Privacy

 178 total views

Il Garante per la protezione dei dati personali ha sanzionato per 20 mila euro un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, 39 pazienti avevano potuto avere accesso all’elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l’elenco degli esami.

Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue, notificato il data breach al Garante, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito.

Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione di 20 mila euro, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.

(dalla Newsletter del Garante per la Protezione dei Dati Personali)

 336 total views

“Per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri l’Azienda ospedaliera Cardarelli di Napoli si è vista applicare dal Garante per la privacy una multa di 80mila euro”. E’ quanto viene riportato dalla newsletter dell’Autorità garante, notizia ignorata dai media, e scarsamente riportata dai giornali on line. Una sanzione di 60000 euro è stata applicata anche “alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.”

E’ successo che

“collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato (…) possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti.”

Documenti che riguardavano anche dati sensibili, come le certificazioni mediche riguardanti alcuni candidati.

Data la gravità delle circostanze, il Garante della Privacy, composto tra l’altro anche dall’eccellente avvocato Guido Scorza, ha deciso di irrogare la sanzione, che l’Azienda Opedaliera Cardarelli di Napoli dovrà pagare entro 30 giorni dalla notifica del provvedimento. Sul sito del Garante della Privacy è stato pubblicato il provvedimento integrale, come misura accessoria alla sanzione. Preferisco darvi la notizia e non ripubblicarlo (anche se si tratta di un documento pubblico, indubbiamente).

Il tutto è stato sollecitato da una semplice segnalazione di un utente. Il che rivela come non sia un’idea peregrina fare una segnalazione al Garante, senza il bisogno di accedere ad atti più formali come il reclamo o il ricorso. Insomma, la semplice segnalazione funziona e come.

“Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento”. Qualora si preferisse presentare un reclamo, il Garante della Privacy precisa che tale presentazione è totalmente gratuita.

 268 total views

 329 total views,  1 views today

Registro dei provvedimenti
n. 143 del 9 luglio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Wind Tre S.p.A. (di seguito indicata anche come: “Wind Tre” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi condotti nei confronti di Wind Tre e di alcuni partner commerciali della stessa;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con una pluralità di segnalazioni e reclami sono stati portati all’attenzione dell’Autorità diversi trattamenti di dati personali posti in essere da Wind Tre, prevalentemente (ma non esclusivamente) riconducibili a condotte finalizzate all’attività promozionale.

Tenuto conto che la Società è stata già destinataria di un provvedimento inibitorio e prescrittivo per trattamenti analoghi effettuati in vigenza del precedente quadro normativo (cfr. provv. 22 maggio 2018, n. 313, in www.garanteprivacy.it, doc. web n. 8995285), l’istruttoria condotta ha preso in considerazione solo le istanze pervenute dopo il 25 maggio 2018, che sono state oggetto di istruttoria cumulativa ai sensi dell’art. 10, comma 4, del regolamento interno del Garante n. 1/2019 (doc. web n. 9107633). Tale prima attività istruttoria verrà indicata nel corso del presente provvedimento anche come “procedimento A”.

Con diverso procedimento (cfr. fascicoli 139150, 139507, 139505, 140416, 141133) sono stati poi presi in considerazione altri aspetti dell’attività del titolare connessi a segnalazioni pervenute all’Autorità che informavano di attività promozionali, poste in essere per esso dalla filiera di subagenti di un fornitore accreditato, contattando i clienti di un altro operatore telefonico i cui dati personali venivano acquisiti con modalità illegittime.

Questo secondo procedimento verrà indicato di seguito anche come “procedimento B”.

All’esito di dette attività sono emerse diverse violazioni delle norme in materia di protezione dei dati personali.

2. ESITI DELL’ISTRUTTORIA

Le istruttorie condotte hanno comportato l’esame di oltre 100 fascicoli, oltre allo svolgimento di accertamenti ispettivi presso la stessa Wind Tre, presso alcuni partner e presso un altro operatore telefonico. Si deve inoltre considerare l’attualità della condotta o, comunque, dei suoi effetti, date le istanze, di analogo contenuto, pervenute all’Autorità anche successivamente alla formale contestazione inviata alla Società in data 13 maggio 2020, da intendersi qui integralmente richiamata e alla quale si rimanda per ogni elemento di dettaglio.

2.1. Attività promozionale mediante sms, e-mail, fax, telefonate e chiamate automatizzate

Nel periodo preso in esame, come accennato, sono pervenuti al Garante numerosi reclami e segnalazioni relativi alla ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate. In molti casi è stata lamentata la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione.

In risposta a specifiche richieste di informazioni, la Società,

1. in alcuni casi, ha documentato l’acquisizione di uno specifico consenso mediante esibizione dei contratti (proposte di acquisto – pda) sottoscritti dagli interessati;

2. in altri ha documentato l’acquisizione di un consenso che, alla luce degli accertamenti condotti, si è rivelato inidoneo;

3. nei rimanenti casi non è stata in grado di documentare l’avvenuta acquisizione del consenso.

2.1.1. Contatti effettuati senza consenso

La Società, in alcuni riscontri forniti, ha dichiarato che il contatto è avvenuto per errore (cfr. fascicoli 128119, 127661, 130539, 123638,134545, 142932, 121112); in altri casi, che la revoca non era stata tempestivamente recepita per problemi legati alla gestione della corrispondenza o all’identificazione dell’interessato, di cui si dirà meglio in seguito (cfr. fascicoli 141011, 134392, 130266,130344, 145996, 124985, 134434, 133063, 133372, 134997, 128000, 128805, 130356, 129952, 127784).

2.1.2. Contatti effettuati sulla base di un consenso da ritenersi non idoneo

In altri casi, la Società ha risposto alle specifiche richieste di informazioni documentando l’acquisizione di un consenso che, alla luce delle valutazioni compiute, si è rivelato inidoneo.

2.1.2.1.  Consensi risalenti e non conformi al nuovo quadro normativo introdotto dal Regolamento

In particolare, in tre casi (cfr. fascicoli 133088, 134927, 131464), il consenso è stato documentato allegando i contratti sottoscritti dai clienti. Questi, tuttavia, risalenti agli anni 1998/99 non risultano più idonei rispetto al quadro normativo vigente in quanto non consentono di documentare una volontà libera, specifica e informata dell’interessato essendo previsto un solo consenso per finalità di trattamento diverse (attività promozionale del titolare, di terzi, valutazione della soddisfazione della clientela, tutela del credito); a tal proposito si richiamano gli artt. 4, punto 11, e 7 nonché il contenuto del considerando n. 171 del Regolamento in base al quale «qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Pertanto, è onere del titolare valutare se i consensi già acquisiti siano da considerarsi ancora conformi alle norme vigenti; tra queste, si richiamano anche le modifiche normative intervenute successivamente al 1999 volte a disciplinare, con disposizioni di carattere speciale, il trattamento posto in essere nell’ambito dei servizi di comunicazione elettronica (art. 130 del Codice e disposizioni in materia di Registro delle opposizioni) da considerarsi ormai note a tutti gli operatori del settore, anche alla luce delle numerose pronunce del Garante.

2.1.2.2.  Consensi acquisiti direttamente dai partner commerciali

In un caso (cfr. fascicolo 130729), la ricezione di un sms indesiderato è stata giustificata sostenendo che l’invio risultava effettuato direttamente dalla XX Srl, senza utilizzare liste di Wind Tre, sulla base di un consenso autonomamente acquisito per la promozione di servizi di terzi (peraltro non esibito unitamente alla risposta).

A tale proposito si rileva che la Società, con allegato 1 alla nota del 15 luglio 2019, ha fornito la copia di una comunicazione inviata ai propri partner commerciali per richiamarli al rispetto della normativa vigente in materia di marketing. Tra le prescrizioni presenti in tale comunicazione si evidenzia quanto indicato al punto I) dove la Società richiede di “verificare che, nell’eventualità attuiate attività di promozione di nostre offerte, siano contattate solo le numerazioni consensate per i contatti commerciali delle quali Wind Tre è titolare oppure legittimamente acquisite da Voi in proprio e delle quali siete legittimamente titolari, analogamente consensate ai contatti commerciali e alla comunicazione a Società di telecomunicazioni”.

Da tale comunicazione e sulla base di quanto dichiarato in merito alla segnalazione relativa al fascicolo 130729, si evince che la Società prevede, tra le modalità di effettuazione delle campagne promozionali, anche la possibilità di affidare tale trattamento a terzi in qualità di autonomi titolari senza tuttavia garantire che tali contatti non pregiudichino la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali.

2.1.2.3. Consensi acquisiti mediante le app MyWind e My3.

In altri casi, la Società ha documentato il consenso fornendo la schermata del sistema informativo interno da cui risulta prestato un consenso tramite “canali interattivi” o “SelfcareAppAndroid”.

Dall’esame della documentazione allegata si evince che i consensi sono stati forniti dagli interessati accedendo alla propria area personale tramite l’app MyWind o My3.

In particolare, in tre casi (cfr. fascicoli 134496, 138094 e 140940) il consenso, originariamente non presente, risulta acquisito a seguito di una registrazione informatica descritta come “variazione”, che, secondo quanto successivamente illustrato dalla Società, indicherebbe il fatto che l’interessato stesso, operando direttamente tramite i canali Selfcare (di cui le app sono uno strumento) avrebbe richiesto una modifica dello status dei consensi, conferendoli ove non presenti. In due di essi (fascicoli 134496 e 138094) tale variazione risulta effettuata nel mese di dicembre 2018, data in cui è stata implementata una modifica dell’app. Inoltre, in due circostanze (fascicoli 138094 e 140940), tale variazione risulta contestualmente prestata per tutte le tipologie di trattamento elencate nella pagina iniziale dell’app (marketing, profilazione, arricchimento dati, geolocalizzazione, trasferimento a terzi). A tale ultimo riguardo uno dei reclamanti (cfr. fascicolo 138094), in replica al riscontro della Wind Tre, ha ribadito le proprie perplessità in merito ai consensi che risultavano conferiti, evidenziando di non avere idea, per alcuni trattamenti, neanche del significato di quanto riportato (ad esempio per l’”arricchimento dei dati”) e ha altresì  osservato che non avrebbe avuto motivo di fornire all’operatore tutti i consensi in un momento in cui, a causa dei numerosi disservizi, non era più soddisfatto del servizio fornito.

A tal proposito, si osserva che il funzionamento delle app MyWind e My3, preposte alla gestione del profilo utente connesso al servizio telefonico, è stato portato all’attenzione del Garante con una pluralità di altre segnalazioni e reclami (fascicoli 116325, 133895, 133630, 132819, 132840, 132535, 134089, 135405). Tutte le istanze ricevute hanno lamentato, in maniera analoga e con allegazione dei relativi screenshot, che le app in questione obbligavano l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione) salvo poi consentire di revocarli trascorse 24 ore.

Con nota del 17 aprile 2019 la Società, nel dichiarare di aver apportato nell’ultimo trimestre 2018 alcune modifiche alle app in questione, ha allegato le schermate di accesso di entrambe, analoghe a quelle già presentate dai segnalanti, dalle quali è emerso quanto segue:

– veniva enunciata la volontà del titolare di effettuare i cinque trattamenti descritti;

– vi si leggeva che “se preferisci puoi scegliere […] quali consensi prestare su Gestione consensi. Premendo Accetto consenti a Wind Tre di raccogliere e utilizzare le informazioni sopra elencate e da te personalizzate. Dichiaro inoltre di accettare i termini e condizioni e di aver preso visione dell’informativa privacy”;

– premendo il tasto “Annulla”, non era possibile utilizzare l’app perché, a detta della Società, non risultavano accettati termini e condizioni e non risultava la presa visione dell’informativa.

Wind Tre, al riguardo, ha affermato che non v’era alcun vincolo a fornire i consensi poiché questi erano previamente gestibili dal link “Gestioni consensi” presente nel corpo del testo e “probabilmente alcuni utenti possono aver frainteso i contenuti della pagina”. Infatti, andando in Gestione consensi si potevano scegliere le singole preferenze; poi “effettuata tale scelta, il cliente tornando alla pagina precedente e premendo accetta conferma la scelta sui consensi appena effettuata e al contempo accetta termini e condizioni”.

In tali casi, pertanto, si evidenzia come la procedura seguita fosse complessa, inadeguata all’utilizzo rapido, tipico di una applicazione per smartphone e, per tali ragioni, idonea ad ingenerare errori da parte dell’interessato con dirette ricadute sulla legittima espressione del consenso. La Società, in ogni caso, nonostante le segnalazioni di volta in volta ricevute, non ha ritenuto di dover intervenire tempestivamente nella configurazione descritta.

Allo stesso modo, occorre considerare, in via generale, che le app del tipo di My3 e MyWind assolvono alla essenziale funzione di consentire all’utente di monitorare i consumi e le soglie di utilizzo dei servizi e, quindi, di controllare la complessiva spesa telefonica. L’impossibilità di tenere sotto controllo le spese correnti può aver rappresentato un ulteriore elemento negativo per l’interessato, nella sua veste di consumatore.

Inoltre, con reclamo dell’8 gennaio 2020 (fascicolo 145970), è stata documentata la conversazione tenuta in chat con operatori del servizio clienti che confermano che “…i consensi sono revocati. se li hai trovati temporaneamente concessi potrebbe essere stato a causa dell’ultimo aggiornamento dell’area clienti perché, per poter accedere, ti viene prima richiesto di prestare i consensi e poi possono nuovamente essere revocati”.

Con nota del 17 febbraio 2020 la Società, nel ribadire che l’espressione di specifici consensi era sempre possibile attraverso il link “Gestione consensi”, ha aggiunto che, al fine di rendere più snello l’utilizzo dell’app, premendo il tasto “Accetta” il cliente poteva confermare contestualmente l’accettazione di termini e condizioni ma anche dei consensi facoltativi non precedentemente espressi, salvo poi la possibilità di modificarli successivamente. La stessa ha, inoltre, aggiunto che “il signor … ha più volte modificato la sua volontà prestando e revocando i consensi precedentemente rilasciati”.

Infine, con reclamo del 5 febbraio 2020 (fascicolo 146873) è stata lamentata ancora una volta l’impossibilità di utilizzare l’app senza necessariamente cliccare sul tasto “Accetta” e senza che si potessero chiaramente comprendere gli effetti di tale manifestazione di volontà. La reclamante ha documentato che, una volta indicato “Accetta”, i consensi presenti nell’area personale risultavano tutti conferiti. La stessa ha inoltre allegato uno scambio di corrispondenza con la casella privacy@h3g.it dalla quale è emerso che la Società ha fornito riscontro indicando, in un primo momento che “una volta effettuato l’accesso all’App potrà modificare i consensi alla sezione Strumenti – Impostazioni – Gestione Consensi”. Alle successive osservazioni contrariate della cliente, la Società ha risposto che “Al solo fine di agevolare e rendere più snello il primo accesso all’App My3 da parte dei nostri Clienti, abbiamo previsto, nel caso in cui il Cliente non voglia andare nella sezione dedicata Gestione Consensi per evitare un ulteriore passaggio, operazione questa comunque effettuabile in qualsiasi momento, di prevedere un tasto Accetto sia per le Condizioni del Servizio sia per i Consensi non precedentemente manifestati. L’Accetto riferito invece all’informativa privacy è da intendersi non come un vincolo dei consensi per usufruire delle funzionalità ma piuttosto quale presa visione delle modalità e finalità del trattamento”.

Tali giustificazioni fornite dalla Società non sono state ritenute accoglibili ed è stata pertanto formulata una specifica contestazione ai sensi dell’art. 166, par. 5 del Regolamento. In base a quanto affermato da Wind Tre, infatti, l’intento della richiesta sarebbe stato quello di far accettare le condizioni contrattuali e dimostrare la presa visione dell’informativa. A ciò evidentemente doveva però aggiungersi anche l’intenzione di acquisire consensi in precedenza non manifestati.

In base a quanto dichiarato, dunque, queste tre diverse manifestazioni di volontà (all’apertura dell’app, con una sola domanda, veniva chiesto: 1) di accettare le condizioni contrattuali; 2) di accettare l’informativa; 3) di fornire – o “convalidare” tutti i consensi richiesti) si sarebbero dovute esprimere con un’unica azione, consistente nella selezione del pulsante “Accetta”. Se anche si volesse ammettere un’utilità di tale tipo di procedura, si dovrebbe rilevare il mancato rispetto di quanto contenuto nell’art. 7, par. 2 del Regolamento nonché nei considerando 42 e 43 in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Inoltre, la proposizione delle menzionate richieste appare anche priva di senso logico dal momento che non è dato comprendere per quale motivo queste venissero reiterate ad ogni accesso all’app. In tal senso, anche avendo voluto considerare la richiesta solo come una conferma di presa visione dell’informativa, essa appare del tutto pretestuosa in mancanza di modifiche dell’informativa stessa che ne rendessero necessaria la riproposizione. Analoga considerazione può essere fatta in merito alle condizioni contrattuali, che si suppongono rese note al momento della sottoscrizione del contratto di servizio (e non modificate ad ogni singolo accesso).

Le numerose segnalazioni pervenute (tutte di analogo contenuto) portano a ritenere che, dietro la mancanza di chiarezza, si celi dunque una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti, regola che non è stata modificata neanche dopo la ricezione delle numerose segnalazioni.

La previsione di una modalità di scelta (asseritamente preventiva) tramite il link “Gestione Consensi”, oltre a dimostrarsi difficilmente comprensibile, appare anche giuridicamente insufficiente a garantire l’espressione di un valido consenso dal momento che, in mancanza di specificazioni in tal senso, si sarebbe sempre potuta considerare superata dalla manifestazione di volontà successivamente espressa premendo il tasto “Accetta”. E, soprattutto, non appare giustificata nella sua reiterazione.

Del tutto insufficiente è da considerarsi, infine, il rimedio consistente nella possibilità di revocare (peraltro non prima di 24 ore) i consensi espressi involontariamente, dal momento che, come noto, l’espressione della volontà deve essere libera e preventiva. La stessa Wind Tre ha dato atto che, in diversi casi, i consensi risultavano prestati e poi revocati più volte. Rimanendo da sottolineare il rischio di utilizzo dei dati nel corso delle predette 24 ore.

Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte non posso considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Con la memoria difensiva del 15 giugno 2020 la Società ha dichiarato che, ad oggi, le due app sono state sostituite dall’unica app WINDTRE, che non richiede più di manifestare il consenso all’accesso.

2.1.2.4.  Consensi prestati con modalità non legittime (manifestazione del consenso non libera).

Come evidenziato al punto 2.1., in numerosi casi la Società ha documentato l’acquisizione del consenso fornendo copia dei contratti sottoscritti dai clienti (cd. pda).

Fatte salve le specifiche anomalie già indicate sopra, si vogliono ora esaminare le modalità generali di raccolta del consenso all’atto della sottoscrizione di un contratto per l’acquisto di una utenza mobile o fissa. Ciò in quanto più volte negli anni è stata portata all’attenzione del Garante, la difficoltà di esprimere un consenso libero e specifico per tutte le finalità del trattamento, nonostante le dichiarazioni della Società in merito alle istruzioni impartite in tal senso ai propri partner.

Da ultimo si richiama una segnalazione del 13 marzo 2020 (cfr. fascicolo 148352) con la quale, con note inviate anche a Wind Tre, è stata lamentata l’impossibilità di esprimere un consenso libero per finalità promozionali, sia preventivamente che successivamente alla sottoscrizione del contratto attivato presso un rivenditore.

Si richiama, inoltre, il reclamo (cfr. fascicolo 136370) con il quale è stato rappresentato, in maniera molto puntuale, che l’operatore addetto alla vendita ha predisposto un contratto con tutte le caselle relative ai consensi già preselezionate e, dopo qualche resistenza opposta alle richieste del cliente, ha modificato solo le selezioni a sistema senza ristampare il contratto. La Società, interpellata in merito, ha risposto con nota del 17 luglio 2019 rappresentando che la volontà del cliente è stata probabilmente equivocata dall’operatore. Sulla base di tali elementi, l’Ufficio aveva disposto la chiusura dell’istruttoria in data 20 novembre 2019. Tuttavia, alla luce di alcuni fatti sopravvenuti, che di seguito si illustrano, deve essere considerato nuovamente quanto emerso anche dalla descritta istruttoria valutando diversamente la buona fede delle dichiarazioni a suo tempo fornite dalla Società

Infatti, con un reclamo del 17 giugno 2019 (cfr. fascicolo 139604) è stato lamentato che, per l’attivazione di una nuova utenza presso un dealer, sarebbe stato da questi predisposto per la firma un contratto contenente i consensi già selezionati senza aver previamente richiesto al cliente di manifestare una volontà in tal senso; date le dimensioni dei caratteri con cui era scritto il testo relativo alla manifestazione dei consensi, non sarebbe stato possibile accorgersi immediatamente di quanto veniva presentato per la firma; per ottenere la stampa di un nuovo contratto senza i consensi selezionati sarebbero state opposte molte resistenze da parte dell’addetto alla vendita.

