in tal senso; date le dimensioni dei caratteri con cui era scritto il testo relativo alla manifestazione dei consensi, non sarebbe stato possibile accorgersi immediatamente di quanto veniva presentato per la firma; per ottenere la stampa di un nuovo contratto senza i consensi selezionati sarebbero state opposte molte resistenze da parte dell’addetto alla vendita.

In questo caso l’Ufficio ha richiesto un accertamento ispettivo presso il rivenditore XX S.r.l. di Merano, dove era stata attivata l’utenza in questione e che operava in qualità di responsabile del trattamento di Wind Tre. L’attività ispettiva, delegata al Nucleo speciale privacy, è stata effettuata nei giorni 11 e 12 dicembre 2019 e ne è emerso quanto segue:

la registrazione dei consensi viene effettuata utilizzando l’applicativo di Wind Tre denominato “Wind Station”;

in merito alle effettive modalità di raccolta della volontà del cliente, l’operatore ha dichiarato a verbale che “seguendo le indicazioni del capo area signor …, nel corso di ogni attivazione di sim card, l’operatore di riferimento deve flaggare d’iniziativa tutti i consensi ivi previsti. Tale operazione tra l’altro è agevolata da un apposito pulsante presente all’interno del gestionale […]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all’attenzione dell’interessato per l’accettazione di presa visione dell’informativa e rilascio dei consensi, quest’ultimo dovesse manifestare perplessità sui consensi presenti nel modello di riferimento, l’operatore provvede a modificarli secondo le indicazioni fornite direttamente dall’interessato”; ne consegue che l’operatore, di default, valorizza tutti i consensi e stampa il contratto, così predisposto, per la firma del cliente;

i verbalizzanti hanno acquisito la copia del contratto sottoscritto dal reclamante il 21 maggio 2019 nel quale è presente, sul lato destro in alto, un riquadro denominato “resta in contatto con Wind” contenente una dichiarazione di presa visione dell’informativa e autorizzazione al trattamento dei dati personali per finalità di marketing da parte di Wind Tre e dei propri partner; profilazione; geolocalizzazione; comunicazione a terzi e arricchimento dei dati. Le dimensioni e la spaziatura del testo contenuto in tale riquadro sono notevolmente inferiori a quelle dei caratteri che compongono l’annesso contratto tanto da risultare oggettivamente di difficile lettura sia per quanto riguarda l’intero testo sia, soprattutto, per quanto riguarda la visualizzazione di un eventuale flag nelle caselle relative ai singoli consensi;

l’operatore ascoltato al riguardo, ha dichiarato di aver ricevuto istruzioni verbali in merito alla prassi operativa sopra descritta per l’acquisizione dei consensi e, al fine di documentare quanto asserito, ha consegnato copia di due e-mail ricevute dal responsabile di Wind Tre: in una di esse, del 25 maggio 2019, è presente un grafico che descrive le percentuali di acquisizione dei consensi raggiunte dal dealer con un invito “ancora una volta di arrivare al 100% su tutto”; con la seconda e-mail, del 5 giugno 2019, il rappresentante commerciale di Wind Tre inviava al dealer un resoconto delle prestazioni effettuate ai fini della valutazione del fornitore; nel testo si legge “attenzione ai dati di qualità inseriti, in particolare i flag devono essere al 100% su tutto”; a tale mail viene allegata una tabella dalla quale si evince chiaramente che l’ottenimento di alte percentuali di flag sui consensi è annoverato fra gli indicatori di qualità;

infine, esaminando il contenuto del gestionale fornito da Wind Tre al rivenditore, è stato fatto accesso alla comunicazione pubblicata da Wind Tre il 22 marzo 2019 dal titolo “Nuovi consensi da POS NG”. Con tale avviso si informavano i partner della variazione effettuata sulla lista dei consensi a partire dal 25 marzo 2019 che riguardava, in particolare, l’accorpamento dei primi due consensi in un’unica manifestazione di volontà, presentata al sottoscrittore con il seguente testo: “Comunicazioni commerciali Wind: acconsento al trattamento dei miei dati personali per la ricezione, da parte di Wind, di comunicazioni inerenti offerte speciali, sconti e promozioni relative a prodotti e servizi Wind e di partner selezionati da Wind”; veniva così richiesto un unico consenso per ricevere comunicazioni promozionali sia di Wind Tre che di terzi. Inoltre, in caso di “modifica Offerta per i già clienti acquisiti prima del 9 gennaio 2017 sono visualizzati i soli 2 consensi old valorizzati come espressi in fase di attivazione e i nuovi 4 consensi non valorizzati (blank). È possibile modificare i primi 2 e acquisire i 4 nuovi consensi […] ma qualora il rivenditore provi nell’acquisire solo alcuni dei 4 nuovi consensi o modificarne uno dei 2 old, verrà visualizzato il warning bloccante, dove appunto verrà indicato di valorizzare tutti e 6 consensi. […]. Per i clienti acquisiti dal 9 gennaio 2017, da Modifica Offerta, risultano già valorizzati tutti e 6 i consensi con la possibilità di modificarli insieme alla variazione commerciale dell’offerta”.

2.1.2.5. Consensi di clienti di altro gestore acquisiti con modalità illegali

Vengono qui in riferimento gli esiti degli accertamenti del cd. “procedimento B” richiamato in premessa e svolti dopo che l’Autorità ha appreso, da una segnalazione, dell’esistenza in Roma di un call-center che avrebbe svolto attività di contatto di potenziale clientela e offerta di servizi telefonici per conto della Società, mediante acquisizione di dati di clienti di altro operatore telefonico con modalità non lecite e comunque fuori dalla cornice normativa delineata dal Regolamento e dal Codice.

L’Ufficio, effettuate le necessarie verifiche relative alle informazioni anagrafiche dei soggetti indicati nella segnalazione, delegava alla Guardia di finanza, Nucleo speciale tutela privacy e frodi tecnologiche, lo svolgimento di accertamenti ispettivi presso detto call-center.

L’accertamento ispettivo ha consentito di rilevare che le attività ivi svolte facevano capo alla Alessandro Corbelli Sunrise s.r.l.s. e, nonostante le stesse, in sede di accesso, fossero state presentate come attività di formazione per l’avviamento di futuri operatori di call-center, le risultanze degli accessi alle postazioni di lavoro hanno evidenziato che – proprio al momento dell’accertamento – erano in corso attività di contatti telefonici promozionali dei servizi della società Wind Tre.

I contatti telefonici dei potenziali clienti, indirizzati all’area business, prevedevano la fissazione di appuntamenti per la compilazione delle proposte di contratto, appuntamenti che venivano “caricati” nelle agende elettroniche delle persone che si sarebbero dovuto recare presso i clienti.

Nel call-center veniva rinvenuta ingente modulistica contrattuale di Wind, predisposta per la clientela business, e numerose sim-card a marchio Wind.

Le attività di contatto venivano svolte in sette postazioni di lavoro mediante l’utilizzo di personal computer e telefoni cellulari. Nella cronologia dei predetti telefoni è stata rinvenuta traccia di centinaia di telefonate effettuate nei tre giorni antecedenti l’intervento ispettivo. Dagli accessi ai computer in uso agli operatori è stato possibile acquisire numerosi file in formato excel contenenti elenchi costituiti da informazioni anagrafiche e di contatto telefonico di aziende e persone fisiche. Tutti gli operatori interpellati hanno dichiarato che tali file venivano quotidianamente caricati sul desktop dei pc da parte del referente e che gli stessi contenevano i nominativi e i numeri di telefono dei soggetti da contattare. Nel pc del referente e in un’altra postazione di lavoro venivano rinvenuti file excel contenenti dati personali (nome, cognome, ragione sociale, codice fiscale, numero di telefono fisso e numero di telefono mobile) di oltre 500.000 utenti. Venivano anche   rinvenute tracce informatiche di accessi tramite virtual machine al database di un’altra compagnia telefonica.

Con riferimento all’origine dei dati personali rinvenuti nelle diverse postazioni di lavoro del call-center, uno specifico accertamento ispettivo effettuato presso la sede dell’operatore telefonico da cui – secondo la segnalazione sopra richiamata – questi sarebbero stati trafugati, non consentiva di acquisire piena prova in tal senso, mentre il referente presente nel call-center al momento dell’accertamento dichiarava che “l’attività in una giornata tipo di questo call center prevede che io distribuisca agli operatori le liste di soggetti da contattare che sono presenti nel mio PC delle quali non so definirne l’origine […]; con riferimento alle SIM presenti nel call center e alla documentazione contrattuale e alle brochure rappresento che tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.

Tali dichiarazioni del referente, paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità, non erano in grado di comprovare che l’acquisizione dei dati anagrafici dei potenziali clienti fosse avvenuta nel rispetto delle disposizioni del Regolamento e del Codice, con particolare riferimento alla disciplina del consenso, e, in ogni caso, evidenziavano che le attività di call-center si svolgevano al di fuori delle procedure implementate da Wind Tre per disciplinare le attività di telemarketing e teleselling. Inoltre, le modalità di contatto dei potenziali clienti avvenivano senza fornire la necessaria informativa prevista dall’art. 14 del Regolamento come evidenziato dall’assenza di informazioni sul trattamento dei dati personali nello script di chiamata acquisito durante l’accertamento, con ciò corroborando la considerazione che il consenso eventualmente raccolto non può comunque considerarsi valido per mancanza delle necessarie preventive informazioni.

In buona sostanza, l’attività del call-center si presentava come del tutto abusiva, in violazione non soltanto delle disposizioni in materia di protezione dei dati personali ma anche di quelle in ambito fiscale, tributario e lavorativo per le quali il nucleo privacy procedeva ad interessare le competenti articolazioni della Guardia di finanza. Risultava inoltre condotta da una società non presente nel Registro degli operatori di comunicazione, utilizzando numerazioni non censite nel medesimo registro, in un quadro estremamente preoccupante di disinteresse per i diritti degli interessati e per le necessarie garanzie di sicurezza che avrebbero dovuto presiedere ogni operazione di trattamento.

Nel corso dell’accertamento effettuato presso detto call-center venivano acquisiti riscontri documentali di un significativo legame operativo fra esso e l’agenzia Merlini s.r.l. che svolge attività di commercializzazione dei prodotti della società Wind Tre presso la propria sede operativa di Ponsacco (PI).

L’Ufficio delegava quindi alla Guardia di finanza l’effettuazione un accertamento ispettivo nei confronti della predetta agenzia, dal quale emergeva che Merlini s.r.l. opera esclusivamente per conto di Wind Tre, in forza di un contratto di agenzia che prevede anche la sua designazione quale responsabile del trattamento. Merlini s.r.l. svolge la sua attività per il tramite di collaboratori presenti sul territorio nazionale, denominati “procacciatori”. Fra i procacciatori che collaborano con tale società risultava anche la società Alessandro Corbelli Sunrise s.r.l.s. e, con riferimento ad essa, Merlini s.r.l. produceva alcune fatture, elenchi di contratti acquisiti ed e-mail contenenti copie dei documenti dei clienti.

Circa l’attività dei procacciatori, Merlini s.r.l. esibiva copia di alcune lettere d’incarico nelle quali è riportato testualmente: “la sua attività dovrà essere svolta in piena autonomia seguendo unicamente le indicazioni e disposizioni che le saranno impartite circa i nostri prodotti, le condizioni di vendita ed altre disposizioni commerciali. L’attività. potrà comunque essere svolta in collaborazione con addetti alla produzione e/o commercializzazione, con agenti propri”. Merlini s.r.l. dichiarava di non aver individuato i procacciatori quali responsabili del trattamento o autorizzati a svolgere operazioni di trattamento in quanto essi “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.

Con nota del 25 ottobre 2019 l’Ufficio richiedeva a Merlini s.r.l. di esibire copia della lettera di incarico conferito alla società Alessandro Corbelli Sunrise s.r.l.s., e di ogni altro negozio giuridico stipulato con la medesima. Merlini s.r.l. forniva riscontro con e-mail del 4 novembre 2019, rappresentando “di non avere ulteriore documentazione ed in particolare copia di altri mandati. Come già esposto durante l’accertamento del 9 luglio, con molti collaboratori (tra cui Corbelli) sono ed erano in corso accordi verbali e il rapporto si è concretizzato con l’invio di proposte di contratto Wind da parte dei collaboratori e il puntuale pagamento degli affari procacciati da parte della nostra società” e aggiungendo altresì “che al momento di avviare nuove collaborazioni ai procacciatori il mandato scritto è l’ultima cosa che interessa […]”.

Con specifico riferimento alla vicenda di cui sopra, l’Ufficio delegava alla Guardia di finanza anche due accertamenti ispettivi che si svolgevano presso la sede di Wind Tre, in Roma.

Relativamente ai rapporti con Merlini s.r.l., Wind Tre produceva il contratto di agenzia stipulato fra le due aziende e un prospetto riepilogativo della documentazione acquisita e del processo svolto per affiliare gli agenti di vendita alla rete di Wind Tre. Tale processo di affiliazione prevede, fra l’altro, l’acquisizione di visure camerali, questionari di due diligence e scoping, documentazione bancaria, fiscale e curriculum dei rappresentanti legali.

Fra la documentazione, veniva esibito un questionario sottoposto all’agente di vendita in ordine agli adempimenti in materia di protezione dei dati personali. Fra le risposte fornite da Merlini s.r.l., emergevano numerosi elementi idonei a ingenerare dubbi in ordine al corretto trattamento dei dati personali e alla efficace gestione dei collaboratori. Ad esempio:

– alla domanda (presente nella sezione 6 “Composizione liste contatti commerciali” del questionario) “il partner acquisisce le liste di soggetti da contattare telefonicamente attraverso canali differenti da Wind Tre?”, Merlini s.r.l. rispondeva affermativamente senza indicare i canali di acquisizione delle predette liste;

– alla domanda “il partner garantisce il corretto utilizzo delle liste di contatti nell’ambito della loro validità temporale preventivamente comunicata da Wind Tre e le cancella, decorso il termine, da qualsiasi sistema/supporto di memoria?”, Merlini s.r.l. rispondeva negativamente;

– a tutte le domande relative agli “obblighi relativi al trattamento dati per chiamate commerciali” e al “codice di condotta per attività di telemarketing” Merlini s.r.l. rispondeva che esse non erano conferenti rispetto alla propria attività, nonostante le stesse riguardassero le regole deontologiche e le istruzioni operative presenti nelle sezioni I e L del contratto di agenzia sottoscritto dalla stessa Merlini s.r.l.

Nessuna verifica risulta essere stata posta in essere da Wind Tre, alla luce dei riscontri forniti da Merlini s.r.l., in ordine alla rete dei collaboratori di quest’ultima società e, in particolare, se tali collaboratori fossero stati individuati sulla base dei medesimi requisiti richiesti da Wind Tre, nonché avviati alle attività promozionali sulla base delle stesse modalità operative individuate nel contratto di agenzia stipulato tra Wind Tre e Merlini s.r.l..

2.1.3. Contatti effettuati senza che sia stata documentata l’acquisizione di un idoneo consenso

La Società, in diverse circostanze, non è stata in grado di documentare l’avvenuta acquisizione del consenso, affermando, a seconda dei casi:

a) che le numerazioni chiamanti indicate dai segnalanti non risultavano riconducibili a quelle in possesso dei partner o,

b) che l’utenza chiamata non risultava presente nelle liste da contattare per finalità promozionali (cfr. fascicoli 128220, 127687, 132667, 132114, 131606, 131684, 135017, 136153, 136903, 137035, 136371, 136650, 137157, 137392, 137186, 138316, 138667, 139253, 140782, 139839, 140716, 140463, 140391, 142109, 144236, 146789) ovvero ancora,

c) che le modalità utilizzate per effettuare la campagna promozionale non erano riconosciute come rispondenti alle policy di comunicazione aziendali (cfr. fascicoli 134997, 130266, 145996, 123638, 130729, 113495, 133984, 134569, 132667, 133372, 134927, 132256, 132114, 131606, 131897, 131464, 135017, 136903, 136945, 137003, 137392, 139253, 140782, 139839, 140343, 140391, 144236, 146789);

ovvero:

d) non fornendo alcun elemento (informativo o documentale) atto a comprovare il possesso di un idoneo consenso limitandosi ad assicurare di aver inserito la numerazione dell’interessato in black list (cfr. fascicoli 134569, 132256,133372, 131897, 136945, 137035, 139126, 142352, 139839);

e) documentando il consenso mediante allegazione di copie di contratti illeggibili o comprovanti unicamente le volontà contrattuali e non anche le scelte in merito ai dati personali (cfr. fascicoli 128208, 130787, 113495, 131896).

2.2. Modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati

In molti casi è stato lamentato il mancato riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, anche in maniera reiterata, con particolare riguardo all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca.

La Società, con le note inviate in risposta alle diverse richieste di informazioni formulate dall’Autorità, ha rappresentato che alcune istanze non sono state riscontrate o non sono state tempestivamente riscontrate perché:

a) pervenute ad un indirizzo non preposto alla gestione di tale tipologia di richieste (cfr. fascicoli 130344, 133911, 142614, 145996, 124985, 134434, 133063, 133372, 137580);

b) in ottemperanza ad una procedura aziendale, poi superata, veniva richiesto di identificarsi mediante l’invio di un documento (cfr. fascicoli n, 130344, 128000, 128805, 130356, 129952, 127784, 128208);

c) si sono registrati errori o problemi di ricezione della posta cartacea o elettronica (cfr. fascicoli n. 141011, 134392, 130266, 130539).

2.2.1. Istanze pervenute a recapiti non corretti

Con riguardo a quanto rappresentato al punto a), in particolare, la Società ha fatto presente che le comunicazioni che non hanno avuto un adeguato riscontro sono pervenute ad indirizzi mail o pec non presidiati da personale idoneo a gestire istanze relative alla protezione dei dati personali. La stessa ha, altresì, evidenziato che in una struttura complessa, quale è quella di Wind Tre, non è possibile assicurare la corretta gestione delle richieste se non pervengono ai corretti recapiti, come indicato nelle informative presenti sui siti web dei brand Wind e Tre.

L’ufficio ha pertanto verificato, in data 26 febbraio 2020, la pubblicazione di detti recapiti sui siti web della Società, riscontrando quanto segue:

a) relativamente ai riferimenti per il brand Wind,

– nel sito www.wind.it al link “privacy” era presente un elenco di diverse informative seguite dalla “cookie policy” in calce alla quale è riportato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) o chiamando il 155”. Infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

pertanto, per i clienti Wind veniva messo a disposizione unicamente il recapito fisico di una casella postale o, in alternativa, si invitava a chiamare il servizio clienti;

b) relativamente ai riferimenti per il brand Tre,

– nel sito www.tre.it al link “privacy” era presente un elenco di diverse informative seguite da un documento denominato “Privacy policy” all’interno del quale era specificato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it o chiamando il 133”;

– infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it. e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

Per i clienti Tre, dunque, veniva messo a disposizione un recapito fisico che faceva riferimento prima ad una casella postale e, successivamente, all’indirizzo Via Alessandro Severo 246, Roma, senza chiarire quale fosse il corretto recapito da utilizzare; inoltre, veniva fornito un indirizzo di posta elettronica ordinaria o, in alternativa, si invitava a chiamare il servizio clienti.

Occorre, tuttavia, notare che le numerose istanze pervenute hanno lamentato tutte, in maniera analoga, il mancato riscontro a richieste inviate quasi sempre ai medesimi indirizzi: windtrespa@pec.windtre.it, servizioclienti155@pec.windtre.it e windtreitaliaspa@pec.windtre.it.

L’utilizzo così ricorrente dei medesimi recapiti da parte di numerosi segnalanti, in luogo di quelli riportati nelle informative, può considerarsi indicativo del fatto che, innanzitutto, essi siano stati in qualche modo resi noti ai clienti (verosimilmente nella documentazione contrattuale o, come riferito in alcune segnalazioni, forniti telefonicamente dallo stesso servizio clienti). La stessa Wind Tre, con il riscontro fornito il 26 novembre 2019, nel contestare l’utilizzo di un indirizzo pec inesistente, ha affermato che “l’indirizzo corretto è servizioclienti155@pec.windtre.it così come riportato nelle Condizioni Generali di contratto”.

Inoltre, tenuto conto della tecnologia allo stato disponibile, non si può considerare sufficiente – e in tali termini è stato contestato alla Società – la predisposizione del solo canale fisico per l’invio delle istanze, obbligando gli interessati ad inviare una lettera o una raccomandata (eventualmente anche con ricevuta di ritorno, per avere conferma della ricezione), sopportandone i relativi costi.

L’alternativa del contatto telefonico con il servizio clienti o l’indirizzo di posta elettronica ordinaria (peraltro fornito solo per il brand Tre e non per Wind) non soddisfano le esigenze di chi voglia comprovare l’invio di un’istanza.

Si richiama, a tal proposito, quanto disposto dall’art. 12, par. 2 del Regolamento in base al quale il titolare del trattamento agevola l’esercizio dei diritti dell’interessato, nonché quanto previsto dall’art. 7, par. 3 in base al quale il consenso è revocato con la stessa facilità con cui è accordato.

Infine, pur ritenendo comprensibili le esigenze rappresentate dalla Società di far confluire verso un unico “canale” le richieste relative alla protezione dei dati personali, la numerosità delle doglianze pervenute ha reso evidente che i soggetti interessati non sempre sono in grado di ricondurre autonomamente le proprie istanze a problematiche connesse alla disciplina della protezione dati.

Come si evince dalle numerose segnalazioni rimesse a codesta Società, non solo l’utente medio ma anche diversi professionisti (ingegneri, avvocati, ecc.), si sono avvalsi dei recapiti pec sopra menzionati ritenendoli corretti e solo in pochissimi casi è stato utilizzato il contatto del dpo (per lo più dopo precedenti tentativi infruttuosi). Analogamente si richiamano le difficoltà rappresentate da quanti, pur non essendo mai stati clienti o non essendolo più, sono stati oggetto di campagne promozionali senza avere avuto, tuttavia, la possibilità di individuare un corretto recapito cui indirizzare il proprio diniego al trattamento (dato che anche in questi casi il primo tentativo è stato fatto utilizzando il canale del servizio clienti).

Ne consegue che il servizio clienti, che di fatto rappresenta un interlocutore primario per gli interessati, non è risultato sufficientemente istruito per la corretta gestione delle istanze pervenute (almeno ad un primo livello di ricezione e smistamento), con la conseguenza che numerose richieste sono rimaste inevase o sono state trattate impropriamente.

Si dà atto, tuttavia, di quanto comunicato dalla Società con nota del 6 marzo 2020 in merito alla predisposizione di una nuova informativa, introdotta a seguito dell’istituzione del brand unico Wind Tre, nella quale sono indicati, quali canali di comunicazione con il titolare, un indirizzo fisico, una pec e un numero telefonico. La stessa Wind Tre ha inteso evidenziare, nella propria memoria difensiva, che tale misura correttiva è stata posta in essere in data antecedente alla ricezione della comunicazione di avvio del procedimento da parte del Garante, ricevuta il 13 maggio 2020.

2.2.2. Istanze non corredate da documenti di riconoscimento.

La Società in altri casi, come sopra accennato, ha poi dichiarato di non aver prontamente riscontrato le richieste degli interessati perché non corredate del documento di identità. In particolare, nelle diverse note di risposta pervenute, la stessa ha più volte dichiarato che inizialmente le procedure aziendali prevedevano l’obbligo di presentazione del documento di identità. Successivamente, anche a seguito delle numerose segnalazioni inoltrate dal Garante, si è provveduto ad operare una semplificazione garantendo comunque la revoca del consenso per finalità di marketing anche in assenza del documento, purché la stessa provenisse da un indirizzo e-mail riconducibile al cliente, “demandando in un secondo momento l’identificazione dell’interessato”.

Nel quadro normativo vigente, l’identificazione dell’interessato che esercita i propri diritti si configura come presupposto necessario per il corretto riscontro delle richieste. È, infatti, di tutta evidenza che il titolare del trattamento, nel fornire risposta alle istanze degli interessati, debba garantirli da eventuali pregiudizi, compreso l’accesso a terzi non autorizzati. Pertanto, l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche dal considerando 64 che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza.

Alla luce di tali principi, la ragionevolezza delle misure adottate, può essere valutata tenendo conto del contesto e dei potenziali rischi ma anche dell’utilità a conseguire lo scopo (di pervenire alla corretta identificazione).

Nel caso in questione, è possibile operare una diversa quantificazione del rischio connesso alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso). Ciò innanzitutto in considerazione delle scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti, laddove fosse un terzo malintenzionato ad esercitarli. Inoltre, una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, non potendo ipotizzarsi altri soggetti che potrebbero avere un interesse in tal senso (a differenza di quanto invece potrebbe accadere con l’esercizio di altri diritti).

Infine, le misure adottate devono, come detto, limitare l’acquisizione e la conservazione di dati non necessari. Tale eventualità potrebbe invece verificarsi nel caso di soggetti che, pur non essendo clienti di Wind Tre, ma essendo stati contattati (correttamente o meno) per una campagna di quest’ultima, vogliano presentare uno specifico diniego alla ricezione di messaggi promozionali: la richiesta rivolta anche a questi soggetti di fornire un documento di identità appare ancor più sproporzionata e può comportare l’acquisizione di dati personali che non sono già nella disponibilità del titolare e che dunque non sono necessari.

In conclusione, dalle risposte della Società è emerso un quadro incerto e contraddittorio nella descrizione delle misure tecniche e organizzative adottate per identificare gli interessati in maniera ragionevole, rappresentativo di una insufficiente valutazione dei differenti interessi in gioco.

L’iniziale richiesta di copia del documento di identità per tutti i soggetti, clienti e non clienti, e per qualsiasi tipologia di richiesta, secondo quanto dichiarato, è stata successivamente rivista prevedendo un immediato riscontro all’esercizio di revoca del consenso; non si comprende, tuttavia, quale sia la necessità, una volta accolta la richiesta dell’interessato, di richiedere comunque, ancorché in una fase successiva, l’invio del documento di identità.

2.2.3. Istanze non riscontrate per errori o problemi di ricezione della posta cartacea o elettronica

In un rimanente numero di casi Wind Tre ha giustificato il mancato riscontro alle istanze inviate dagli interessati prospettando la registrazione di episodi in cui la corrispondenza è risultata dispersa o non pervenuta ai corretti destinatari per errori o problemi di ricezione.

Tali eventi vanno valutati alla luce delle osservazioni sin qui fatte in merito all’idoneità delle misure organizzative adottate dalla Società.

2.3. Informazioni agli interessati

Richiamando quanto riportato al punto precedente, si rileva che, prima dell’intervento correttivo effettuato con l’introduzione del brand unico, le informative rese disponibili sui siti web di Wind e Tre indicavano dati di contatto non univoci e diversi dagli indirizzi del servizio clienti, pure comunicati dalla Società e utilizzati più frequentemente dagli interessati. Ciò ha comportato, a detta della Società, difficoltà e ritardi nella gestione delle istanze.

Con riguardo alla conformità alle disposizioni in materia di trasparenza, di cui all’art. 12 del Regolamento, si deve aggiungere anche quanto emerso dall’attività istruttoria avviata a seguito di un reclamo (cfr. fascicolo 143394) in merito all’esercizio del diritto di accesso ai dati di traffico conservati per finalità di controllo della fatturazione.

Con nota del 26 novembre 2019 la Società ha motivato il mancato riscontro alle richieste inoltrate dal reclamante rappresentando che le stesse erano state inviate ad indirizzi inesistenti e, pertanto, essendo ormai trascorsi più di sei mesi, l’accesso a tali dati non era più possibile. Prescindendo dal fatto specifico, verosimilmente originato dall’errore del cliente, deve tuttavia rilevarsi che, come contestato anche nello stesso reclamo, l’informativa resa agli interessati ai sensi dell’art. 13 del Regolamento non indicava il periodo di conservazione dei dati previsto dall’art. 123 del Codice. Ciò ha comportato, nel caso di specie, l’erroneo affidamento nel ben più ampio termine di conservazione dei dati indicato dalla Società per l’esecuzione del contratto (10 anni e sei mesi).

Si deve, infatti, considerare quanto prescritto dall’art. 123, comma 4 del Codice in merito all’obbligo del fornitore del servizio di includere, nelle informazioni rese ai sensi degli artt. 13 e 14 del Regolamento, anche le informazioni in merito alla conservazione dei dati di traffico.

In tale contesto, dunque, non si può semplicemente opporre all’utente la non conoscenza delle norme, dal momento che lo scopo della disposizione violata – l’art. 123, comma 4 – è proprio quello di bilanciare l’asimmetria informativa nei confronti degli utenti.

2.4. Pubblicazione e aggiornamento dei dati negli elenchi telefonici

Sono poi pervenuti all’Autorità numerosi reclami con i quali è stata lamentata la pubblicazione, mai autorizzata, di dati personali negli elenchi telefonici, nonché l’impossibilità di ottenerne da Wind Tre la cancellazione. In risposta a specifiche richieste di informazioni la Società ha fornito le seguenti motivazioni:

a) la pubblicazione è avvenuta per errore materiale o disallineamento (cfr. fascicoli 137276, 128170, 128336, 133645, 146363);

b) la richiesta di cancellazione non è stata tempestivamente accolta per difficoltà di comunicazione con il cliente (cfr. fascicoli 134918, 142978); in tale ultimo caso si richiama quanto già osservato in merito all’adeguatezza delle misure organizzative volte a garantire la comunicazione con gli interessati, cui questi ulteriori casi si aggiungono come esempio delle conseguenze pregiudizievoli.

Si evidenzia in particolare che, con nota del 28 novembre 2019, indirizzata al Garante e al reclamante, la Società ha dichiarato che l’utenza di quest’ultimo è stata pubblicata negli elenchi ad opera del precedente gestore di appartenenza “pertanto l’istanza di cancellazione doveva essere inoltrata alla Società Italia on Line S.p.A.”. In realtà, come noto ormai da tempo (cfr. provvedimenti del Garante del 15 luglio 2004, doc web 1032381 e del 1° aprile 2010, doc web 1711492 in materia di pubblicazione dei dati personali negli elenchi pubblici), il gestore telefonico di appartenenza, in quanto titolare del trattamento, è l’unico soggetto cui gli utenti devono indirizzare le richieste di modifica della pubblicazione dei dati in elenco. Appare pertanto incomprensibile il riferimento fatto da Wind Tre alla necessità rivolgersi direttamente alla Società Italia on Line. Allo stesso tempo si rileva che, nonostante le assicurazioni fornite dalla Società nella medesima nota di riscontro, alla data del 16 marzo 2020 i dati del reclamante risultavano ancora presenti nel sito www.paginebianche.it.

Con riguardo al reclamo di cui al fascicolo 146363, con il quale è stato lamentato anche il mancato riscontro alla richiesta di cancellazione dagli elenchi, si rappresenta che, con nota del 12 marzo 2020, la Società ha dichiarato che “il dipartimento competente della Scrivente gestisce prontamente l’istanza tentando di attivare il processo di cancellazione, che però non andava a buon fine”. Non è stato tuttavia specificato per quale motivo la cancellazione non aveva avuto esito positivo, né veniva documentato se, contrariamente a quanto lamentato nel reclamo, fosse stato dato il relativo riscontro alla richiesta inoltrata dal cliente. Anche in tale nota la Società ha dichiarato che l’utenza era stata inserita dal precedente gestore e che il reclamante avrebbe dovuto rivolgersi a Italia on Line.

3. LA DIFESA DEL TITOLARE

A seguito delle comunicazioni di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori inviate dall’Ufficio ai sensi dell’art. 166, comma 5, del Codice (nota del 13 maggio 2020 – procedimento A e nota del 19 dicembre 2019 -procedimento B), il cui  contenuto deve qui intendersi integralmente riportato, la Società, con memorie del 15 giugno 2020 (procedimento A) e del 3 febbraio 2020 (procedimento B), ha fornito le proprie osservazioni, integrate in sede di audizione il 25 giugno 2020 (procedimento A) e il 25 maggio 2020 (procedimento B), di cui sono stati redatti rispettivi processi verbali. Anche le considerazioni difensive, a garanzia della parte, devono darsi qui per integralmente riprodotte.

Oltre a quanto riportato in relazione ai singoli punti in contestazione, Wind Tre ha fornito i seguenti ulteriori specifici elementi a giustificazione delle proprie condotte.

3.1. Attività promozionale non autorizzata dagli interessati

Riguardo alle attività contestate al punto 2.1., Wind Tre, in particolare, richiamando anche gli interventi già posti in essere, ha dichiarato che tutti i partner e gli agenti sono stati nominati responsabili del trattamento. Agli stessi è stato imposto il rispetto delle istruzioni veicolate mediante comunicazioni sul portale dedicato e con specifica attività formativa. Inoltre, i contratti monomandatari di agenzia, consumer, microbusiness e business sono stati integrati con la recente introduzione di un “decalogo” di regole sulla tutela dei dati personali (il cui mancato rispetto può essere valutato come presupposto per la risoluzione contrattuale). Una di tali regole imposte ai partner riguarda l’obbligo di presentare la linea chiamante in chiaro e di comunicare a Wind Tre, seguendo un’apposita procedura, tutte le numerazioni utilizzate; tale dichiarazione è essenziale per assegnare al partner un codice nel sistema aziendale.

La Società ha poi ricordato l’utilizzo del sistema di Campaign Management, già in uso e più volte menzionato nelle risposte fornite alle richieste di informazioni dell’Autorità; tale sistema ha la funzione di centralizzare la realizzazione delle singole campagne promozionali veicolando ai partner le istruzioni iniziali e le liste dei nominativi da contattare e recependo in input le eventuali revoche del consenso raccolte nel corso delle chiamate effettuate. A tal proposito, Wind Tre ha chiarito che le liste sono fornite in via prevalente dal titolare, che si occupa anche delle verifiche presso il Registro delle opposizioni, ma è possibile che i partner facciano anche uso di liste proprie: in tale ultimo caso, è richiesta la previa autorizzazione di Wind Tre all’uso della lista.

Inoltre, sempre con riguardo alle misure adottate per garantire un maggior controllo della filiera, la Società ha aggiunto di aver “…richiesto ai partner del canale fisico che intendano utilizzare liste di contatti per attività di mera presa appuntamento, di dare apposita evidenza e richiedere una previa autorizzazione, che sarà comunque successiva ed eventuale rispetto alle verifiche a campione poste in essere da parte della Scrivente Società. È stato inoltre richiesto ai partner del canale fisico di tenere un registro di tutti gli eventuali contatti (sia quelli andati a buon fine che quelli non andati a buon fine) con indicazione della fonte del contatto ed evidenza della presenza del consenso. Detto registro, su richiesta, dovrà essere a disposizione della Scrivente Società, in qualità di titolare del trattamento e esibito in caso di richiesta dell’Autorità competente. È stato altresì istituito internamente un processo in base al quale a seguito di attivazione contratti (in modalità outbound, canale fisico) venga verificata da parte della scrivente società tutta la filiera che ha dato seguito all’attivazione compresa quindi l’origine del contatto effettuato”. Tale registro è compilabile dal 4 febbraio 2020.

Infine, Wind Tre ha adottato una procedura interna per formalizzare i controlli da effettuare a seguito della sottoscrizione di proposte di abbonamento da parte dei clienti: tra questi è prevista una sezione dedicata alla raccolta dei dati personali e dei consensi.

A fronte delle misure sopra descritte che, nelle intenzioni della Società, dovrebbero consentire di ricondurre ogni chiamata al partner che l’ha effettuata, la stessa ha comunque aggiunto che, non disponendo di altri mezzi di indagine, non è in grado di identificare soggetti che invece effettuino chiamate senza rispettare tali accorgimenti.

La Società ha inoltre aggiunto che, come già fatto presente in precedenti interlocuzioni col Garante, tutti gli agenti hanno ricevuto specifiche istruzioni e sono soggetti a controlli periodici, effettuati tramite risposta a questionari e, a campione, tramite verifiche in loco.

Al riguardo, si innestano le specifiche considerazioni difensive che la Società ha svolto in relazione al “procedimento B” (punto 2.1.2.5. precedente), relativamente al quale ha rappresentato che:

a) l’ambito delle attività della società Merlini s.r.l. per conto di Wind Tre non è il telemarketing o il teleselling ma è rappresentato dal c.d. “canale fisico”, che prevede la promozione di contratti di vendita dei servizi e dei prodotti di telecomunicazioni offerti da Wind Tre in una determinata area geografica, attraverso un colloquio diretto e quindi senza svolgimento di attività di vendita a distanza; la clientela a cui è dedicato tale canale è quella business, principalmente costituita da persone giuridiche, per le quali non dovrebbe trovare applicazione la disciplina normativa relativa alla protezione dei dati personali;

b) dal momento che l’attività svolta dalla Merlini Srl non avrebbe dovuto configurare attività di telemarketing finalizzato al teleselling, Wind Tre non ha mai fornito a Merlini s.r.l. liste di contatti di potenziali clienti, fatto salvo per i clienti e gli ex clienti che avevano fornito specifico consenso commerciale in fase di sottoscrizione del contratto e non lo avevano revocato, sui quali il Merlini doveva svolgere compiti di fidelizzazione; pertanto non può affermarsi che presso il call-center oggetto dell’ispezione fosse in corso un’attività promozionale dei servizi di telefonia della società Wind Tre;

c) Wind Tre ha provveduto in più occasioni a svolgere attività di formazione e sensibilizzazione in materia di protezione dei dati personali, sia con riferimento alla popolazione aziendale interna, sia con riferimento ai propri Partner ed Agenti; come risulta dall’ultima estrazione richiesta al dipartimento Risorse Umane, l’intervento formativo è stato completato da tutti gli Area Manager, i District Manager e Capi Canale abilitati al controllo delle Agenzie Business (tra le quali l’Agenzia gestita dal Sig. Merlini);

d) dal momento che il contratto concluso da Wind Tre con Merlini Srl non costituiva un contratto di agenzia diretto allo svolgimento di attività di telemarketing finalizzato al teleselling e, in ogni caso, avrebbe dovuto riguardare esclusivamente l’offerta di prodotti e servizi a persone giuridiche, la Società non ha avuto sospetti proprio perché, in base a quanto previsto dal contratto, non rilevavano né l’attività di teleselling né il trattamento di dati di persone fisiche.

Con specifico riguardo alla contestata inidoneità delle modalità di raccolta del consenso, formulata sulla base degli accertamenti condotti presso il partner XX (punto 2.1.2.4 precedente), la Società ha dichiarato che le condotte descritte non rientrano tra le procedure aziendali previste e non corrispondono alle istruzioni impartite ai propri dealer anche per mezzo degli Agenti di commercio competenti per territorio.

Pertanto “qualsiasi indicazione verbale o scritta da parte dell’Agente verso i punti vendita da questi gestiti e non esplicitamente riportati nelle procedure ufficiali, è da considerarsi un’iniziativa non riconducibile alla Scrivente Società”. La stessa ha inoltre aggiunto che i sistemi preposti alla stampa dei contratti hanno i consensi di default impostati a “blank” e che “in merito ai grafici inviati via mail dall’Agente al punto vendita si rileva che nulla dicono in merito alle procedure di acquisizione dei consensi, né appaiono contrari a tali procedure”. Inoltre, in merito all’accertata presenza di un unico consenso per la ricezione di messaggi promozionali di Wind Tre e di terzi, la Società ha chiarito che tale modalità di raccolta del consenso non comporta la comunicazione di dati a terzi ma offre all’interessato la possibilità di ricevere messaggi promozionali nei quali il contenuto veicolato può essere a beneficio di Wind Tre o di un terzo. Rimane pertanto unica la finalità del trattamento e cambia il contenuto dei messaggi che restano comunque veicolati da Wind Tre.

Con specifico riguardo alle contestate modalità di raccolta del consenso tramite le app MyWind e My3, (punto 2.1.2.3 precedente), la Società ha dichiarato di aver apportato delle modifiche alle stesse già in fase antecedente alla ricezione dell’avvio del procedimento da parte del Garante, provvedendo ad impostare la richiesta del consenso solo in fase di prima configurazione dell’app. Successivamente, in considerazione dell’intervenuta adozione del brand unico, le due app menzionate non sono più disponibili e sono state sostituite da un’unica app WINDTRE; questa non richiede più l’espressione dei consensi, neanche in fase di prima configurazione, ma si limita a riportare le volontà del cliente per come registrate e già presenti nei sistemi, consentendo comunque di modificarli dalla stessa app.

Più in generale, con riguardo all’entità delle violazioni accertate, la Società ha infine osservato che “considerando che le segnalazioni nel presente provvedimento sono circa 95 per gli anni 2018-2019, si evidenzia che le stesse rappresentano circa lo 0,026% delle gestioni totali effettuate dalla Scrivente Società” e pertanto i casi contestati, tenuto conto che la Società ha circa 32 milioni di clienti, possono ritenersi riconducibili ad un margine di errore fisiologico con esclusione di alcuni specifici casi che invece si ritengono riconducibili ad attività fraudolenta di terzi e sono già stati oggetto di apposite denunce presso l’Autorità giudiziaria.

3.2. Esercizio dei diritti da parte degli interessati

Con la nota del 15 giugno 2020 la Società ha fornito le proprie osservazioni anche in merito a quanto rappresentato al precedente punto 2.2. e, in particolare, alla disponibilità di idonei canali di contatto nonché alle procedure adottate per garantire l’esercizio dei diritti degli interessati.

La stessa ha preliminarmente ricordato che, con la nascita del brand unico, tutti i canali di contatto sono stati unificati e resi noti tramite la nuova informativa e mediante invio di comunicazioni individuali ai clienti; pertanto, ad oggi, è disponibile una casella postale, la pec del servizio clienti e il numero telefonico 159 (e per circa un anno saranno comunque mantenuti i precedenti canali di contatto).

Il servizio clienti è debitamente formato in materia di tutela dei dati personali, ma la Società ha assicurato che ogni richiesta pervenuta, anche ai canali non dedicati, viene gestita, pur dovendo evidenziare le difficoltà riscontrabili in una struttura complessa.

Con riguardo alle misure adottate per garantire l’esercizio dei diritti, la Società ha preliminarmente osservato che alcuni casi contestati dal Garante, che lamentavano la ricezione di contatti promozionali anche dopo la revoca del consenso, sono stati dovuti alle tempistiche di allineamento dei sistemi che, negli anni immediatamente successivi alla fusione aziendale, impiegavano un maggior tempo ad integrarsi. La Società ha comunque dichiarato che, ad oggi, “il consenso si aggiorna ogni 15 minuti e al più tardi in massimo 24 ore dall’inserimento sul sistema della revoca”.

Infine, rispetto alle procedure adottate per garantire l’esercizio del diritto di revoca, la Società ha ribadito che originariamente richiedeva di corredare necessariamente la richiesta con un documento di identità ma, già dai primi mesi del 2018, si è provveduto a semplificare tale procedura dando corso alla richiesta di revoca purché pervenuta da un indirizzo mail del cliente noto alla Società e rimandando la ricezione del documento anche ad un secondo momento.

La scelta di tale modalità traeva origine dal fatto che, per l’attivazione di ogni utenza, la Società era tenuta ad acquisire copia di un documento e pertanto riteneva coerente identificare gli interessati utilizzando lo stesso mezzo. Inoltre, la stessa ha aggiunto che la richiesta di identificazione a mezzo documento si era resa necessaria in passato a seguito di numerose richieste di revoca del consenso pervenute da parte di terzi in nome e per conto di diversi interessati.

Ad oggi, conferma comunque di aver modificato la procedura ammettendo la richiesta anche senza l’allegazione del documento purché proveniente da un indirizzo mail riconducibile al cliente.

3.3. Informazioni agli interessati

Con riferimento a quanto rappresentato al precedente punto 2.3., la Società, a seguito della contestazione ricevuta, ha assicurato di aver già provveduto ad integrare l’informativa con la specifica menzione richiesta dall’art. 123, comma 4, del Codice e ha comunque osservato che il dettaglio del traffico telefonico effettuato è comunque consultabile in autonomia attraverso l’app o l’Area Clienti.

3.4. Aggiornamento dei dati degli interessati negli elenchi telefonici

Infine, in merito a quanto contestato al precedente punto 2.4. la Società ha articolato la propria difesa rappresentando che i casi portati all’attenzione del Garante rappresentano singoli eventi per i quali il processo di cancellazione non era andato a buon fine.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1. Sulle modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali

Le condotte descritte, con particolare riguardo alle impostazioni delle app e alle risultanze dell’accertamento condotto presso il dealer XX, hanno messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione rese invece più farraginose.

Se è pur vero che la Società ha dichiarato di aver posto in essere specifici interventi correttivi, della cui efficacia si dirà in seguito, la valutazione in merito alla illiceità delle condotte pregresse resta comunque imprescindibile, soprattutto con riguardo alla possibilità di continuare ad utilizzare tali dati per finalità promozionali.

Si deve inoltre tenere presente che, con specifico riguardo al caso XX, la Società non ha ritenuto di dover intervenire a livello di procedura ma si è limitata a disconoscere l’accaduto, qualificandolo come iniziativa autonoma dell’Agente, nei confronti del quale non risulta sia stata tuttavia posta in essere alcuna attività di “richiamo”.

Si osserva, inoltre, che nella stessa memoria difensiva, la Wind Tre ha descritto con dovizia di dettagli le numerose attività poste in essere per formare e controllare i soggetti incaricati di operare per suo conto, fino a dichiarare di non avere “motivi di porre in dubbio la legittimità delle attività svolte da Partner-Agenti stante gli strumenti di formazione, sensibilizzazione e controllo posti in essere”.