In questo caso l’Ufficio ha richiesto un accertamento ispettivo presso il rivenditore XX S.r.l. di Merano, dove era stata attivata l’utenza in questione e che operava in qualità di responsabile del trattamento di Wind Tre. L’attività ispettiva, delegata al Nucleo speciale privacy, è stata effettuata nei giorni 11 e 12 dicembre 2019 e ne è emerso quanto segue:

la registrazione dei consensi viene effettuata utilizzando l’applicativo di Wind Tre denominato “Wind Station”;

in merito alle effettive modalità di raccolta della volontà del cliente, l’operatore ha dichiarato a verbale che “seguendo le indicazioni del capo area signor …, nel corso di ogni attivazione di sim card, l’operatore di riferimento deve flaggare d’iniziativa tutti i consensi ivi previsti. Tale operazione tra l’altro è agevolata da un apposito pulsante presente all’interno del gestionale […]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all’attenzione dell’interessato per l’accettazione di presa visione dell’informativa e rilascio dei consensi, quest’ultimo dovesse manifestare perplessità sui consensi presenti nel modello di riferimento, l’operatore provvede a modificarli secondo le indicazioni fornite direttamente dall’interessato”; ne consegue che l’operatore, di default, valorizza tutti i consensi e stampa il contratto, così predisposto, per la firma del cliente;

i verbalizzanti hanno acquisito la copia del contratto sottoscritto dal reclamante il 21 maggio 2019 nel quale è presente, sul lato destro in alto, un riquadro denominato “resta in contatto con Wind” contenente una dichiarazione di presa visione dell’informativa e autorizzazione al trattamento dei dati personali per finalità di marketing da parte di Wind Tre e dei propri partner; profilazione; geolocalizzazione; comunicazione a terzi e arricchimento dei dati. Le dimensioni e la spaziatura del testo contenuto in tale riquadro sono notevolmente inferiori a quelle dei caratteri che compongono l’annesso contratto tanto da risultare oggettivamente di difficile lettura sia per quanto riguarda l’intero testo sia, soprattutto, per quanto riguarda la visualizzazione di un eventuale flag nelle caselle relative ai singoli consensi;

l’operatore ascoltato al riguardo, ha dichiarato di aver ricevuto istruzioni verbali in merito alla prassi operativa sopra descritta per l’acquisizione dei consensi e, al fine di documentare quanto asserito, ha consegnato copia di due e-mail ricevute dal responsabile di Wind Tre: in una di esse, del 25 maggio 2019, è presente un grafico che descrive le percentuali di acquisizione dei consensi raggiunte dal dealer con un invito “ancora una volta di arrivare al 100% su tutto”; con la seconda e-mail, del 5 giugno 2019, il rappresentante commerciale di Wind Tre inviava al dealer un resoconto delle prestazioni effettuate ai fini della valutazione del fornitore; nel testo si legge “attenzione ai dati di qualità inseriti, in particolare i flag devono essere al 100% su tutto”; a tale mail viene allegata una tabella dalla quale si evince chiaramente che l’ottenimento di alte percentuali di flag sui consensi è annoverato fra gli indicatori di qualità;

infine, esaminando il contenuto del gestionale fornito da Wind Tre al rivenditore, è stato fatto accesso alla comunicazione pubblicata da Wind Tre il 22 marzo 2019 dal titolo “Nuovi consensi da POS NG”. Con tale avviso si informavano i partner della variazione effettuata sulla lista dei consensi a partire dal 25 marzo 2019 che riguardava, in particolare, l’accorpamento dei primi due consensi in un’unica manifestazione di volontà, presentata al sottoscrittore con il seguente testo: “Comunicazioni commerciali Wind: acconsento al trattamento dei miei dati personali per la ricezione, da parte di Wind, di comunicazioni inerenti offerte speciali, sconti e promozioni relative a prodotti e servizi Wind e di partner selezionati da Wind”; veniva così richiesto un unico consenso per ricevere comunicazioni promozionali sia di Wind Tre che di terzi. Inoltre, in caso di “modifica Offerta per i già clienti acquisiti prima del 9 gennaio 2017 sono visualizzati i soli 2 consensi old valorizzati come espressi in fase di attivazione e i nuovi 4 consensi non valorizzati (blank). È possibile modificare i primi 2 e acquisire i 4 nuovi consensi […] ma qualora il rivenditore provi nell’acquisire solo alcuni dei 4 nuovi consensi o modificarne uno dei 2 old, verrà visualizzato il warning bloccante, dove appunto verrà indicato di valorizzare tutti e 6 consensi. […]. Per i clienti acquisiti dal 9 gennaio 2017, da Modifica Offerta, risultano già valorizzati tutti e 6 i consensi con la possibilità di modificarli insieme alla variazione commerciale dell’offerta”.

2.1.2.5. Consensi di clienti di altro gestore acquisiti con modalità illegali

Vengono qui in riferimento gli esiti degli accertamenti del cd. “procedimento B” richiamato in premessa e svolti dopo che l’Autorità ha appreso, da una segnalazione, dell’esistenza in Roma di un call-center che avrebbe svolto attività di contatto di potenziale clientela e offerta di servizi telefonici per conto della Società, mediante acquisizione di dati di clienti di altro operatore telefonico con modalità non lecite e comunque fuori dalla cornice normativa delineata dal Regolamento e dal Codice.

L’Ufficio, effettuate le necessarie verifiche relative alle informazioni anagrafiche dei soggetti indicati nella segnalazione, delegava alla Guardia di finanza, Nucleo speciale tutela privacy e frodi tecnologiche, lo svolgimento di accertamenti ispettivi presso detto call-center.

L’accertamento ispettivo ha consentito di rilevare che le attività ivi svolte facevano capo alla Alessandro Corbelli Sunrise s.r.l.s. e, nonostante le stesse, in sede di accesso, fossero state presentate come attività di formazione per l’avviamento di futuri operatori di call-center, le risultanze degli accessi alle postazioni di lavoro hanno evidenziato che – proprio al momento dell’accertamento – erano in corso attività di contatti telefonici promozionali dei servizi della società Wind Tre.

I contatti telefonici dei potenziali clienti, indirizzati all’area business, prevedevano la fissazione di appuntamenti per la compilazione delle proposte di contratto, appuntamenti che venivano “caricati” nelle agende elettroniche delle persone che si sarebbero dovuto recare presso i clienti.

Nel call-center veniva rinvenuta ingente modulistica contrattuale di Wind, predisposta per la clientela business, e numerose sim-card a marchio Wind.

Le attività di contatto venivano svolte in sette postazioni di lavoro mediante l’utilizzo di personal computer e telefoni cellulari. Nella cronologia dei predetti telefoni è stata rinvenuta traccia di centinaia di telefonate effettuate nei tre giorni antecedenti l’intervento ispettivo. Dagli accessi ai computer in uso agli operatori è stato possibile acquisire numerosi file in formato excel contenenti elenchi costituiti da informazioni anagrafiche e di contatto telefonico di aziende e persone fisiche. Tutti gli operatori interpellati hanno dichiarato che tali file venivano quotidianamente caricati sul desktop dei pc da parte del referente e che gli stessi contenevano i nominativi e i numeri di telefono dei soggetti da contattare. Nel pc del referente e in un’altra postazione di lavoro venivano rinvenuti file excel contenenti dati personali (nome, cognome, ragione sociale, codice fiscale, numero di telefono fisso e numero di telefono mobile) di oltre 500.000 utenti. Venivano anche   rinvenute tracce informatiche di accessi tramite virtual machine al database di un’altra compagnia telefonica.

Con riferimento all’origine dei dati personali rinvenuti nelle diverse postazioni di lavoro del call-center, uno specifico accertamento ispettivo effettuato presso la sede dell’operatore telefonico da cui – secondo la segnalazione sopra richiamata – questi sarebbero stati trafugati, non consentiva di acquisire piena prova in tal senso, mentre il referente presente nel call-center al momento dell’accertamento dichiarava che “l’attività in una giornata tipo di questo call center prevede che io distribuisca agli operatori le liste di soggetti da contattare che sono presenti nel mio PC delle quali non so definirne l’origine […]; con riferimento alle SIM presenti nel call center e alla documentazione contrattuale e alle brochure rappresento che tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.

Tali dichiarazioni del referente, paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità, non erano in grado di comprovare che l’acquisizione dei dati anagrafici dei potenziali clienti fosse avvenuta nel rispetto delle disposizioni del Regolamento e del Codice, con particolare riferimento alla disciplina del consenso, e, in ogni caso, evidenziavano che le attività di call-center si svolgevano al di fuori delle procedure implementate da Wind Tre per disciplinare le attività di telemarketing e teleselling. Inoltre, le modalità di contatto dei potenziali clienti avvenivano senza fornire la necessaria informativa prevista dall’art. 14 del Regolamento come evidenziato dall’assenza di informazioni sul trattamento dei dati personali nello script di chiamata acquisito durante l’accertamento, con ciò corroborando la considerazione che il consenso eventualmente raccolto non può comunque considerarsi valido per mancanza delle necessarie preventive informazioni.

In buona sostanza, l’attività del call-center si presentava come del tutto abusiva, in violazione non soltanto delle disposizioni in materia di protezione dei dati personali ma anche di quelle in ambito fiscale, tributario e lavorativo per le quali il nucleo privacy procedeva ad interessare le competenti articolazioni della Guardia di finanza. Risultava inoltre condotta da una società non presente nel Registro degli operatori di comunicazione, utilizzando numerazioni non censite nel medesimo registro, in un quadro estremamente preoccupante di disinteresse per i diritti degli interessati e per le necessarie garanzie di sicurezza che avrebbero dovuto presiedere ogni operazione di trattamento.

Nel corso dell’accertamento effettuato presso detto call-center venivano acquisiti riscontri documentali di un significativo legame operativo fra esso e l’agenzia Merlini s.r.l. che svolge attività di commercializzazione dei prodotti della società Wind Tre presso la propria sede operativa di Ponsacco (PI).

L’Ufficio delegava quindi alla Guardia di finanza l’effettuazione un accertamento ispettivo nei confronti della predetta agenzia, dal quale emergeva che Merlini s.r.l. opera esclusivamente per conto di Wind Tre, in forza di un contratto di agenzia che prevede anche la sua designazione quale responsabile del trattamento. Merlini s.r.l. svolge la sua attività per il tramite di collaboratori presenti sul territorio nazionale, denominati “procacciatori”. Fra i procacciatori che collaborano con tale società risultava anche la società Alessandro Corbelli Sunrise s.r.l.s. e, con riferimento ad essa, Merlini s.r.l. produceva alcune fatture, elenchi di contratti acquisiti ed e-mail contenenti copie dei documenti dei clienti.

Circa l’attività dei procacciatori, Merlini s.r.l. esibiva copia di alcune lettere d’incarico nelle quali è riportato testualmente: “la sua attività dovrà essere svolta in piena autonomia seguendo unicamente le indicazioni e disposizioni che le saranno impartite circa i nostri prodotti, le condizioni di vendita ed altre disposizioni commerciali. L’attività. potrà comunque essere svolta in collaborazione con addetti alla produzione e/o commercializzazione, con agenti propri”. Merlini s.r.l. dichiarava di non aver individuato i procacciatori quali responsabili del trattamento o autorizzati a svolgere operazioni di trattamento in quanto essi “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.

Con nota del 25 ottobre 2019 l’Ufficio richiedeva a Merlini s.r.l. di esibire copia della lettera di incarico conferito alla società Alessandro Corbelli Sunrise s.r.l.s., e di ogni altro negozio giuridico stipulato con la medesima. Merlini s.r.l. forniva riscontro con e-mail del 4 novembre 2019, rappresentando “di non avere ulteriore documentazione ed in particolare copia di altri mandati. Come già esposto durante l’accertamento del 9 luglio, con molti collaboratori (tra cui Corbelli) sono ed erano in corso accordi verbali e il rapporto si è concretizzato con l’invio di proposte di contratto Wind da parte dei collaboratori e il puntuale pagamento degli affari procacciati da parte della nostra società” e aggiungendo altresì “che al momento di avviare nuove collaborazioni ai procacciatori il mandato scritto è l’ultima cosa che interessa […]”.

Con specifico riferimento alla vicenda di cui sopra, l’Ufficio delegava alla Guardia di finanza anche due accertamenti ispettivi che si svolgevano presso la sede di Wind Tre, in Roma.

Relativamente ai rapporti con Merlini s.r.l., Wind Tre produceva il contratto di agenzia stipulato fra le due aziende e un prospetto riepilogativo della documentazione acquisita e del processo svolto per affiliare gli agenti di vendita alla rete di Wind Tre. Tale processo di affiliazione prevede, fra l’altro, l’acquisizione di visure camerali, questionari di due diligence e scoping, documentazione bancaria, fiscale e curriculum dei rappresentanti legali.

Fra la documentazione, veniva esibito un questionario sottoposto all’agente di vendita in ordine agli adempimenti in materia di protezione dei dati personali. Fra le risposte fornite da Merlini s.r.l., emergevano numerosi elementi idonei a ingenerare dubbi in ordine al corretto trattamento dei dati personali e alla efficace gestione dei collaboratori. Ad esempio:

– alla domanda (presente nella sezione 6 “Composizione liste contatti commerciali” del questionario) “il partner acquisisce le liste di soggetti da contattare telefonicamente attraverso canali differenti da Wind Tre?”, Merlini s.r.l. rispondeva affermativamente senza indicare i canali di acquisizione delle predette liste;

– alla domanda “il partner garantisce il corretto utilizzo delle liste di contatti nell’ambito della loro validità temporale preventivamente comunicata da Wind Tre e le cancella, decorso il termine, da qualsiasi sistema/supporto di memoria?”, Merlini s.r.l. rispondeva negativamente;

– a tutte le domande relative agli “obblighi relativi al trattamento dati per chiamate commerciali” e al “codice di condotta per attività di telemarketing” Merlini s.r.l. rispondeva che esse non erano conferenti rispetto alla propria attività, nonostante le stesse riguardassero le regole deontologiche e le istruzioni operative presenti nelle sezioni I e L del contratto di agenzia sottoscritto dalla stessa Merlini s.r.l.

Nessuna verifica risulta essere stata posta in essere da Wind Tre, alla luce dei riscontri forniti da Merlini s.r.l., in ordine alla rete dei collaboratori di quest’ultima società e, in particolare, se tali collaboratori fossero stati individuati sulla base dei medesimi requisiti richiesti da Wind Tre, nonché avviati alle attività promozionali sulla base delle stesse modalità operative individuate nel contratto di agenzia stipulato tra Wind Tre e Merlini s.r.l..

2.1.3. Contatti effettuati senza che sia stata documentata l’acquisizione di un idoneo consenso

La Società, in diverse circostanze, non è stata in grado di documentare l’avvenuta acquisizione del consenso, affermando, a seconda dei casi:

a) che le numerazioni chiamanti indicate dai segnalanti non risultavano riconducibili a quelle in possesso dei partner o,

b) che l’utenza chiamata non risultava presente nelle liste da contattare per finalità promozionali (cfr. fascicoli 128220, 127687, 132667, 132114, 131606, 131684, 135017, 136153, 136903, 137035, 136371, 136650, 137157, 137392, 137186, 138316, 138667, 139253, 140782, 139839, 140716, 140463, 140391, 142109, 144236, 146789) ovvero ancora,

c) che le modalità utilizzate per effettuare la campagna promozionale non erano riconosciute come rispondenti alle policy di comunicazione aziendali (cfr. fascicoli 134997, 130266, 145996, 123638, 130729, 113495, 133984, 134569, 132667, 133372, 134927, 132256, 132114, 131606, 131897, 131464, 135017, 136903, 136945, 137003, 137392, 139253, 140782, 139839, 140343, 140391, 144236, 146789);

ovvero:

d) non fornendo alcun elemento (informativo o documentale) atto a comprovare il possesso di un idoneo consenso limitandosi ad assicurare di aver inserito la numerazione dell’interessato in black list (cfr. fascicoli 134569, 132256,133372, 131897, 136945, 137035, 139126, 142352, 139839);

e) documentando il consenso mediante allegazione di copie di contratti illeggibili o comprovanti unicamente le volontà contrattuali e non anche le scelte in merito ai dati personali (cfr. fascicoli 128208, 130787, 113495, 131896).

2.2. Modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati

In molti casi è stato lamentato il mancato riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, anche in maniera reiterata, con particolare riguardo all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca.

La Società, con le note inviate in risposta alle diverse richieste di informazioni formulate dall’Autorità, ha rappresentato che alcune istanze non sono state riscontrate o non sono state tempestivamente riscontrate perché:

a) pervenute ad un indirizzo non preposto alla gestione di tale tipologia di richieste (cfr. fascicoli 130344, 133911, 142614, 145996, 124985, 134434, 133063, 133372, 137580);

b) in ottemperanza ad una procedura aziendale, poi superata, veniva richiesto di identificarsi mediante l’invio di un documento (cfr. fascicoli n, 130344, 128000, 128805, 130356, 129952, 127784, 128208);

c) si sono registrati errori o problemi di ricezione della posta cartacea o elettronica (cfr. fascicoli n. 141011, 134392, 130266, 130539).

2.2.1. Istanze pervenute a recapiti non corretti

Con riguardo a quanto rappresentato al punto a), in particolare, la Società ha fatto presente che le comunicazioni che non hanno avuto un adeguato riscontro sono pervenute ad indirizzi mail o pec non presidiati da personale idoneo a gestire istanze relative alla protezione dei dati personali. La stessa ha, altresì, evidenziato che in una struttura complessa, quale è quella di Wind Tre, non è possibile assicurare la corretta gestione delle richieste se non pervengono ai corretti recapiti, come indicato nelle informative presenti sui siti web dei brand Wind e Tre.

L’ufficio ha pertanto verificato, in data 26 febbraio 2020, la pubblicazione di detti recapiti sui siti web della Società, riscontrando quanto segue:

a) relativamente ai riferimenti per il brand Wind,

– nel sito www.wind.it al link “privacy” era presente un elenco di diverse informative seguite dalla “cookie policy” in calce alla quale è riportato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) o chiamando il 155”. Infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

pertanto, per i clienti Wind veniva messo a disposizione unicamente il recapito fisico di una casella postale o, in alternativa, si invitava a chiamare il servizio clienti;

b) relativamente ai riferimenti per il brand Tre,

– nel sito www.tre.it al link “privacy” era presente un elenco di diverse informative seguite da un documento denominato “Privacy policy” all’interno del quale era specificato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it o chiamando il 133”;

– infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it. e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

Per i clienti Tre, dunque, veniva messo a disposizione un recapito fisico che faceva riferimento prima ad una casella postale e, successivamente, all’indirizzo Via Alessandro Severo 246, Roma, senza chiarire quale fosse il corretto recapito da utilizzare; inoltre, veniva fornito un indirizzo di posta elettronica ordinaria o, in alternativa, si invitava a chiamare il servizio clienti.

Occorre, tuttavia, notare che le numerose istanze pervenute hanno lamentato tutte, in maniera analoga, il mancato riscontro a richieste inviate quasi sempre ai medesimi indirizzi: windtrespa@pec.windtre.it, servizioclienti155@pec.windtre.it e windtreitaliaspa@pec.windtre.it.

L’utilizzo così ricorrente dei medesimi recapiti da parte di numerosi segnalanti, in luogo di quelli riportati nelle informative, può considerarsi indicativo del fatto che, innanzitutto, essi siano stati in qualche modo resi noti ai clienti (verosimilmente nella documentazione contrattuale o, come riferito in alcune segnalazioni, forniti telefonicamente dallo stesso servizio clienti). La stessa Wind Tre, con il riscontro fornito il 26 novembre 2019, nel contestare l’utilizzo di un indirizzo pec inesistente, ha affermato che “l’indirizzo corretto è servizioclienti155@pec.windtre.it così come riportato nelle Condizioni Generali di contratto”.

Inoltre, tenuto conto della tecnologia allo stato disponibile, non si può considerare sufficiente – e in tali termini è stato contestato alla Società – la predisposizione del solo canale fisico per l’invio delle istanze, obbligando gli interessati ad inviare una lettera o una raccomandata (eventualmente anche con ricevuta di ritorno, per avere conferma della ricezione), sopportandone i relativi costi.

L’alternativa del contatto telefonico con il servizio clienti o l’indirizzo di posta elettronica ordinaria (peraltro fornito solo per il brand Tre e non per Wind) non soddisfano le esigenze di chi voglia comprovare l’invio di un’istanza.

Si richiama, a tal proposito, quanto disposto dall’art. 12, par. 2 del Regolamento in base al quale il titolare del trattamento agevola l’esercizio dei diritti dell’interessato, nonché quanto previsto dall’art. 7, par. 3 in base al quale il consenso è revocato con la stessa facilità con cui è accordato.

Infine, pur ritenendo comprensibili le esigenze rappresentate dalla Società di far confluire verso un unico “canale” le richieste relative alla protezione dei dati personali, la numerosità delle doglianze pervenute ha reso evidente che i soggetti interessati non sempre sono in grado di ricondurre autonomamente le proprie istanze a problematiche connesse alla disciplina della protezione dati.