Pertanto, se le istruzioni date al dealer dall’agente di commercio sono frutto di un’autonoma iniziativa di quest’ultimo, ne consegue che le misure di formazione e controllo si sarebbero rivelate, in tal caso, del tutto infruttuose. Se, invece, più verosimilmente, si ammette che l’agente non avrebbe avuto alcun vantaggio personale a richiedere al dealer di raccogliere il massimo dei consensi, si deve ritenere che l’interesse ad incentivare tale pratica sia generalmente condiviso a livello aziendale. E tale interesse è facilmente individuabile nel beneficio economico conseguente alla veicolazione di campagne promozionali di terzi, resa possibile grazie alla richiesta, sopra descritta, di un unico consenso complessivo per le finalità promozionali. Ciò spiegherebbe anche le diverse doglianze pervenute nel tempo al Garante con le quali è stato rappresentato, in maniera analoga, che i contratti erano stati presentati per la firma con le caselle dei consensi già preselezionate opponendo resistenza alle richieste di modifica. Casi derubricati dalla Società come “equivoci”, che tuttavia hanno lasciato intatti gli interrogativi in merito alle motivazioni sottese al descritto comportamento dei diversi dealer e al relativo interesse personale a forzare le volontà dei clienti. Le istruttorie condotte in merito a tali doglianze, data la presenza di istruzioni e sistemi formalmente corretti, non avevano sinora consentito di accertare tali elementi. Nel caso in esame, infatti, sono emerse solo grazie all’acquisizione di documentazione generata dall’attività aziendale ma non oggetto di specifiche procedure.

Peraltro, contrariamente a quanto asserito da Wind Tre, i grafici allegati alle e-mail dell’agente sono estremamente esplicativi in merito al fatto che sia richiesto al dealer di ottenere il massimo dei consensi; questi, infatti, contengono inequivocabili riferimenti alle percentuali dei flag ottenuti sul trattamento dei dati personali, suddivisi in base al consenso espresso con il primo flag (finalità promozionali di Wind Tre e di terzi) e con tutti gli altri flag, e sono addirittura annoverati tra gli indicatori di qualità del dealer.

Ciò detto, è evidente come non sia di alcun rilievo sottolineare la correttezza delle istruzioni impartite e dell’impostazione dei sistemi, dal momento che la volontà dell’interessato risulta comunque facilmente aggirabile se il soggetto che deve raccoglierla è incentivato in tal senso.

A ciò si deve aggiungere che il modello di pda acquisito agli atti presentava un’impostazione del carattere di stampa di dimensioni così ridotte rispetto al resto del testo, tali da rendere molto difficile la verifica da parte dell’interessato dei consensi espressi. Su tale ultimo punto, Wind Tre non ha fornito specifiche osservazioni, ma ha allegato una copia del nuovo modello di pda (cfr. allegato 7 alla memoria del 15 giugno 2020) nel quale sono utilizzati caratteri di uguale dimensione per tutto il testo.

Anche le descritte istruttorie in merito al funzionamento delle app, hanno mostrato una condotta fortemente orientata ad aggirare la volontà degli utenti. Le numerose segnalazioni pervenute (tutte di analogo contenuto) fanno ritenere che, dietro la mancanza di chiarezza, si celasse una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti. Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte, prima delle intervenute modifiche, non possono considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Inoltre, sempre con riguardo all’effettuazione di attività promozionale in assenza di consenso, si deve richiamare quanto descritto al punto 2.1. in merito all’affidamento a terzi che, utilizzando proprie liste, agiscono in qualità di titolari del trattamento. Pur se considerata attività residuale, la Società si è avvalsa di tali servizi senza tuttavia garantire che i contatti effettuati non pregiudicassero la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali. L’acquisizione da parte del partner di un generico consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di Wind Tre. È pertanto onere di quest’ultima verificare che i soggetti che hanno revocato il consenso o hanno espresso uno specifico diniego non siano più oggetto di attività promozionale per conto di Wind Tre. Una prescrizione in tal senso era stata già impartita alla Società con il provvedimento del 22 maggio 2018, n. 313.

Allo stesso tempo si devono considerare le osservazioni fatte in merito alle modalità offerte per recepire l’opposizione o il diritto di revoca. Infatti, numerose istanze pervenute hanno lamentato la ricezione di contatti promozionali anche dopo aver espresso uno specifico diniego al trattamento e, dalle risultanze istruttorie, è emerso che le procedure adottate dalla Società non si sono rivelate idonee a recepire correttamente le richieste degli interessati o hanno inutilmente aggravato la presentazione delle richieste imponendo l’allegazione di un documento di identità.

A tale ultimo riguardo, ferma restando la necessità di adottare, all’occorrenza, misure per identificare gli interessati, si ribadisce quanto già osservato al punto 2.2.2 in merito al rispetto della proporzionalità di tali misure al diritto tutelato, potendo ritenersi sufficiente per l’esercizio della revoca del consenso anche solo l’invio di una mail da un indirizzo riconoscibile. Peraltro, la richiesta del documento d’identità risulta ultronea nel caso di soggetti che non abbiano in essere un rapporto contrattuale con la Società ma che, contattati per finalità promozionali, vogliano comunque opporre il proprio diniego.

Pertanto, le condotte descritte danno atto della mancanza di misure tecniche ed organizzative adeguate a consentire agli interessati di esercitare i propri diritti, in violazione dell’art. 24 del Regolamento, con la conseguenza di aggravare immotivatamente la revoca del consenso o l’opposizione al trattamento per finalità promozionali e, in molti casi, di vanificarne del tutto gli effetti.

Inoltre, la Società ha trattato i dati personali dei segnalanti in assenza di un idoneo consenso, in violazione dell’articolo 130 del Codice nonché degli artt. 6, par. 1, lett. a) e 7 del Regolamento. Tali trattamenti, sistematici e non occasionali, devono considerarsi anche potenzialmente effettuati nei confronti di un numero molto elevato di interessati (clienti e non clienti).

Allo stesso tempo, le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione dell’art. 24 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a suo vantaggio.

Inoltre, le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i dealer configurano una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’art. 5, par. 1, lett. a) del Regolamento, mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati. A tal proposito deve inoltre ritenersi violato anche l’art. 25, par. 1 del Regolamento, con riguardo alla definizione delle procedure imposte ai dealer, mediante meccanismi fortemente incentivanti, di acquisizione dei consensi. E, ancora, si deve valutare tale condotta, nonché l’intera modalità di gestione dei consensi, alla luce dell’ingente beneficio economico derivante alla Società dall’acquisizione del maggior numero di consensi per finalità promozionale dal momento che, avendo la stessa predisposto la casella con la richiesta di un unico consenso per sé e per terzi, ha tutto l’interesse ad ampliare il bacino di soggetti cui veicolare i messaggi promozionali.

Infine, con specifico riferimento agli esiti del “procedimento B”, deve considerarsi che l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso.

Sotto questo profilo, anche l’implementazione di rigorose procedure che governano le attività di telemarketing e di teleselling, non possono costituire un valido argine alle diffusissime pratiche di contatti indebiti degli utenti dei servizi di telefonia se ad esse non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni, da perfezionare solamente nel caso in cui sia comprovata la legittimità dei trattamenti, fin dal primo contatto.

Nel caso in argomento, anche le misure recentemente implementate, quali l’adozione del registro dei contatti, quando non consentono un collegamento automatico e selettivo fra attività di promozione delle offerte e procedure di attivazione dei servizi, non sono idonee ad impedire che da contatti operati mediante trattamenti di dati illeciti vengano poi perfezionati contratti e attivazioni, alimentando quel “sottobosco” di procacciatori abusivi che agiscono, come accertato, oltre che in spregio di rilevanti disposizioni in materia di lavoro e previdenziale, anche in violazione delle disposizioni in materia di protezione dei dati personali indicate negli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento e 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice. Di tali ultime violazioni deve rispondere anche il titolare del trattamento in ragione della debolezza delle procedure di controllo di cui sopra.

Peraltro, sempre con specifico riferimento al procedimento B, deve evidenziarsi che a nulla rileva la considerazione che i trattamenti di cui sopra fossero indirizzati all’area business e quindi, in massima parte, a persone giuridiche, posto che l’art. 130, commi 3 e 3-bis, del Codice estende anche a tali soggetti le disposizioni in materia di consenso e di opposizione al trattamento ivi previste per le persone fisiche.

Ciò premesso, accertata l’illiceità dei trattamenti nei termini sopra descritti, si ritiene:

• di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), il trattamento dei dati personali per finalità promozionali raccolti mediante le app MyWind e My3 prima delle intervenute modifiche, nonché dei dati personali dei soggetti di cui non si possa dimostrare l’acquisizione e la vigenza di un consenso conferito liberamente;

• di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare, salvi i correttivi già introdotti, idonee procedure per verificare la correttezza delle procedure di acquisizione dei consensi da parte della propria rete di vendita e che i soggetti che abbiano già manifestato opposizione al trattamento nei confronti di Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

• di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

4.2.  Sul controllo della filiera

Le risultanze dell’attività istruttoria sopra ricostruita con riguardo ai numerosi contatti promozionali lamentati che, anche in considerazione della numerosità delle segnalazioni, appaiono assistiti da ragionevole presunzione di fondatezza, sono riconducibili ad una comune condotta, l’effettuazione di contatti promozionali nell’interesse di Wind Tre, per la quale la Società non è stata in grado di fornire una base giuridica e si è limitata a disconoscere la paternità di tali contatti. Peraltro, nel caso di sms, fax e chiamate automatizzate, l’indicazione testuale del contenuto comprova che l’attività promozionale è stata svolta senza dubbio a vantaggio di Wind Tre pur con modalità che la Società stessa afferma di non aver autorizzato: ne consegue che un’attività promozionale è stata di fatto svolta a vantaggio della Wind Tre ma, non essendo da questa riconosciuta, risulta comunque posta in essere in assenza del necessario controllo della filiera.

Nonostante le assicurazioni fornite e tutti gli interventi correttivi posti in essere, permane una situazione in cui, a fronte della predisposizione di procedure in taluni casi anche formalmente corrette, si realizzano nella pratica condotte non conformi al dettato normativo, poste in essere da soggetti che, anche laddove rimangano sconosciuti a Wind Tre, operano nell’interesse di quest’ultima.

Si richiamano, a tal proposito, le considerazioni espresse in via generale dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257), in base al quale i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento. E tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente. Anche l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche”.

Peraltro, la Società, in diverse note di riscontro, ha rappresentato che i soggetti che effettuano per proprio conto un’attività promozionale sono stati nominati responsabili del trattamento e sono “sottoposti a vigilanza, tramite questionario, riportando un buon livello di conformità”. In merito all’idoneità di tale procedura di controllo mediante questionari si deve fare espresso riferimento al “procedimento B” che ha dimostrato l’inefficacia di strumenti basati in massima parte sullo scambio epistolare. Nel caso in questione, vi erano molti elementi che avrebbero dovuto indurre Wind Tre a effettuare controlli supplementari quali:

a. la provenienza delle attivazioni non soltanto dalla area operativa territoriale di Merlini s.r.l.;

b. le risposte ai questionari di verifica nelle quali si dava atto di attività svolte da soggetti esterni con l’utilizzo di liste non acquisite da Wind Tre e senza poter garantire il rispetto delle disposizioni in materia di privacy;

c. l’assenza di qualunque forma di comunicazione relativa all’operato di collaboratori esterni, anche a fronte di una rilevante attività contrattuale che ragionevolmente non poteva essere sostenuta da una società di modeste dimensioni.

A fronte di tali elementi, Wind Tre avrebbe dovuto svolgere controlli più stringenti, che avessero ad oggetto la rete dei procacciatori organizzata da Merlini s.r.l., che doveva essere correttamente inquadrata nell’ambito del trattamento dei dati personali, in base alle disposizioni sui responsabili e sub-responsabili previste dagli artt. 28 e 29 del Regolamento.

Quanto poi alle attività formative e di sensibilizzazione in ordine al complessivo mutamento del quadro giuridico in materia di protezione dei dati personali, le argomentazioni difensive sono risultate contraddette dalle dichiarazioni rese da Merlini s.r.l. che ha rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”.

Da ultimo, non può non evidenziarsi che, come confermato da Wind Tre in sede di audizione, la società, a seguito delle gravissime vicende relative alla Alessandro Corbelli Sunrise s.r.l.s., ha provveduto a indirizzare a Merlini s.r.l. un semplice richiamo per una più attenta applicazione delle norme e delle disposizioni previste nel contratto di agenzia, anziché intraprendere azioni di maggiore incisività.

Le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione degli artt. 24 e 25 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a vantaggio della Società.

Ciò premesso, pertanto, accertata l’illiceità della condotta sopra delineata, si ritiene

di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), anche in relazione alle risultanze del “procedimento B”, il trattamento dei dati personali dei soggetti per i quali non possa dimostrare di aver acquisito un idoneo consenso;

di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire un effettivo controllo della filiera del trattamento;

di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 del Regolamento.

4.3. Sull’informativa agli interessati

Come descritto al punto 2.2, le informative presenti sui siti web aziendali fornivano dati di contatto non univoci mentre, nella pratica, gli interessati hanno fatto maggiormente uso dei canali del servizio clienti, veicolati dalla stessa Società e indicati quale corretto canale anche in una delle risposte fornite al Garante. Tale approccio, confuso e pletorico, ha comportato alcune difficoltà e ritardi nel riscontro delle richieste degli interessati. A ciò si deve aggiungere la presenza di una procedura di identificazione dell’interessato che, come detto, si è mostrata sproporzionata con riguardo all’esercizio di revoca del consenso e di opposizione al trattamento.

Si dà atto, comunque, che la Società, con l’introduzione del brand unico, ha modificato le informazioni agli interessati unificandole in una sola informativa e identificando nel solo servizio clienti il punto di contatto con gli interessati. La stessa, inoltre, ha semplificato la procedura di identificazione e riscontro delle istanze.

Inoltre, come descritto al punto 2.3, è stato accertato che l’informativa predisposta dalla Società era priva della indicazione relativa ai termini di conservazione dei dati di traffico ed è stata correttamente integrata solo a seguito della ricezione della comunicazione di avvio del procedimento.

Deve pertanto rilevarsi comunque la violazione dell’art. 12, parr. 1 e 2 del Regolamento e dell’art. 123, comma 4 del Codice con riguardo alle informazioni pubblicate sul sito web prima dell’intervenuta modifica, nonché alle modalità, eccessivamente onerose, di esercizio dei diritti.

Accertata l’illiceità delle condotte sopra riassunte, tuttavia, preso atto degli interventi correttivi già posti in essere, su tale punto non si ritiene di dover ulteriormente intervenire.

Si rende invece necessario adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli art. 83, parr.4 e 5, del Regolamento e 166, comma 1 del Codice.

4.4. Sulla pubblicazione dei dati in elenco

Sulla base delle istanze pervenute al Garante e dei riscontri di volta in volta forniti da Wind Tre, si rileva che in alcuni casi i dati dei clienti sono risultati presenti negli elenchi telefonici nonostante la richiesta, a volte reiterata, di cancellazione.

Ciò sarebbe avvenuto, a detta della Società, per errore o per problemi di comunicazione con il richiedente. In tale contesto risulta anche inappropriato il suggerimento, rivolto da Wind Tre ad alcuni reclamanti, di fare richiesta direttamente al gestore degli elenchi dato che, come ormai noto, questi si limita a pubblicare quanto comunicato dagli operatori telefonici e non è in grado di soddisfare direttamente le richieste degli utenti. Sono, invece, gli operatori telefonici ad essere responsabili dell’aggiornamento dei dati contenuti nella base dati unica(1).

Pertanto, richiamando quanto esposto al punto 2.4, si deve riconoscere la mancata adozione di procedure idonee a consentire la rettifica e la cancellazione dei dati dagli elenchi telefonici pubblici, in violazione dell’art. 5, par. 1, lett. d) del Regolamento, nonché la pubblicazione di dati personali in assenza di consenso, in violazione dell’art. 6, par. 1, lett. a) del Regolamento.

Accertata quindi l’illiceità della condotta nei termini appena delineati, si ritiene:

di dover ingiungere a Wind Tre, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a risolvere i ripetuti disallineamenti dei sistemi;

di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, del Regolamento.

4.5. Sul rispetto dei principi di accountability e privacy by design

Oltre a quanto già in dettaglio contestato nei punti precedenti, occorre evidenziare, anche in via più generale, una condotta dimostratasi complessivamente elusiva dei principi di accountability e privacy by design, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Infatti, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” la Società disponeva di idonei strumenti e di sufficienti conoscenze, veicolate anche dalle consolidate pronunce del Garante (direttamente rivolte anche alla Wind Tre), per valutare i rischi connessi al trattamento e per predisporre, di conseguenza, procedure tecniche e organizzative adeguate.

Al contrario, le risultanze istruttorie hanno mostrato un quadro complessivamente inidoneo al soddisfacimento di tale requisito di adeguatezza, dal momento che più volte è stata rilevata la mancanza di idonee misure tecniche e organizzative, dovendosi in alcuni casi aggiungere l’aggravante della preordinazione della condotta (nei casi relativi alla raccolta del consenso tramite app e tramite sottoscrizione del contratto presso i dealer) e dovendo altresì rilevare come, in più occasioni, la Società non sia stata in grado di dimostrare la conformità alle norme dei trattamenti posti in essere e l’efficacia delle misure adottate, come invece prescritto dall’art. 5, par. 2 del Regolamento.

D’altro canto, nel dare atto delle misure correttive apportate, in parte già prima della notifica dell’avvio del procedimento da parte del Garante, si intravedono delle potenziali soluzioni per rafforzare le garanzie. Ci si riferisce in particolare alla centralizzazione dell’attività promozionale nel sistema di Campaign management o alla previsione del registro dei contatti da tenere – per il momento solo – a cura degli agenti del canale fisico. Tali misure, tuttavia, potranno sviluppare un potenziale, che al momento può definirsi embrionale, solo nel momento in cui saranno sostenute con maggiori conseguenze sul piano contrattuale per i responsabili che non si attengano scrupolosamente a tali istruzioni.

Ad esempio, il sistema centralizzato di Campaign management, già da tempo in uso presso la Società, non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la Società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico. Una così fervida attività promozionale non può essere semplicemente disconosciuta e rubricata come iniziativa autonoma di soggetti non autorizzati, dato che l’interesse ad agire non pare certo essere unicamente di questi ultimi. E tale interesse, evidentemente, non viene meno finché tale attività, seppur non autorizzata, viene comunque remunerata. Ma anche la previsione di un registro dei contatti, che per ora è rivolta solo agli agenti del canale fisico e non a tutti i partner, pur funzionale nel suo intento di risalire la filiera, pare tuttavia debole se lasciata interamente all’arbitraria compilazione dell’agente. Ciò anche tenuto conto che la Società non ha al momento prospettato conseguenze dirette in caso di contatto non documentato, riservandosi solo di avvalersi della clausola risolutiva posta nel contratto. In altre parole, nonostante le paventate (ma del tutto eventuali) conseguenze sul piano contrattuale, l’attivazione di un contratto è comunque sempre possibile e le condotte illecite non sono, di conseguenza, scoraggiate.

Anche la stessa possibilità di recepire immediatamente la revoca, al momento della chiamata, pur se apprezzabile nelle intenzioni, risulta di fatto poco proficua essendo affidata unicamente all’intervento dell’operatore di call center che effettua il contatto. Difatti, a fronte delle costanti doglianze che pervengono al Garante in merito al fastidio di ricevere continue chiamate promozionali e alle proteste più volte asseritamente mosse dai segnalanti già nei confronti del chiamante, la Società ha dichiarato che, nel primo semestre 2020, solo lo 0,3% delle persone contattate ha richiesto la revoca del consenso durante la telefonata (cfr. tabella allegata al verbale di audizione del 25 giugno 2020). Anche in questo caso, analogamente a quanto osservato per le procedure di attivazione dei contratti presso i dealer, a poco serve aver predisposto un sistema formalmente corretto se l’incaricato che deve utilizzarlo è incentivato ad acquisire (o a mantenere) i consensi.

Richiamando anche l’istruttoria condotta nel “procedimento B”, si ha evidenza del fatto che la Società aveva adottato misure di controllo sui fornitori ed aveva impostato misure di controllo (solo) sull’attività svolta dal partner direttamente contrattualizzato (Merlini S.r.l.). Tali misure tuttavia non hanno impedito a tale agente di avvalersi di altri soggetti che, con condotte illegittime, hanno procacciato contratti di cui ha beneficiato economicamente anche la stessa Wind Tre, nonostante l’asserita inconsapevolezza.

Peraltro, sempre nel richiamato “procedimento B”, è emerso che le misure formalmente previste, segnatamente il controllo dei fornitori tramite questionari, si erano poi dimostrate inutili dal momento che le risposte fornite dal partner, pur discutibili, non avevano dato luogo ad alcuna conseguenza e ad alcun controllo.

Difatti, accertate le violazioni e le criticità in tema di consenso e di corretta individuazione della catena di responsabilità nell’ambito del trattamento, emerge con chiarezza che il consolidarsi di tali anomale condotte è stato favorito:

a) dalla mancata predisposizione di procedure e controlli efficaci per garantire il rispetto, da parte del responsabile del trattamento Merlini s.r.l. e della società Alessandro Corbelli Sunrise s.r.l.s., dei principi indicati all’art. 5, par. 1, del Regolamento;

b) dalla mancata verifica che i dati confluiti nei propri database a seguito dell’attività promozionale svolta da Merlini s.r.l. e da Alessandro Corbelli Sunrise s.r.l.s., fossero stati acquisiti legittimamente;

c) dalla sottovalutazione della necessità di garantire la “filiera” del trattamento fin dalla fase di acquisizione dei dati personali per svolgere campagne di marketing. Tali circostanze fanno emergere una non compiuta assimilazione e applicazione, da parte di Wind Tre, del principio di privacy by design a garanzia dei diritti degli interessati.

Si ritiene, pertanto, che le misure descritte dalla Società debbano essere corredate di maggiore effettività sul piano pratico per potersi ritenere sufficienti ad arginare un fenomeno, quello relativo ai contatti promozionali, che genera costante e diffuso allarme sociale oltre a favorire, avvalendosi proprio della tolleranza degli operatori, condotte illegittime quali quella descritta nel caso Merlini.

Non può infatti non rilevarsi con forza che il mancato controllo della filiera coinvolge la Società in un “mercato dei dati personali”, già oggetto di specifica informativa del Garante alla Procura della Repubblica presso il Tribunale di Roma, in cui, accanto alla violazione delle disposizioni in materia di trattamento delle informazioni delle persone, emergono gravi profili di violazione di norme giuslavoristiche, tributarie e probabilmente di carattere penale, alimentando un “sottobosco” che in alcuni casi potrebbe anche costituire oggetto di attenzione da parte della criminalità.

Sulla base degli elementi sopra esposti, rilevata la violazione degli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento, si ritiene necessario:

ingiungere a Wind Tre ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare pratiche illegali e l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso;

adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste degli artt. 83, par. 4, lett. a) e 83, par. 5, del Regolamento.

Riguardo alle prescrizioni indicate nella presente sezione, si ricorda che in caso di inosservanza, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Con riguardo alle condotte ascrivibili a Merlini s.r.l. e ad Alessandro Corbelli Sunrise s.r.l.s., l’Autorità procederà con un autonomo procedimento prescrittivo e sanzionatorio.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

5.1. Modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali.

Le condotte accertate al punto 4.1 integrano le seguenti violazioni: art. 5, par. 1 e 2 del Regolamento; artt. 6, par. 1, lett. a) e 7 del Regolamento; artt. 24 e 25 del Regolamento; art. 130 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

5.2. Controllo della filiera

Le condotte accertate al punto 4.2 integrano la violazione dell’art. 24 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83 del Regolamento.

5.3. Informativa agli interessati.

Le condotte accertate al punto 4.3 integrano le seguenti violazioni: art. 12, parr. 1 e 2 del Regolamento e art. 123, comma 4 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 1, del Codice.

5.4. Pubblicazione dei dati in elenco.

Le condotte accertate al punto 4.4 integrano le seguenti violazioni: art. 5, par. 1, lett. d) del Regolamento e art. 6, par. 1, lett. a) del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento.

5.5. Rispetto dei principi di accountability e privacy by design.

Le condotte accertate al punto 4.5 integrano le seguenti violazioni: artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, par. 4, lett. a) e 83, par. 5, lett. a) del Regolamento.

5.6. Quantificazione della sanzione amministrativa pecuniaria.

Le violazioni riscontrate nei procedimenti sin qui descritti vanno valutate alla luce del fatto che la medesima Società, con riguardo solo al periodo successivo all’intervenuta fusione aziendale tra Wind S.p.A. e H3G S.p.A., è stata destinataria di un provvedimento inibitorio e prescrittivo con riguardo a tipologie di violazioni analoghe (cfr. provv. del 22 maggio 2018, doc web n. 8995285), cui ha fatto seguito un’ordinanza ingiunzione adottata con provv. del 29 novembre 2018 (doc web n.9079005). A seguito di tali provvedimenti la stessa ha implementato alcune misure correttive richiamate anche nella presente decisione.

Si è rilevata tuttavia la persistenza di numerose segnalazioni e reclami, pervenuti al Garante; ad esito dell’analisi della documentazione complessivamente acquisita in atti, in considerazione di tutti gli elementi emersi, questa Autorità – valutate anche le misure già implementate dalla Società – ritiene necessario un intervento ad ampio spettro (inibitorio, prescrittivo e sanzionatorio), al fine di garantire la conformità alla normativa vigente dei trattamenti oggetto del presente provvedimento.

Le sopra indicate violazioni accertate nei confronti di Wind Tre, infatti, rappresentano la riprova, da un lato, di scelte aziendali finalizzate a piegare le norme alle esigenze di mercato; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato una sensibile contrazione del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, come accennato, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

La Società ha sollevato un’eccezione in merito al numero dei casi segnalati al Garante che, a suo avviso, non si può considerare significativo a fronte di circa 32 milioni di utenze attivate ritenendo pertanto che la relativa portata debba essere ridimensionata e inquadrata in un fisiologico margine di errore.

A tale riguardo si deve tuttavia osservare che: a) per ragioni varie (carattere, disponibilità di tempo, strumenti, ecc.), notoriamente segnalazioni e reclami sono posti in essere da un numero significativamente assai ridotto di persone rispetto a coloro che ritengono di essere stati oggetto di un trattamento illecito; b) per evidenti ragioni di economicità procedimentale, diverse segnalazioni (dell’ordine di circa un centinaio) essendosi rivelate ripetitive o meno dettagliate, non sono state trasmesse dall’Autorità alla Società; c) anche successivamente alla formale contestazione delle violazioni sono continuate a pervenire analoghe doglianze da parte di diversi utenti.

Infine, al di là della quantificazione numerica, si è tenuto conto soprattutto delle rilevanze sul piano dei contenuti e degli effetti. Del resto, come visto, sono stati sufficienti due singoli casi (i citati XX e Merlini) per far emergere delle condotte che per caratteristiche, mancanza di controlli e di azioni repressive da parte della Società, si possono senz’altro ritenere avere una portata più generale.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al par. 4 del presente provvedimento, si ritiene di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice, e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Risultano infatti violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nel caso di specie, assumono rilevanza sotto i seguenti profili:

1. l’ampia portata dei trattamenti, riguardanti la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, anche non clienti, che sono stati destinatari di contatti promozionali indesiderati (art. 83, par. 2, lett. a, del Regolamento);

2. la gravità delle violazioni rilevate, in ragione:

a) dei contatti illegittimi effettuati nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, del diritto alla tranquillità individuale e del diritto alla riservatezza);

b) di procedure di raccolta dei dati, come quelle previste per le App MyWind e My3 o come quella riscontrata presso il dealer oggetto di attività ispettiva tali, di fatto, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e quindi anche da minare il fondamentale diritto all’autodeterminazione degli interessati;

c) delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato, anche considerata l’inadeguata gestione del diritto di opposizione;

d) della molteplicità e varietà delle condotte riferibili a Wind Tre in violazione di più disposizioni del Regolamento e del Codice;

e) delle riscontrate gravi carenze organizzative che hanno determinato:

– un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability;

– della violazione dei fondamentali principi di esattezza dei dati con riguardo alla pubblicazione di dati personali negli elenchi telefonici (art. 83, par. 2, lett. a, del Regolamento);

– la realizzazione di una filiera parallela di raccolta dei dati dei possibili clienti in spregio alla normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;

3. la durata significativa delle violazioni, iniziate perlomeno dal 25 maggio 2018, data della piena operatività del Regolamento e non ancora compiutamente disciplinate o tuttora oggetto delle doglianze che pervengono al Garante (art. 83, par. 2, lett. a, del Regolamento);

4. il carattere doloso delle seguenti condotte, con particolare riguardo alla loro ideazione e attuazione, in relazione ai seguenti profili: le scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette app e le modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione; le modalità di raccolta del consenso, non libero, mediante la sottoscrizione di pda presso i dealer (art. 83, par. 2, lett. b, del Regolamento);

5. il carattere gravemente negligente di altri trattamenti, come: la non adeguata attuazione dei fondamentali principi di privacy by design, di privacy by default e di accountability, comprovate dalle evidenti difficoltà nel comprovare la titolarità delle attività promozionali effettuate nel suo interesse; la mancata condivisione delle black list con i fornitori di servizi di marketing che operano quali autonomi titolari; la non adeguata attività di controllo dell’operato dei propri partner nonostante evidenti elementi di allarme (art. 83, par. 2, lett. b, del Regolamento);

6. l’esistenza di un precedente provvedimento – adottato da questa Autorità nei confronti di Wind Tre – inibitorio, prescrittivo e sanzionatorio, relativo a condotte pertinenti a quelle oggetto della presente decisione (art. 83, par. 2, lett. e, del Regolamento);

7. la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti dalle attività promozionali, tenuto conto anche che la scelta di avvalersi di un unico consenso per promozioni proprie e di terzi comporta, qualora si raggiunga il massimo numero di consensi, un rilevante beneficio in termini di offerta sul mercato di servizi di comunicazione commerciale (art. 83, par. 2, lett. k, del Regolamento);

8. quale parziale attenuante, l’adozione – ritenuta comunque insufficiente – di misure tecniche e organizzative per ricondurre il trattamento a maggior controllo da parte del titolare (art. 83, par. 2, lett. c, del Regolamento);

9. quale attenuante, parzialmente compromessa dalle risposte a suo tempo fornite in merito alle segnalate procedure di acquisizione per default di tutti i consensi possibili da parte dei dealer, la cooperazione fornita nell’ambito degli accertamenti in loco e nel corso successivo dell’istruttoria, pur dimostrando, nel complesso, evidenti difficoltà nel rendere conto all’Autorità delle effettive attività di trattamento svolte da terzi per proprio conto (art. 83, par. 2, lett. f, del Regolamento);

10. quale attenuante – nonostante l’invasività delle violazioni riscontrate – la tipologia di dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, ossia dati identificativi e di contatto (utenze telefoniche) degli interessati coinvolti nelle attività di marketing (art. 83, par. 2, lett. g, del Regolamento);

11. le condizioni economiche del contravventore, tenuto conto del valore della produzione con riferimento al bilancio d’esercizio per l’anno 2019 (art. 83, par. 2, lett. k, del Regolamento).

Peraltro, in applicazione dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), si rende ulteriormente necessario prendere in considerazione i seguenti ulteriori elementi:

– l’ampio margine temporale concesso a tutti gli operatori del settore al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; adeguamento che Wind non risulta aver ultimato in maniera idonea;

– che la citata attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing possono ragionevolmente far ritenere raggiunta da tutti gli operatori, una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate;

– la non adeguata dissuasività delle sanzioni sinora contestate a Wind Tre, tenuto conto anche del fatto che il fenomeno delle chiamate indesiderate nell’ambito del telemarketing è stato oggetto di costante e puntuale attenzione da parte del legislatore (v., da ultimo, l. n. 5/2018) e del Garante, nonché di doglianze da parte degli utenti;

– l’attuale persistenza di segnalazioni e reclami, pervenuti all’Autorità in tempi successivi alla data degli accertamenti effettuati presso la Società fino alla data odierna, analoghi a quelli oggetto del presente provvedimento.

Tuttavia, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati e tenuto in particolare conto – anche rispetto ad analoghe verifiche effettuate presso altri operatori – la gravità e gli effetti delle condotte riscontrate a seguito degli accertamenti ispettivi, a fronte della sanzione edittale massima (209.120.000,00 euro, pari al 4% del fatturato di Wind Tre SpA, ossia 5.228.000.000,00 euro) – debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma di euro 16.729.600, pari all’8% della suindicata sanzione edittale massima.

In tale quadro, si ritiene altresì – anche in considerazione dell’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; dell’elevato numero degli stessi, anche potenzialmente, coinvolti; dei disallineamenti rilevati nei sistemi informativi della Società; dell’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, della scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima – che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ritiene infine che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati da Wind Tre S.p.A., con sede legale in largo Metropolitana, 5, Rho (MI), C.F. 02517580920:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone l’immediato divieto di trattamento:

i) dei dati personali relativi ai soggetti per i quali risulta conferito un consenso tramite le app MyWind e My3;

ii) per finalità di marketing, dei dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società, entro 180 giorni dal ricevimento del presente ricevimento, di:

i) adottare idonee procedure per assicurare che i soggetti che abbiano manifestato un’opposizione al trattamento dei propri dati a Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

ii) adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso nonché al fine di essere in grado di documentare i contatti avvenuti;

iii) adottare misure correttive idonee a risolvere i disallineamenti dei sistemi al fine di scongiurare la pubblicazione non autorizzata di dati personali negli elenchi telefonici pubblici;

c) ai sensi dell’art. 157 del Codice, richiede a Wind Tre S.p.A. di comunicare, entro 30 giorni dalla ricezione del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto ivi prescritto e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Wind Tre S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Garante della Privacy: altre osservazioni sull’uso del registro elettronico

Reading Time: < 1 minute

“Con specifico riferimento ai minori, abbiamo posto all’attenzione del ministro dell’Istruzione l’esigenza di una svolta nel ricorso alle piattaforme in generale. Dicendo che intanto forse è più prudente utilizzare il registro elettronico, che pure non è privo di problemi: fra il registro elettronico e la piattaforma di una multinazionale di cui non si sa nulla è meglio nel presente dare indicazioni perché le scuole ricorrano tutte le volte che è possibile al primo”

“è stata una questione che abbiamo avuto modo di  sollevare all’inizio di quest’anno proprio per la velocissima crescita esponenziale di adesioni in tutto il mondo e che vede come utenti in  larga prevalenza i minori nell’ordine di centinaia di milioni in  Europa, di miliardi nel mondo. L’idea che questa piattaforma non solo  per la sua proprietà in Cina, un Paese estraneo alle regole di tutela  dei dati personali vigenti in Europa, ma anche per la scarsa abitudine all’utilizzo a uno strumento così sofisticato, offre la possibilità di violazioni anche molto pesanti”.

“bisogna, ad ogni modo, accendere i riflettori tutte le volte che è  possibile su un mondo largamente inesplorato in cui c’è una certa  facilità nel ricorso all’utilizzo di un social che tende a diventare  consueto nella vita dei ragazzi con scarsa vigilanza”

“Per molto tempo, nessuno si è posto il problema di quale  fossero il rischi di una vita priva di filtri e protezione nella quale minori ma anche adulti si infilano con grande facilità. Nella  dimensione online dobbiamo far valere i diritti che  valgono offline: è il principio di fondo. E dentro questo principio dobbiamo costruire un sistema di regole e di filtri che consentano di  avere presidi virtuali”.

Registro elettronico: lettera del Presidente del Garante per la protezione dei dati personali, Antonello Soro, al Ministro dell’istruzione, Lucia Azzolina

Reading Time: 2 minutes

Illustre Signora Ministro,
On. Lucia Azzolina
Ministro dell’istruzione

Illustre Signora Ministro,

Le scrivo in relazione a una questione, quale quella della disciplina dell’utilizzo del registro elettronico, di notevole rilevanza per la gestione “ordinaria” dell’attività scolastica, ma ancor più determinante nel contesto emergenziale che stiamo vivendo.

Il registro elettronico costituisce, infatti, un prezioso strumento di comunicazione tra i docenti e le famiglie, tanto più nel momento attuale, caratterizzato dalla sostituzione dell’attività didattica “in presenza” con quella “a distanza”, che necessita, come tale, di una più stretta interazione tra insegnanti, studenti e loro genitori, alla quale il registro on-line è sicuramente funzionale. L’inclusione, nel registro, di un novero assai rilevante – in termini quantitativi e qualitativi – di dati personali, anche di minorenni, esige tuttavia l’adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare, i rischi di esfiltrazione, trattamento illecito, anche solo alterazione dei dati stessi.

A tal fine, sarebbe anzitutto necessario provvedere al perfezionamento della disciplina di settore, adottando segnatamente il “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie”, che avrebbe dovuto essere predisposto entro sessanta giorni dalla data di entrata in vigore della legge n. 135 del 2012, alla quale si deve l’introduzione di tali forme innovative di rendicontazione dell’attività didattica e di comunicazione tra scuole e famiglie.

In assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre caratterizzate da garanzie adeguate in termini di protezione dei dati personali e talora notevolmente vulnerabili.

La crescente rilevanza assunta, nell’attuale fase emergenziale, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone, tuttavia, di riservare maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati a tali piattaforme. Pertanto – come già rappresentato nell’ambito del provvedimento del 26 marzo sulla didattica a distanza – tra i criteri da seguire nella scelta degli strumenti tecnologici mediante cui svolgere l’attività formativa da remoto, devono assumersi anche quelli inerenti le garanzie offerte in termini di protezione dati.

In questo senso, il registro elettronico – fornito da soggetti già designati responsabili del trattamento – potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica, riducendo proporzionalmente il ricorso a piattaforme altre, che oltretutto non sempre si limitano all’erogazione di servizi funzionali all’attività formativa.

Il Garante vigilerà – come annunciato nel citato provvedimento del 26 marzo – sulla legittimità del trattamento dei dati personali svolto mediante le varie piattaforme utilizzate per la didattica a distanza, ma al fine di elevare le garanzie di riservatezza accordate in tale contesto è determinante la funzione di orientamento che il Suo Dicastero può svolgere, rispetto alle scelte dei singoli istituti scolastici.

Prioritario, in tale contesto, appare dunque il completamento della disciplina dell’utilizzo del registro elettronico, di cui è auspicabile valorizzare la centralità nell’ambito degli strumenti volti a favorire la dematerializzazione di parte dell’attività didattica.

L’Autorità manifesta, sin d’ora, la piena disponibilità a ogni contributo ritenuto utile ai fini dell’adozione delle misure di garanzia dei dati personali trattati in quest’ambito.

RingraziandoLa per l’attenzione che vorrà riservare a questa mia nota, Le porgo i miei più cordiali saluti,

Il Presidente
Antonello Soro

Garante della Privacy: Provvedimento di autorizzazione al trattamento dei dati personali effettuato attraverso il Sistema di allerta Covid-19 – App Immuni – 1° giugno 2020

Reading Time: 34 minutes

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Viste le “Linee guida 04/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del Comitato europeo per la protezione dei dati del 21 aprile 2020 (doc. web n. 9322516);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero della salute, con la nota del 28 maggio 2020, ha trasmesso al Garante, ai sensi dell’art. 36, § 5, del Regolamento e dell’art. 2-quinquiesdecies del Codice, la valutazione d’impatto sulla protezione dei dati, effettuata ai sensi dell’art. 35 del Regolamento, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”, istituito dall’art. 6 del decreto legge 30 aprile 2020, n. 28 (sul quale l’Autorità ha espresso il proprio parere con il provvedimento n. 79 del 29 aprile 2020, doc. web n. 9328050), “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19” mediante una piattaforma unica nazionale “per la gestione del sistema di allerta dei soggetti che hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”. Il Ministero ha successivamente integrato la documentazione inviata, fornendo, in data 30 maggio 2020, il testo dell’informativa che si intende rendere agli interessati, ai sensi degli artt. 13 e 14 del Regolamento, in relazione al trattamento dei dati personali.

Nella predetta valutazione di impatto, corredata da ampia documentazione, sono state rappresentate le misure tecniche e organizzative adottate dal Ministero al fine di garantire, in particolare, un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati.

1. La descrizione del Sistema di allerta Covid-19

Il Sistema di allerta Covid-19, che rappresenta il sistema nazionale di tracciamento digitale dei contatti (contact tracing), è finalizzato al contrasto della diffusione del Covid-19 ed è complementare alle modalità ordinarie di tracciamento dei contatti già in uso nell’ambito del Servizio sanitario nazionale (SSN). Tale Sistema, denominato Immuni, è composto da un’applicazione (di seguito “app” o “app Immuni”) per dispositivi mobili; dai sistemi e dalle componenti tecnologiche e organizzative che ne permettono il funzionamento (di seguito “backend”), nonché da un servizio di interazione con gli operatori sanitari che utilizza il Sistema Tessera Sanitaria (di seguito “Sistema TS”).

Il Ministero della salute è titolare del trattamento dei dati personali raccolti nell’ambito del predetto Sistema e si avvale di Sogei S.p.a. e del Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

L’applicazione, istallata liberamente e volontariamente dagli interessati, consente di avvisare tempestivamente gli utenti di essere entrati in contatto stretto con un soggetto risultato positivo al Covid-19, fornendo raccomandazioni sul comportamento da assumere e invitandoli a consultare il proprio medico.

Accanto a tale meccanismo, è prevista la raccolta di ulteriori dati dai dispositivi degli utenti (c.d. analytics) per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del Sistema di allerta Covid-19.

L’app Immuni si basa sull’utilizzo della tecnologia Bluetooth Low Energy (BLE) e sul Framework di Exposure Notification realizzato da Apple e Google (di seguito “Framework A/G”), reso disponibile su dispositivi mobili con sistema iOS e Android, che include interfacce di programmazione delle applicazioni (API – Application Programming Interface) e tecnologie a livello di sistema operativo per consentire il tracciamento dei contatti, senza ricorrere alla geolocalizzazione dei dispositivi degli utenti.

Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

1.1. Il rilevamento dell’esposizione a rischio di contagio

In sintesi, si rappresenta che il Sistema Immuni fa ricorso a un approccio c.d. “decentralizzato” di rilevamento dell’esposizione al contagio, di seguito descritto, in cui il contatto stretto con soggetti risultati positivi è notificato direttamente all’utente a seguito di una procedura svolta all’interno del dispositivo su cui è istallata l’app Immuni.

Tale procedura è possibile perché vengono memorizzati all’interno del dispositivo, in un’area crittograficamente protetta, i dati relativi alle interazioni, avvenute con tecnologia bluetooth in modalità paritaria (peer-to-peer), con i dispositivi di altri utenti dell’app Immuni rilevati in sua prossimità.

A) Installazione e configurazione dell’app

Ogni utente, dopo aver scaricato l’app Immuni dagli app store ufficiali di Apple e Google, procede alla sua installazione e configurazione, ricevendo una sintetica descrizione del suo funzionamento e di alcune caratteristiche del trattamento dei dati personali effettuato attraverso delle infografiche, accompagnate dai link all’”informativa privacy” e ai “termini di utilizzo” del servizio.

L’app Immuni, per il suo funzionamento, non richiede l’identificazione dell’interessato attraverso la registrazione o la creazione di un account individuale dei propri utenti.

In tale fase preliminare (c.d. onboarding), all’utente viene richiesto di dichiarare di avere almeno 14 anni (età minima per accedere al servizio), di indicare la provincia di domicilio (che successivamente può essere modificata), nonché di concedere i permessi necessari al funzionamento dell’app (abilitazione delle notifiche di esposizione al Covid-19; visualizzazione, per i soli dispositivi iOS, delle notifiche locali generate dall’app; attivazione del bluetooth e, per i soli dispositivi Android, anche della geolocalizzazione che, pur non essendo utilizzata dall’app Immuni, è richiesta dal sistema operativo per poter rilevare i dispositivi bluetooth nelle vicinanze).

B) Interazione tra i dispositivi mobili degli utenti

Una volta compiute queste operazioni l’app inizia a funzionare e viene generata, in modo casuale, mediante algoritmi crittografici, una chiave temporanea (composta da 128 bit) denominata TEK (Temporary Exposure Key) che varia con frequenza giornaliera. A partire da ogni TEK, ogni 10 minuti, viene generato un identificativo di prossimità del dispositivo mobile (composto da 128 bit), denominato RPI (Rolling Proximity Identifier). Da ogni TEK possono essere generati 144 RPI a essa corrispondenti, mentre in presenza del solo RPI non è possibile risalire alla TEK da cui è stato generato.

Tali RPI vengono diffusi in modalità broadcast e sono ricevuti da altri dispositivi raggiungibili mediante interfaccia bluetooth, producendo di fatto, in caso di sufficiente prossimità, uno scambio reciproco di RPI tra i dispositivi su cui è installata l’app Immuni, registrandoli automaticamente nella loro memoria locale, unitamente ad altri dati accessori (metadati quali la data, la durata e la distanza del contatto). In tal modo, sul dispositivo di ogni utente sono memorizzate la lista delle proprie TEK (aggiornata quotidianamente) e la lista degli RPI dei dispositivi degli altri utenti con cui si è entrati in contatto. Le TEK e gli RPI sono automaticamente cancellati, dai dispositivi, trascorsi 14 giorni dalla loro memorizzazione.