Come si evince dalle numerose segnalazioni rimesse a codesta Società, non solo l’utente medio ma anche diversi professionisti (ingegneri, avvocati, ecc.), si sono avvalsi dei recapiti pec sopra menzionati ritenendoli corretti e solo in pochissimi casi è stato utilizzato il contatto del dpo (per lo più dopo precedenti tentativi infruttuosi). Analogamente si richiamano le difficoltà rappresentate da quanti, pur non essendo mai stati clienti o non essendolo più, sono stati oggetto di campagne promozionali senza avere avuto, tuttavia, la possibilità di individuare un corretto recapito cui indirizzare il proprio diniego al trattamento (dato che anche in questi casi il primo tentativo è stato fatto utilizzando il canale del servizio clienti).

Ne consegue che il servizio clienti, che di fatto rappresenta un interlocutore primario per gli interessati, non è risultato sufficientemente istruito per la corretta gestione delle istanze pervenute (almeno ad un primo livello di ricezione e smistamento), con la conseguenza che numerose richieste sono rimaste inevase o sono state trattate impropriamente.

Si dà atto, tuttavia, di quanto comunicato dalla Società con nota del 6 marzo 2020 in merito alla predisposizione di una nuova informativa, introdotta a seguito dell’istituzione del brand unico Wind Tre, nella quale sono indicati, quali canali di comunicazione con il titolare, un indirizzo fisico, una pec e un numero telefonico. La stessa Wind Tre ha inteso evidenziare, nella propria memoria difensiva, che tale misura correttiva è stata posta in essere in data antecedente alla ricezione della comunicazione di avvio del procedimento da parte del Garante, ricevuta il 13 maggio 2020.

2.2.2. Istanze non corredate da documenti di riconoscimento.

La Società in altri casi, come sopra accennato, ha poi dichiarato di non aver prontamente riscontrato le richieste degli interessati perché non corredate del documento di identità. In particolare, nelle diverse note di risposta pervenute, la stessa ha più volte dichiarato che inizialmente le procedure aziendali prevedevano l’obbligo di presentazione del documento di identità. Successivamente, anche a seguito delle numerose segnalazioni inoltrate dal Garante, si è provveduto ad operare una semplificazione garantendo comunque la revoca del consenso per finalità di marketing anche in assenza del documento, purché la stessa provenisse da un indirizzo e-mail riconducibile al cliente, “demandando in un secondo momento l’identificazione dell’interessato”.

Nel quadro normativo vigente, l’identificazione dell’interessato che esercita i propri diritti si configura come presupposto necessario per il corretto riscontro delle richieste. È, infatti, di tutta evidenza che il titolare del trattamento, nel fornire risposta alle istanze degli interessati, debba garantirli da eventuali pregiudizi, compreso l’accesso a terzi non autorizzati. Pertanto, l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche dal considerando 64 che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza.

Alla luce di tali principi, la ragionevolezza delle misure adottate, può essere valutata tenendo conto del contesto e dei potenziali rischi ma anche dell’utilità a conseguire lo scopo (di pervenire alla corretta identificazione).

Nel caso in questione, è possibile operare una diversa quantificazione del rischio connesso alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso). Ciò innanzitutto in considerazione delle scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti, laddove fosse un terzo malintenzionato ad esercitarli. Inoltre, una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, non potendo ipotizzarsi altri soggetti che potrebbero avere un interesse in tal senso (a differenza di quanto invece potrebbe accadere con l’esercizio di altri diritti).

Infine, le misure adottate devono, come detto, limitare l’acquisizione e la conservazione di dati non necessari. Tale eventualità potrebbe invece verificarsi nel caso di soggetti che, pur non essendo clienti di Wind Tre, ma essendo stati contattati (correttamente o meno) per una campagna di quest’ultima, vogliano presentare uno specifico diniego alla ricezione di messaggi promozionali: la richiesta rivolta anche a questi soggetti di fornire un documento di identità appare ancor più sproporzionata e può comportare l’acquisizione di dati personali che non sono già nella disponibilità del titolare e che dunque non sono necessari.

In conclusione, dalle risposte della Società è emerso un quadro incerto e contraddittorio nella descrizione delle misure tecniche e organizzative adottate per identificare gli interessati in maniera ragionevole, rappresentativo di una insufficiente valutazione dei differenti interessi in gioco.

L’iniziale richiesta di copia del documento di identità per tutti i soggetti, clienti e non clienti, e per qualsiasi tipologia di richiesta, secondo quanto dichiarato, è stata successivamente rivista prevedendo un immediato riscontro all’esercizio di revoca del consenso; non si comprende, tuttavia, quale sia la necessità, una volta accolta la richiesta dell’interessato, di richiedere comunque, ancorché in una fase successiva, l’invio del documento di identità.

2.2.3. Istanze non riscontrate per errori o problemi di ricezione della posta cartacea o elettronica

In un rimanente numero di casi Wind Tre ha giustificato il mancato riscontro alle istanze inviate dagli interessati prospettando la registrazione di episodi in cui la corrispondenza è risultata dispersa o non pervenuta ai corretti destinatari per errori o problemi di ricezione.

Tali eventi vanno valutati alla luce delle osservazioni sin qui fatte in merito all’idoneità delle misure organizzative adottate dalla Società.

2.3. Informazioni agli interessati

Richiamando quanto riportato al punto precedente, si rileva che, prima dell’intervento correttivo effettuato con l’introduzione del brand unico, le informative rese disponibili sui siti web di Wind e Tre indicavano dati di contatto non univoci e diversi dagli indirizzi del servizio clienti, pure comunicati dalla Società e utilizzati più frequentemente dagli interessati. Ciò ha comportato, a detta della Società, difficoltà e ritardi nella gestione delle istanze.

Con riguardo alla conformità alle disposizioni in materia di trasparenza, di cui all’art. 12 del Regolamento, si deve aggiungere anche quanto emerso dall’attività istruttoria avviata a seguito di un reclamo (cfr. fascicolo 143394) in merito all’esercizio del diritto di accesso ai dati di traffico conservati per finalità di controllo della fatturazione.

Con nota del 26 novembre 2019 la Società ha motivato il mancato riscontro alle richieste inoltrate dal reclamante rappresentando che le stesse erano state inviate ad indirizzi inesistenti e, pertanto, essendo ormai trascorsi più di sei mesi, l’accesso a tali dati non era più possibile. Prescindendo dal fatto specifico, verosimilmente originato dall’errore del cliente, deve tuttavia rilevarsi che, come contestato anche nello stesso reclamo, l’informativa resa agli interessati ai sensi dell’art. 13 del Regolamento non indicava il periodo di conservazione dei dati previsto dall’art. 123 del Codice. Ciò ha comportato, nel caso di specie, l’erroneo affidamento nel ben più ampio termine di conservazione dei dati indicato dalla Società per l’esecuzione del contratto (10 anni e sei mesi).

Si deve, infatti, considerare quanto prescritto dall’art. 123, comma 4 del Codice in merito all’obbligo del fornitore del servizio di includere, nelle informazioni rese ai sensi degli artt. 13 e 14 del Regolamento, anche le informazioni in merito alla conservazione dei dati di traffico.

In tale contesto, dunque, non si può semplicemente opporre all’utente la non conoscenza delle norme, dal momento che lo scopo della disposizione violata – l’art. 123, comma 4 – è proprio quello di bilanciare l’asimmetria informativa nei confronti degli utenti.

2.4. Pubblicazione e aggiornamento dei dati negli elenchi telefonici

Sono poi pervenuti all’Autorità numerosi reclami con i quali è stata lamentata la pubblicazione, mai autorizzata, di dati personali negli elenchi telefonici, nonché l’impossibilità di ottenerne da Wind Tre la cancellazione. In risposta a specifiche richieste di informazioni la Società ha fornito le seguenti motivazioni:

a) la pubblicazione è avvenuta per errore materiale o disallineamento (cfr. fascicoli 137276, 128170, 128336, 133645, 146363);

b) la richiesta di cancellazione non è stata tempestivamente accolta per difficoltà di comunicazione con il cliente (cfr. fascicoli 134918, 142978); in tale ultimo caso si richiama quanto già osservato in merito all’adeguatezza delle misure organizzative volte a garantire la comunicazione con gli interessati, cui questi ulteriori casi si aggiungono come esempio delle conseguenze pregiudizievoli.

Si evidenzia in particolare che, con nota del 28 novembre 2019, indirizzata al Garante e al reclamante, la Società ha dichiarato che l’utenza di quest’ultimo è stata pubblicata negli elenchi ad opera del precedente gestore di appartenenza “pertanto l’istanza di cancellazione doveva essere inoltrata alla Società Italia on Line S.p.A.”. In realtà, come noto ormai da tempo (cfr. provvedimenti del Garante del 15 luglio 2004, doc web 1032381 e del 1° aprile 2010, doc web 1711492 in materia di pubblicazione dei dati personali negli elenchi pubblici), il gestore telefonico di appartenenza, in quanto titolare del trattamento, è l’unico soggetto cui gli utenti devono indirizzare le richieste di modifica della pubblicazione dei dati in elenco. Appare pertanto incomprensibile il riferimento fatto da Wind Tre alla necessità rivolgersi direttamente alla Società Italia on Line. Allo stesso tempo si rileva che, nonostante le assicurazioni fornite dalla Società nella medesima nota di riscontro, alla data del 16 marzo 2020 i dati del reclamante risultavano ancora presenti nel sito www.paginebianche.it.

Con riguardo al reclamo di cui al fascicolo 146363, con il quale è stato lamentato anche il mancato riscontro alla richiesta di cancellazione dagli elenchi, si rappresenta che, con nota del 12 marzo 2020, la Società ha dichiarato che “il dipartimento competente della Scrivente gestisce prontamente l’istanza tentando di attivare il processo di cancellazione, che però non andava a buon fine”. Non è stato tuttavia specificato per quale motivo la cancellazione non aveva avuto esito positivo, né veniva documentato se, contrariamente a quanto lamentato nel reclamo, fosse stato dato il relativo riscontro alla richiesta inoltrata dal cliente. Anche in tale nota la Società ha dichiarato che l’utenza era stata inserita dal precedente gestore e che il reclamante avrebbe dovuto rivolgersi a Italia on Line.

3. LA DIFESA DEL TITOLARE

A seguito delle comunicazioni di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori inviate dall’Ufficio ai sensi dell’art. 166, comma 5, del Codice (nota del 13 maggio 2020 – procedimento A e nota del 19 dicembre 2019 -procedimento B), il cui  contenuto deve qui intendersi integralmente riportato, la Società, con memorie del 15 giugno 2020 (procedimento A) e del 3 febbraio 2020 (procedimento B), ha fornito le proprie osservazioni, integrate in sede di audizione il 25 giugno 2020 (procedimento A) e il 25 maggio 2020 (procedimento B), di cui sono stati redatti rispettivi processi verbali. Anche le considerazioni difensive, a garanzia della parte, devono darsi qui per integralmente riprodotte.

Oltre a quanto riportato in relazione ai singoli punti in contestazione, Wind Tre ha fornito i seguenti ulteriori specifici elementi a giustificazione delle proprie condotte.

3.1. Attività promozionale non autorizzata dagli interessati

Riguardo alle attività contestate al punto 2.1., Wind Tre, in particolare, richiamando anche gli interventi già posti in essere, ha dichiarato che tutti i partner e gli agenti sono stati nominati responsabili del trattamento. Agli stessi è stato imposto il rispetto delle istruzioni veicolate mediante comunicazioni sul portale dedicato e con specifica attività formativa. Inoltre, i contratti monomandatari di agenzia, consumer, microbusiness e business sono stati integrati con la recente introduzione di un “decalogo” di regole sulla tutela dei dati personali (il cui mancato rispetto può essere valutato come presupposto per la risoluzione contrattuale). Una di tali regole imposte ai partner riguarda l’obbligo di presentare la linea chiamante in chiaro e di comunicare a Wind Tre, seguendo un’apposita procedura, tutte le numerazioni utilizzate; tale dichiarazione è essenziale per assegnare al partner un codice nel sistema aziendale.

La Società ha poi ricordato l’utilizzo del sistema di Campaign Management, già in uso e più volte menzionato nelle risposte fornite alle richieste di informazioni dell’Autorità; tale sistema ha la funzione di centralizzare la realizzazione delle singole campagne promozionali veicolando ai partner le istruzioni iniziali e le liste dei nominativi da contattare e recependo in input le eventuali revoche del consenso raccolte nel corso delle chiamate effettuate. A tal proposito, Wind Tre ha chiarito che le liste sono fornite in via prevalente dal titolare, che si occupa anche delle verifiche presso il Registro delle opposizioni, ma è possibile che i partner facciano anche uso di liste proprie: in tale ultimo caso, è richiesta la previa autorizzazione di Wind Tre all’uso della lista.

Inoltre, sempre con riguardo alle misure adottate per garantire un maggior controllo della filiera, la Società ha aggiunto di aver “…richiesto ai partner del canale fisico che intendano utilizzare liste di contatti per attività di mera presa appuntamento, di dare apposita evidenza e richiedere una previa autorizzazione, che sarà comunque successiva ed eventuale rispetto alle verifiche a campione poste in essere da parte della Scrivente Società. È stato inoltre richiesto ai partner del canale fisico di tenere un registro di tutti gli eventuali contatti (sia quelli andati a buon fine che quelli non andati a buon fine) con indicazione della fonte del contatto ed evidenza della presenza del consenso. Detto registro, su richiesta, dovrà essere a disposizione della Scrivente Società, in qualità di titolare del trattamento e esibito in caso di richiesta dell’Autorità competente. È stato altresì istituito internamente un processo in base al quale a seguito di attivazione contratti (in modalità outbound, canale fisico) venga verificata da parte della scrivente società tutta la filiera che ha dato seguito all’attivazione compresa quindi l’origine del contatto effettuato”. Tale registro è compilabile dal 4 febbraio 2020.

Infine, Wind Tre ha adottato una procedura interna per formalizzare i controlli da effettuare a seguito della sottoscrizione di proposte di abbonamento da parte dei clienti: tra questi è prevista una sezione dedicata alla raccolta dei dati personali e dei consensi.

A fronte delle misure sopra descritte che, nelle intenzioni della Società, dovrebbero consentire di ricondurre ogni chiamata al partner che l’ha effettuata, la stessa ha comunque aggiunto che, non disponendo di altri mezzi di indagine, non è in grado di identificare soggetti che invece effettuino chiamate senza rispettare tali accorgimenti.

La Società ha inoltre aggiunto che, come già fatto presente in precedenti interlocuzioni col Garante, tutti gli agenti hanno ricevuto specifiche istruzioni e sono soggetti a controlli periodici, effettuati tramite risposta a questionari e, a campione, tramite verifiche in loco.

Al riguardo, si innestano le specifiche considerazioni difensive che la Società ha svolto in relazione al “procedimento B” (punto 2.1.2.5. precedente), relativamente al quale ha rappresentato che:

a) l’ambito delle attività della società Merlini s.r.l. per conto di Wind Tre non è il telemarketing o il teleselling ma è rappresentato dal c.d. “canale fisico”, che prevede la promozione di contratti di vendita dei servizi e dei prodotti di telecomunicazioni offerti da Wind Tre in una determinata area geografica, attraverso un colloquio diretto e quindi senza svolgimento di attività di vendita a distanza; la clientela a cui è dedicato tale canale è quella business, principalmente costituita da persone giuridiche, per le quali non dovrebbe trovare applicazione la disciplina normativa relativa alla protezione dei dati personali;

b) dal momento che l’attività svolta dalla Merlini Srl non avrebbe dovuto configurare attività di telemarketing finalizzato al teleselling, Wind Tre non ha mai fornito a Merlini s.r.l. liste di contatti di potenziali clienti, fatto salvo per i clienti e gli ex clienti che avevano fornito specifico consenso commerciale in fase di sottoscrizione del contratto e non lo avevano revocato, sui quali il Merlini doveva svolgere compiti di fidelizzazione; pertanto non può affermarsi che presso il call-center oggetto dell’ispezione fosse in corso un’attività promozionale dei servizi di telefonia della società Wind Tre;

c) Wind Tre ha provveduto in più occasioni a svolgere attività di formazione e sensibilizzazione in materia di protezione dei dati personali, sia con riferimento alla popolazione aziendale interna, sia con riferimento ai propri Partner ed Agenti; come risulta dall’ultima estrazione richiesta al dipartimento Risorse Umane, l’intervento formativo è stato completato da tutti gli Area Manager, i District Manager e Capi Canale abilitati al controllo delle Agenzie Business (tra le quali l’Agenzia gestita dal Sig. Merlini);

d) dal momento che il contratto concluso da Wind Tre con Merlini Srl non costituiva un contratto di agenzia diretto allo svolgimento di attività di telemarketing finalizzato al teleselling e, in ogni caso, avrebbe dovuto riguardare esclusivamente l’offerta di prodotti e servizi a persone giuridiche, la Società non ha avuto sospetti proprio perché, in base a quanto previsto dal contratto, non rilevavano né l’attività di teleselling né il trattamento di dati di persone fisiche.

Con specifico riguardo alla contestata inidoneità delle modalità di raccolta del consenso, formulata sulla base degli accertamenti condotti presso il partner XX (punto 2.1.2.4 precedente), la Società ha dichiarato che le condotte descritte non rientrano tra le procedure aziendali previste e non corrispondono alle istruzioni impartite ai propri dealer anche per mezzo degli Agenti di commercio competenti per territorio.

Pertanto “qualsiasi indicazione verbale o scritta da parte dell’Agente verso i punti vendita da questi gestiti e non esplicitamente riportati nelle procedure ufficiali, è da considerarsi un’iniziativa non riconducibile alla Scrivente Società”. La stessa ha inoltre aggiunto che i sistemi preposti alla stampa dei contratti hanno i consensi di default impostati a “blank” e che “in merito ai grafici inviati via mail dall’Agente al punto vendita si rileva che nulla dicono in merito alle procedure di acquisizione dei consensi, né appaiono contrari a tali procedure”. Inoltre, in merito all’accertata presenza di un unico consenso per la ricezione di messaggi promozionali di Wind Tre e di terzi, la Società ha chiarito che tale modalità di raccolta del consenso non comporta la comunicazione di dati a terzi ma offre all’interessato la possibilità di ricevere messaggi promozionali nei quali il contenuto veicolato può essere a beneficio di Wind Tre o di un terzo. Rimane pertanto unica la finalità del trattamento e cambia il contenuto dei messaggi che restano comunque veicolati da Wind Tre.

Con specifico riguardo alle contestate modalità di raccolta del consenso tramite le app MyWind e My3, (punto 2.1.2.3 precedente), la Società ha dichiarato di aver apportato delle modifiche alle stesse già in fase antecedente alla ricezione dell’avvio del procedimento da parte del Garante, provvedendo ad impostare la richiesta del consenso solo in fase di prima configurazione dell’app. Successivamente, in considerazione dell’intervenuta adozione del brand unico, le due app menzionate non sono più disponibili e sono state sostituite da un’unica app WINDTRE; questa non richiede più l’espressione dei consensi, neanche in fase di prima configurazione, ma si limita a riportare le volontà del cliente per come registrate e già presenti nei sistemi, consentendo comunque di modificarli dalla stessa app.

Più in generale, con riguardo all’entità delle violazioni accertate, la Società ha infine osservato che “considerando che le segnalazioni nel presente provvedimento sono circa 95 per gli anni 2018-2019, si evidenzia che le stesse rappresentano circa lo 0,026% delle gestioni totali effettuate dalla Scrivente Società” e pertanto i casi contestati, tenuto conto che la Società ha circa 32 milioni di clienti, possono ritenersi riconducibili ad un margine di errore fisiologico con esclusione di alcuni specifici casi che invece si ritengono riconducibili ad attività fraudolenta di terzi e sono già stati oggetto di apposite denunce presso l’Autorità giudiziaria.

3.2. Esercizio dei diritti da parte degli interessati

Con la nota del 15 giugno 2020 la Società ha fornito le proprie osservazioni anche in merito a quanto rappresentato al precedente punto 2.2. e, in particolare, alla disponibilità di idonei canali di contatto nonché alle procedure adottate per garantire l’esercizio dei diritti degli interessati.

La stessa ha preliminarmente ricordato che, con la nascita del brand unico, tutti i canali di contatto sono stati unificati e resi noti tramite la nuova informativa e mediante invio di comunicazioni individuali ai clienti; pertanto, ad oggi, è disponibile una casella postale, la pec del servizio clienti e il numero telefonico 159 (e per circa un anno saranno comunque mantenuti i precedenti canali di contatto).

Il servizio clienti è debitamente formato in materia di tutela dei dati personali, ma la Società ha assicurato che ogni richiesta pervenuta, anche ai canali non dedicati, viene gestita, pur dovendo evidenziare le difficoltà riscontrabili in una struttura complessa.

Con riguardo alle misure adottate per garantire l’esercizio dei diritti, la Società ha preliminarmente osservato che alcuni casi contestati dal Garante, che lamentavano la ricezione di contatti promozionali anche dopo la revoca del consenso, sono stati dovuti alle tempistiche di allineamento dei sistemi che, negli anni immediatamente successivi alla fusione aziendale, impiegavano un maggior tempo ad integrarsi. La Società ha comunque dichiarato che, ad oggi, “il consenso si aggiorna ogni 15 minuti e al più tardi in massimo 24 ore dall’inserimento sul sistema della revoca”.

Infine, rispetto alle procedure adottate per garantire l’esercizio del diritto di revoca, la Società ha ribadito che originariamente richiedeva di corredare necessariamente la richiesta con un documento di identità ma, già dai primi mesi del 2018, si è provveduto a semplificare tale procedura dando corso alla richiesta di revoca purché pervenuta da un indirizzo mail del cliente noto alla Società e rimandando la ricezione del documento anche ad un secondo momento.

La scelta di tale modalità traeva origine dal fatto che, per l’attivazione di ogni utenza, la Società era tenuta ad acquisire copia di un documento e pertanto riteneva coerente identificare gli interessati utilizzando lo stesso mezzo. Inoltre, la stessa ha aggiunto che la richiesta di identificazione a mezzo documento si era resa necessaria in passato a seguito di numerose richieste di revoca del consenso pervenute da parte di terzi in nome e per conto di diversi interessati.

Ad oggi, conferma comunque di aver modificato la procedura ammettendo la richiesta anche senza l’allegazione del documento purché proveniente da un indirizzo mail riconducibile al cliente.

3.3. Informazioni agli interessati

Con riferimento a quanto rappresentato al precedente punto 2.3., la Società, a seguito della contestazione ricevuta, ha assicurato di aver già provveduto ad integrare l’informativa con la specifica menzione richiesta dall’art. 123, comma 4, del Codice e ha comunque osservato che il dettaglio del traffico telefonico effettuato è comunque consultabile in autonomia attraverso l’app o l’Area Clienti.

3.4. Aggiornamento dei dati degli interessati negli elenchi telefonici

Infine, in merito a quanto contestato al precedente punto 2.4. la Società ha articolato la propria difesa rappresentando che i casi portati all’attenzione del Garante rappresentano singoli eventi per i quali il processo di cancellazione non era andato a buon fine.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1. Sulle modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali

Le condotte descritte, con particolare riguardo alle impostazioni delle app e alle risultanze dell’accertamento condotto presso il dealer XX, hanno messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione rese invece più farraginose.

Se è pur vero che la Società ha dichiarato di aver posto in essere specifici interventi correttivi, della cui efficacia si dirà in seguito, la valutazione in merito alla illiceità delle condotte pregresse resta comunque imprescindibile, soprattutto con riguardo alla possibilità di continuare ad utilizzare tali dati per finalità promozionali.

Si deve inoltre tenere presente che, con specifico riguardo al caso XX, la Società non ha ritenuto di dover intervenire a livello di procedura ma si è limitata a disconoscere l’accaduto, qualificandolo come iniziativa autonoma dell’Agente, nei confronti del quale non risulta sia stata tuttavia posta in essere alcuna attività di “richiamo”.

Si osserva, inoltre, che nella stessa memoria difensiva, la Wind Tre ha descritto con dovizia di dettagli le numerose attività poste in essere per formare e controllare i soggetti incaricati di operare per suo conto, fino a dichiarare di non avere “motivi di porre in dubbio la legittimità delle attività svolte da Partner-Agenti stante gli strumenti di formazione, sensibilizzazione e controllo posti in essere”.

Pertanto, se le istruzioni date al dealer dall’agente di commercio sono frutto di un’autonoma iniziativa di quest’ultimo, ne consegue che le misure di formazione e controllo si sarebbero rivelate, in tal caso, del tutto infruttuose. Se, invece, più verosimilmente, si ammette che l’agente non avrebbe avuto alcun vantaggio personale a richiedere al dealer di raccogliere il massimo dei consensi, si deve ritenere che l’interesse ad incentivare tale pratica sia generalmente condiviso a livello aziendale. E tale interesse è facilmente individuabile nel beneficio economico conseguente alla veicolazione di campagne promozionali di terzi, resa possibile grazie alla richiesta, sopra descritta, di un unico consenso complessivo per le finalità promozionali. Ciò spiegherebbe anche le diverse doglianze pervenute nel tempo al Garante con le quali è stato rappresentato, in maniera analoga, che i contratti erano stati presentati per la firma con le caselle dei consensi già preselezionate opponendo resistenza alle richieste di modifica. Casi derubricati dalla Società come “equivoci”, che tuttavia hanno lasciato intatti gli interrogativi in merito alle motivazioni sottese al descritto comportamento dei diversi dealer e al relativo interesse personale a forzare le volontà dei clienti. Le istruttorie condotte in merito a tali doglianze, data la presenza di istruzioni e sistemi formalmente corretti, non avevano sinora consentito di accertare tali elementi. Nel caso in esame, infatti, sono emerse solo grazie all’acquisizione di documentazione generata dall’attività aziendale ma non oggetto di specifiche procedure.

Peraltro, contrariamente a quanto asserito da Wind Tre, i grafici allegati alle e-mail dell’agente sono estremamente esplicativi in merito al fatto che sia richiesto al dealer di ottenere il massimo dei consensi; questi, infatti, contengono inequivocabili riferimenti alle percentuali dei flag ottenuti sul trattamento dei dati personali, suddivisi in base al consenso espresso con il primo flag (finalità promozionali di Wind Tre e di terzi) e con tutti gli altri flag, e sono addirittura annoverati tra gli indicatori di qualità del dealer.

Ciò detto, è evidente come non sia di alcun rilievo sottolineare la correttezza delle istruzioni impartite e dell’impostazione dei sistemi, dal momento che la volontà dell’interessato risulta comunque facilmente aggirabile se il soggetto che deve raccoglierla è incentivato in tal senso.

A ciò si deve aggiungere che il modello di pda acquisito agli atti presentava un’impostazione del carattere di stampa di dimensioni così ridotte rispetto al resto del testo, tali da rendere molto difficile la verifica da parte dell’interessato dei consensi espressi. Su tale ultimo punto, Wind Tre non ha fornito specifiche osservazioni, ma ha allegato una copia del nuovo modello di pda (cfr. allegato 7 alla memoria del 15 giugno 2020) nel quale sono utilizzati caratteri di uguale dimensione per tutto il testo.

Anche le descritte istruttorie in merito al funzionamento delle app, hanno mostrato una condotta fortemente orientata ad aggirare la volontà degli utenti. Le numerose segnalazioni pervenute (tutte di analogo contenuto) fanno ritenere che, dietro la mancanza di chiarezza, si celasse una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti. Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte, prima delle intervenute modifiche, non possono considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Inoltre, sempre con riguardo all’effettuazione di attività promozionale in assenza di consenso, si deve richiamare quanto descritto al punto 2.1. in merito all’affidamento a terzi che, utilizzando proprie liste, agiscono in qualità di titolari del trattamento. Pur se considerata attività residuale, la Società si è avvalsa di tali servizi senza tuttavia garantire che i contatti effettuati non pregiudicassero la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali. L’acquisizione da parte del partner di un generico consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di Wind Tre. È pertanto onere di quest’ultima verificare che i soggetti che hanno revocato il consenso o hanno espresso uno specifico diniego non siano più oggetto di attività promozionale per conto di Wind Tre. Una prescrizione in tal senso era stata già impartita alla Società con il provvedimento del 22 maggio 2018, n. 313.

Allo stesso tempo si devono considerare le osservazioni fatte in merito alle modalità offerte per recepire l’opposizione o il diritto di revoca. Infatti, numerose istanze pervenute hanno lamentato la ricezione di contatti promozionali anche dopo aver espresso uno specifico diniego al trattamento e, dalle risultanze istruttorie, è emerso che le procedure adottate dalla Società non si sono rivelate idonee a recepire correttamente le richieste degli interessati o hanno inutilmente aggravato la presentazione delle richieste imponendo l’allegazione di un documento di identità.

A tale ultimo riguardo, ferma restando la necessità di adottare, all’occorrenza, misure per identificare gli interessati, si ribadisce quanto già osservato al punto 2.2.2 in merito al rispetto della proporzionalità di tali misure al diritto tutelato, potendo ritenersi sufficiente per l’esercizio della revoca del consenso anche solo l’invio di una mail da un indirizzo riconoscibile. Peraltro, la richiesta del documento d’identità risulta ultronea nel caso di soggetti che non abbiano in essere un rapporto contrattuale con la Società ma che, contattati per finalità promozionali, vogliano comunque opporre il proprio diniego.

Pertanto, le condotte descritte danno atto della mancanza di misure tecniche ed organizzative adeguate a consentire agli interessati di esercitare i propri diritti, in violazione dell’art. 24 del Regolamento, con la conseguenza di aggravare immotivatamente la revoca del consenso o l’opposizione al trattamento per finalità promozionali e, in molti casi, di vanificarne del tutto gli effetti.

Inoltre, la Società ha trattato i dati personali dei segnalanti in assenza di un idoneo consenso, in violazione dell’articolo 130 del Codice nonché degli artt. 6, par. 1, lett. a) e 7 del Regolamento. Tali trattamenti, sistematici e non occasionali, devono considerarsi anche potenzialmente effettuati nei confronti di un numero molto elevato di interessati (clienti e non clienti).

Allo stesso tempo, le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione dell’art. 24 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a suo vantaggio.

Inoltre, le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i dealer configurano una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’art. 5, par. 1, lett. a) del Regolamento, mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati. A tal proposito deve inoltre ritenersi violato anche l’art. 25, par. 1 del Regolamento, con riguardo alla definizione delle procedure imposte ai dealer, mediante meccanismi fortemente incentivanti, di acquisizione dei consensi. E, ancora, si deve valutare tale condotta, nonché l’intera modalità di gestione dei consensi, alla luce dell’ingente beneficio economico derivante alla Società dall’acquisizione del maggior numero di consensi per finalità promozionale dal momento che, avendo la stessa predisposto la casella con la richiesta di un unico consenso per sé e per terzi, ha tutto l’interesse ad ampliare il bacino di soggetti cui veicolare i messaggi promozionali.

Infine, con specifico riferimento agli esiti del “procedimento B”, deve considerarsi che l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso.

Sotto questo profilo, anche l’implementazione di rigorose procedure che governano le attività di telemarketing e di teleselling, non possono costituire un valido argine alle diffusissime pratiche di contatti indebiti degli utenti dei servizi di telefonia se ad esse non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni, da perfezionare solamente nel caso in cui sia comprovata la legittimità dei trattamenti, fin dal primo contatto.

Nel caso in argomento, anche le misure recentemente implementate, quali l’adozione del registro dei contatti, quando non consentono un collegamento automatico e selettivo fra attività di promozione delle offerte e procedure di attivazione dei servizi, non sono idonee ad impedire che da contatti operati mediante trattamenti di dati illeciti vengano poi perfezionati contratti e attivazioni, alimentando quel “sottobosco” di procacciatori abusivi che agiscono, come accertato, oltre che in spregio di rilevanti disposizioni in materia di lavoro e previdenziale, anche in violazione delle disposizioni in materia di protezione dei dati personali indicate negli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento e 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice. Di tali ultime violazioni deve rispondere anche il titolare del trattamento in ragione della debolezza delle procedure di controllo di cui sopra.

Peraltro, sempre con specifico riferimento al procedimento B, deve evidenziarsi che a nulla rileva la considerazione che i trattamenti di cui sopra fossero indirizzati all’area business e quindi, in massima parte, a persone giuridiche, posto che l’art. 130, commi 3 e 3-bis, del Codice estende anche a tali soggetti le disposizioni in materia di consenso e di opposizione al trattamento ivi previste per le persone fisiche.

Ciò premesso, accertata l’illiceità dei trattamenti nei termini sopra descritti, si ritiene:

• di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), il trattamento dei dati personali per finalità promozionali raccolti mediante le app MyWind e My3 prima delle intervenute modifiche, nonché dei dati personali dei soggetti di cui non si possa dimostrare l’acquisizione e la vigenza di un consenso conferito liberamente;

• di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare, salvi i correttivi già introdotti, idonee procedure per verificare la correttezza delle procedure di acquisizione dei consensi da parte della propria rete di vendita e che i soggetti che abbiano già manifestato opposizione al trattamento nei confronti di Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

• di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

4.2.  Sul controllo della filiera

Le risultanze dell’attività istruttoria sopra ricostruita con riguardo ai numerosi contatti promozionali lamentati che, anche in considerazione della numerosità delle segnalazioni, appaiono assistiti da ragionevole presunzione di fondatezza, sono riconducibili ad una comune condotta, l’effettuazione di contatti promozionali nell’interesse di Wind Tre, per la quale la Società non è stata in grado di fornire una base giuridica e si è limitata a disconoscere la paternità di tali contatti. Peraltro, nel caso di sms, fax e chiamate automatizzate, l’indicazione testuale del contenuto comprova che l’attività promozionale è stata svolta senza dubbio a vantaggio di Wind Tre pur con modalità che la Società stessa afferma di non aver autorizzato: ne consegue che un’attività promozionale è stata di fatto svolta a vantaggio della Wind Tre ma, non essendo da questa riconosciuta, risulta comunque posta in essere in assenza del necessario controllo della filiera.

Nonostante le assicurazioni fornite e tutti gli interventi correttivi posti in essere, permane una situazione in cui, a fronte della predisposizione di procedure in taluni casi anche formalmente corrette, si realizzano nella pratica condotte non conformi al dettato normativo, poste in essere da soggetti che, anche laddove rimangano sconosciuti a Wind Tre, operano nell’interesse di quest’ultima.

Si richiamano, a tal proposito, le considerazioni espresse in via generale dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257), in base al quale i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento. E tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente. Anche l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche”.

Peraltro, la Società, in diverse note di riscontro, ha rappresentato che i soggetti che effettuano per proprio conto un’attività promozionale sono stati nominati responsabili del trattamento e sono “sottoposti a vigilanza, tramite questionario, riportando un buon livello di conformità”. In merito all’idoneità di tale procedura di controllo mediante questionari si deve fare espresso riferimento al “procedimento B” che ha dimostrato l’inefficacia di strumenti basati in massima parte sullo scambio epistolare. Nel caso in questione, vi erano molti elementi che avrebbero dovuto indurre Wind Tre a effettuare controlli supplementari quali:

a. la provenienza delle attivazioni non soltanto dalla area operativa territoriale di Merlini s.r.l.;

b. le risposte ai questionari di verifica nelle quali si dava atto di attività svolte da soggetti esterni con l’utilizzo di liste non acquisite da Wind Tre e senza poter garantire il rispetto delle disposizioni in materia di privacy;

c. l’assenza di qualunque forma di comunicazione relativa all’operato di collaboratori esterni, anche a fronte di una rilevante attività contrattuale che ragionevolmente non poteva essere sostenuta da una società di modeste dimensioni.

A fronte di tali elementi, Wind Tre avrebbe dovuto svolgere controlli più stringenti, che avessero ad oggetto la rete dei procacciatori organizzata da Merlini s.r.l., che doveva essere correttamente inquadrata nell’ambito del trattamento dei dati personali, in base alle disposizioni sui responsabili e sub-responsabili previste dagli artt. 28 e 29 del Regolamento.

Quanto poi alle attività formative e di sensibilizzazione in ordine al complessivo mutamento del quadro giuridico in materia di protezione dei dati personali, le argomentazioni difensive sono risultate contraddette dalle dichiarazioni rese da Merlini s.r.l. che ha rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”.

Da ultimo, non può non evidenziarsi che, come confermato da Wind Tre in sede di audizione, la società, a seguito delle gravissime vicende relative alla Alessandro Corbelli Sunrise s.r.l.s., ha provveduto a indirizzare a Merlini s.r.l. un semplice richiamo per una più attenta applicazione delle norme e delle disposizioni previste nel contratto di agenzia, anziché intraprendere azioni di maggiore incisività.

Le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione degli artt. 24 e 25 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a vantaggio della Società.

Ciò premesso, pertanto, accertata l’illiceità della condotta sopra delineata, si ritiene

di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), anche in relazione alle risultanze del “procedimento B”, il trattamento dei dati personali dei soggetti per i quali non possa dimostrare di aver acquisito un idoneo consenso;

di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire un effettivo controllo della filiera del trattamento;

di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 del Regolamento.

4.3. Sull’informativa agli interessati

Come descritto al punto 2.2, le informative presenti sui siti web aziendali fornivano dati di contatto non univoci mentre, nella pratica, gli interessati hanno fatto maggiormente uso dei canali del servizio clienti, veicolati dalla stessa Società e indicati quale corretto canale anche in una delle risposte fornite al Garante. Tale approccio, confuso e pletorico, ha comportato alcune difficoltà e ritardi nel riscontro delle richieste degli interessati. A ciò si deve aggiungere la presenza di una procedura di identificazione dell’interessato che, come detto, si è mostrata sproporzionata con riguardo all’esercizio di revoca del consenso e di opposizione al trattamento.

Si dà atto, comunque, che la Società, con l’introduzione del brand unico, ha modificato le informazioni agli interessati unificandole in una sola informativa e identificando nel solo servizio clienti il punto di contatto con gli interessati. La stessa, inoltre, ha semplificato la procedura di identificazione e riscontro delle istanze.

Inoltre, come descritto al punto 2.3, è stato accertato che l’informativa predisposta dalla Società era priva della indicazione relativa ai termini di conservazione dei dati di traffico ed è stata correttamente integrata solo a seguito della ricezione della comunicazione di avvio del procedimento.

Deve pertanto rilevarsi comunque la violazione dell’art. 12, parr. 1 e 2 del Regolamento e dell’art. 123, comma 4 del Codice con riguardo alle informazioni pubblicate sul sito web prima dell’intervenuta modifica, nonché alle modalità, eccessivamente onerose, di esercizio dei diritti.

Accertata l’illiceità delle condotte sopra riassunte, tuttavia, preso atto degli interventi correttivi già posti in essere, su tale punto non si ritiene di dover ulteriormente intervenire.

Si rende invece necessario adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli art. 83, parr.4 e 5, del Regolamento e 166, comma 1 del Codice.

4.4. Sulla pubblicazione dei dati in elenco

Sulla base delle istanze pervenute al Garante e dei riscontri di volta in volta forniti da Wind Tre, si rileva che in alcuni casi i dati dei clienti sono risultati presenti negli elenchi telefonici nonostante la richiesta, a volte reiterata, di cancellazione.

Ciò sarebbe avvenuto, a detta della Società, per errore o per problemi di comunicazione con il richiedente. In tale contesto risulta anche inappropriato il suggerimento, rivolto da Wind Tre ad alcuni reclamanti, di fare richiesta direttamente al gestore degli elenchi dato che, come ormai noto, questi si limita a pubblicare quanto comunicato dagli operatori telefonici e non è in grado di soddisfare direttamente le richieste degli utenti. Sono, invece, gli operatori telefonici ad essere responsabili dell’aggiornamento dei dati contenuti nella base dati unica⁽¹⁾.

Pertanto, richiamando quanto esposto al punto 2.4, si deve riconoscere la mancata adozione di procedure idonee a consentire la rettifica e la cancellazione dei dati dagli elenchi telefonici pubblici, in violazione dell’art. 5, par. 1, lett. d) del Regolamento, nonché la pubblicazione di dati personali in assenza di consenso, in violazione dell’art. 6, par. 1, lett. a) del Regolamento.

Accertata quindi l’illiceità della condotta nei termini appena delineati, si ritiene:

di dover ingiungere a Wind Tre, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a risolvere i ripetuti disallineamenti dei sistemi;

di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, del Regolamento.

4.5. Sul rispetto dei principi di accountability e privacy by design

Oltre a quanto già in dettaglio contestato nei punti precedenti, occorre evidenziare, anche in via più generale, una condotta dimostratasi complessivamente elusiva dei principi di accountability e privacy by design, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Infatti, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” la Società disponeva di idonei strumenti e di sufficienti conoscenze, veicolate anche dalle consolidate pronunce del Garante (direttamente rivolte anche alla Wind Tre), per valutare i rischi connessi al trattamento e per predisporre, di conseguenza, procedure tecniche e organizzative adeguate.

Al contrario, le risultanze istruttorie hanno mostrato un quadro complessivamente inidoneo al soddisfacimento di tale requisito di adeguatezza, dal momento che più volte è stata rilevata la mancanza di idonee misure tecniche e organizzative, dovendosi in alcuni casi aggiungere l’aggravante della preordinazione della condotta (nei casi relativi alla raccolta del consenso tramite app e tramite sottoscrizione del contratto presso i dealer) e dovendo altresì rilevare come, in più occasioni, la Società non sia stata in grado di dimostrare la conformità alle norme dei trattamenti posti in essere e l’efficacia delle misure adottate, come invece prescritto dall’art. 5, par. 2 del Regolamento.