C) Raccolta delle TEK dal dispositivo di un utente accertato positivo al Covid-19

In caso di esito positivo di un tampone, nell’ambito dell’indagine epidemiologica effettuata dall’operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente, viene chiesto al paziente se abbia installato l’app Immuni. In tal caso, l’operatore chiederà allo stesso se voglia rendere disponibili le proprie TEK al fine di allertare del rischio di contagio gli utenti con cui è entrato in contatto stretto nei giorni precedenti la diagnosi o la manifestazione dei sintomi. Qualora il paziente voglia procedere in tal senso, l’operatore sanitario richiede allo stesso di aprire l’app e di utilizzare la funzione di generazione del codice OTP (One Time Password), composto da 10 caratteri. Il paziente comunica tale codice OTP all’operatore sanitario e attende l’autorizzazione per effettuare il caricamento (c.d. upload) delle proprie TEK. L’operatore sanitario, utilizzando una specifica funzionalità resa disponibile sul Sistema TS, inserisce il codice OTP e la data di inizio dei sintomi forniti dal paziente, che vengono così trasmessi al backend di Immuni. Entro un limitato intervallo temporale (2 minuti e 30 secondi), il paziente dovrà completare la procedura di caricamento delle TEK generate sul proprio dispositivo negli ultimi 14 giorni, che sono trasmesse al backend di Immuni che, previa verifica dell’OTP, le elabora per individuare, sulla base della data di inizio dei sintomi, solo le TEK generate nei giorni in cui il paziente, sulla base della data di insorgenza dei sintomi dichiarata, deve essere considerato contagioso.

Il predetto meccanismo di autorizzazione è volto ad assicurare che siano caricate sul Sistema Immuni esclusivamente le TEK riferibili a utenti accertati positivi al Covid-19.

All’atto dell’upload delle TEK, l’app effettua anche il caricamento automatico sul backend di Immuni di alcune informazioni relative agli eventuali contatti stretti con soggetti positivi rilevati in precedenza (c.d. analytics di tipo Epidemiological Information, meglio descritti alla lett. A) del par. 1.2 del presente provvedimento), e della provincia di domicilio indicata dall’utente all’atto del primo utilizzo dell’app o successivamente modificata.

D) Pubblicazione delle TEK degli utenti risultati positivi al Covid-19

Le TEK degli utenti risultati positivi, acquisite con le modalità di cui sopra, sono pubblicate per la messa a disposizione dell’app immuni, affinché possano essere scaricate automaticamente e periodicamente dagli utenti dell’app per consentire alla stessa di rilevare la ricorrenza di un eventuale contatto mediante il confronto con gli RPI salvati all’interno di ciascun dispositivo mobile.

A tal fine, il backend di Immuni genera periodicamente, a un intervallo regolare di 30 minuti, un file, firmato digitalmente, contenente l’insieme delle TEK (c.d. TEK Chunk) dei nuovi soggetti risultati positivi. Tale file viene pubblicato e reso disponibile attraverso una Content Delivery Network (CDN), ossia un insieme di server distribuiti geograficamente che consente di garantire lo scaricamento (download) del file da parte di numerosi utenti, fornito da una società, designata, a sua volta, responsabile del trattamento da Sogei. Tali file vengono automaticamente cancellati trascorsi 14 giorni dalla sua generazione.

L’app installata sui singoli dispositivi degli utenti verifica periodicamente (ogni 4 ore circa, ma anche con frequenza maggiore qualora il dispositivo mobile sia connesso al proprio alimentatore elettrico) la presenza di aggiornamenti, memorizzando nel dispositivo gli eventuali nuovi file contenenti le TEK pubblicate.

E) Raffronto con gli RPI salvati nei dispositivi degli utenti

Una volta ricevute le TEK pubblicate dal sistema di backend, ciascun dispositivo su cui è installata l’app avvia il raffronto tra gli RPI ricavati dalle TEK scaricate e quelli, rilevati nei 14 giorni precedenti, memorizzati all’interno di ciascun dispositivo mobile, al fine di verificare la presenza di un contatto stretto con utenti accertati positivi al Covid-19 (match).

Tale raffronto viene effettuato a livello locale attraverso l’algoritmo messo a disposizione dal Framework A/G che sulla base di alcuni parametri quali la durata del contatto e la distanza tra i dispositivi su cui è installata l’app (rilevata mediante l’intensità del segnale bluetooth), calcola l’indice di rischio di contagio (Total Risk Score) per ogni eventuale contatto rilevato. Se tale indice di rischio supera una soglia predefinita, l’app mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione), per essere stato un contatto stretto di un soggetto accertato positivo al Covid-19 (“Il giorno TOT sei stato vicino a un caso COVID-19 positivo”). Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente.

Successivamente all’operazione di raffronto con gli RPI memorizzati all’interno del dispositivo mobile, in presenza o meno di un contatto a rischio, l’app può trasmettere, in modo automatico e secondo un modello probabilistico, alcune informazioni al backend di Immuni che riguardano: la ricezione o meno di una notifica di esposizione al rischio, la data dell’eventuale ultimo contatto stretto con soggetto risultato positivo, la provincia di domicilio, nonché indicatori tecnici relativi al dispositivo dell’utente e all’utilizzo dell’app (c.d. analytics di tipo Operational Info with/without Exposure, meglio descritti alla lett. B) del par. 1.2 del presente provvedimento).

1.2. La raccolta e l’utilizzo degli analytics

Il Sistema di allerta Covid-19, oltre alle TEK degli utenti accertati positivi al Covid-19, raccoglie, attraverso l’app, le ulteriori informazioni di seguito descritte.

A) Gli analytics di tipo Epidemiological Info

Ogni qual volta un utente risultato positivo al Covid-19 decide, liberamente, al fine di “avvisare altri utenti a rischio di contagio”, di effettuare il caricamento delle proprie TEK su sistema di backend, comunicando all’operatore sanitario la data di inizio dei sintomi, l’app trasmette automaticamente anche ulteriori informazioni c.d. Epidemiological Info al backend di Immuni. In tale circostanza, di per impostazione predefinita, vengono quindi raccolti sul Sistema di allerta Covid-19 anche i dati sotto specificati per “consentire l’affinamento dell’algoritmo di calcolo del rischio derivante da un contatto e allertare solo le persone che sono effettivamente a rischio”, nonché per “finalità di tutela della salute pubblica” e “di carattere epidemiologico”:

Le Epidemiological Info raccolte comprendono:

1) provincia di domicilio;

2) Exposure Detection Summary, ossia una serie di informazioni sintetiche relative a tutti gli eventuali contatti a rischio avvenuti negli ultimi 14 giorni (rilevati attraverso il raffronto delle TEK scaricate con gli RPI memorizzati all’interno del dispositivo), che comprende:

a) numero di contatti a rischio rilevati;

b) numero di giorni trascorsi dall’ultimo contatto a rischio;

c) durata aggregata dei contatti a rischio (misurata in multipli di 5 min. fino a un massimo di 30 min.), distinta per tre intervalli di intensità del segnale bluetooth (c.d. attenuation);

d) indice di rischio più elevato tra quelli relativi ai contatti a rischio;

3) Exposure Info, ossia una serie di informazioni analitiche relative a ciascun eventuale contatto a rischio avvenuto negli ultimi 14 giorni (rilevato attraverso il raffronto delle TEK scaricate con gli RPI memorizzati all’interno del dispositivo), che comprende:

a) data in cui è avvenuto il contatto a rischio;

b) durata del contatto a rischio (misurata in multipli di 5 min fino a un massimo di 30 min);

c) intensità del segnale bluetooth durante il contatto a rischio (c.d. attenuation);

d) durata del contatto a rischio (misurata in multipli di 5 min fino a un massimo di 30 min), distinta per tre intervalli di intensità del segnale bluetooth (c.d. attenuation);

e) rischio di contagiosità associato alla TEK relativa al contatto a rischio;

f) indice di rischio relativo al contatto a rischio.

La raccolta dei predetti dati (Epidemiological Info, TEK degli ultimi 14 giorni, clock del dispositivo e data di inizio dei sintomi, è subordinata al meccanismo di autorizzazione basato su un codice OTP descritto alla lett. C del par. 1.1 del presente provvedimento).

B) Gli analytics di tipo Operational Info

L’app trasmette, in maniera automatica e secondo un modello probabilistico, al backend di Immuni le c.d. Operational Info without Exposure e, se c’è stato un contatto a rischio le c.d. Operational Info with Exposure. In ogni caso, il numero di invii di analytics di tipo Operational Info che un singolo dispositivo può effettuare è limitato su base mensile.

Le Operational Info sono raccolte per “capire statisticamente il livello di diffusione dell’app sul territorio e la correttezza del suo utilizzo”, nonché per “monitorare su base statistica l’epidemia, allocare in modo più efficiente le risorse sanitarie e massimizzare quindi la prontezza e adeguatezza del supporto fornito agli utenti che risultano a rischio”.

Allo stato attuale, la trasmissione di tali analytics riguarda unicamente i dispositivi con sistema operativo iOS. Infatti, al fine di garantire la validità delle Operational Info e di imporre un limite mensile al loro invio da parte dei dispositivi mobili, evitando nel contempo l’eventuale inquinamento dei dati raccolti dal backend, il Sistema di allerta Covid-19 fa ricorso a tecniche di device attestation che consentono di verificare l’autenticità del dispositivo dal quale provengono i dati, allo stato possibili solo per dispositivi con sistema operativo iOS (API DeviceCheck di Apple) con le modalità di seguito descritte.

Le Operational Info comprendono:

1) analytics token (il cui significato è descritto nel par. 1.3, raccolto per una finalità meramente tecnica strumentale a garantire sicurezza e maggior affidabilità dei dati trattati nell’ambito del meccanismo di device attestation dei dispositivi iOS);

2) provincia di domicilio;

3) stato di attivazione dell’interfaccia bluetooth;

4) stato del permesso all’utilizzo del Framework A/G per la notifica di esposizione;

5) stato del permesso alla visualizzazione di notifiche locali generate dall’app;

6) sistema operativo del dispositivo mobile (iOS o Android);

7) avvenuta ricezione o meno di notifiche di esposizione al rischio;

8) data in cui è eventualmente avvenuta l’ultima esposizione al rischio (contatto stretto con un soggetto risultato positivo).

C) La conservazione e l’utilizzo degli analytics da parte del Ministero

In relazione alle modalità di conservazione e al successivo trattamento di entrambe le categorie di analytics per le finalità sopra descritte, viene rappresentato che “la fornitura dei dati da parte di Sogei sarà effettuata giornalmente, in forma anonima e aggregata via PEC, agli uffici competenti del Ministero della salute.”, senza fornire ulteriori elementi (es. tecniche di anonimizzazione applicate ai dati dopo la loro raccolta, tempi di conservazione).

D) Device attestation: generazione e utilizzo dell’analytics token

Al fine di consentire al backend di Immuni di verificare l’autenticità dei dispositivi dai quali provengono gli analytics di tipo Operational Info, per i soli dispositivi con sistema operativo iOS, vengono effettuate le seguenti operazioni:

l’app Immuni richiede ad Apple (“DeviceCheck iOS API”) l’attribuzione di un identificativo temporaneo del dispositivo, denominato device token, che consentirà al backend di Immuni di verificarne l’autenticità;

successivamente, l’app Immuni genera, in modo casuale, un altro identificativo del dispositivo, denominato analytics token, salvandolo in locale e inviandolo al backend di Immuni unitamente al device token attribuito da Apple;

alla ricezione di tali dati, il backend di Immuni verifica con Apple (“DeviceCheck server API”) la validità del device token relativo al dispositivo dell’utente; in tale circostanza, il backend di Immuni si avvale anche di alcune funzionalità rese disponibili da Apple (c.d. “DeviceCheck per-device bits”) che consentono di tenere traccia di quei dispositivi mobili che, avendo assunto un comportamento anomalo nella generazione dell’analytics token, non sono autorizzati a inviare Operational Info;

in caso di riscontro positivo da parte del servizio di Apple, il backend di Immuni memorizza l’analytics token in un database, associandolo a un contatore di invii;

ogni qual volta l’app Immuni deve inviare gli analytics di tipo Operational Info, assieme a tali dati viene trasmesso l’analytics token generato in precedenza;

alla ricezione di tali analytics, il backend di Immuni controlla se l’analytics token esiste, se è stato generato e se non è già stato utilizzato per effettuare due invii; solo se tutte queste condizioni sono soddisfatte, le Operational Info vengono accettate e salvate nel backend di Immuni; in caso contrario, i dati vengono scartati.

L’analytics token cambia con cadenza mensile e viene inviato al backend di Immuni al massimo tre volte al mese (all’atto della generazione, dell’invio delle Operational Info with Exposure e dell’invio delle Operational Info without Exposure), in modo da limitare “la capacità del server di reidentificare lo stesso dispositivo a cavallo di più chiamate al server”.

Su base mensile i dispositivi su cui è istallata l’app Immuni generano, in modo casuale, un identificativo denominato analytics token necessario a verificare la validità degli analytics di tipo Operational Info inviati al Sistema di allerta Covid-10.

OSSERVA

Il trattamento di dati personali effettuato nell’ambito del Sistema di allerta risulta legittimo e proporzionato in quanto siano rispettati i diritti e le libertà degli interessati e sia accompagnato anche da adeguate misure di prevenzione e diagnosi volte ad agevolare la presa in carico delle persone contagiate da parte del Sistema sanitario nazionale e la precoce individuazione di nuovi focolai di infezione. Ciò, assicurando, in particolare la trasparenza, la correttezza e la sicurezza in ogni fase del trattamento, in relazione ai rischi elevati che presenta per i diritti e le libertà degli interessati.

1. Base giuridica del trattamento, volontarietà e finalità perseguite

Come detto, la realizzazione dell’app Immuni si colloca nel contesto normativo stabilito dall’art. 6 del d.l. n. 28/2020 con il quale è stata istituita la piattaforma unica nazionale per la gestione Sistema di allerta Covid-19.

La predetta disposizione, fra l’altro, prevede alcuni requisiti fra loro strettamente connessi quali: 1.1) la volontarietà dell’istallazione dell’app; 1.2) il perseguimento di alcune specifiche finalità; 1.3) l’utilizzo di dati pseudonimizzati.

1.1. Sulla volontarietà dell’utilizzo dell’app

Quanto alla prima, occorre sottolineare che un’applicazione fondata sulla volontarietà degli utenti implica che la volontà si manifesti in tutte parti del suo funzionamento: il download, l’istallazione, la configurazione, l’attivazione della tecnologia Bluetooth, il caricamento delle TEK sul backend di Immuni in caso di risultato positivo del tampone, la raccolta delle diverse categorie di analytics nelle fasi in cui si articola il trattamento, la consultazione del medico di fiducia dopo aver ricevuto un messaggio di allerta sul rischio di essere entrato in contatto stretto con soggetti risultati positivi, la disinstallazione dell’applicazione, ecc. (cfr. punti 24 e 31 delle “Linee guida 04/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del Comitato europeo per la protezione dei dati del 21 aprile 2020).

Corollario della volontarietà è, come previsto anche dal legislatore, che le persone che non intendono o non possono utilizzare l’applicazione, intesa nella sua interezza o solamente in una sua fase, non possono subire alcun pregiudizio, e deve, in ogni caso, essere assicurato il rispetto del principio di parità di trattamento (art. 6, comma 3, d.l. n. 28/2020).

L’utilizzo volontario dell’app deve essere chiaramente specificato agli utenti, in aderenza al principio di trasparenza ed eventuali innovazioni nelle caratteristiche del trattamento devono essere riscontrate in corrispondenti modifiche dell’informativa stessa (artt. 5, par. 1, lett. a; 12; cons. nn. 39 e 60, del Regolamento).

1.2. Sulle finalità dell’app

La normativa di riferimento stabilisce che il Sistema di allerta Covid-19 debba perseguire esclusivamente la finalità, da un lato, di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi” e, dall’altro, di “tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legata all’emergenza Covid 19”. È, inoltre, conferito al Ministero, in qualità di titolare del trattamento dei dati personali effettuato attraverso il predetto Sistema, il compito di porre in essere gli ulteriori adempimenti necessari alla gestione del sistema di allerta per l’adozione di correlate misure di sanità pubblica e di cura, in coordinamento con i soggetti previsti dalla legge, anche per il tramite del Sistema TS e nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica (art. 6, comma 1, d.l. n. 28/2020).

Le predette finalità possono essere perseguite attraverso il trattamento dei dati personali raccolti dall’app che, “per impostazione predefinita, siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti” (art. 6, comma 2, lett. b, ivi).

A ciò si aggiunge che il funzionamento dell’app Immuni implica anche il trattamento di “categorie particolari dati, in quanto relativi alla salute degli utenti. Questi ultimi possono essere trattati ai sensi dell’art. 9, par. 1, lett. g, del Regolamento, nel rispetto delle ulteriori garanzie previste dall’art. 2-sexies del Codice, che prevede la specificazione dei “tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.

Al riguardo, tale livello di dettaglio è riportato nella valutazione di impatto in esame, con la quale – ai sensi dell’art. 6, comma 2, del d.l. n. 28/2020 – il Ministero della Salute è stato chiamato ad adottare “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati”. Tale documento contiene una descrizione generale dei dati trattati, delle operazioni eseguite, dei flussi di dati e delle specifiche finalità perseguite.

In particolare, il Sistema comporta il trattamento dei dati necessari, come previsto dal legislatore, da un lato, per il tracciamento dei contratti al fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi (es: TEK, RPI, la data di inizio dei sintomi per persone positive al tampone, la avvenuta ricezione della notifica di esposizione) e, dall’altro, per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del Sistema di allerta Covid-19 (es: analytics Operational Info ed Epidemiological Info, descritti sopra, che comprendono, tra l’altro, la provincia di domicilio, la data in cui è avvenuto l’ultimo contatto a rischio, il grado di rischio di contagio, l’aver ricevuto un messaggio di allerta, lo stato di attivazione del bluetooth, il permesso per l’utilizzo del Framework A/G che rende possibile il tracciamento dei contatti, il permesso per le notifiche, il sistema operativo del dispositivo, il clock del dispositivo, gli analytics token, i device token).

1.3. Sull’utilizzo di dati pseudonimizzati

L’art. 6 comma 2, lett. c) del d.l. n. 28/2020 stabilisce che il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi pseudonimizzati.

La pseudonimizzazione, ai sensi dell’art 25 del regolamento costituisce una misura di privacy by design, volta primariamente ad assicurare l’applicazione efficace dei principi della protezione dei dati personali, integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. Si tratta dunque di un adempimento e non di una tecnica di anonimizzazione dei dati.

Lo scopo della tutela è rappresentato dalla definizione di pseudonimizzazione, introdotta dall’art 4 comma 1 del Regolamento come il risultato di un trattamento di dati personali che non ne consente l’attribuzione a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a specifiche misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Per dare compiuta applicazione al dettato normativo devono dunque essere chiaramente individuate le due componenti di un trattamento di pseudonimizzazione, il dato pseudonimizzato e l’informazione aggiuntiva, e deve inoltre essere garantita la separazione tra queste due componenti in assenza della quale sarebbe possibile l’identificazione di un interessato.

Nel contesto del contact tracing lo scopo della pseudonimizzazione, in tal modo realizzata, è di consentire la distribuzione delle chiavi TEK (vale a dire il risultato della pseudonimizzazione) ai partecipanti al sistema ma non delle chiavi di co-decodifica (vale a dire l’informazione aggiuntiva) venendo a mancare la quale sarebbe impedita in radice ai partecipanti la possibilità di risalire all’identità di qualsiasi altro partecipante.

A tal riguardo, l’applicazione di tecniche di cifratura asimmetriche a stato dell’arte (ad esempio, basate su algoritmi di hash), con una adeguata custodia delle chiavi da parte del soggetto centrale, che sarebbe l’unico in grado di consentire la re-identificazione per ragioni meramente funzionali all’operatività del sistema, si configurerebbe come una schema di pseudonimizzazione idoneo a realizzare il disaccoppiamento tra TEK e le loro chiavi di decodifica, consentendo così la corretta applicazione dell’art. 6 comma 2, lett. C) del d.l. n. 28/2020, nonchè, su tale base, la pubblicazione delle TEK dei soggetti risultati positivi.

2. Le caratteristiche dell’algoritmo di esposizione al contagio

In via preliminare si rappresenta che, nella valutazione d’impatto non sono ancora individuati puntualmente i criteri epidemiologici di rischio e i modelli probabilistici su cui si basa l’algoritmo, né i parametri di configurazione impiegati corredati dalle assunzioni effettuate, in conformità con quanto disposto dall’art. 6, comma 2, lett. B), del d.l. n. 28/2020, il quale prevede che l’individuazione del contatto stretto avvenga “secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure“ tecniche e organizzative contenute nella valutazione d’impatto.

Al riguardo, si sottolinea l’importanza che sia assicurata la massima trasparenza pubblica di tali criteri, anche al fine di garantire un idoneo scrutinio da parte della comunità scientifica.

Sotto questo profilo, si rappresenta che la valutazione del rischio di esposizione al contagio effettuata dall’app è calcolata mediante un algoritmo, solo genericamente rappresentato nella valutazione di impatto, che tiene conto della durata del contatto e della distanza dei dispositivi mobili desunta dall’intensità del segnale bluetooth ricevuto dal dispositivo (c.d. attenuation). Il modello di rischio può evolvere con il tempo, in funzione delle informazioni sul virus che risulteranno disponibili.

Occorre considerare che la valutazione della distanza fra dispositivi è intrinsecamente suscettibile di errori in quanto l’intensità del segnale bluetooth dipende da fattori diversi come l’orientamento reciproco di due dispositivi o la presenza di ostacoli fra essi (compresa la presenza di corpi umani), potendo così rilevare “falsi positivi” e “falsi negativi”.

Peraltro, la mancata conoscenza del contesto in cui è avvenuto il contatto stretto con un caso accertato Covid-19 (dato certamente rilevante, invece, ai fini epidemiologici, anche in ragione dell’eventuale utilizzo di sistemi di protezione) è suscettibile di creare potenzialmente numerosi “falsi positivi”.

È importante infatti sottolineare che l’individuazione dei contatti a rischio è effettuata in modo probabilistico, al fine di allertare gli utenti di un possibile rischio di contagio; per cui deve essere chiaro che in nessun caso la ricezione di un messaggio di allerta proveniente dall’app significa automaticamente che l’utente è stato sicuramente contagiato.

Quanto detto è rilevante anche considerando la fase di sperimentazione e la successiva fase iniziale di utilizzo dell’app in tutto il territorio nazionale, anche per ottenere (e mantenere) la fiducia degli utenti circa l’esattezza e la precisione dell’app nel generare messaggi di allerta solo nei confronti degli utenti che abbiano avuto un reale rischio di aver contratto il virus. In caso contrario, infatti, nel caso in cui ove i falsi contatti stretti o non effettivamente ad alto rischio di contagio fossero numerosi, si rischierebbe invece di compromettere la fiducia degli utenti nell’affidabilità della app con conseguente interruzione del suo utilizzo.