D’altro canto, nel dare atto delle misure correttive apportate, in parte già prima della notifica dell’avvio del procedimento da parte del Garante, si intravedono delle potenziali soluzioni per rafforzare le garanzie. Ci si riferisce in particolare alla centralizzazione dell’attività promozionale nel sistema di Campaign management o alla previsione del registro dei contatti da tenere – per il momento solo – a cura degli agenti del canale fisico. Tali misure, tuttavia, potranno sviluppare un potenziale, che al momento può definirsi embrionale, solo nel momento in cui saranno sostenute con maggiori conseguenze sul piano contrattuale per i responsabili che non si attengano scrupolosamente a tali istruzioni.

Ad esempio, il sistema centralizzato di Campaign management, già da tempo in uso presso la Società, non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la Società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico. Una così fervida attività promozionale non può essere semplicemente disconosciuta e rubricata come iniziativa autonoma di soggetti non autorizzati, dato che l’interesse ad agire non pare certo essere unicamente di questi ultimi. E tale interesse, evidentemente, non viene meno finché tale attività, seppur non autorizzata, viene comunque remunerata. Ma anche la previsione di un registro dei contatti, che per ora è rivolta solo agli agenti del canale fisico e non a tutti i partner, pur funzionale nel suo intento di risalire la filiera, pare tuttavia debole se lasciata interamente all’arbitraria compilazione dell’agente. Ciò anche tenuto conto che la Società non ha al momento prospettato conseguenze dirette in caso di contatto non documentato, riservandosi solo di avvalersi della clausola risolutiva posta nel contratto. In altre parole, nonostante le paventate (ma del tutto eventuali) conseguenze sul piano contrattuale, l’attivazione di un contratto è comunque sempre possibile e le condotte illecite non sono, di conseguenza, scoraggiate.

Anche la stessa possibilità di recepire immediatamente la revoca, al momento della chiamata, pur se apprezzabile nelle intenzioni, risulta di fatto poco proficua essendo affidata unicamente all’intervento dell’operatore di call center che effettua il contatto. Difatti, a fronte delle costanti doglianze che pervengono al Garante in merito al fastidio di ricevere continue chiamate promozionali e alle proteste più volte asseritamente mosse dai segnalanti già nei confronti del chiamante, la Società ha dichiarato che, nel primo semestre 2020, solo lo 0,3% delle persone contattate ha richiesto la revoca del consenso durante la telefonata (cfr. tabella allegata al verbale di audizione del 25 giugno 2020). Anche in questo caso, analogamente a quanto osservato per le procedure di attivazione dei contratti presso i dealer, a poco serve aver predisposto un sistema formalmente corretto se l’incaricato che deve utilizzarlo è incentivato ad acquisire (o a mantenere) i consensi.

Richiamando anche l’istruttoria condotta nel “procedimento B”, si ha evidenza del fatto che la Società aveva adottato misure di controllo sui fornitori ed aveva impostato misure di controllo (solo) sull’attività svolta dal partner direttamente contrattualizzato (Merlini S.r.l.). Tali misure tuttavia non hanno impedito a tale agente di avvalersi di altri soggetti che, con condotte illegittime, hanno procacciato contratti di cui ha beneficiato economicamente anche la stessa Wind Tre, nonostante l’asserita inconsapevolezza.

Peraltro, sempre nel richiamato “procedimento B”, è emerso che le misure formalmente previste, segnatamente il controllo dei fornitori tramite questionari, si erano poi dimostrate inutili dal momento che le risposte fornite dal partner, pur discutibili, non avevano dato luogo ad alcuna conseguenza e ad alcun controllo.

Difatti, accertate le violazioni e le criticità in tema di consenso e di corretta individuazione della catena di responsabilità nell’ambito del trattamento, emerge con chiarezza che il consolidarsi di tali anomale condotte è stato favorito:

a) dalla mancata predisposizione di procedure e controlli efficaci per garantire il rispetto, da parte del responsabile del trattamento Merlini s.r.l. e della società Alessandro Corbelli Sunrise s.r.l.s., dei principi indicati all’art. 5, par. 1, del Regolamento;

b) dalla mancata verifica che i dati confluiti nei propri database a seguito dell’attività promozionale svolta da Merlini s.r.l. e da Alessandro Corbelli Sunrise s.r.l.s., fossero stati acquisiti legittimamente;

c) dalla sottovalutazione della necessità di garantire la “filiera” del trattamento fin dalla fase di acquisizione dei dati personali per svolgere campagne di marketing. Tali circostanze fanno emergere una non compiuta assimilazione e applicazione, da parte di Wind Tre, del principio di privacy by design a garanzia dei diritti degli interessati.

Si ritiene, pertanto, che le misure descritte dalla Società debbano essere corredate di maggiore effettività sul piano pratico per potersi ritenere sufficienti ad arginare un fenomeno, quello relativo ai contatti promozionali, che genera costante e diffuso allarme sociale oltre a favorire, avvalendosi proprio della tolleranza degli operatori, condotte illegittime quali quella descritta nel caso Merlini.

Non può infatti non rilevarsi con forza che il mancato controllo della filiera coinvolge la Società in un “mercato dei dati personali”, già oggetto di specifica informativa del Garante alla Procura della Repubblica presso il Tribunale di Roma, in cui, accanto alla violazione delle disposizioni in materia di trattamento delle informazioni delle persone, emergono gravi profili di violazione di norme giuslavoristiche, tributarie e probabilmente di carattere penale, alimentando un “sottobosco” che in alcuni casi potrebbe anche costituire oggetto di attenzione da parte della criminalità.

Sulla base degli elementi sopra esposti, rilevata la violazione degli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento, si ritiene necessario:

ingiungere a Wind Tre ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare pratiche illegali e l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso;

adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste degli artt. 83, par. 4, lett. a) e 83, par. 5, del Regolamento.

Riguardo alle prescrizioni indicate nella presente sezione, si ricorda che in caso di inosservanza, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Con riguardo alle condotte ascrivibili a Merlini s.r.l. e ad Alessandro Corbelli Sunrise s.r.l.s., l’Autorità procederà con un autonomo procedimento prescrittivo e sanzionatorio.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

5.1. Modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali.

Le condotte accertate al punto 4.1 integrano le seguenti violazioni: art. 5, par. 1 e 2 del Regolamento; artt. 6, par. 1, lett. a) e 7 del Regolamento; artt. 24 e 25 del Regolamento; art. 130 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

5.2. Controllo della filiera

Le condotte accertate al punto 4.2 integrano la violazione dell’art. 24 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83 del Regolamento.

5.3. Informativa agli interessati.

Le condotte accertate al punto 4.3 integrano le seguenti violazioni: art. 12, parr. 1 e 2 del Regolamento e art. 123, comma 4 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 1, del Codice.

5.4. Pubblicazione dei dati in elenco.

Le condotte accertate al punto 4.4 integrano le seguenti violazioni: art. 5, par. 1, lett. d) del Regolamento e art. 6, par. 1, lett. a) del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento.

5.5. Rispetto dei principi di accountability e privacy by design.

Le condotte accertate al punto 4.5 integrano le seguenti violazioni: artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, par. 4, lett. a) e 83, par. 5, lett. a) del Regolamento.

5.6. Quantificazione della sanzione amministrativa pecuniaria.

Le violazioni riscontrate nei procedimenti sin qui descritti vanno valutate alla luce del fatto che la medesima Società, con riguardo solo al periodo successivo all’intervenuta fusione aziendale tra Wind S.p.A. e H3G S.p.A., è stata destinataria di un provvedimento inibitorio e prescrittivo con riguardo a tipologie di violazioni analoghe (cfr. provv. del 22 maggio 2018, doc web n. 8995285), cui ha fatto seguito un’ordinanza ingiunzione adottata con provv. del 29 novembre 2018 (doc web n.9079005). A seguito di tali provvedimenti la stessa ha implementato alcune misure correttive richiamate anche nella presente decisione.

Si è rilevata tuttavia la persistenza di numerose segnalazioni e reclami, pervenuti al Garante; ad esito dell’analisi della documentazione complessivamente acquisita in atti, in considerazione di tutti gli elementi emersi, questa Autorità – valutate anche le misure già implementate dalla Società – ritiene necessario un intervento ad ampio spettro (inibitorio, prescrittivo e sanzionatorio), al fine di garantire la conformità alla normativa vigente dei trattamenti oggetto del presente provvedimento.

Le sopra indicate violazioni accertate nei confronti di Wind Tre, infatti, rappresentano la riprova, da un lato, di scelte aziendali finalizzate a piegare le norme alle esigenze di mercato; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato una sensibile contrazione del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, come accennato, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

La Società ha sollevato un’eccezione in merito al numero dei casi segnalati al Garante che, a suo avviso, non si può considerare significativo a fronte di circa 32 milioni di utenze attivate ritenendo pertanto che la relativa portata debba essere ridimensionata e inquadrata in un fisiologico margine di errore.

A tale riguardo si deve tuttavia osservare che: a) per ragioni varie (carattere, disponibilità di tempo, strumenti, ecc.), notoriamente segnalazioni e reclami sono posti in essere da un numero significativamente assai ridotto di persone rispetto a coloro che ritengono di essere stati oggetto di un trattamento illecito; b) per evidenti ragioni di economicità procedimentale, diverse segnalazioni (dell’ordine di circa un centinaio) essendosi rivelate ripetitive o meno dettagliate, non sono state trasmesse dall’Autorità alla Società; c) anche successivamente alla formale contestazione delle violazioni sono continuate a pervenire analoghe doglianze da parte di diversi utenti.

Infine, al di là della quantificazione numerica, si è tenuto conto soprattutto delle rilevanze sul piano dei contenuti e degli effetti. Del resto, come visto, sono stati sufficienti due singoli casi (i citati XX e Merlini) per far emergere delle condotte che per caratteristiche, mancanza di controlli e di azioni repressive da parte della Società, si possono senz’altro ritenere avere una portata più generale.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al par. 4 del presente provvedimento, si ritiene di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice, e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Risultano infatti violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nel caso di specie, assumono rilevanza sotto i seguenti profili:

1. l’ampia portata dei trattamenti, riguardanti la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, anche non clienti, che sono stati destinatari di contatti promozionali indesiderati (art. 83, par. 2, lett. a, del Regolamento);

2. la gravità delle violazioni rilevate, in ragione:

a) dei contatti illegittimi effettuati nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, del diritto alla tranquillità individuale e del diritto alla riservatezza);

b) di procedure di raccolta dei dati, come quelle previste per le App MyWind e My3 o come quella riscontrata presso il dealer oggetto di attività ispettiva tali, di fatto, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e quindi anche da minare il fondamentale diritto all’autodeterminazione degli interessati;

c) delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato, anche considerata l’inadeguata gestione del diritto di opposizione;

d) della molteplicità e varietà delle condotte riferibili a Wind Tre in violazione di più disposizioni del Regolamento e del Codice;

e) delle riscontrate gravi carenze organizzative che hanno determinato:

– un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability;

– della violazione dei fondamentali principi di esattezza dei dati con riguardo alla pubblicazione di dati personali negli elenchi telefonici (art. 83, par. 2, lett. a, del Regolamento);

– la realizzazione di una filiera parallela di raccolta dei dati dei possibili clienti in spregio alla normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;

3. la durata significativa delle violazioni, iniziate perlomeno dal 25 maggio 2018, data della piena operatività del Regolamento e non ancora compiutamente disciplinate o tuttora oggetto delle doglianze che pervengono al Garante (art. 83, par. 2, lett. a, del Regolamento);

4. il carattere doloso delle seguenti condotte, con particolare riguardo alla loro ideazione e attuazione, in relazione ai seguenti profili: le scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette app e le modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione; le modalità di raccolta del consenso, non libero, mediante la sottoscrizione di pda presso i dealer (art. 83, par. 2, lett. b, del Regolamento);

5. il carattere gravemente negligente di altri trattamenti, come: la non adeguata attuazione dei fondamentali principi di privacy by design, di privacy by default e di accountability, comprovate dalle evidenti difficoltà nel comprovare la titolarità delle attività promozionali effettuate nel suo interesse; la mancata condivisione delle black list con i fornitori di servizi di marketing che operano quali autonomi titolari; la non adeguata attività di controllo dell’operato dei propri partner nonostante evidenti elementi di allarme (art. 83, par. 2, lett. b, del Regolamento);

6. l’esistenza di un precedente provvedimento – adottato da questa Autorità nei confronti di Wind Tre – inibitorio, prescrittivo e sanzionatorio, relativo a condotte pertinenti a quelle oggetto della presente decisione (art. 83, par. 2, lett. e, del Regolamento);

7. la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti dalle attività promozionali, tenuto conto anche che la scelta di avvalersi di un unico consenso per promozioni proprie e di terzi comporta, qualora si raggiunga il massimo numero di consensi, un rilevante beneficio in termini di offerta sul mercato di servizi di comunicazione commerciale (art. 83, par. 2, lett. k, del Regolamento);

8. quale parziale attenuante, l’adozione – ritenuta comunque insufficiente – di misure tecniche e organizzative per ricondurre il trattamento a maggior controllo da parte del titolare (art. 83, par. 2, lett. c, del Regolamento);

9. quale attenuante, parzialmente compromessa dalle risposte a suo tempo fornite in merito alle segnalate procedure di acquisizione per default di tutti i consensi possibili da parte dei dealer, la cooperazione fornita nell’ambito degli accertamenti in loco e nel corso successivo dell’istruttoria, pur dimostrando, nel complesso, evidenti difficoltà nel rendere conto all’Autorità delle effettive attività di trattamento svolte da terzi per proprio conto (art. 83, par. 2, lett. f, del Regolamento);

10. quale attenuante – nonostante l’invasività delle violazioni riscontrate – la tipologia di dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, ossia dati identificativi e di contatto (utenze telefoniche) degli interessati coinvolti nelle attività di marketing (art. 83, par. 2, lett. g, del Regolamento);

11. le condizioni economiche del contravventore, tenuto conto del valore della produzione con riferimento al bilancio d’esercizio per l’anno 2019 (art. 83, par. 2, lett. k, del Regolamento).

Peraltro, in applicazione dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), si rende ulteriormente necessario prendere in considerazione i seguenti ulteriori elementi:

– l’ampio margine temporale concesso a tutti gli operatori del settore al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; adeguamento che Wind non risulta aver ultimato in maniera idonea;

– che la citata attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing possono ragionevolmente far ritenere raggiunta da tutti gli operatori, una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate;

– la non adeguata dissuasività delle sanzioni sinora contestate a Wind Tre, tenuto conto anche del fatto che il fenomeno delle chiamate indesiderate nell’ambito del telemarketing è stato oggetto di costante e puntuale attenzione da parte del legislatore (v., da ultimo, l. n. 5/2018) e del Garante, nonché di doglianze da parte degli utenti;

– l’attuale persistenza di segnalazioni e reclami, pervenuti all’Autorità in tempi successivi alla data degli accertamenti effettuati presso la Società fino alla data odierna, analoghi a quelli oggetto del presente provvedimento.

Tuttavia, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati e tenuto in particolare conto – anche rispetto ad analoghe verifiche effettuate presso altri operatori – la gravità e gli effetti delle condotte riscontrate a seguito degli accertamenti ispettivi, a fronte della sanzione edittale massima (209.120.000,00 euro, pari al 4% del fatturato di Wind Tre SpA, ossia 5.228.000.000,00 euro) – debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma di euro 16.729.600, pari all’8% della suindicata sanzione edittale massima.

In tale quadro, si ritiene altresì – anche in considerazione dell’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; dell’elevato numero degli stessi, anche potenzialmente, coinvolti; dei disallineamenti rilevati nei sistemi informativi della Società; dell’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, della scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima – che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ritiene infine che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati da Wind Tre S.p.A., con sede legale in largo Metropolitana, 5, Rho (MI), C.F. 02517580920:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone l’immediato divieto di trattamento:

i) dei dati personali relativi ai soggetti per i quali risulta conferito un consenso tramite le app MyWind e My3;

ii) per finalità di marketing, dei dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società, entro 180 giorni dal ricevimento del presente ricevimento, di:

i) adottare idonee procedure per assicurare che i soggetti che abbiano manifestato un’opposizione al trattamento dei propri dati a Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

ii) adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso nonché al fine di essere in grado di documentare i contatti avvenuti;

iii) adottare misure correttive idonee a risolvere i disallineamenti dei sistemi al fine di scongiurare la pubblicazione non autorizzata di dati personali negli elenchi telefonici pubblici;

c) ai sensi dell’art. 157 del Codice, richiede a Wind Tre S.p.A. di comunicare, entro 30 giorni dalla ricezione del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto ivi prescritto e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Wind Tre S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

 176 total views

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Augusta Iannini, vicepresidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

Visto il decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE”, così come modificato dal decreto legislativo 10 agosto 2018, n. 101 (di seguito “Codice”);

Viste le “Linee guida 04/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del Comitato europeo per la protezione dei dati del 21 aprile 2020 (doc. web n. 9322516);

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Il Ministero della salute, con la nota del 28 maggio 2020, ha trasmesso al Garante, ai sensi dell’art. 36, § 5, del Regolamento e dell’art. 2-quinquiesdecies del Codice, la valutazione d’impatto sulla protezione dei dati, effettuata ai sensi dell’art. 35 del Regolamento, per essere autorizzato ad avviare il trattamento di dati personali relativo al “Sistema di allerta Covid-19”, istituito dall’art. 6 del decreto legge 30 aprile 2020, n. 28 (sul quale l’Autorità ha espresso il proprio parere con il provvedimento n. 79 del 29 aprile 2020, doc. web n. 9328050), “al solo fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi e tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legate all’emergenza Covid-19” mediante una piattaforma unica nazionale “per la gestione del sistema di allerta dei soggetti che hanno installato, su base volontaria, un’apposita applicazione sui dispositivi di telefonia mobile”. Il Ministero ha successivamente integrato la documentazione inviata, fornendo, in data 30 maggio 2020, il testo dell’informativa che si intende rendere agli interessati, ai sensi degli artt. 13 e 14 del Regolamento, in relazione al trattamento dei dati personali.

Nella predetta valutazione di impatto, corredata da ampia documentazione, sono state rappresentate le misure tecniche e organizzative adottate dal Ministero al fine di garantire, in particolare, un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati.

1. La descrizione del Sistema di allerta Covid-19

Il Sistema di allerta Covid-19, che rappresenta il sistema nazionale di tracciamento digitale dei contatti (contact tracing), è finalizzato al contrasto della diffusione del Covid-19 ed è complementare alle modalità ordinarie di tracciamento dei contatti già in uso nell’ambito del Servizio sanitario nazionale (SSN). Tale Sistema, denominato Immuni, è composto da un’applicazione (di seguito “app” o “app Immuni”) per dispositivi mobili; dai sistemi e dalle componenti tecnologiche e organizzative che ne permettono il funzionamento (di seguito “backend”), nonché da un servizio di interazione con gli operatori sanitari che utilizza il Sistema Tessera Sanitaria (di seguito “Sistema TS”).

Il Ministero della salute è titolare del trattamento dei dati personali raccolti nell’ambito del predetto Sistema e si avvale di Sogei S.p.a. e del Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

L’applicazione, istallata liberamente e volontariamente dagli interessati, consente di avvisare tempestivamente gli utenti di essere entrati in contatto stretto con un soggetto risultato positivo al Covid-19, fornendo raccomandazioni sul comportamento da assumere e invitandoli a consultare il proprio medico.

Accanto a tale meccanismo, è prevista la raccolta di ulteriori dati dai dispositivi degli utenti (c.d. analytics) per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del Sistema di allerta Covid-19.

L’app Immuni si basa sull’utilizzo della tecnologia Bluetooth Low Energy (BLE) e sul Framework di Exposure Notification realizzato da Apple e Google (di seguito “Framework A/G”), reso disponibile su dispositivi mobili con sistema iOS e Android, che include interfacce di programmazione delle applicazioni (API – Application Programming Interface) e tecnologie a livello di sistema operativo per consentire il tracciamento dei contatti, senza ricorrere alla geolocalizzazione dei dispositivi degli utenti.

Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

1.1. Il rilevamento dell’esposizione a rischio di contagio

In sintesi, si rappresenta che il Sistema Immuni fa ricorso a un approccio c.d. “decentralizzato” di rilevamento dell’esposizione al contagio, di seguito descritto, in cui il contatto stretto con soggetti risultati positivi è notificato direttamente all’utente a seguito di una procedura svolta all’interno del dispositivo su cui è istallata l’app Immuni.

Tale procedura è possibile perché vengono memorizzati all’interno del dispositivo, in un’area crittograficamente protetta, i dati relativi alle interazioni, avvenute con tecnologia bluetooth in modalità paritaria (peer-to-peer), con i dispositivi di altri utenti dell’app Immuni rilevati in sua prossimità.

A) Installazione e configurazione dell’app

Ogni utente, dopo aver scaricato l’app Immuni dagli app store ufficiali di Apple e Google, procede alla sua installazione e configurazione, ricevendo una sintetica descrizione del suo funzionamento e di alcune caratteristiche del trattamento dei dati personali effettuato attraverso delle infografiche, accompagnate dai link all’”informativa privacy” e ai “termini di utilizzo” del servizio.

L’app Immuni, per il suo funzionamento, non richiede l’identificazione dell’interessato attraverso la registrazione o la creazione di un account individuale dei propri utenti.

In tale fase preliminare (c.d. onboarding), all’utente viene richiesto di dichiarare di avere almeno 14 anni (età minima per accedere al servizio), di indicare la provincia di domicilio (che successivamente può essere modificata), nonché di concedere i permessi necessari al funzionamento dell’app (abilitazione delle notifiche di esposizione al Covid-19; visualizzazione, per i soli dispositivi iOS, delle notifiche locali generate dall’app; attivazione del bluetooth e, per i soli dispositivi Android, anche della geolocalizzazione che, pur non essendo utilizzata dall’app Immuni, è richiesta dal sistema operativo per poter rilevare i dispositivi bluetooth nelle vicinanze).

B) Interazione tra i dispositivi mobili degli utenti

Una volta compiute queste operazioni l’app inizia a funzionare e viene generata, in modo casuale, mediante algoritmi crittografici, una chiave temporanea (composta da 128 bit) denominata TEK (Temporary Exposure Key) che varia con frequenza giornaliera. A partire da ogni TEK, ogni 10 minuti, viene generato un identificativo di prossimità del dispositivo mobile (composto da 128 bit), denominato RPI (Rolling Proximity Identifier). Da ogni TEK possono essere generati 144 RPI a essa corrispondenti, mentre in presenza del solo RPI non è possibile risalire alla TEK da cui è stato generato.

Tali RPI vengono diffusi in modalità broadcast e sono ricevuti da altri dispositivi raggiungibili mediante interfaccia bluetooth, producendo di fatto, in caso di sufficiente prossimità, uno scambio reciproco di RPI tra i dispositivi su cui è installata l’app Immuni, registrandoli automaticamente nella loro memoria locale, unitamente ad altri dati accessori (metadati quali la data, la durata e la distanza del contatto). In tal modo, sul dispositivo di ogni utente sono memorizzate la lista delle proprie TEK (aggiornata quotidianamente) e la lista degli RPI dei dispositivi degli altri utenti con cui si è entrati in contatto. Le TEK e gli RPI sono automaticamente cancellati, dai dispositivi, trascorsi 14 giorni dalla loro memorizzazione.

C) Raccolta delle TEK dal dispositivo di un utente accertato positivo al Covid-19

In caso di esito positivo di un tampone, nell’ambito dell’indagine epidemiologica effettuata dall’operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente, viene chiesto al paziente se abbia installato l’app Immuni. In tal caso, l’operatore chiederà allo stesso se voglia rendere disponibili le proprie TEK al fine di allertare del rischio di contagio gli utenti con cui è entrato in contatto stretto nei giorni precedenti la diagnosi o la manifestazione dei sintomi. Qualora il paziente voglia procedere in tal senso, l’operatore sanitario richiede allo stesso di aprire l’app e di utilizzare la funzione di generazione del codice OTP (One Time Password), composto da 10 caratteri. Il paziente comunica tale codice OTP all’operatore sanitario e attende l’autorizzazione per effettuare il caricamento (c.d. upload) delle proprie TEK. L’operatore sanitario, utilizzando una specifica funzionalità resa disponibile sul Sistema TS, inserisce il codice OTP e la data di inizio dei sintomi forniti dal paziente, che vengono così trasmessi al backend di Immuni. Entro un limitato intervallo temporale (2 minuti e 30 secondi), il paziente dovrà completare la procedura di caricamento delle TEK generate sul proprio dispositivo negli ultimi 14 giorni, che sono trasmesse al backend di Immuni che, previa verifica dell’OTP, le elabora per individuare, sulla base della data di inizio dei sintomi, solo le TEK generate nei giorni in cui il paziente, sulla base della data di insorgenza dei sintomi dichiarata, deve essere considerato contagioso.

Il predetto meccanismo di autorizzazione è volto ad assicurare che siano caricate sul Sistema Immuni esclusivamente le TEK riferibili a utenti accertati positivi al Covid-19.

All’atto dell’upload delle TEK, l’app effettua anche il caricamento automatico sul backend di Immuni di alcune informazioni relative agli eventuali contatti stretti con soggetti positivi rilevati in precedenza (c.d. analytics di tipo Epidemiological Information, meglio descritti alla lett. A) del par. 1.2 del presente provvedimento), e della provincia di domicilio indicata dall’utente all’atto del primo utilizzo dell’app o successivamente modificata.

D) Pubblicazione delle TEK degli utenti risultati positivi al Covid-19

Le TEK degli utenti risultati positivi, acquisite con le modalità di cui sopra, sono pubblicate per la messa a disposizione dell’app immuni, affinché possano essere scaricate automaticamente e periodicamente dagli utenti dell’app per consentire alla stessa di rilevare la ricorrenza di un eventuale contatto mediante il confronto con gli RPI salvati all’interno di ciascun dispositivo mobile.

A tal fine, il backend di Immuni genera periodicamente, a un intervallo regolare di 30 minuti, un file, firmato digitalmente, contenente l’insieme delle TEK (c.d. TEK Chunk) dei nuovi soggetti risultati positivi. Tale file viene pubblicato e reso disponibile attraverso una Content Delivery Network (CDN), ossia un insieme di server distribuiti geograficamente che consente di garantire lo scaricamento (download) del file da parte di numerosi utenti, fornito da una società, designata, a sua volta, responsabile del trattamento da Sogei. Tali file vengono automaticamente cancellati trascorsi 14 giorni dalla sua generazione.

L’app installata sui singoli dispositivi degli utenti verifica periodicamente (ogni 4 ore circa, ma anche con frequenza maggiore qualora il dispositivo mobile sia connesso al proprio alimentatore elettrico) la presenza di aggiornamenti, memorizzando nel dispositivo gli eventuali nuovi file contenenti le TEK pubblicate.

E) Raffronto con gli RPI salvati nei dispositivi degli utenti

Una volta ricevute le TEK pubblicate dal sistema di backend, ciascun dispositivo su cui è installata l’app avvia il raffronto tra gli RPI ricavati dalle TEK scaricate e quelli, rilevati nei 14 giorni precedenti, memorizzati all’interno di ciascun dispositivo mobile, al fine di verificare la presenza di un contatto stretto con utenti accertati positivi al Covid-19 (match).

Tale raffronto viene effettuato a livello locale attraverso l’algoritmo messo a disposizione dal Framework A/G che sulla base di alcuni parametri quali la durata del contatto e la distanza tra i dispositivi su cui è installata l’app (rilevata mediante l’intensità del segnale bluetooth), calcola l’indice di rischio di contagio (Total Risk Score) per ogni eventuale contatto rilevato. Se tale indice di rischio supera una soglia predefinita, l’app mostra all’utente un messaggio di allerta sulla possibile esposizione al contagio (c.d. notifica di esposizione), per essere stato un contatto stretto di un soggetto accertato positivo al Covid-19 (“Il giorno TOT sei stato vicino a un caso COVID-19 positivo”). Il messaggio invita quindi l’utente ad adottare alcune regole di comportamento, nonché a contattare il proprio medico di medicina generale/pediatra di libera scelta, che a sua volta provvederà a contattare il Dipartimento di prevenzione della Azienda sanitaria locale territorialmente competente.

Successivamente all’operazione di raffronto con gli RPI memorizzati all’interno del dispositivo mobile, in presenza o meno di un contatto a rischio, l’app può trasmettere, in modo automatico e secondo un modello probabilistico, alcune informazioni al backend di Immuni che riguardano: la ricezione o meno di una notifica di esposizione al rischio, la data dell’eventuale ultimo contatto stretto con soggetto risultato positivo, la provincia di domicilio, nonché indicatori tecnici relativi al dispositivo dell’utente e all’utilizzo dell’app (c.d. analytics di tipo Operational Info with/without Exposure, meglio descritti alla lett. B) del par. 1.2 del presente provvedimento).

1.2. La raccolta e l’utilizzo degli analytics

Il Sistema di allerta Covid-19, oltre alle TEK degli utenti accertati positivi al Covid-19, raccoglie, attraverso l’app, le ulteriori informazioni di seguito descritte.

A) Gli analytics di tipo Epidemiological Info

Ogni qual volta un utente risultato positivo al Covid-19 decide, liberamente, al fine di “avvisare altri utenti a rischio di contagio”, di effettuare il caricamento delle proprie TEK su sistema di backend, comunicando all’operatore sanitario la data di inizio dei sintomi, l’app trasmette automaticamente anche ulteriori informazioni c.d. Epidemiological Info al backend di Immuni. In tale circostanza, di per impostazione predefinita, vengono quindi raccolti sul Sistema di allerta Covid-19 anche i dati sotto specificati per “consentire l’affinamento dell’algoritmo di calcolo del rischio derivante da un contatto e allertare solo le persone che sono effettivamente a rischio”, nonché per “finalità di tutela della salute pubblica” e “di carattere epidemiologico”:

Le Epidemiological Info raccolte comprendono:

1) provincia di domicilio;

2) Exposure Detection Summary, ossia una serie di informazioni sintetiche relative a tutti gli eventuali contatti a rischio avvenuti negli ultimi 14 giorni (rilevati attraverso il raffronto delle TEK scaricate con gli RPI memorizzati all’interno del dispositivo), che comprende:

a) numero di contatti a rischio rilevati;

b) numero di giorni trascorsi dall’ultimo contatto a rischio;

c) durata aggregata dei contatti a rischio (misurata in multipli di 5 min. fino a un massimo di 30 min.), distinta per tre intervalli di intensità del segnale bluetooth (c.d. attenuation);

d) indice di rischio più elevato tra quelli relativi ai contatti a rischio;

3) Exposure Info, ossia una serie di informazioni analitiche relative a ciascun eventuale contatto a rischio avvenuto negli ultimi 14 giorni (rilevato attraverso il raffronto delle TEK scaricate con gli RPI memorizzati all’interno del dispositivo), che comprende:

a) data in cui è avvenuto il contatto a rischio;

b) durata del contatto a rischio (misurata in multipli di 5 min fino a un massimo di 30 min);

c) intensità del segnale bluetooth durante il contatto a rischio (c.d. attenuation);

d) durata del contatto a rischio (misurata in multipli di 5 min fino a un massimo di 30 min), distinta per tre intervalli di intensità del segnale bluetooth (c.d. attenuation);

e) rischio di contagiosità associato alla TEK relativa al contatto a rischio;

f) indice di rischio relativo al contatto a rischio.

La raccolta dei predetti dati (Epidemiological Info, TEK degli ultimi 14 giorni, clock del dispositivo e data di inizio dei sintomi, è subordinata al meccanismo di autorizzazione basato su un codice OTP descritto alla lett. C del par. 1.1 del presente provvedimento).

B) Gli analytics di tipo Operational Info

L’app trasmette, in maniera automatica e secondo un modello probabilistico, al backend di Immuni le c.d. Operational Info without Exposure e, se c’è stato un contatto a rischio le c.d. Operational Info with Exposure. In ogni caso, il numero di invii di analytics di tipo Operational Info che un singolo dispositivo può effettuare è limitato su base mensile.

Le Operational Info sono raccolte per “capire statisticamente il livello di diffusione dell’app sul territorio e la correttezza del suo utilizzo”, nonché per “monitorare su base statistica l’epidemia, allocare in modo più efficiente le risorse sanitarie e massimizzare quindi la prontezza e adeguatezza del supporto fornito agli utenti che risultano a rischio”.

Allo stato attuale, la trasmissione di tali analytics riguarda unicamente i dispositivi con sistema operativo iOS. Infatti, al fine di garantire la validità delle Operational Info e di imporre un limite mensile al loro invio da parte dei dispositivi mobili, evitando nel contempo l’eventuale inquinamento dei dati raccolti dal backend, il Sistema di allerta Covid-19 fa ricorso a tecniche di device attestation che consentono di verificare l’autenticità del dispositivo dal quale provengono i dati, allo stato possibili solo per dispositivi con sistema operativo iOS (API DeviceCheck di Apple) con le modalità di seguito descritte.

Le Operational Info comprendono:

1) analytics token (il cui significato è descritto nel par. 1.3, raccolto per una finalità meramente tecnica strumentale a garantire sicurezza e maggior affidabilità dei dati trattati nell’ambito del meccanismo di device attestation dei dispositivi iOS);

2) provincia di domicilio;

3) stato di attivazione dell’interfaccia bluetooth;

4) stato del permesso all’utilizzo del Framework A/G per la notifica di esposizione;

5) stato del permesso alla visualizzazione di notifiche locali generate dall’app;

6) sistema operativo del dispositivo mobile (iOS o Android);

7) avvenuta ricezione o meno di notifiche di esposizione al rischio;

8) data in cui è eventualmente avvenuta l’ultima esposizione al rischio (contatto stretto con un soggetto risultato positivo).

C) La conservazione e l’utilizzo degli analytics da parte del Ministero

In relazione alle modalità di conservazione e al successivo trattamento di entrambe le categorie di analytics per le finalità sopra descritte, viene rappresentato che “la fornitura dei dati da parte di Sogei sarà effettuata giornalmente, in forma anonima e aggregata via PEC, agli uffici competenti del Ministero della salute.”, senza fornire ulteriori elementi (es. tecniche di anonimizzazione applicate ai dati dopo la loro raccolta, tempi di conservazione).

D) Device attestation: generazione e utilizzo dell’analytics token

Al fine di consentire al backend di Immuni di verificare l’autenticità dei dispositivi dai quali provengono gli analytics di tipo Operational Info, per i soli dispositivi con sistema operativo iOS, vengono effettuate le seguenti operazioni:

l’app Immuni richiede ad Apple (“DeviceCheck iOS API”) l’attribuzione di un identificativo temporaneo del dispositivo, denominato device token, che consentirà al backend di Immuni di verificarne l’autenticità;

successivamente, l’app Immuni genera, in modo casuale, un altro identificativo del dispositivo, denominato analytics token, salvandolo in locale e inviandolo al backend di Immuni unitamente al device token attribuito da Apple;

alla ricezione di tali dati, il backend di Immuni verifica con Apple (“DeviceCheck server API”) la validità del device token relativo al dispositivo dell’utente; in tale circostanza, il backend di Immuni si avvale anche di alcune funzionalità rese disponibili da Apple (c.d. “DeviceCheck per-device bits”) che consentono di tenere traccia di quei dispositivi mobili che, avendo assunto un comportamento anomalo nella generazione dell’analytics token, non sono autorizzati a inviare Operational Info;

in caso di riscontro positivo da parte del servizio di Apple, il backend di Immuni memorizza l’analytics token in un database, associandolo a un contatore di invii;

ogni qual volta l’app Immuni deve inviare gli analytics di tipo Operational Info, assieme a tali dati viene trasmesso l’analytics token generato in precedenza;

alla ricezione di tali analytics, il backend di Immuni controlla se l’analytics token esiste, se è stato generato e se non è già stato utilizzato per effettuare due invii; solo se tutte queste condizioni sono soddisfatte, le Operational Info vengono accettate e salvate nel backend di Immuni; in caso contrario, i dati vengono scartati.

L’analytics token cambia con cadenza mensile e viene inviato al backend di Immuni al massimo tre volte al mese (all’atto della generazione, dell’invio delle Operational Info with Exposure e dell’invio delle Operational Info without Exposure), in modo da limitare “la capacità del server di reidentificare lo stesso dispositivo a cavallo di più chiamate al server”.

Su base mensile i dispositivi su cui è istallata l’app Immuni generano, in modo casuale, un identificativo denominato analytics token necessario a verificare la validità degli analytics di tipo Operational Info inviati al Sistema di allerta Covid-10.

OSSERVA

Il trattamento di dati personali effettuato nell’ambito del Sistema di allerta risulta legittimo e proporzionato in quanto siano rispettati i diritti e le libertà degli interessati e sia accompagnato anche da adeguate misure di prevenzione e diagnosi volte ad agevolare la presa in carico delle persone contagiate da parte del Sistema sanitario nazionale e la precoce individuazione di nuovi focolai di infezione. Ciò, assicurando, in particolare la trasparenza, la correttezza e la sicurezza in ogni fase del trattamento, in relazione ai rischi elevati che presenta per i diritti e le libertà degli interessati.

1. Base giuridica del trattamento, volontarietà e finalità perseguite

Come detto, la realizzazione dell’app Immuni si colloca nel contesto normativo stabilito dall’art. 6 del d.l. n. 28/2020 con il quale è stata istituita la piattaforma unica nazionale per la gestione Sistema di allerta Covid-19.

La predetta disposizione, fra l’altro, prevede alcuni requisiti fra loro strettamente connessi quali: 1.1) la volontarietà dell’istallazione dell’app; 1.2) il perseguimento di alcune specifiche finalità; 1.3) l’utilizzo di dati pseudonimizzati.

1.1. Sulla volontarietà dell’utilizzo dell’app

Quanto alla prima, occorre sottolineare che un’applicazione fondata sulla volontarietà degli utenti implica che la volontà si manifesti in tutte parti del suo funzionamento: il download, l’istallazione, la configurazione, l’attivazione della tecnologia Bluetooth, il caricamento delle TEK sul backend di Immuni in caso di risultato positivo del tampone, la raccolta delle diverse categorie di analytics nelle fasi in cui si articola il trattamento, la consultazione del medico di fiducia dopo aver ricevuto un messaggio di allerta sul rischio di essere entrato in contatto stretto con soggetti risultati positivi, la disinstallazione dell’applicazione, ecc. (cfr. punti 24 e 31 delle “Linee guida 04/2020 sull’utilizzo dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell’emergenza legata al COVID-19” del Comitato europeo per la protezione dei dati del 21 aprile 2020).

Corollario della volontarietà è, come previsto anche dal legislatore, che le persone che non intendono o non possono utilizzare l’applicazione, intesa nella sua interezza o solamente in una sua fase, non possono subire alcun pregiudizio, e deve, in ogni caso, essere assicurato il rispetto del principio di parità di trattamento (art. 6, comma 3, d.l. n. 28/2020).

L’utilizzo volontario dell’app deve essere chiaramente specificato agli utenti, in aderenza al principio di trasparenza ed eventuali innovazioni nelle caratteristiche del trattamento devono essere riscontrate in corrispondenti modifiche dell’informativa stessa (artt. 5, par. 1, lett. a; 12; cons. nn. 39 e 60, del Regolamento).

1.2. Sulle finalità dell’app

La normativa di riferimento stabilisce che il Sistema di allerta Covid-19 debba perseguire esclusivamente la finalità, da un lato, di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi” e, dall’altro, di “tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legata all’emergenza Covid 19”. È, inoltre, conferito al Ministero, in qualità di titolare del trattamento dei dati personali effettuato attraverso il predetto Sistema, il compito di porre in essere gli ulteriori adempimenti necessari alla gestione del sistema di allerta per l’adozione di correlate misure di sanità pubblica e di cura, in coordinamento con i soggetti previsti dalla legge, anche per il tramite del Sistema TS e nel rispetto delle relative competenze istituzionali in materia sanitaria connessa all’emergenza epidemiologica (art. 6, comma 1, d.l. n. 28/2020).

Le predette finalità possono essere perseguite attraverso il trattamento dei dati personali raccolti dall’app che, “per impostazione predefinita, siano esclusivamente quelli necessari ad avvisare gli utenti dell’applicazione di rientrare tra i contatti stretti di altri utenti accertati positivi al COVID-19, individuati secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure di cui al presente comma, nonché ad agevolare l’eventuale adozione di misure di assistenza sanitaria in favore degli stessi soggetti” (art. 6, comma 2, lett. b, ivi).

A ciò si aggiunge che il funzionamento dell’app Immuni implica anche il trattamento di “categorie particolari dati, in quanto relativi alla salute degli utenti. Questi ultimi possono essere trattati ai sensi dell’art. 9, par. 1, lett. g, del Regolamento, nel rispetto delle ulteriori garanzie previste dall’art. 2-sexies del Codice, che prevede la specificazione dei “tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.

Al riguardo, tale livello di dettaglio è riportato nella valutazione di impatto in esame, con la quale – ai sensi dell’art. 6, comma 2, del d.l. n. 28/2020 – il Ministero della Salute è stato chiamato ad adottare “misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi elevati per i diritti e le libertà degli interessati”. Tale documento contiene una descrizione generale dei dati trattati, delle operazioni eseguite, dei flussi di dati e delle specifiche finalità perseguite.

In particolare, il Sistema comporta il trattamento dei dati necessari, come previsto dal legislatore, da un lato, per il tracciamento dei contratti al fine di allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi (es: TEK, RPI, la data di inizio dei sintomi per persone positive al tampone, la avvenuta ricezione della notifica di esposizione) e, dall’altro, per fini di sanità pubblica, contribuendo, nel contempo, a migliorare il funzionamento del Sistema di allerta Covid-19 (es: analytics Operational Info ed Epidemiological Info, descritti sopra, che comprendono, tra l’altro, la provincia di domicilio, la data in cui è avvenuto l’ultimo contatto a rischio, il grado di rischio di contagio, l’aver ricevuto un messaggio di allerta, lo stato di attivazione del bluetooth, il permesso per l’utilizzo del Framework A/G che rende possibile il tracciamento dei contatti, il permesso per le notifiche, il sistema operativo del dispositivo, il clock del dispositivo, gli analytics token, i device token).