******

Su tali basi, si raccomanda, pertanto, che:

l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici (specificando i parametri di configurazione impiegati e le assunzioni effettuate), sia puntualmente indicato e costantemente aggiornato nella valutazione d’impatto, in osservanza del principio di responsabilizzazione, come del resto previsto dall’art. 6, comma 2, lett. b), del d.l. n. 28/2020, rendendolo disponibile allo scrutinio da parte della comunità scientifica;

gli utenti siano adeguatamente informati in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio (stante la possibilità, ad esempio, che alcuni soggetti entrino in contatto con persone positive al Covid-19 in ragione della propria attività lavorativa, ma adottando dispositivi di protezione individuale o altri accorgimenti), e fornisca agli utenti informazioni semplici e chiare sul funzionamento dell’algoritmo (anche attraverso una c.d. infografica);

gli utenti dell’app possano temporaneamente disattivare la stessa attraverso una funzione facilmente accessibile nella schermata principale e che di tale funzione di disattivazione temporanea siano informati gli utenti in modo chiaro attraverso le infografiche visualizzate all’atto dell’installazione dell’app.

3. Analytics

Per raggiungere le finalità di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi” e di “tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legata all’emergenza Covid 19”, il Ministero della salute ha ritenuto necessario prevedere che il Sistema Immuni raccolga attraverso l’app le diverse tipologie di analytics sopra descritte. Ciò, per consentire, in primo luogo, di predisporre le adeguate misure di presa in carico, da parte del Servizio sanitario nazionale, dei soggetti risultati a rischio di contagio – individuando tempestivamente nuovi focolai di infezione e monitorando il grado di adesione all’utilizzo dell’app da parte degli utenti – e, dall’altro, di permettere, attraverso l’analisi di dati epidemiologici, un costante miglioramento della capacità dell’algoritmo di individuare i contatti stretti tra gli utenti, assicurando al contempo il complessivo funzionamento del Sistema di allerta Covid-19 attraverso una migliore calibrazione delle configurazioni dell’app.

Al riguardo, si ritiene opportuno che, come già rappresentato, venga assicurata la massima trasparenza nei confronti degli utenti, garantendo la volontarietà del conferimento delle informazioni da parte degli utenti verso il backend di Immuni. Le informazioni che il Ministero intende acquisire sono, infatti, archiviate sul dispositivo dell’utente cui deve essere garantita la massima consapevolezza delle operazioni eseguite, favorendo, in tal modo, una fiduciosa e ampia adesione al Sistema di allerta Covid-19 (cfr. punto 28 delle Linee guida n. 04/2020 cit. del Comitato europeo per la protezione dei dati).

Occorre, infatti, rappresentare che tali informazioni non possono essere considerate dati anonimi (queste sono, infatti, acquisite dal Sistema di allerta Covid-19 in forma individuale dai singoli dispositivi) e consentono, in diversi contesti, concrete possibilità di re-identificazione degli interessati, soprattutto se associate ad altre informazioni ovvero in caso di morbilità non elevata o di ambiti territoriali con bassa densità di popolazione.

Al riguardo, si evidenzia che nella valutazione d’impatto non sono adeguatamente precisate le modalità con cui il Ministero della salute intende trattare e conservare le diverse tipologie di analytics raccolti, le tecniche di anonimizzazione eventualmente adottate, i tempi di cancellazione, nonché le specifiche misure di sicurezza poste in essere anche in relazione ai prospettati flussi di dati via PEC tra Sogei e il medesimo Ministero.

Infine, con riferimento al fatto che le Operational Info vengono attualmente raccolte solo da dispostivi iOS, si rappresenta che il Ministero ha ritenuto che i dati acquisiti in tal modo siano sufficienti per ottenere elaborazioni rappresentative, essendo conosciuta la distribuzione di dispositivi iOS e Android nelle diverse province italiane, precisando, altresì, che è in fase di sviluppo un meccanismo di device attestation anche per dispositivi Android. In particolare, la necessità di coinvolgere Apple e, successivamente, Google nel predetto meccanismo deriverebbe da esigenze di natura meramente tecnica, strumentale a garantire la sicurezza e una maggiore affidabilità dei dati raccolti.

È opportuno, a tal proposito, osservare come il ricorso iniziale agli analytics prodotti dai soli dispositivi iOS introduca una possibile distorsione (bias) nel campione su cui saranno calcolati gli indicatori di efficacia nell’uso del sistema e a partire dai quali sarà eventualmente effettuata la calibrazione del funzionamento dell’app. Ciò anche in ragione delle caratteristiche socio-demografiche proprie degli utilizzatori di dispositivi iOS che possono essere significativamente diverse da quelle degli utilizzatori dei dispositivi Android.

Si rileva peraltro che la comunicazione dei dati, diversi da quelli appartenenti a categorie particolari, nei confronti di Apple può trovare legittimazione nell’art. 17-bis del d.l. 9 marzo 2020, n. 14, che disciplina il trattamento dei dati personali nel contesto emergenziale, purché gli utenti siano adeguatamente informati del ruolo svolto da Apple in tale circostanza.

******

In relazione a quanto sopra rappresentato, si ritiene necessario che gli analytics siano accuratamente protetti nel backend di Immuni, evitando ogni forma di riassociazione degli stessi a interessati identificabili e assicurando l’adozione di adeguate misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (art. 25 del Regolamento).

Con riferimento al prospettato meccanismo di device attestation messo a disposizione da Apple, si invita a ponderare la possibilità di introdurre analoghi strumenti che non comportino il coinvolgimento di soggetti terzi nel trattamento. Laddove, invece, ciò, nel rispetto del principio di accountability, fosse ritenuto indispensabile, si raccomanda di rappresentare chiaramente agli utenti tale circostanza, specificando che saranno comunicati ad Apple esclusivamente i dati tecnici necessari a garantire la sicurezza e una maggior affidabilità dei dati raccolti, ferma restando la necessità di esaminare la soluzione di device attestation che verrà individuata per i dispositivi Android.

4. Trasparenza del trattamento e diritti degli interessati

4.1. Principio di trasparenza

In virtù del principio di trasparenza, il titolare deve informare l’interessato dell’esistenza del trattamento effettuato nell’ambito del Sistema di allerta Covid-19 e delle sue finalità, fornendogli le informazioni necessarie ad assicurare un trattamento corretto e trasparente, pur in considerazione le circostanze emergenziali in cui è effettuato e il contesto specifico in cui i dati personali sono trattati (artt. 5, par. 1, lett. a), 13 e 14 del Regolamento e considerando n. 60).

Le informazioni devono essere rese disponibili all’interessato prima della raccolta dei dati, anche con una modalità progressiva, fornendo in primo luogo quelle relative alle principali caratteristiche del trattamento. Al riguardo, il legislatore ha previsto che gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti, al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate per proteggere la sua identità e sui tempi di conservazione dei dati (art. 6, comma 2, lett. a), d.l. n. 28/2020). Particolare attenzione deve essere poi prestata alla volontarietà dell’uso dell’app, alla tipologia dei dati trattati e ai soggetti coinvolti nel trattamento.

Oltre a quanto già indicato nei precedenti paragrafi in relazione al rispetto del principio di trasparenza, al fine di facilitare la comprensione degli elementi informativi previsti dal Regolamento, si conviene che, come rappresentato nella valutazione d’impatto, gli stessi possano essere forniti in combinazione con icone standardizzate – leggibili da dispositivo automatico – per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (cfr. considerando n. 61 al Regolamento).

Il linguaggio con cui devono essere rese le informazioni previste dal Regolamento deve essere formulato con modalità tali da essere comprensibile al maggior numero possibile di persone, in quanto una parte significativa della popolazione sarà probabilmente interessata dall’app.

Si esorta inoltre anche a individuare adeguate modalità di fruizione delle predette informazioni anche da parte delle persone con disabilità.

******

Ciò premesso, oltre all’esigenza rappresentata nel paragrafo 3 relativa alla trasparenza nella raccolta e nell’elaborazione degli analytics, in relazione al modello di informativa trasmesso a questa Autorità successivamente alla ricezione della valutazione d’impatto, si raccomanda di descrivere – nella parte relativa alla “Trasmissione/flusso dei dati” – le operazioni effettuate con riferimento ai dati analytics di tipo Epidemiological Info, nonché di specificare con maggiore chiarezza che i dati personali raccolti “Per i soli utenti esposti al rischio di contagio” e “Per i soli utenti risultati positivi al SARS-CoV-2” si aggiungono a quelli acquisiti per “Tutti gli utenti dell’app” (punti 5 e 4 del modello di “Informativa resa ai sensi degli articoli 13-14 del Regolamento (UE) 2016/679 (“General Data Protection Regulation – GDPR” in atti).

Con specifico riferimento all’utilizzo dell’app anche da parti di minori ultra quattordicenni, si raccomanda di prestare particolare attenzione alle informazioni da fornire e al contenuto dei messaggi di avvenuta esposizione a rischio di contagio.

Per quanto riguarda la fase di sperimentazione del Sistema di allerta Covid-19 indicata nella valutazione di impatto (par. 3), si raccomanda di informare gli utenti, tempestivamente e con modalità efficaci, che -in tale fase- sebbene possano installare l’app, l’avviso di esposizione al rischio di contagio potrà pervenire soltanto se il contatto è avvenuto con soggetti risultati positivi al Covid-19 assistiti dalle Regioni o Province autonome deputate alla sperimentazione.

4.2. Diritti dell’interessato

Il Regolamento, nel riconoscere all’interessato specifici diritti rispetto al trattamento dei suoi dati personali, individua anche alcuni ambiti in cui l’esercizio degli stessi può essere limitato (cfr. considerando nn. 63 e 68 e artt. 15 e ss. del Regolamento).

In primo luogo, si evidenzia che, per le caratteristiche del trattamento effettuato attraverso il Sistema di allerta Covid-19 e le tecniche di pseudonimizzazione utilizzate, come indicato nella valutazione d’impatto, il titolare potrebbe non essere in grado di identificare l’interessato in funzione dell’esercizio da parte dello stesso dei diritti riconosciuti dal Regolamento. Di tale circostanza il titolare deve compiutamente informare l’interessato (art. 11, par. 2, del Regolamento).

Ciò premesso, con specifico riferimento alle valutazioni effettuate dal Ministero in merito all’esercizio dei diritti da parte degli interessati e a quanto indicato nel modello di informativa trasmesso a questa Autorità, si evidenzia che:

i diritti di accesso (art. 15 del Regolamento), rettifica (art. 16 del Regolamento), limitazione del trattamento (art. 18 del Regolamento) e portabilità dei dati (art. 20 del Regolamento) non sono esercitabili da parte dell’interessato con riferimento al trattamento dei dati personali effettuati attraverso il Sistema di allerta Covid-19 in considerazione delle caratteristiche del trattamento;

il diritto di opposizione (art. 21 del Regolamento), analogamente a quanto indicato per il diritto alla cancellazione, può essere esercitato dall’interessato. Come correttamente rappresentato nella valutazione di impatto e nell’informativa, il diritto di opposizione si concretizza nella possibilità per l’interessato di disinstallare l’app. Al riguardo, si rappresenta l’opportunità che l’interessato sia edotto della circostanza che le chiavi saranno via via cancellate, al termine del quattordicesimo giorno di vita, anche sull’infrastruttura centrale.

******

Il diritto di cancellazione è invece esercitabile direttamente tramite l’app per tutte le chiavi temporanee (TEK) e gli identificativi di prossimità (RPI) mediante una funzione appositamente messa a disposizione dal Framework A/G volta a interrompere l’utilizzo dell’app in qualsiasi momento. L’interessato dovrebbe essere reso edotto della modalità di esercizio di tale diritto indicata nella valutazione di impatto e delle relative conseguenze.

Inoltre, si rappresenta l’opportunità che la funzionalità necessaria ad adattare l’utilizzo dell’app in contesti in cui sarebbero prodotti falsi positivi, sopra descritta, possa utilmente essere impiegata per garantire l’esercizio del diritto di opposizione qualora l’utente su base temporanea, ne ravvisi l’esigenza, evitando di ricorrere alla soluzione più radicale della disinstallazione dell’app.

5. Temporaneità della misura e tempi di cancellazione dei dati

Il trattamento dei dati personali deve essere conforme ai principi di minimizzazione dei dati e di limitazione della conservazione, in base ai quali – rispettivamente – i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, nonché “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) ed e), del Regolamento).

Al riguardo l’art. 6, comma 6, del d.l. n. 28/2020 prevede che l’utilizzo dell’app e della piattaforma, nonché ogni trattamento di dati personali effettuato tramite di essi devono essere interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Entro tale data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

È inoltre previsto che “i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificata nell’ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine” (art. 6, comma 2, lett. e), del d.l. n. 28/2020)

Nella valutazione d’impatto il Ministero ha puntualmente individuato i tempi di conservazione dei dati in relazione alle specifiche finalità, prevedendo la cancellazione delle singole tipologie dei dati personali trattati una volta esaurita la finalità per i quali sono stati raccolti e comunque non oltre il 31/12/2020.

In proposito, al fine di valutare la proporzionalità del trattamento effettuato, è rilevante, fra l’altro, che:

le TEK e gli RPI memorizzati sui dispositivi mobili degli utenti siano cancellati automaticamente dopo 14 giorni;

le TEK dei soggetti risultati positivi Covid-19 che hanno effettuato l’upload sul backend di Immuni siano analogamente cancellate dopo 14 giorni.

Restano in ogni caso ferme le osservazioni formulate in ordine ai tempi di conservazione degli analytics di cui al par. 3 e dell’indirizzo IP di cui al par. 7 al cui contenuto si rinvia integralmente.

6. Soggetti coinvolti nel trattamento

L’art. 6, commi 1 e 5, del d.l. n. 28/2020 prevede quali sono i soggetti istituzionali coinvolti nel trattamento dei dati personali.

Il titolare del trattamento è il Ministero della salute che si avvale dei soggetti indicati nelle predette disposizioni, fra cui Sogei S.p.a. e il Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

In tale quadro, nella valutazione d’impatto è inoltre indicato il coinvolgimento di fornitori di servizi di Content Delivery Network (CDN), designati sub-responsabili da parte Sogei, a seguito di specifica autorizzazione del Ministero della Salute ai sensi dell’art. 28 del Regolamento. Ciò, al fine di garantire – come riportato nella predetta valutazione d’impatto – la disponibilità e resilienza del sistema, l’esposizione delle chiavi temporanee relative agli utenti risultati positivi al tampone Covid-19.

Nella valutazione d’impatto non è invece sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali.

Tale aspetto andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione.

7. Sicurezza del trattamento

Ai diversi pregi del modello decentralizzato su cui si basa il Sistema Immuni, si affiancano alcune vulnerabilità di cui occorre essere consapevoli anche al fine di adottare le opportune misure di mitigazione dei rischi di sicurezza del Sistema, relativi anche alla possibile re-identificazione degli utenti con riferimento sia a coloro che ricevono il messaggio di allerta che a coloro che sono risultati positivi al Covid-19.

7.1. Sicurezza del dispositivo e rischi di re-identificazione

La riservatezza dei dati relativi ai soggetti risultati positivi al Covid-19 è affidata in parte alle misure tecniche e organizzative che devono essere individuate dal titolare del trattamento ma, in parte, anche alla capacità di evitare le occasioni in cui gli RPI di un utente (identificativi di prossimità, pseudonimi di breve periodo), inviati in broadcast con tecnologia bluetooth, possano essere rilevati da terzi, anche in abbinamento ad altre informazioni identificative, per essere, successivamente, raffrontati con le TEK dei soggetti risultati positivi, pubblicate dal Sistema di allerta Covid-19.

L’utente deve essere adeguatamente avvisato della particolare cura da riservare alla sicurezza del proprio dispositivo mobile, per prevenire l’azione di malware anche in forma di app apparentemente innocue ma che potrebbero avere un comportamento malizioso al fine di acquisire informazioni utili a ricostruire le relazioni tra gli utenti o le catene di contagio, ovvero individuare i soggetti esposti al rischio di contagio o quelli risultati positivi al Covid-19.

Occorre inoltre considerare che, all’esterno del dispositivo mobile possono essere attivati degli apparati di scansione (sniffer) in grado di intercettare la trasmissione broadcast degli RPI per usi impropri o, comunque, non autorizzati, determinando conseguenze pregiudizievoli in capo agli interessati.

Accanto ai predetti scenari, si aggiungono i rischi di re-identificazione inferenziale dei soggetti risultati positivi al Covid-19, con la compromissione della riservatezza delle informazioni, sia da parte di soggetti coinvolti nel trattamento, anche attraverso la disponibilità di analytics, sia da parte di altri utenti con tentativi di ricostruire contatti senza che siano necessari sofisticati strumenti tecnologici.

Al riguardo, si rappresenta che la pubblicazione delle TEK relative ai soggetti risultati positivi al Covid-19, comportando la diffusione degli pseudonimi dei loro dispositivi, li espone a una particolare tecnica di attacco denominata “paparazzi attack”, che si realizza quando sia possibile acquisire agevolmente lo pseudonimo di un soggetto la cui identità sia nota, per esempio in prossimità del suo luogo di dimora oppure in ogni altro luogo in cui alla trasmissione via bluetooth dello pseudonimo siano associabili informazioni aggiuntive, come avviene in esercizi commerciali all’atto del pagamento con carta di credito, al passaggio attraverso varchi di imbarco controllati negli aeroporti, oppure nei luoghi di lavoro con i sistemi di rilevamento delle presenze.

Si tratta di contesti in cui potrebbero essere acquisiti gli RPI generati dal dispositivo di un utente ignaro associandovi altre informazioni identificative e consentendo la ricerca degli RPI così acquisiti tra quelli ottenibili dalla pubblicazione delle chiavi TEK dei soggetti positivi, con un effetto finale di re-identificazione associato a una caratterizzazione dello stato di salute.

In particolare, nel caso dell’app Immuni, la pubblicazione del codice del programma come open source e la pubblicità data agli algoritmi crittografici adoperati nel Framework A/G potrebbero consentire a chiunque conosca, avendole scaricate, le TEK dei soggetti risultati positivi, di ricavare da ciascuna di esse i 144 RPI da raffrontare con la base dati di RPI “etichettati”.

7.2. Le misure adottate nell’ambito del Sistema di allerta Covid-19

Con riferimento alla sicurezza complessiva del trattamento, si rappresenta che nella valutazione d’impatto sono descritte accuratamente le misure tecniche e organizzative adottate dal Ministero della salute nell’ambito del Sistema di allerta Covid-19, nonché quelle condivise dal Ministero dell’economia e delle finanze in relazione alle funzionalità appositamente introdotte nel Sistema TS, di seguito sinteticamente descritte:

le TEK, gli RPI e gli altri dati presenti sul dispositivo dell’utente sono memorizzati in aree crittograficamente protette, in modo da renderli illeggibili a soggetti non autorizzati;

il colloquio tra l’app e i servizi del backend di Immuni avviene mediante canali di comunicazione sicuri basati sul protocollo HTTPS (Hypertext Transfer Protocol Secure) e sull’utilizzo del meccanismo di certificate pinning;

la generazione di traffico dummy (dati fittizi), in modo automatico e secondo un modello probabilistico, consente di limitare, in modo efficace, la possibilità di inferire – attraverso l’analisi del traffico crittografato tra l’app e il backend di Immuni all’atto dell’upload delle TEK o della trasmissione delle Operational Info – informazioni relative a particolari categorie di utenti (soggetti risultati positivi o esposti al rischio di contagio);

i file contenenti i TEK Chunck sono firmati digitalmente, in modo da consentire all’app di verificarne l’integrità e l’autenticità;

la pubblicazione del codice sorgente dell’app e delle principali componenti del backend di Immuni che consente lo scrutinio da parte della comunità di sviluppatori;

il tracciamento degli accessi compiuti ai sistemi e alle basi dati dagli amministratori di sistema, con un congruo periodo di conservazione dei log;

l’utilizzo di apparati di sicurezza perimetrale per bloccare attacchi volti a sfruttare vulnerabilità note, associate sia al software di base che al codice sviluppato per il Sistema Immuni;

l’utilizzo di un codice OTP, con una validità temporale limitata (2 minuti e 30 secondi), per autorizzare – nel corso dell’indagine epidemiologica condotta da un operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente – l’operazione di upload delle TEK di un soggetto risultato positivo;

l’adozione di procedure di autenticazione informatica degli operatori sanitari per l’accesso al servizio di autenticazione OTP, reso disponibile sul Sistema TS;

il tracciamento degli accessi e delle operazioni compiute sul Sistema TS dai predetti operatori sanitari e dagli amministratori di sistema, con un congruo periodo di conservazione dei log.

7.3. Ulteriori misure suggerite

In relazione ai rischi elevati presentati dal trattamento, individuati anche nella valutazione d’impatto, si ravvisa la opportunità di apportare ulteriori miglioramenti alla sicurezza complessiva intervenendo sui seguenti aspetti.

A) Conservazione degli indirizzi IP dei dispositivi mobili

Dall’esame della documentazione, non è chiaro se vengano conservati gli indirizzi IP dei dispositivi mobili che interagiscono con il backend, sia direttamente (all’atto dell’upload delle TEK e delle Epidemiological Info) sia mediante l’intervento della CDN (al momento per il download delle TEK e la trasmissione delle Operational Info).

In particolare, nella valutazione d’impatto si afferma che “l’indirizzo IP del dispositivo che invia i dati viene trasformato in un indirizzo fittizio attraverso tecniche di Network Address Translation (NAT) dall’infrastruttura di backend all’atto dell’upload dei dati e non viene memorizzato né nel database né nei file di log. L’indirizzo IP viene esclusivamente tracciato temporaneamente sui sistemi perimetrali di accesso degli upload”, mentre nel suo allegato n. 15 è riportato che “non è prevista la memorizzazione degli indirizzi IP dei client da parte del server di backend centrale. L’indirizzo IP viene conservato dall’infrastruttura perimetrale ai soli fini di garantirne la sicurezza informatica”.

******

Occorre quindi commisurare i tempi di conservazione nella misura strettamente necessaria al rilevamento di anomalie e di attacchi. Ciò, in quanto gli indirizzi IP sono dati personali e possono costituire quell’informazione aggiuntiva che, collegata ai dati raccolti, in determinate circostanze consente l’identificazione degli utenti.

B) Tracciamento delle operazioni compiute dagli amministratori di sistema

Dall’esame della documentazione emerge che il tracciamento degli accessi dagli amministratori di sistema è limitato alle operazioni di login e logoff, non consentendo così un efficace controllo, a posteriori, delle operazioni eseguite sui dati.