1.3. Sull’utilizzo di dati pseudonimizzati

L’art. 6 comma 2, lett. c) del d.l. n. 28/2020 stabilisce che il trattamento effettuato per allertare i contatti sia basato sul trattamento di dati di prossimità dei dispositivi pseudonimizzati.

La pseudonimizzazione, ai sensi dell’art 25 del regolamento costituisce una misura di privacy by design, volta primariamente ad assicurare l’applicazione efficace dei principi della protezione dei dati personali, integrando nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. Si tratta dunque di un adempimento e non di una tecnica di anonimizzazione dei dati.

Lo scopo della tutela è rappresentato dalla definizione di pseudonimizzazione, introdotta dall’art 4 comma 1 del Regolamento come il risultato di un trattamento di dati personali che non ne consente l’attribuzione a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a specifiche misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Per dare compiuta applicazione al dettato normativo devono dunque essere chiaramente individuate le due componenti di un trattamento di pseudonimizzazione, il dato pseudonimizzato e l’informazione aggiuntiva, e deve inoltre essere garantita la separazione tra queste due componenti in assenza della quale sarebbe possibile l’identificazione di un interessato.

Nel contesto del contact tracing lo scopo della pseudonimizzazione, in tal modo realizzata, è di consentire la distribuzione delle chiavi TEK (vale a dire il risultato della pseudonimizzazione) ai partecipanti al sistema ma non delle chiavi di co-decodifica (vale a dire l’informazione aggiuntiva) venendo a mancare la quale sarebbe impedita in radice ai partecipanti la possibilità di risalire all’identità di qualsiasi altro partecipante.

A tal riguardo, l’applicazione di tecniche di cifratura asimmetriche a stato dell’arte (ad esempio, basate su algoritmi di hash), con una adeguata custodia delle chiavi da parte del soggetto centrale, che sarebbe l’unico in grado di consentire la re-identificazione per ragioni meramente funzionali all’operatività del sistema, si configurerebbe come una schema di pseudonimizzazione idoneo a realizzare il disaccoppiamento tra TEK e le loro chiavi di decodifica, consentendo così la corretta applicazione dell’art. 6 comma 2, lett. C) del d.l. n. 28/2020, nonchè, su tale base, la pubblicazione delle TEK dei soggetti risultati positivi.

2. Le caratteristiche dell’algoritmo di esposizione al contagio

In via preliminare si rappresenta che, nella valutazione d’impatto non sono ancora individuati puntualmente i criteri epidemiologici di rischio e i modelli probabilistici su cui si basa l’algoritmo, né i parametri di configurazione impiegati corredati dalle assunzioni effettuate, in conformità con quanto disposto dall’art. 6, comma 2, lett. B), del d.l. n. 28/2020, il quale prevede che l’individuazione del contatto stretto avvenga “secondo criteri stabiliti dal Ministero della salute e specificati nell’ambito delle misure“ tecniche e organizzative contenute nella valutazione d’impatto.

Al riguardo, si sottolinea l’importanza che sia assicurata la massima trasparenza pubblica di tali criteri, anche al fine di garantire un idoneo scrutinio da parte della comunità scientifica.

Sotto questo profilo, si rappresenta che la valutazione del rischio di esposizione al contagio effettuata dall’app è calcolata mediante un algoritmo, solo genericamente rappresentato nella valutazione di impatto, che tiene conto della durata del contatto e della distanza dei dispositivi mobili desunta dall’intensità del segnale bluetooth ricevuto dal dispositivo (c.d. attenuation). Il modello di rischio può evolvere con il tempo, in funzione delle informazioni sul virus che risulteranno disponibili.

Occorre considerare che la valutazione della distanza fra dispositivi è intrinsecamente suscettibile di errori in quanto l’intensità del segnale bluetooth dipende da fattori diversi come l’orientamento reciproco di due dispositivi o la presenza di ostacoli fra essi (compresa la presenza di corpi umani), potendo così rilevare “falsi positivi” e “falsi negativi”.

Peraltro, la mancata conoscenza del contesto in cui è avvenuto il contatto stretto con un caso accertato Covid-19 (dato certamente rilevante, invece, ai fini epidemiologici, anche in ragione dell’eventuale utilizzo di sistemi di protezione) è suscettibile di creare potenzialmente numerosi “falsi positivi”.

È importante infatti sottolineare che l’individuazione dei contatti a rischio è effettuata in modo probabilistico, al fine di allertare gli utenti di un possibile rischio di contagio; per cui deve essere chiaro che in nessun caso la ricezione di un messaggio di allerta proveniente dall’app significa automaticamente che l’utente è stato sicuramente contagiato.

Quanto detto è rilevante anche considerando la fase di sperimentazione e la successiva fase iniziale di utilizzo dell’app in tutto il territorio nazionale, anche per ottenere (e mantenere) la fiducia degli utenti circa l’esattezza e la precisione dell’app nel generare messaggi di allerta solo nei confronti degli utenti che abbiano avuto un reale rischio di aver contratto il virus. In caso contrario, infatti, nel caso in cui ove i falsi contatti stretti o non effettivamente ad alto rischio di contagio fossero numerosi, si rischierebbe invece di compromettere la fiducia degli utenti nell’affidabilità della app con conseguente interruzione del suo utilizzo.

******

Su tali basi, si raccomanda, pertanto, che:

l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici (specificando i parametri di configurazione impiegati e le assunzioni effettuate), sia puntualmente indicato e costantemente aggiornato nella valutazione d’impatto, in osservanza del principio di responsabilizzazione, come del resto previsto dall’art. 6, comma 2, lett. b), del d.l. n. 28/2020, rendendolo disponibile allo scrutinio da parte della comunità scientifica;

gli utenti siano adeguatamente informati in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio (stante la possibilità, ad esempio, che alcuni soggetti entrino in contatto con persone positive al Covid-19 in ragione della propria attività lavorativa, ma adottando dispositivi di protezione individuale o altri accorgimenti), e fornisca agli utenti informazioni semplici e chiare sul funzionamento dell’algoritmo (anche attraverso una c.d. infografica);

gli utenti dell’app possano temporaneamente disattivare la stessa attraverso una funzione facilmente accessibile nella schermata principale e che di tale funzione di disattivazione temporanea siano informati gli utenti in modo chiaro attraverso le infografiche visualizzate all’atto dell’installazione dell’app.

3. Analytics

Per raggiungere le finalità di “allertare le persone che siano entrate in contatto stretto con soggetti risultati positivi” e di “tutelarne la salute attraverso le previste misure di prevenzione nell’ambito delle misure di sanità pubblica legata all’emergenza Covid 19”, il Ministero della salute ha ritenuto necessario prevedere che il Sistema Immuni raccolga attraverso l’app le diverse tipologie di analytics sopra descritte. Ciò, per consentire, in primo luogo, di predisporre le adeguate misure di presa in carico, da parte del Servizio sanitario nazionale, dei soggetti risultati a rischio di contagio – individuando tempestivamente nuovi focolai di infezione e monitorando il grado di adesione all’utilizzo dell’app da parte degli utenti – e, dall’altro, di permettere, attraverso l’analisi di dati epidemiologici, un costante miglioramento della capacità dell’algoritmo di individuare i contatti stretti tra gli utenti, assicurando al contempo il complessivo funzionamento del Sistema di allerta Covid-19 attraverso una migliore calibrazione delle configurazioni dell’app.

Al riguardo, si ritiene opportuno che, come già rappresentato, venga assicurata la massima trasparenza nei confronti degli utenti, garantendo la volontarietà del conferimento delle informazioni da parte degli utenti verso il backend di Immuni. Le informazioni che il Ministero intende acquisire sono, infatti, archiviate sul dispositivo dell’utente cui deve essere garantita la massima consapevolezza delle operazioni eseguite, favorendo, in tal modo, una fiduciosa e ampia adesione al Sistema di allerta Covid-19 (cfr. punto 28 delle Linee guida n. 04/2020 cit. del Comitato europeo per la protezione dei dati).

Occorre, infatti, rappresentare che tali informazioni non possono essere considerate dati anonimi (queste sono, infatti, acquisite dal Sistema di allerta Covid-19 in forma individuale dai singoli dispositivi) e consentono, in diversi contesti, concrete possibilità di re-identificazione degli interessati, soprattutto se associate ad altre informazioni ovvero in caso di morbilità non elevata o di ambiti territoriali con bassa densità di popolazione.

Al riguardo, si evidenzia che nella valutazione d’impatto non sono adeguatamente precisate le modalità con cui il Ministero della salute intende trattare e conservare le diverse tipologie di analytics raccolti, le tecniche di anonimizzazione eventualmente adottate, i tempi di cancellazione, nonché le specifiche misure di sicurezza poste in essere anche in relazione ai prospettati flussi di dati via PEC tra Sogei e il medesimo Ministero.

Infine, con riferimento al fatto che le Operational Info vengono attualmente raccolte solo da dispostivi iOS, si rappresenta che il Ministero ha ritenuto che i dati acquisiti in tal modo siano sufficienti per ottenere elaborazioni rappresentative, essendo conosciuta la distribuzione di dispositivi iOS e Android nelle diverse province italiane, precisando, altresì, che è in fase di sviluppo un meccanismo di device attestation anche per dispositivi Android. In particolare, la necessità di coinvolgere Apple e, successivamente, Google nel predetto meccanismo deriverebbe da esigenze di natura meramente tecnica, strumentale a garantire la sicurezza e una maggiore affidabilità dei dati raccolti.

È opportuno, a tal proposito, osservare come il ricorso iniziale agli analytics prodotti dai soli dispositivi iOS introduca una possibile distorsione (bias) nel campione su cui saranno calcolati gli indicatori di efficacia nell’uso del sistema e a partire dai quali sarà eventualmente effettuata la calibrazione del funzionamento dell’app. Ciò anche in ragione delle caratteristiche socio-demografiche proprie degli utilizzatori di dispositivi iOS che possono essere significativamente diverse da quelle degli utilizzatori dei dispositivi Android.

Si rileva peraltro che la comunicazione dei dati, diversi da quelli appartenenti a categorie particolari, nei confronti di Apple può trovare legittimazione nell’art. 17-bis del d.l. 9 marzo 2020, n. 14, che disciplina il trattamento dei dati personali nel contesto emergenziale, purché gli utenti siano adeguatamente informati del ruolo svolto da Apple in tale circostanza.

******

In relazione a quanto sopra rappresentato, si ritiene necessario che gli analytics siano accuratamente protetti nel backend di Immuni, evitando ogni forma di riassociazione degli stessi a interessati identificabili e assicurando l’adozione di adeguate misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (art. 25 del Regolamento).

Con riferimento al prospettato meccanismo di device attestation messo a disposizione da Apple, si invita a ponderare la possibilità di introdurre analoghi strumenti che non comportino il coinvolgimento di soggetti terzi nel trattamento. Laddove, invece, ciò, nel rispetto del principio di accountability, fosse ritenuto indispensabile, si raccomanda di rappresentare chiaramente agli utenti tale circostanza, specificando che saranno comunicati ad Apple esclusivamente i dati tecnici necessari a garantire la sicurezza e una maggior affidabilità dei dati raccolti, ferma restando la necessità di esaminare la soluzione di device attestation che verrà individuata per i dispositivi Android.

4. Trasparenza del trattamento e diritti degli interessati

4.1. Principio di trasparenza

In virtù del principio di trasparenza, il titolare deve informare l’interessato dell’esistenza del trattamento effettuato nell’ambito del Sistema di allerta Covid-19 e delle sue finalità, fornendogli le informazioni necessarie ad assicurare un trattamento corretto e trasparente, pur in considerazione le circostanze emergenziali in cui è effettuato e il contesto specifico in cui i dati personali sono trattati (artt. 5, par. 1, lett. a), 13 e 14 del Regolamento e considerando n. 60).

Le informazioni devono essere rese disponibili all’interessato prima della raccolta dei dati, anche con una modalità progressiva, fornendo in primo luogo quelle relative alle principali caratteristiche del trattamento. Al riguardo, il legislatore ha previsto che gli utenti ricevano, prima dell’attivazione dell’applicazione, informazioni chiare e trasparenti, al fine di raggiungere una piena consapevolezza, in particolare, sulle finalità e sulle operazioni di trattamento, sulle tecniche di pseudonimizzazione utilizzate per proteggere la sua identità e sui tempi di conservazione dei dati (art. 6, comma 2, lett. a), d.l. n. 28/2020). Particolare attenzione deve essere poi prestata alla volontarietà dell’uso dell’app, alla tipologia dei dati trattati e ai soggetti coinvolti nel trattamento.

Oltre a quanto già indicato nei precedenti paragrafi in relazione al rispetto del principio di trasparenza, al fine di facilitare la comprensione degli elementi informativi previsti dal Regolamento, si conviene che, come rappresentato nella valutazione d’impatto, gli stessi possano essere forniti in combinazione con icone standardizzate – leggibili da dispositivo automatico – per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto (cfr. considerando n. 61 al Regolamento).

Il linguaggio con cui devono essere rese le informazioni previste dal Regolamento deve essere formulato con modalità tali da essere comprensibile al maggior numero possibile di persone, in quanto una parte significativa della popolazione sarà probabilmente interessata dall’app.

Si esorta inoltre anche a individuare adeguate modalità di fruizione delle predette informazioni anche da parte delle persone con disabilità.

******

Ciò premesso, oltre all’esigenza rappresentata nel paragrafo 3 relativa alla trasparenza nella raccolta e nell’elaborazione degli analytics, in relazione al modello di informativa trasmesso a questa Autorità successivamente alla ricezione della valutazione d’impatto, si raccomanda di descrivere – nella parte relativa alla “Trasmissione/flusso dei dati” – le operazioni effettuate con riferimento ai dati analytics di tipo Epidemiological Info, nonché di specificare con maggiore chiarezza che i dati personali raccolti “Per i soli utenti esposti al rischio di contagio” e “Per i soli utenti risultati positivi al SARS-CoV-2” si aggiungono a quelli acquisiti per “Tutti gli utenti dell’app” (punti 5 e 4 del modello di “Informativa resa ai sensi degli articoli 13-14 del Regolamento (UE) 2016/679 (“General Data Protection Regulation – GDPR” in atti).

Con specifico riferimento all’utilizzo dell’app anche da parti di minori ultra quattordicenni, si raccomanda di prestare particolare attenzione alle informazioni da fornire e al contenuto dei messaggi di avvenuta esposizione a rischio di contagio.

Per quanto riguarda la fase di sperimentazione del Sistema di allerta Covid-19 indicata nella valutazione di impatto (par. 3), si raccomanda di informare gli utenti, tempestivamente e con modalità efficaci, che -in tale fase- sebbene possano installare l’app, l’avviso di esposizione al rischio di contagio potrà pervenire soltanto se il contatto è avvenuto con soggetti risultati positivi al Covid-19 assistiti dalle Regioni o Province autonome deputate alla sperimentazione.

4.2. Diritti dell’interessato

Il Regolamento, nel riconoscere all’interessato specifici diritti rispetto al trattamento dei suoi dati personali, individua anche alcuni ambiti in cui l’esercizio degli stessi può essere limitato (cfr. considerando nn. 63 e 68 e artt. 15 e ss. del Regolamento).

In primo luogo, si evidenzia che, per le caratteristiche del trattamento effettuato attraverso il Sistema di allerta Covid-19 e le tecniche di pseudonimizzazione utilizzate, come indicato nella valutazione d’impatto, il titolare potrebbe non essere in grado di identificare l’interessato in funzione dell’esercizio da parte dello stesso dei diritti riconosciuti dal Regolamento. Di tale circostanza il titolare deve compiutamente informare l’interessato (art. 11, par. 2, del Regolamento).

Ciò premesso, con specifico riferimento alle valutazioni effettuate dal Ministero in merito all’esercizio dei diritti da parte degli interessati e a quanto indicato nel modello di informativa trasmesso a questa Autorità, si evidenzia che:

i diritti di accesso (art. 15 del Regolamento), rettifica (art. 16 del Regolamento), limitazione del trattamento (art. 18 del Regolamento) e portabilità dei dati (art. 20 del Regolamento) non sono esercitabili da parte dell’interessato con riferimento al trattamento dei dati personali effettuati attraverso il Sistema di allerta Covid-19 in considerazione delle caratteristiche del trattamento;

il diritto di opposizione (art. 21 del Regolamento), analogamente a quanto indicato per il diritto alla cancellazione, può essere esercitato dall’interessato. Come correttamente rappresentato nella valutazione di impatto e nell’informativa, il diritto di opposizione si concretizza nella possibilità per l’interessato di disinstallare l’app. Al riguardo, si rappresenta l’opportunità che l’interessato sia edotto della circostanza che le chiavi saranno via via cancellate, al termine del quattordicesimo giorno di vita, anche sull’infrastruttura centrale.

******

Il diritto di cancellazione è invece esercitabile direttamente tramite l’app per tutte le chiavi temporanee (TEK) e gli identificativi di prossimità (RPI) mediante una funzione appositamente messa a disposizione dal Framework A/G volta a interrompere l’utilizzo dell’app in qualsiasi momento. L’interessato dovrebbe essere reso edotto della modalità di esercizio di tale diritto indicata nella valutazione di impatto e delle relative conseguenze.

Inoltre, si rappresenta l’opportunità che la funzionalità necessaria ad adattare l’utilizzo dell’app in contesti in cui sarebbero prodotti falsi positivi, sopra descritta, possa utilmente essere impiegata per garantire l’esercizio del diritto di opposizione qualora l’utente su base temporanea, ne ravvisi l’esigenza, evitando di ricorrere alla soluzione più radicale della disinstallazione dell’app.

5. Temporaneità della misura e tempi di cancellazione dei dati

Il trattamento dei dati personali deve essere conforme ai principi di minimizzazione dei dati e di limitazione della conservazione, in base ai quali – rispettivamente – i dati personali devono essere “adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”, nonché “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. c) ed e), del Regolamento).

Al riguardo l’art. 6, comma 6, del d.l. n. 28/2020 prevede che l’utilizzo dell’app e della piattaforma, nonché ogni trattamento di dati personali effettuato tramite di essi devono essere interrotti alla data di cessazione dello stato di emergenza disposto con delibera del Consiglio dei ministri del 31 gennaio 2020, e comunque non oltre il 31 dicembre 2020. Entro tale data tutti i dati personali trattati devono essere cancellati o resi definitivamente anonimi.

È inoltre previsto che “i dati relativi ai contatti stretti siano conservati, anche nei dispositivi mobili degli utenti, per il periodo strettamente necessario al trattamento, la cui durata è stabilita dal Ministero della salute e specificata nell’ambito delle misure di cui al presente comma; i dati sono cancellati in modo automatico alla scadenza del termine” (art. 6, comma 2, lett. e), del d.l. n. 28/2020)

Nella valutazione d’impatto il Ministero ha puntualmente individuato i tempi di conservazione dei dati in relazione alle specifiche finalità, prevedendo la cancellazione delle singole tipologie dei dati personali trattati una volta esaurita la finalità per i quali sono stati raccolti e comunque non oltre il 31/12/2020.

In proposito, al fine di valutare la proporzionalità del trattamento effettuato, è rilevante, fra l’altro, che:

le TEK e gli RPI memorizzati sui dispositivi mobili degli utenti siano cancellati automaticamente dopo 14 giorni;

le TEK dei soggetti risultati positivi Covid-19 che hanno effettuato l’upload sul backend di Immuni siano analogamente cancellate dopo 14 giorni.

Restano in ogni caso ferme le osservazioni formulate in ordine ai tempi di conservazione degli analytics di cui al par. 3 e dell’indirizzo IP di cui al par. 7 al cui contenuto si rinvia integralmente.

6. Soggetti coinvolti nel trattamento

L’art. 6, commi 1 e 5, del d.l. n. 28/2020 prevede quali sono i soggetti istituzionali coinvolti nel trattamento dei dati personali.

Il titolare del trattamento è il Ministero della salute che si avvale dei soggetti indicati nelle predette disposizioni, fra cui Sogei S.p.a. e il Ministero dell’economia e delle finanze, limitatamente all’utilizzo del Sistema TS, che operano in qualità di responsabili del trattamento (art. 28 del Regolamento).

In tale quadro, nella valutazione d’impatto è inoltre indicato il coinvolgimento di fornitori di servizi di Content Delivery Network (CDN), designati sub-responsabili da parte Sogei, a seguito di specifica autorizzazione del Ministero della Salute ai sensi dell’art. 28 del Regolamento. Ciò, al fine di garantire – come riportato nella predetta valutazione d’impatto – la disponibilità e resilienza del sistema, l’esposizione delle chiavi temporanee relative agli utenti risultati positivi al tampone Covid-19.