******

Occorre, pertanto, introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati.

C) Caricamento erroneo di Diagnosis Keys (TEK) non riferite a soggetti positivi a seguito di errori materiali o diagnostici

Con riferimento alla valutazione dei rischi individuati nella valutazione d’impatto, occorre considerare l’ulteriore scenario di compromissione dell’integrità dei dati derivante dall’ipotesi in cui, una volta pubblicate le TEK di un soggetto ritenuto positivo, per varie ragioni (ad esempio, casi di omonimia, scambio di referti, errori materiali), si renda necessario un intervento di rettifica dei dati inseriti al fine di ripristinarne l’accuratezza.

Andrebbero dunque individuate, nel rispetto del principio di responsabilizzazione, le misure tecniche e organizzative adeguate a tal fine.

8. Sperimentazione

Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

Ciò al fine di verificare il corretto funzionamento dal punto di vista tecnico e dell’impatto sui servizi territoriali dell’app, in considerazione del possibile ulteriore carico di lavoro (contact tracing, individuazione, isolamento/quarantena, diagnostica, sorveglianza) derivante dalla diffusione del nuovo strumento digitale, che dovrebbe presumibilmente rivelare anche contatti non rilevabili con le modalità tradizionali di contact tracing.

Al riguardo, è stata ritenuta congrua la durata di almeno una settimana della fase di sperimentazione, da svolgersi nelle Regioni o Province autonome che saranno individuate dai decisori politici nazionali e regionali.

In tale quadro, poiché l’app non può essere rilasciata soltanto in zone limitate del Paese, per realizzare la sperimentazione, sarà inizialmente consentito l’utilizzo codice di sblocco OTP esclusivamente nelle Regioni o Province autonome scelte per la sperimentazione. Di conseguenza, in tale fase, tutti i cittadini pur potendo scaricare l’app dagli store ufficiali, saranno preventivamente avvertiti che l’avviso di esposizione al rischio di contagio potrà pervenire soltanto se il contatto è avvenuto con soggetti risultati positivi al Covid-19 assistiti dalle Regioni o Province autonome in cui è stata avviata la sperimentazione. Nella valutazione d’impatto è comunque indicato che di tale circostanza sarà fornito apposito avviso nell’app store.

In relazione alla fase iniziale di utilizzo della app, nella valutazione d’impatto è richiamato l’art. 35, par. 9, del Regolamento, ai sensi del quale il titolare del trattamento raccoglie, se del caso, le opinioni sul trattamento previsto da parte degli interessati che saranno coinvolti nel trattamento stesso, o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

Al riguardo, il Ministero ha evidenziato che è stato privilegiato “il pieno rispetto degli obblighi di trasparenza attraverso, tra le altre cose, il carattere libero e aperto del software utilizzando lo strumento della piattaforma GitHub per la condivisione e la cooperazione sulle questioni tecniche legate all’applicazione, lasciando ad un momento successivo, e segnatamente al termine della fase di sperimentazione, la raccolta di opinioni sull’uso vero e proprio dell’applicazione da parte dei diretti interessati”, che dovrebbe consentire “un primo momento di confronto con le opinioni esperte sulla parte più strettamente tecnica dell’applicazione e sulle misure di sicurezza volta a rafforzare quel vincolo di fiducia che è un elemento fondamentale per il buon esito del progetto”.

In relazione, invece alla raccolta delle opinioni degli utenti è stato deciso di “rimandare alla fase di sperimentazione la raccolta di dette opinioni”, considerando, fra l’altro, l’ampio dibattito su tutti gli organi di stampa sull’app Immuni e il particolare “contesto emergenziale in cui il trattamento si inserisce e quindi con la necessità di adottare misure di contenimento del Covid-19 nel più breve tempo possibile”.

Si auspica che le opinioni degli utenti espresse nella fase di sperimentazione, raccolte con le modalità sopra descritte, siano tenute in debita considerazione per il previsto aggiornamento della valutazione d’impatto e per il miglioramento del Sistema Immuni.

RITENUTO

In ragione dell’esigenza di avviare il Sistema di allerta Covid-19, il trattamento di dati personali effettuato nell’ambito di tale Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati attenuandone i rischi derivanti dal trattamento.

Nel presente provvedimento sono contenute alcune prescrizioni volte a rafforzare le garanzie nei confronti dei soggetti i cui dati siano trattati nell’ambito del sistema di allerta Covid 19. Le misure prescritte potranno essere adottate nel corso della sperimentazione del Sistema, così da garantire che in fase attuativa ogni residua criticità sia risolta.

Si rammenta, infine, che la raccolta dei dati personali trattati attraverso tale sistema, da parte di soggetti non autorizzati, determina un trattamento di dati personali illecito (anche sotto il profilo penale, ove ne sussistano gli ulteriori requisiti di fattispecie). Analogamente, i dati raccolti attraverso il predetto sistema non possono essere trattati per finalità non previste dal richiamato art. 6 del d.l. n. 28/2020 ed in particolare per assumere decisioni nei confronti dell’interessato suscettibili di arrecargli pregiudizio.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi e per gli effetti degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, nel rispetto delle seguenti prescrizioni:

1) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica (§2);

2) informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione (§2);

3) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione (§ 2);

4) individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (§3);

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati (§ 4.1);

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni (§ 4.1);

7) fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione (§ 4.1 e 8);

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione (§ 4.2);

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema (§ 6);

10) commisurare i tempi di conservazione degli indirizzi ip, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi (§ 7.3);

11) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati (§ 7.3);

12) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici (§ 7.3);

b) ai sensi e per gli effetti dell’art. 157 del Codice, richiede al Ministero della salute di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento, entro il termine di 30 giorni dalla data della ricezione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 1° giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Garante della Privacy: Provvedimento correttivo di urgenza nei confronti di Aruba Posta Elettronica Certificata S.p.a

Reading Time: 8 minutes

Provvedimento correttivo d’urgenza nei confronti di Aruba Posta Elettronica Certificata S.p.a. – 18 dicembre 2019

Registro dei provvedimenti
n. 228 del 18 dicembre

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito “Regolamento”;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito “Codice”;

Visti gli atti e la documentazione acquisita nel corso dell’istruttoria avviata dall’Ufficio nei confronti di Aruba Posta Elettronica Certificata S.p.a. (di seguito “Società” o “Aruba PEC”), con sede in Ponte San Pietro (BG), via San Clemente, 53, al fine di “verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla gestione del servizio PEC, anche a seguito dei numerosi casi di data breach notificati al Garante da diversi titolari di caselle PEC, riguardanti la perdita o la procurata indisponibilità di dati personali a seguito della ricezione di messaggi PEC contenenti allegati infetti da virus informatici […]”;

Rilevato che, nel corso dell’istruttoria, è emerso che, per la commercializzazione e attivazione del servizio PEC, la Società si avvale di una rete di Partner (circa 8.900 soggetti pubblici e privati), ai quali la stessa rende disponibile l’applicazione web denominata “Area Clienti”, raggiungibile da rete Internet all’indirizzo “XX”, attraverso cui i Partner possono attivare nuove caselle di posta elettronica certificata (di seguito “PEC”) ed effettuare altre operazioni di gestione delle stesse (es. cambio del titolare della casella, reset della password di accesso, disattivazione della casella);

Rilevato che, allo stato, la citata applicazione web, in caso di attivazione di una casella PEC tramite Partner, provvede all’invio di un messaggio di “avvenuta certificazione” sulla casella di posta elettronica ordinaria del titolare della casella PEC, all’interno del quale è riportato un link che consente allo stesso di impostare la password di accesso alla casella PEC, mentre, come emerso dalla documentazione in atti, prima del 25 settembre 2019, la stessa applicazione web prevedeva una diversa modalità di generazione e consegna delle credenziali di autenticazione per l’accesso alla casella PEC, in base alla quale:

il Partner impostava direttamente la password di accesso alla casella PEC che, successivamente, attraverso l’applicazione veniva inviata, in chiaro, sulla casella di posta elettronica ordinaria del titolare della casella PEC;

la password così impostata dal Partner, doveva essere composta da almeno 8 caratteri, senza che fossero previsti ulteriori requisiti di complessità né l’aggiornamento periodico;

al momento del primo utilizzo da parte del titolare della casella, la modifica della password attribuita dal Partner in sede di attivazione, seppur consigliata, non era obbligatoria;

Ritenuto che la predetta modalità di generazione e consegna delle credenziali di autenticazione per l’accesso alla casella PEC, adottata in precedenza dalla Società, in caso di mancata modifica della password da parte dei titolari delle caselle attivate da Partner, sia suscettibile di esporre diverse categorie di interessati (titolari della casella, mittenti/destinatari dei messaggi, nonché altri soggetti i cui dati sono presenti all’interno dei messaggi o dei relativi allegati) a gravi rischi di utilizzi impropri dei propri dati personali nonché furti d’identità;

Rilevato che, come dichiarato dalla Società nella documentazione in atti, le caselle PEC attivate tramite Partner, prima del 25 settembre 2019, per le quali non è mai stata modificata la password di accesso, alla data del 20 novembre u.s., risultavano pari a 559.151;

Rilevato, altresì, che, nel corso dell’istruttoria, è emerso che, attraverso l’applicazione web denominata “PEC Log”, raggiungibile da rete Internet all’indirizzo “XX”, i log dei messaggi PEC sono consultabili ed esportabili, oltre che dai titolari delle caselle, anche mediante un’utenza (con credenziali di autenticazione costituite dalla username “XX” e dalla relativa password) condivisa da più soggetti coinvolti a vario titolo nella gestione del servizio PEC della Società;

Rilevato che alla predetta utenza è attribuito un profilo di autorizzazione di tipo amministrativo in grado di effettuare operazioni di consultazione e di esportazione dei log relativi a tutti i messaggi inviati o ricevuti dai circa 6,5 milioni di caselle PEC gestite dalla Società nei 30 mesi precedenti;

Considerato che i log dei messaggi PEC – che la Società, ai sensi dell’art. 11, comma 2, del d.P.R. 11 febbraio 2005, n. 68, recante il Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3, è tenuta a conservare – devono contenere almeno le seguenti informazioni: il codice identificativo univoco assegnato al messaggio originale, la data e l’ora dell’evento, il mittente del messaggio originale, i destinatari del messaggio originale, l’oggetto del messaggio originale (che può contenere anche dati di carattere riservato, come nel caso di notifiche di atti processuali, anche penali), il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.), il codice identificativo dei messaggi correlati generati (ricevute, errori, ecc.), nonché il gestore mittente;

Ritenuto che la possibilità di effettuare da rete Internet operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle PEC gestite da Aruba PEC presenta ingiustificati profili di rischio per i diritti e le libertà degli interessati, aggravati dall’utilizzo condiviso delle credenziali di autenticazione relative alla predetta utenza, che non consente di attribuire le azioni compiute a un determinato soggetto, impedendo così di controllarne l’operato;

Rilevato che, dall’esame della documentazione in atti, è stato constatato che i log di tracciamento degli accessi e delle operazioni compiute sull’applicazione web denominata “Area Clienti” contengono, in particolare:

i parametri con cui viene invocato il web service raggiungibile all’indirizzo “XX”, comprese le credenziali di autenticazione di un’utenza tecnica (composte dalla username “XX” e da una password di 8 caratteri senza elementi di complessità, riportata in chiaro);

i parametri con cui viene invocata un’application programming interface raggiungibile all’indirizzo “XX”, comprese le credenziali di autenticazione di un’utenza tecnica (composte dalla username “XX” e dalla relativa password, riportata in chiaro);

Rilevato, peraltro, che, all’interno dei predetti log di tracciamento prodotti dall’applicazione web denominata “Area Clienti”, sono presenti anche informazioni riferite ai soggetti per cui viene richiesta l’attivazione, da parte di un Partner, di una casella PEC o di un altro servizio, quali il nome, il cognome, il codice fiscale, il numero di telefono, l’indirizzo di posta elettronica ordinaria, la denominazione della casella PEC, la username e la relativa password, ancorché sotto forma di hash con salt;

Ritenuto che la memorizzazione all’interno dei file di log di credenziali di autenticazione, per di più in chiaro, costituisce di per sé una grave violazione degli obblighi di sicurezza di cui all’art. 32 del Regolamento in quanto compromette la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, sia quando tali credenziali consentono di trattare direttamente dati personali, sia quando le stesse sono utilizzate per amministrare e gestire i sistemi informatici coinvolti nel trattamento (cfr. anche art. 5, § 1, lett. f), del Regolamento);

Ritenuto, più in generale, che riportare all’interno dei file di log informazioni non indispensabili per le finalità di controllo e sicurezza connesse al tracciamento degli accessi e delle operazioni compiute su un sistema informatico e sui dati in esso contenuti, determini una duplicazione di dati personali oggetto di trattamento nell’ambito del predetto sistema che risultano così esposti a maggiori rischi di trattamenti non autorizzati o illeciti, e, quindi, non sia conforme ai principi di minimizzazione e di riservatezza di cui all’art. 5, § 1, lett. c) e f), del Regolamento;

Considerate le rilevanti criticità sopra descritte, che comportano rischi di elevata probabilità e gravità per i diritti e le libertà degli interessati, relative a:

a) mancata modifica delle password impostate direttamente dai Partner al momento della loro attivazione delle predette 559.151 caselle PEC;

b) possibilità di effettuare, da rete Internet, operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti dai circa 6,5 milioni di caselle PEC gestite dalla Società, peraltro mediante un’utenza, condivisa da più soggetti, a cui è attribuito un elevato profilo di autorizzazione di tipo amministrativo;

c) memorizzazione, all’interno dei file di log prodotti dall’applicazione web denominata “Area Clienti”, di credenziali di autenticazione di utenze tecniche (username e password riportate in chiaro), e di informazioni non necessarie al perseguimento delle finalità di controllo e sicurezza connesse al tracciamento;

Ritenuto necessario intervenire urgentemente per tutelare i diritti e le libertà degli interessati, essendo pregiudicata la capacità, da parte della Società in qualità di titolare del trattamento, di garantire, come richiesto dal Regolamento, la sicurezza dei dati trattati all’interno dei propri sistemi informatici, assicurandone, su base permanente, la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni, anche accidentali; ciò in violazione degli artt. 5, § 1, lett. f), e 32 del Regolamento;

Ritenuta, in particolare, la necessità di ingiungere alla Società, ai sensi dell’art. 58, § 2, lett. d), del Regolamento, in via d’urgenza, con riserva di ogni altra determinazione, anche sanzionatoria – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – di adottare le seguenti misure:

A) con riferimento alla criticità di cui al punto a):

1) l’invio, entro il termine di 10 giorni dalla ricezione del presente provvedimento, a tutti i titolari delle suindicate 559.151 caselle PEC che non abbiano già provveduto a modificare la password impostata dal Partner, di una comunicazione volta a rappresentare che, in caso di mancata modifica della stessa entro un termine congruo – da individuarsi a cura della Società – verrà adottata una procedura di modifica obbligatoria della password;

2) l’adozione, entro il termine di 30 giorni dalla ricezione del presente provvedimento, di una procedura di modifica obbligatoria dalla password di accesso alle caselle PEC in caso di inerzia dei titolari delle stesse;

B) con riferimento alla criticità di cui al punto b),

1) l’inibizione, entro il termine di 10 giorni dalla ricezione del presente provvedimento, dell’accesso, da rete Internet, all’applicazione web “PEC Log” con utenze in uso ad utenti operanti presso la Società a cui è attribuito un profilo di autorizzazione elevato, che consente di effettuare operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle gestite da Aruba PEC;

2) l’assegnazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento, a un solo soggetto autorizzato delle credenziali di autenticazione dell’utenza “XX”, previa modifica della password, assicurando, inoltre, che tutti gli utenti dell’applicazione web denominata “PEC Log” siano dotati di credenziali di autenticazione ad uso esclusivo degli stessi;

C) con riferimento alla criticità di cui al punto c),

1) la ridefinizione, entro il termine di 30 giorni dalla ricezione del presente provvedimento, delle modalità di tracciamento degli accessi e delle operazioni compiute sull’applicazione web “Area Clienti”, prevedendo che i file di log prodotti non contengano credenziali di autenticazione di utenze tecniche, né ogni altra informazione non indispensabile per le finalità di controllo e sicurezza connesse al tracciamento;

2) la ridefinizione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, delle modalità di tracciamento degli accessi e delle operazioni compiute su ogni altra applicazione web che produca file di log contenenti credenziali di autenticazione di utenze tecniche o, comunque, informazioni non necessarie al perseguimento delle finalità di controllo e sicurezza connesse al tracciamento;

3) la modifica, entro i termini di adozione delle misure di cui precedenti ai punti 1) e 2), delle password utilizzate dalle utenze tecniche riportate all’interno dei file di log;

Tenuto conto che, ai sensi dell’art. 83, § 6, del Regolamento, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”;

Ritenuto che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, § 2, lett. d), del Regolamento, ingiunge ad Aruba Posta Elettronica Certificata S.p.a. di adottare le misure di cui alle lettere A), B), e C) indicate in premessa, entro i termini di volta in volta individuati;

2)  richiede ad Aruba Posta Elettronica Certificata S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto ingiunto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice entro 10 giorni dallo spirare dei termini di cui alle lettere A), B), e C) indicate in premessa; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, § 5, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 18 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Whistleblowing non sicuro: Garante privacy sanziona un’università per 30.000 € – Diffusi i nomi di chi aveva segnalato illeciti

Reading Time: 2 minutes

Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate. Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro.

dalla Newsletter del Garante per la Privacy del 18/02/2020

Il sindaco di Riace Antonio Trifoli pubblica una mail con i dati personali di Jasmine Cristallo

Reading Time: 3 minutes
(Cliccare sull’immagine per ingrandirla)

Non so chi siano né Jasmine Cristallo (che mi risulta leader e portavoce di una parte del movimento delle cosiddette “sardine”) né Antonio Trifoli. Cioè, so benissimo che Antonio Trifoli è il sindaco di Riace, eletto nella lista civica “Riace Rinasce”, vicina alla Lega, già destituito con una sentenza del Tribunale la cui efficacia esecutiva risulta sospesa in virtù del ricorso presentato avverso la stessa sentenza.

Fatto sta che un paio di giorni or sono il sindaco Trifoli ha pubblicato su Facebook il testo di una PEC di Jasmine Cristallo indirizzata alla Questura di Reggio Calabria e all’ufficio protocollo del Comune in cui si comunicava che si sarebbe tenuto un flash mob e che la partecipazione avrebbe previsto la presenza di 150/200 persone approssimativamente. Il tutto senza cancellare l’indirizzo di residenza, l’indirizzo di posta elettronica (quest’ultimo segnalato dalla quasi totalità della stampa, anche se sulla documentazione in mio possesso che premetto a questo intervento l’e-mail PEC non compare) e il recapito telefonico, mettendo così la persona di Jasmine Cristallo all’esposizione di qualunque fanatico che abbia o che abbia voluto perseguitarla a vario titolo. Adesso tutti sanno dove abita (e saperlo, purtroppo, non dovrebbe essere un grosso problema, visto che gli archivi comunali dell’anagrafe di stato sono pubblici e pubblici sono i dati in essi contenuti), a quale indirizzo di posta elettronica risponde (e questo potrebbe essere un problema abbastanza facilmente risolvibile, basta “switchare” le impostazioni della casella in modo che riceva posta elettronica esclusivamente da account altrettanto certificati e che rimandi indietro le mail provenienti da account di posta elettronica tradizionale che sovente sono i più utilizzati per il mail bombing denigratorio). Resta (come se fosse poco), il problema del numero del cellulare e, più in generale, l’atteggiamento di chi, alla carlona, ha pubblicato su un social una mail (cercando di avvalorare la propria tesi circa il numero dei partecipanti al flash mob), senza preoccuparsi di sbianchettarne i passaggi salienti e/o i dati personali che non interessavano a nessuno. O, forse, interessavano solo ai soliti leoni da tastiera.

Il messaggio è restato in linea per pochissimo tempo (è stato quasi immediatamente cancellato), ma ormai il danno era fatto. Jasmine Cristallo ha dichiarato:

“Eccovi il signor Antonio Trifoli. Non l’ho mai incontrato di persona, ma tra poco succederà: in tribunale”

mentre Trifoli, azzardando una francamente incomprensibile scintilla di difesa ha detto:

“La mia intenzione era soltanto quella di evidenziare il numero esatto delle persone che hanno partecipato all’iniziativa e per errore ho pubblicato sul mio profilo Facebook anche l’indirizzo di Jasmine Cristallo. Stamane le ho telefonato spiegandole questo e chiedendo scusa. Non è mio costume fare certe cose, anzi sono contento quando qualcuno viene a Riace per manifestare pacificamente. Io non sono Mimmo Lucano, ma non sono né leghista né razzista come spesso mi dipingono”.

E ancora:

“Per una svista – si legge sul suo profilo – è  stata pubblicata per poco tempo, sotto i tanti commenti di una testata locale, una nota in cui vi erano alcuni dati della sig.ra Jasmine Cristallo. Porgo a lei le mie più sentite scuse e la aspetto al Comune di Riace per offrirle un mazzo di fiori e per scambiare 4 chiacchiere con lei, per farle capire che non sono così cattivo e pieno di pregiudizi, come invece sono stato descritto”.

Sarà, però intanto i soliti haters hanno cominciato a minacciare velatamente perfino la figlia dell’attivista e questo è seriamente preoccupante.

Leggerezza o atto doloso che sia, la privacy di una persona sarebbe stata pesantemente violata. E non si può non offrire tutta la propria solidarietà a Jasmine Cristallo che in questo frangente è senz’altro il soggetto più debole e compromesso.

Come disabilitare le notifiche di lettura su WhatsApp

Reading Time: 2 minutes

A me WhatsApp piace. Mi è utile per comunicare brevemente con le persone, ci mando foto, raramente qualche video, ci rompo spesso le scatole al prossimo, quando sono in Toscana faccio delle videochiamate con mia figlia, insomma, mi ci trovo assai bene.

So altrettanto bene che si tratta di uno strumento tremendamente invasivo per quello che riguarda la privacy. Ma è un prezzo che sono disposto a pagare e quando lo uso non penso che è di proprietà di Zuckerberg o come si scrive. Esattamente come quando mangio la Nutella non penso al fatto che le nocciole possano essere turche, la mangio e basta, butta giù che ti fa bene!

Ma una delle cose che non potevo sopportare, fino a ieri, di WhatsApp, erano i doppi segni di spunta azzurri che mi notificavano l’avvenuta lettura del messaggio da parte del destinatario.

Voglio dire, mi scrivono un messaggio, me lo mandano, a quel punto WhatsApp segnala con un segno di spunta singolo l’avvenuta ricezione del messaggio sui suoi sistemi, e con un segno di spunta doppio (di colore grigio) che quel messaggio è stato inoltrato sul terminale del destinatario (cioè me), perché mai il mittente dovrebbe sapere anche se ho letto quel messaggio o meno? Ma saranno affari miei? Volete anche sapere se mi è piaciuto, se risponderò e quando risponderò. Perché poi la componente psicologica è quella: l’hai letto quindi adesso sei costretto a rispondere. E la gente magari lo fa anche, con una faccina, un dito alzato, un gomito piegato (particolarmente ostile quest’ultimo), il sorrisino che fa vedere che scendono le lacrime, quello che mostra la bocca spalancata (perché ce ne sono di diverse tipologie, uno solo non bastava), cuoricini a gogò, gattini, micetti, felini in fasce, disegnini vari, casine, casette, caselle, orsacchiotti, peluscini, Di Stefano ora basta.

Insomma, perché mai una persona dovrebbe sapere se io ho letto o meno un suo messaggio? E quando l’ha saputo cosa cambia? Mi dà fastidio questa cosa. E allora l’ho tolta. Non pensavo si potesse fare e invece ho trovato il modo. Ve lo trascrivo qui di seguito:

– Si apre l’applicazione.
– Si clicca sui tre puntini verticali in alto a destra.
– Poi si va su “Impostazioni”
– Da qui su Account —> Privacy.
– Sul menu “Privacy” si disattivano le “Conferme di lettura”.

Si tratta di una operazione a doppio binario. Vuol dire che, una volta compiuta, chi vi scrive non saprà se voi avete letto il messaggio, ma se voi scrivete a qualcuno, analogamente sarete voi a non poter avere la conferma di lettura da parte del destinatario. E va beh, pazienza, diamo agli altri quello che pretendiamo per noi e viviamo tutti più leggeri. Meno stress, meno impazienza. Hasta pronto.

Pa: il Garante Privacy chiede più tutele per chi segnala gli illeciti (Whistleblowing)

Reading Time: 2 minutes

Adottare ulteriori misure per proteggere l’identità di chi segnala riservatamente condotte illecite e quella dei presunti autori, delineare più precisamente i fatti che possono essere segnalati con il “whistleblowing” nella Pa, definire meglio il ruolo dei soggetti coinvolti.

Queste sono alcune delle condizioni e osservazioni indicate dal Garante per la privacy nel parere sulla bozza di “Linee guida in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza in ragione di un rapporto di lavoro, ai sensi dell’art. 54-bis del d.lgs. 165/2001, (c.d. whistleblowing)”, predisposta dall’Anac.

Le Linee guida – rivolte ai datori di lavoro in ambito pubblico, ma contenenti anche indicazioni per l’inoltro di segnalazioni da parte di dipendenti di imprese fornitrici di beni o servizi per la Pa – specificano le misure tecniche di base che le pubbliche amministrazioni, titolari del trattamento dei dati, dovranno adottare ed eventualmente ampliare, tenendo conto degli specifici rischi del trattamento e nel rispetto dei principi di privacy-by-design e privacy-by-default.

Il testo delle linee guida era stato inizialmente posto dall’Autorità anticorruzione in consultazione pubblica e poi integrato sulla base di una positiva collaborazione con il Garante per la privacy, così da rafforzare la tutela della speciale riservatezza dell’identità del segnalante e delle informazioni che facilitano l’individuazione di fenomeni corruttivi nella Pa.Tale collaborazione aveva portato anche a delineare meglio, ad esempio, il ruolo dei fornitori di applicativi e servizi informatici utilizzati per l’acquisizione e la gestione delle segnalazioni, nonché a proporre accorgimenti specifici per evitare la tracciabilità del segnalante.

Il parere favorevole del Garante privacy è però condizionato – anche alla luce degli esiti di attività ispettive avviate nel corso del 2019 proprio nei confronti dei principali soggetti (società informatiche, pubbliche amministrazioni) che trattano dati nell’ambito del whistleblowing – all’introduzione di specifiche modifiche che possano evitare di compromettere la corretta gestione delle segnalazioni.

Al fine di incrementare l’utilizzo e la fiducia in questo strumento, il Garante ha chiesto, ad esempio, che nelle Linee guida vengano circoscritte e definite meglio le condotte segnalabili con il “whistleblowing”, così da evitare che gli uffici che gestiscono le segnalazioni rischino di trattare illecitamente i dati delle persone citate, magari perché riferibili a casi non previsti dalla normativa anticorruzione. Dovranno poi essere specificati meglio – seppure con alcune limitazioni a tutela dell’identità del segnalante – i diritti garantiti dalla normativa privacy anche all’autore del presunto illecito.

Dovrà inoltre essere limitata al “responsabile della prevenzione della corruzione e della trasparenza” la possibilità di associare la segnalazione all’identità del segnalante. Nel parere è indicato, tra l’altro, che occorre specificare meglio il ruolo svolto nel trattamento dei dati dai soggetti (sia interni all’amministrazione, sia esterni come l’Autorità giudiziaria e la Corte dei Conti) che possono conoscere le informazioni contenute nelle segnalazioni riservate.

Il Garante ha infine chiesto all’Anac di rafforzare nelle Linee guida le misure tecniche e organizzative necessarie per tutelare l’identità del segnalante, utilizzando, ad esempio, protocolli sicuri per la trasmissione dei dati, abilitando accessi selettivi ai dati contenuti nelle segnalazioni, ed evitando che la piattaforma invii al segnalante notifiche sullo stato della pratica, in quanto tali messaggi potrebbero consentire di svelarne l’identità.

Fonte: Newsletter del Garante della Privacy del 20/12/2019

Garante della Privacy: è illecito mantenere attivo l’account di posta dell’ex dipendente

Reading Time: 2 minutes

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

fonte; Newletter del Garante della Privacy del 20/12/2019

Garante della Privacy – Omicidio a Roma: i media rispettino il codice di procedura penale

Reading Time: < 1 minute

In seguito alla pubblicazione di numerose immagini dei presunti autori di un omicidio, avvenuto a Roma, il Garante ritiene opportuno ricordare che – fermo restando il diritto-dovere di informare su fatti di interesse pubblico – il giornalista deve comunque attenersi a quanto stabilito dalla specifica normativa vigente in materia.

Oltre a quanto previsto dalle Regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica, l’art. 114, del Codice di procedura penale vieta “la pubblicazione dell’immagine di persona privata della libertà personale ripresa mentre la stessa si trova sottoposta all’uso di manette ai polsi ovvero ad altro mezzo di coercizione fisica, salvo che la persona vi consenta”.

Roma, 25 ottobre 2019

Tratto da: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9170332

Ancora su @vanitosa95: il senso di Open Online per il fake

Reading Time: 3 minutes

Il 21 ottobre scorso pubblicavo sul blog un post sulla storia di @vanitosa95, troll e hater bloccato su Twitter dalle numerose segnalazioni degli utenti, che augurava cancri e tumori a iosa a piccoli e grandi personaggi della politica, soprattutto a quelli di sinistra, nonché agli utenti che si fossero, putacaso, trovati in disaccordo con Salvini.

Nel post riportavo alcune delle frasi di odio che l’utente aveva tradotto in svariati tweet, omettendo di riportare la fotografia (chiaramente fasulla e farlocca) che l’hater in questione aveva pubblicato. Scrivevo che: ” i messaggi di questa persona, di cui ho oscurato la foto (non per rispetto della sua privacy, perché non ne ho nessuno, ma per rispetto di quella della persona a cui è stata probabilmente carpita) mi hanno turbato al punto di venirne a parlare con voi “.

Guarda caso, il giorno dopo, esce, alle 14,49, un articolo di David Puente su Open On Line, intitolato “Tutti dietro a Vanitosa95, ma Open vi aveva avvertito. Altri dettagli sull’account e la foto del troll” in cui l’articolista riferisce testualmente: “Qualcuno ha pensato che fosse meglio censurare la foto per una questione di privacy e sicuramente qualcuno potrebbe sostenere che pubblicarla metterebbe a rischio la persona ritratta a causa delle solita – e inutile – «caccia all’uomo».” Non si capisce bene a chi si riferisca l’autore del pezzo quando cita questo “Qualcuno” (ma possiamo bene immaginarcelo).

Segue una lunga disamina per dimostrare che la foto messa da @vanitosa95 sul suo profilo Twitter corrisponde in realtà a quella di una persona transessuale e che le immagini di questa persona erano già apparse su un sito a carattere pornografico.

Per quanto riguarda il nostro blog, nella sua piccola essenza di risorsa di opinione, ho solo da dire che personalmente non ritengo necessario dimostrare che @vanitosa95 sia un troll o, meglio, un hater, perché si tratta di un dato ormai dimostrato per tabulas. E allora ripubblicare la foto che l’odiatore di rete del giorno (tanto verrà abilmente sostituito da qualcun altro, non temete) ha utilizzato per corredare il proprio profilo, diventa inutile e ridondante. In breve, non ho bisogno che mi si dimostri che la foto ritraeva una determinata persona per credere che chi l’ha impunemente usata sia una persona fasulla che cercava solo visibilità. In breve, “un utente intento a pubblicare contenuti provocatori”, per dirla con le stesse parole di Puente.

Qualcuno dirà che si trattava di un transessuale la cui immagine è contenuta in un sito pornografico a disposizione di chiunque voglia andare a visitarlo. Dunque un’immagine pubblica. Vero. Ma non è detto che il nome o l’immagine di questa persona debbano per forza essere associati a un odiatore seriale. La privacy è un valore, e non è detto che quello che è pubblico o che si è autorizzati in qualunque modo a pubblicare debba essere divulgato per forza quando non ha alcun valore dal punto di vista della definizione dei fatti e di quello che si vuole dire. Quella di @vanitosa95 è stata un’utenza del tutto fasulla. La falsità di questo account è stata dimostrata dai contenuti di odio che questo account ha veicolato. Punto. Basta così.Il resto non serve a nulla. Che cosa aggiunge alla nostra conoscenza il sapere che l’ignaro personaggio dell’immagine riportata è un transessuale? Assolutamente nulla. E sarà anche un transessuale da sito porno, ma magari non ha mai augurato il cancro a nessuno e allora non si vede il motivo di metterlo ulteriormente in vetrina.

Non si tratta, quindi, di utilizzare o non utilizzare elementi già pubblici per avvalorare una tesi, ma di verificare a monte se quegli elementi (pubblici, non pubblici, o autorizzati che siano) sono utili alla notizia che si intende dare oppure no.

Soprattutto quando sono riferiti alla sessualità, alla notorietà e alla immagine di terzi.

I video e le immagini di Giulia Sarti

Reading Time: 2 minutes

Bisogna dirlo chiaramente e fuori dai denti: la minaccia di diffondere, trasmettere, o far circolare con qualsiasi mezzo delle foto e dei video intimi dell’onorevole Giulia Sarti è una bastardata unica e una e un atto triviale e tremendo da condannare senza mezzi termini, di qualunque colore politico sia la persona interessata. Un hacker ha già diffuso sui cellulari di politici e giornalisti otto immagini e un video (poi rivelatosi falso) degli incontri privati della parlamentare che si è dimessa “da presidente della commissione Giustizia della Camera perché si è scoperto che aveva denunciato il fidanzato accusandolo falsamente di essersi appropriato dei fondi del Movimento pur sapendo che non era vero.” (Virgolettato dal corriere.it). Ci sarebbero, poi, anche delle registrazioni di incontri con esponenti politici e comunque di spicco del Movimento 5 Stelle. Non si sa che siano incontri “privati” (nel senso lato del termine) o meno. Ma non importa. Non è questo il punto. Il punto è che l’avversario politico lo batti sul piano delle idee e dei comportamenti pubblici, la sua vita sessuale e la sua vita privata sono e restano sacrosanti affari suoi, anche se si tratta di una persona pubblicamente esposta ai mezzi di comunicazione di massa. Le immagini e i video se li fa per conto suo e non sono destinati ad essere diffusi ad altri che lei non voglia, è intervenuto perfino il Garante per la Protezione dei Dati Personali per sottolineare e «richiamare l’attenzione dei mezzi di informazione invitando all’astensione dal diffondere dati riguardanti la sfera intima di una persona per il solo fatto che si tratti di un personaggio noto o che eserciti funzioni pubbliche, richiedendo invece il pieno rispetto della sua vita privata quando le notizie o i dati non hanno rilievo sul suo ruolo e sulla sua vita pubblica»

Io mi auguro che una protezione di questo genere valga e sia disponibile sempre e per qualsiasi cittadino italiano, anche e soprattutto per quel cittadini che non è parlamentare e, quindi, ha meno possibilità e mezzi per difendersi. C’è gente che per un filmatino hard diffuso sui social network si suicida dalla vergogna, genitori di vittime di cyberbullismo che non escono più di casa, persone che non hanno più una vita privata e psicologi che intascano fior di quattrini per seguire i disagi psichici di chi è caduto nella trappola tesa da altri. Facciamo attenzione, sì?

Garante della Privacy: 600.000 euro di sanzione a Wind per telemarketing indesiderato

Reading Time: 8 minutes

Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 29 novembre 2018

Registro dei provvedimenti
n. 493 del 29 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati; 

RILEVATO che l’Ufficio del Garante, con atto n. 21916/114323 del 20 luglio 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Wind Tre S.p.A, in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, le violazioni previste dagli artt. 23, 130, 162, comma 2-bis, 164-bis, comma 2, e 167 del Codice in materia di protezione dei dati personali (d. lg. 196/2003, di seguito denominato “Codice”) nella formulazione antecedente alle modifiche introdotte dal d. lg. 101/2018;

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

– il Garante ha adottato, in data 22 maggio 2018, il provvedimento n. 313 (in www.gpdp.it, doc. web n. 8995285), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di H3G S.p.A. e quindi, a seguito dell’intervenuta fusione di Wind Telecomunicazioni S.p.A. e H3G S.p.A. in Wind Tre S.p.A.;

– il procedimento ha tratto origine da numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale nell´interesse di H3G;

– l’istruttoria svolta dall’Ufficio anche mediante verifiche ispettive ha consentito di appurare che “anzitutto in relazione ai segnalanti, la Società abbia violato gli artt. 23 e 130 del Codice, essendo stati gli stessi contattati, direttamente o tramite la propria rete di vendita […], telefonicamente o via sms, nonostante si fossero opposti ai trattamenti per finalità commerciali […]. E tale illiceità, come già si è rappresentato, trova causa anzitutto nella menzionata assenza di idonee misure preventive apprestate dalla Società per escludere i contatti commerciali indesiderati (o quantomeno minimizzare il rischio del loro verificarsi), mediante opportuni incroci con proprie liste di esclusione nelle quali i segnalanti tutti avrebbero trovato collocazione […]. Deve peraltro rilevarsi che anche i controlli ex post che la Società è comunque tenuta a porre in essere ‒ come dichiarato, al tempo delle verifiche effettuati per lo più nella forma dell’invio di formulari ai partner […] o dei richiami generalizzati […] e finanche nelle comunicazioni individualizzate nelle quali la Società si limita a ricordare i vigenti obblighi di legge […] ‒ non si sono rivelati efficaci, atteso che non di rado più di uno dei segnalanti ha potuto lamentare reiterati contatti effettuati da utenze facenti capo ad un medesimo operatore, risultato partner della Società, senza che l’intervento di quest’ultima abbia sortito alcun effetto” e che “la Società consente l’accesso ai propri sistemi ‒ e quindi alla base dati di rilevanti dimensioni riferita agli utenti dei propri servizi di comunicazione elettronica, come risulta dalle dichiarazioni rese in atti […] ‒ ad una platea assai ampia di partner contrattuali […] senza aver provveduto a designare la parte assolutamente predominante degli stessi ‒ come si è visto, il 93% […] ‒ quali “responsabili del trattamento” ‒, qualificandoli anzi espressamente, nella documentazione in atti, quali “titolari del trattamento”. […] In considerazione dell’omessa designazione di tali soggetti quali “responsabili del trattamento”, deve ritenersi che nel caso di specie ricorrano gli estremi per una sistematica oltre che prolungata nel tempo comunicazione illecita dei dati riferiti alla clientela a terzi, i partner contrattuali per i quali non si è provveduto alla designazione quali “responsabili del trattamento”, che vanno ben al di là dei casi a campione individuati nel corso delle verifiche […], riguardando, come detto, il 93% degli operatori economici che vanno a comporre la rete commerciale della Società. In ragione dell’accesso accordato a tale classe di soggetti al sistema gestionale della Società in assenza di alcuna designazione degli stessi quali “responsabili del trattamento” e non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso informato degli interessati (artt. 13 e 23 del Codice) ‒ anche in ragione del fatto che tale tipologia di soggetti non è menzionata nell’informativa resa alla clientela: […] ‒, né risultando comprovato altro presupposto equipollente ai sensi dell’art. 24 del Codice, tale trattamento ‒ seriale e sistematico, anzitutto in relazione a quanti presso tali operatori hanno attivato un contratto o hanno richiesto assistenza ‒ deve pertanto ritenersi illecito”;

RILEVATO che con il citato atto del 20 luglio 2018 sono state contestate a Wind Tre S.p.A.:

a) la violazione delle disposizioni di cui agli artt. 23 e 130, comma 3, e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, con riferimento alla mancata acquisizione del consenso per l’effettuazione di chiamate promozionali;

b) la violazione delle disposizioni di cui agli artt. 23 e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, in relazione alla mancata acquisizione del consenso per la comunicazione di dati a soggetti terzi (partner commerciali)

c) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte di cui sopra in relazione a banche dati di particolare dimensioni (la base di dati riferita al brand “Tre” è costituita da circa 10.000.000 di utenze facenti capo a circa 6.600.000 clienti oltre a circa ulteriori 3.000.000 di utenze relative a clienti cessati);

DATO ATTO che, per le violazione di cui ai punto a) e b), è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, effettuato l’11 settembre 2018; rilevato altresì che per la violazione di cui al punto c) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta;  

DATO ATTO che Wind Tre S.p.A. ha inviato, il 24 luglio 2018, una istanza di revisione in autotutela del provvedimento di contestazione di violazione amministrativa nella quale ha rappresentato che: 

– la società, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, aveva posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria;

– tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al Regolamento (UE) 2016/679 (General Data Protection Regulation, di seguito “GDPR”);

– per il comportamento proattivo della Società con riferimento al complessivo procedimento amministrativo instaurato nei suoi confronti dal Garante può giungersi all’archiviazione delle sanzioni ovvero alla riduzione sostanziale dell’importo delle medesime anche in relazione alla circostanza che il provvedimento legislativo di adeguamento delle disposizioni del GDPR prevede una modalità di estinzione dei procedimenti sanzionatori  mediante il pagamento di una somma in misura ridotta (pari a due quinti del minimo edittale), facoltà che appare equo estendere anche al caso in argomento;

RILEVATO che la richiesta di annullamento in autotutela della contestazione di violazione amministrativa non può trovare accoglimento poiché non si ravvisano nel predetto atto gli elementi di nullità indicati nell’art. 21-septies della legge n. 241/1990, tuttavia le argomentazioni in essa contenute possono essere prese in considerazione alla stregua di scritti difensivi prodotti dalla parte ai sensi dell’art. 18 della legge n. 689/1981. Tali argomentazioni non riguardano le condotte oggetto di contestazione ma i comportamenti successivi della Società, la quale, si evidenzia, avrebbe intrapreso, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, un percorso di eliminazione delle criticità riscontrate e di adeguamento alle novità introdotte dal GDPR, tale da consentire di valutare con favore, in termini di quantificazione della sanzione, l’azione svolta dalla società. Al riguardo, si rinvia ogni considerazione alla sezione della presente ordinanza-ingiunzione nella quale si prendono in esame gli elementi per giungere all’importo finale della sanzione. In questa sede deve confermarsi la responsabilità di Wind Tre S.p.A. in ordine alle violazioni contestate, non essendo stati portati all’attenzione del Garante elementi nuovi e idonei ad escluderla. Inoltre, per quanto riguarda l’applicabilità nel caso in argomento dell’istituto della definizione agevolata introdotto dall’art. 18 del d. lg. n. 101/2018, deve evidenziarsi che tale istituto, per espressa indicazione del legislatore, riguarda soltanto i procedimenti sanzionatori in essere (cioè avviati con contestazione di violazione amministrativa) e non definiti alla data di applicazione del GDPR (25 maggio 2018). Poiché, nel caso in argomento, l’instaurazione del procedimento sanzionatorio è avvenuta in epoca successiva (con la notifica in data 20 luglio 2018 dell’atto di contestazione di violazione amministrativa), tale procedimento risulta escluso dalla possibilità di definizione agevolata.

RILEVATO, quindi, che Wind Tre S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai punti a) e b) dell’atto di contestazione n. 21916/114323 del 20 luglio 2018, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui ai punti a) e b) in relazione a banche dati di particolare rilevanza e dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che punisce le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162,  comma  2, 162-bis  e  164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di rilevante gravità tenuto conto che, nel caso in argomento, sono stati impiegati differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Wind Tre S.p.A. abbia, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria; tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al GDPR;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione (l’ultima ordinanza-ingiunzione è stata adottata il 22 maggio 2018, in www.gpdp.it, doc. web n. 9018431);

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio ordinario d’esercizio per l’anno 2017 e i bilanci consolidati al 31 marzo 2018 e 30 giugno 2018; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 150.000 (centocinquantamila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare alla circostanza che Wind Tre S.p.A. è il primo operatore di telefonia mobile in Italia (con una customer base di 28.600.000 di sim card) e detiene anche una rilevante quota di mercato nel settore della telefonia fissa (2.700.000 linee), la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 150.000 a € 600.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Wind Tre S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, di pagare la somma di euro 600.000 (seicentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 600.000,00 (seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

Lo spamming pre- e postelettorale di Pippo Civati

Reading Time: < 1 minute

Mi arrivano e-mail di spamming da parte del PD di Pippo Civati. Il 20 maggio con l’invito a votare PD e le spiegazioni (che nessuno ha loro chiesto, peraltro) del perché lo votano loro.

Ma siccome vivo in Abruzzo, terra di elezioni regionali, mi scrive anche un certo Paolo della Ventura, che mi invita a votare Elena Gentile.

La terza mail per dirmi che loro vanno in Europa (e anche a quel paese, per quel che mi riguarda) rappresentati da Renata, Elly, Elena e Daniele.

E allora? Perché me lo dicono?? Perché ebbi la dabbenaggine, una volta, di partecipare a un loro sondaggio. TUTTO LI’. Cioè, uno partecipa ad un sondaggio, fornisce dei dati e loro si sentono in diritto di usarli per spedire della propaganda elettorale. E’ chiaro, sono o non sono i vincitori indiscussi di questa tornata elettorale? E allora la gente pretende anche che gli altri non facciano quello che vogliono LORO con i propri dati? Eh, non si può mica!

Come al solito comincerò la trafila per il ricorso al Garante della Privacy. Nel caso dovesse uscirne qualcosina di interessante, come al solito, ve lo dirò.