Nella valutazione d’impatto non è invece sufficientemente chiarito il ruolo di altri soggetti ivi nominati o che potrebbero essere coinvolti nel Sistema Immuni, quali la società che ha sviluppato l’applicazione (Bending Spoons S.p.a.), o le società Apple e Google. Relativamente a queste ultime, l’utilizzo del Framework A/G attribuisce loro un mero ruolo di fornitori di tecnologia (technology provider) senza implicare di per sé alcun trattamento di dati personali.

Tale aspetto andrebbe precisato, in ossequio ai principi di trasparenza e responsabilizzazione.

7. Sicurezza del trattamento

Ai diversi pregi del modello decentralizzato su cui si basa il Sistema Immuni, si affiancano alcune vulnerabilità di cui occorre essere consapevoli anche al fine di adottare le opportune misure di mitigazione dei rischi di sicurezza del Sistema, relativi anche alla possibile re-identificazione degli utenti con riferimento sia a coloro che ricevono il messaggio di allerta che a coloro che sono risultati positivi al Covid-19.

7.1. Sicurezza del dispositivo e rischi di re-identificazione

La riservatezza dei dati relativi ai soggetti risultati positivi al Covid-19 è affidata in parte alle misure tecniche e organizzative che devono essere individuate dal titolare del trattamento ma, in parte, anche alla capacità di evitare le occasioni in cui gli RPI di un utente (identificativi di prossimità, pseudonimi di breve periodo), inviati in broadcast con tecnologia bluetooth, possano essere rilevati da terzi, anche in abbinamento ad altre informazioni identificative, per essere, successivamente, raffrontati con le TEK dei soggetti risultati positivi, pubblicate dal Sistema di allerta Covid-19.

L’utente deve essere adeguatamente avvisato della particolare cura da riservare alla sicurezza del proprio dispositivo mobile, per prevenire l’azione di malware anche in forma di app apparentemente innocue ma che potrebbero avere un comportamento malizioso al fine di acquisire informazioni utili a ricostruire le relazioni tra gli utenti o le catene di contagio, ovvero individuare i soggetti esposti al rischio di contagio o quelli risultati positivi al Covid-19.

Occorre inoltre considerare che, all’esterno del dispositivo mobile possono essere attivati degli apparati di scansione (sniffer) in grado di intercettare la trasmissione broadcast degli RPI per usi impropri o, comunque, non autorizzati, determinando conseguenze pregiudizievoli in capo agli interessati.

Accanto ai predetti scenari, si aggiungono i rischi di re-identificazione inferenziale dei soggetti risultati positivi al Covid-19, con la compromissione della riservatezza delle informazioni, sia da parte di soggetti coinvolti nel trattamento, anche attraverso la disponibilità di analytics, sia da parte di altri utenti con tentativi di ricostruire contatti senza che siano necessari sofisticati strumenti tecnologici.

Al riguardo, si rappresenta che la pubblicazione delle TEK relative ai soggetti risultati positivi al Covid-19, comportando la diffusione degli pseudonimi dei loro dispositivi, li espone a una particolare tecnica di attacco denominata “paparazzi attack”, che si realizza quando sia possibile acquisire agevolmente lo pseudonimo di un soggetto la cui identità sia nota, per esempio in prossimità del suo luogo di dimora oppure in ogni altro luogo in cui alla trasmissione via bluetooth dello pseudonimo siano associabili informazioni aggiuntive, come avviene in esercizi commerciali all’atto del pagamento con carta di credito, al passaggio attraverso varchi di imbarco controllati negli aeroporti, oppure nei luoghi di lavoro con i sistemi di rilevamento delle presenze.

Si tratta di contesti in cui potrebbero essere acquisiti gli RPI generati dal dispositivo di un utente ignaro associandovi altre informazioni identificative e consentendo la ricerca degli RPI così acquisiti tra quelli ottenibili dalla pubblicazione delle chiavi TEK dei soggetti positivi, con un effetto finale di re-identificazione associato a una caratterizzazione dello stato di salute.

In particolare, nel caso dell’app Immuni, la pubblicazione del codice del programma come open source e la pubblicità data agli algoritmi crittografici adoperati nel Framework A/G potrebbero consentire a chiunque conosca, avendole scaricate, le TEK dei soggetti risultati positivi, di ricavare da ciascuna di esse i 144 RPI da raffrontare con la base dati di RPI “etichettati”.

7.2. Le misure adottate nell’ambito del Sistema di allerta Covid-19

Con riferimento alla sicurezza complessiva del trattamento, si rappresenta che nella valutazione d’impatto sono descritte accuratamente le misure tecniche e organizzative adottate dal Ministero della salute nell’ambito del Sistema di allerta Covid-19, nonché quelle condivise dal Ministero dell’economia e delle finanze in relazione alle funzionalità appositamente introdotte nel Sistema TS, di seguito sinteticamente descritte:

le TEK, gli RPI e gli altri dati presenti sul dispositivo dell’utente sono memorizzati in aree crittograficamente protette, in modo da renderli illeggibili a soggetti non autorizzati;

il colloquio tra l’app e i servizi del backend di Immuni avviene mediante canali di comunicazione sicuri basati sul protocollo HTTPS (Hypertext Transfer Protocol Secure) e sull’utilizzo del meccanismo di certificate pinning;

la generazione di traffico dummy (dati fittizi), in modo automatico e secondo un modello probabilistico, consente di limitare, in modo efficace, la possibilità di inferire – attraverso l’analisi del traffico crittografato tra l’app e il backend di Immuni all’atto dell’upload delle TEK o della trasmissione delle Operational Info – informazioni relative a particolari categorie di utenti (soggetti risultati positivi o esposti al rischio di contagio);

i file contenenti i TEK Chunck sono firmati digitalmente, in modo da consentire all’app di verificarne l’integrità e l’autenticità;

la pubblicazione del codice sorgente dell’app e delle principali componenti del backend di Immuni che consente lo scrutinio da parte della comunità di sviluppatori;

il tracciamento degli accessi compiuti ai sistemi e alle basi dati dagli amministratori di sistema, con un congruo periodo di conservazione dei log;

l’utilizzo di apparati di sicurezza perimetrale per bloccare attacchi volti a sfruttare vulnerabilità note, associate sia al software di base che al codice sviluppato per il Sistema Immuni;

l’utilizzo di un codice OTP, con una validità temporale limitata (2 minuti e 30 secondi), per autorizzare – nel corso dell’indagine epidemiologica condotta da un operatore sanitario del Dipartimento di prevenzione della Azienda sanitaria locale competente – l’operazione di upload delle TEK di un soggetto risultato positivo;

l’adozione di procedure di autenticazione informatica degli operatori sanitari per l’accesso al servizio di autenticazione OTP, reso disponibile sul Sistema TS;

il tracciamento degli accessi e delle operazioni compiute sul Sistema TS dai predetti operatori sanitari e dagli amministratori di sistema, con un congruo periodo di conservazione dei log.

7.3. Ulteriori misure suggerite

In relazione ai rischi elevati presentati dal trattamento, individuati anche nella valutazione d’impatto, si ravvisa la opportunità di apportare ulteriori miglioramenti alla sicurezza complessiva intervenendo sui seguenti aspetti.

A) Conservazione degli indirizzi IP dei dispositivi mobili

Dall’esame della documentazione, non è chiaro se vengano conservati gli indirizzi IP dei dispositivi mobili che interagiscono con il backend, sia direttamente (all’atto dell’upload delle TEK e delle Epidemiological Info) sia mediante l’intervento della CDN (al momento per il download delle TEK e la trasmissione delle Operational Info).

In particolare, nella valutazione d’impatto si afferma che “l’indirizzo IP del dispositivo che invia i dati viene trasformato in un indirizzo fittizio attraverso tecniche di Network Address Translation (NAT) dall’infrastruttura di backend all’atto dell’upload dei dati e non viene memorizzato né nel database né nei file di log. L’indirizzo IP viene esclusivamente tracciato temporaneamente sui sistemi perimetrali di accesso degli upload”, mentre nel suo allegato n. 15 è riportato che “non è prevista la memorizzazione degli indirizzi IP dei client da parte del server di backend centrale. L’indirizzo IP viene conservato dall’infrastruttura perimetrale ai soli fini di garantirne la sicurezza informatica”.

******

Occorre quindi commisurare i tempi di conservazione nella misura strettamente necessaria al rilevamento di anomalie e di attacchi. Ciò, in quanto gli indirizzi IP sono dati personali e possono costituire quell’informazione aggiuntiva che, collegata ai dati raccolti, in determinate circostanze consente l’identificazione degli utenti.

B) Tracciamento delle operazioni compiute dagli amministratori di sistema

Dall’esame della documentazione emerge che il tracciamento degli accessi dagli amministratori di sistema è limitato alle operazioni di login e logoff, non consentendo così un efficace controllo, a posteriori, delle operazioni eseguite sui dati.

******

Occorre, pertanto, introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati.

C) Caricamento erroneo di Diagnosis Keys (TEK) non riferite a soggetti positivi a seguito di errori materiali o diagnostici

Con riferimento alla valutazione dei rischi individuati nella valutazione d’impatto, occorre considerare l’ulteriore scenario di compromissione dell’integrità dei dati derivante dall’ipotesi in cui, una volta pubblicate le TEK di un soggetto ritenuto positivo, per varie ragioni (ad esempio, casi di omonimia, scambio di referti, errori materiali), si renda necessario un intervento di rettifica dei dati inseriti al fine di ripristinarne l’accuratezza.

Andrebbero dunque individuate, nel rispetto del principio di responsabilizzazione, le misure tecniche e organizzative adeguate a tal fine.

8. Sperimentazione

Nella valutazione d’impatto il Ministero della salute ha rappresentato l’esigenza, condivisa con le Regioni, di una preliminare fase di sperimentazione del processo di contact tracing digitale in un numero limitato di Regioni o Province autonome.

Ciò al fine di verificare il corretto funzionamento dal punto di vista tecnico e dell’impatto sui servizi territoriali dell’app, in considerazione del possibile ulteriore carico di lavoro (contact tracing, individuazione, isolamento/quarantena, diagnostica, sorveglianza) derivante dalla diffusione del nuovo strumento digitale, che dovrebbe presumibilmente rivelare anche contatti non rilevabili con le modalità tradizionali di contact tracing.

Al riguardo, è stata ritenuta congrua la durata di almeno una settimana della fase di sperimentazione, da svolgersi nelle Regioni o Province autonome che saranno individuate dai decisori politici nazionali e regionali.

In tale quadro, poiché l’app non può essere rilasciata soltanto in zone limitate del Paese, per realizzare la sperimentazione, sarà inizialmente consentito l’utilizzo codice di sblocco OTP esclusivamente nelle Regioni o Province autonome scelte per la sperimentazione. Di conseguenza, in tale fase, tutti i cittadini pur potendo scaricare l’app dagli store ufficiali, saranno preventivamente avvertiti che l’avviso di esposizione al rischio di contagio potrà pervenire soltanto se il contatto è avvenuto con soggetti risultati positivi al Covid-19 assistiti dalle Regioni o Province autonome in cui è stata avviata la sperimentazione. Nella valutazione d’impatto è comunque indicato che di tale circostanza sarà fornito apposito avviso nell’app store.

In relazione alla fase iniziale di utilizzo della app, nella valutazione d’impatto è richiamato l’art. 35, par. 9, del Regolamento, ai sensi del quale il titolare del trattamento raccoglie, se del caso, le opinioni sul trattamento previsto da parte degli interessati che saranno coinvolti nel trattamento stesso, o dei loro rappresentanti, fatta salva la tutela degli interessi commerciali o pubblici o la sicurezza dei trattamenti.

Al riguardo, il Ministero ha evidenziato che è stato privilegiato “il pieno rispetto degli obblighi di trasparenza attraverso, tra le altre cose, il carattere libero e aperto del software utilizzando lo strumento della piattaforma GitHub per la condivisione e la cooperazione sulle questioni tecniche legate all’applicazione, lasciando ad un momento successivo, e segnatamente al termine della fase di sperimentazione, la raccolta di opinioni sull’uso vero e proprio dell’applicazione da parte dei diretti interessati”, che dovrebbe consentire “un primo momento di confronto con le opinioni esperte sulla parte più strettamente tecnica dell’applicazione e sulle misure di sicurezza volta a rafforzare quel vincolo di fiducia che è un elemento fondamentale per il buon esito del progetto”.

In relazione, invece alla raccolta delle opinioni degli utenti è stato deciso di “rimandare alla fase di sperimentazione la raccolta di dette opinioni”, considerando, fra l’altro, l’ampio dibattito su tutti gli organi di stampa sull’app Immuni e il particolare “contesto emergenziale in cui il trattamento si inserisce e quindi con la necessità di adottare misure di contenimento del Covid-19 nel più breve tempo possibile”.

Si auspica che le opinioni degli utenti espresse nella fase di sperimentazione, raccolte con le modalità sopra descritte, siano tenute in debita considerazione per il previsto aggiornamento della valutazione d’impatto e per il miglioramento del Sistema Immuni.

RITENUTO

In ragione dell’esigenza di avviare il Sistema di allerta Covid-19, il trattamento di dati personali effettuato nell’ambito di tale Sistema può essere considerato proporzionato, essendo state previste misure volte a garantire in misura sufficiente il rispetto dei diritti e le libertà degli interessati attenuandone i rischi derivanti dal trattamento.

Nel presente provvedimento sono contenute alcune prescrizioni volte a rafforzare le garanzie nei confronti dei soggetti i cui dati siano trattati nell’ambito del sistema di allerta Covid 19. Le misure prescritte potranno essere adottate nel corso della sperimentazione del Sistema, così da garantire che in fase attuativa ogni residua criticità sia risolta.

Si rammenta, infine, che la raccolta dei dati personali trattati attraverso tale sistema, da parte di soggetti non autorizzati, determina un trattamento di dati personali illecito (anche sotto il profilo penale, ove ne sussistano gli ulteriori requisiti di fattispecie). Analogamente, i dati raccolti attraverso il predetto sistema non possono essere trattati per finalità non previste dal richiamato art. 6 del d.l. n. 28/2020 ed in particolare per assumere decisioni nei confronti dell’interessato suscettibili di arrecargli pregiudizio.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi e per gli effetti degli artt. 36, § 5, e 58, § 3, lett. c), del Regolamento e dell’art. 2-quinquiesdecies del Codice, autorizza il Ministero della salute ad avviare il trattamento relativo al Sistema di allerta Covid-19 di cui all’art. 6 del d.l. 30 aprile 2020, n. 20, nel rispetto delle seguenti prescrizioni:

1) indicare puntualmente nella valutazione d’impatto, l’algoritmo, basato su criteri epidemiologici di rischio e modelli probabilistici, aggiornandolo costantemente, specificando i parametri di configurazione impiegati e le assunzioni effettuate, rendendolo disponibile alla comunità scientifica (§2);

2) informare adeguatamente gli utenti in ordine alla possibilità che l’app generi notifiche di esposizione che non sempre riflettono un’effettiva condizione di rischio, in ragione della possibilità di contatto con persone positive al Covid-19 a causa della propria attività lavorativa, in condizioni tuttavia caratterizzate da un adeguato grado di protezione (§2);

3) consentire agli utenti dell’app di disattivarla temporaneamente attraverso una funzione facilmente accessibile nella schermata principale, informando di tale facoltà attraverso le infografiche visualizzate all’atto dell’istallazione dell’applicazione (§ 2);

4) individuare modalità adeguate a proteggere gli analytics nel backend di Immuni, evitandone ogni forma di riassociazione a soggetti identificabili, adottando altresì idonee misure di sicurezza e tecniche di anonimizzazione, da individuarsi in ragione delle specifiche finalità in concreto perseguite, nel rispetto dei principi di privacy by design e by default (§3);

5) precisare, nel modello di informativa, la descrizione delle operazioni effettuate con riferimento agli analytics di tipo Epidemiological Info e dei dati personali raccolti in relazione alle diverse categorie di interessati (§ 4.1);

6) dedicare particolare attenzione all’informativa e al messaggio di allerta tenendo conto del fatto che è previsto l’uso del Sistema anche da parte di minori ultra quattordicenni (§ 4.1);

7) fornire adeguate informazioni agli utenti in relazione alle caratteristiche della fase di sperimentazione (§ 4.1 e 8);

8) integrare la valutazione d’impatto e l’informativa in relazione alle modalità di esercizio del diritto di cancellazione e di opposizione (§ 4.2);

9) integrare, sulla base del principio di responsabilizzazione, la valutazione d’impatto con la descrizione del ruolo e delle operazioni ascrivibili ad altri soggetti lì citati o suscettibili, comunque, di coinvolgimento nel Sistema Immuni, evidenziando la sussistenza di eventuali rischi per gli interessati i cui dati siano trattati dal sistema (§ 6);

10) commisurare i tempi di conservazione degli indirizzi ip, per i fini e nei termini richiamati, nella misura strettamente necessaria al rilevamento di anomalie e di attacchi (§ 7.3);

11) introdurre misure volte ad assicurare il tracciamento delle operazioni compiute dagli amministratori di sistema sui sistemi operativi, sulla rete e sulle basi dati (§ 7.3);

12) adottare misure tecniche e organizzative per mitigare i rischi derivanti dall’upload di TEK non riferite a soggetti positivi a seguito di eventuali errori materiali o diagnostici (§ 7.3);

b) ai sensi e per gli effetti dell’art. 157 del Codice, richiede al Ministero della salute di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel presente provvedimento, entro il termine di 30 giorni dalla data della ricezione del presente provvedimento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 1° giugno 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

 213 total views

Provvedimento correttivo d’urgenza nei confronti di Aruba Posta Elettronica Certificata S.p.a. – 18 dicembre 2019

Registro dei provvedimenti
n. 228 del 18 dicembre

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito “Regolamento”;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, così come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito “Codice”;

Visti gli atti e la documentazione acquisita nel corso dell’istruttoria avviata dall’Ufficio nei confronti di Aruba Posta Elettronica Certificata S.p.a. (di seguito “Società” o “Aruba PEC”), con sede in Ponte San Pietro (BG), via San Clemente, 53, al fine di “verificare l’osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento alla gestione del servizio PEC, anche a seguito dei numerosi casi di data breach notificati al Garante da diversi titolari di caselle PEC, riguardanti la perdita o la procurata indisponibilità di dati personali a seguito della ricezione di messaggi PEC contenenti allegati infetti da virus informatici […]”;

Rilevato che, nel corso dell’istruttoria, è emerso che, per la commercializzazione e attivazione del servizio PEC, la Società si avvale di una rete di Partner (circa 8.900 soggetti pubblici e privati), ai quali la stessa rende disponibile l’applicazione web denominata “Area Clienti”, raggiungibile da rete Internet all’indirizzo “XX”, attraverso cui i Partner possono attivare nuove caselle di posta elettronica certificata (di seguito “PEC”) ed effettuare altre operazioni di gestione delle stesse (es. cambio del titolare della casella, reset della password di accesso, disattivazione della casella);

Rilevato che, allo stato, la citata applicazione web, in caso di attivazione di una casella PEC tramite Partner, provvede all’invio di un messaggio di “avvenuta certificazione” sulla casella di posta elettronica ordinaria del titolare della casella PEC, all’interno del quale è riportato un link che consente allo stesso di impostare la password di accesso alla casella PEC, mentre, come emerso dalla documentazione in atti, prima del 25 settembre 2019, la stessa applicazione web prevedeva una diversa modalità di generazione e consegna delle credenziali di autenticazione per l’accesso alla casella PEC, in base alla quale:

il Partner impostava direttamente la password di accesso alla casella PEC che, successivamente, attraverso l’applicazione veniva inviata, in chiaro, sulla casella di posta elettronica ordinaria del titolare della casella PEC;

la password così impostata dal Partner, doveva essere composta da almeno 8 caratteri, senza che fossero previsti ulteriori requisiti di complessità né l’aggiornamento periodico;

al momento del primo utilizzo da parte del titolare della casella, la modifica della password attribuita dal Partner in sede di attivazione, seppur consigliata, non era obbligatoria;

Ritenuto che la predetta modalità di generazione e consegna delle credenziali di autenticazione per l’accesso alla casella PEC, adottata in precedenza dalla Società, in caso di mancata modifica della password da parte dei titolari delle caselle attivate da Partner, sia suscettibile di esporre diverse categorie di interessati (titolari della casella, mittenti/destinatari dei messaggi, nonché altri soggetti i cui dati sono presenti all’interno dei messaggi o dei relativi allegati) a gravi rischi di utilizzi impropri dei propri dati personali nonché furti d’identità;

Rilevato che, come dichiarato dalla Società nella documentazione in atti, le caselle PEC attivate tramite Partner, prima del 25 settembre 2019, per le quali non è mai stata modificata la password di accesso, alla data del 20 novembre u.s., risultavano pari a 559.151;

Rilevato, altresì, che, nel corso dell’istruttoria, è emerso che, attraverso l’applicazione web denominata “PEC Log”, raggiungibile da rete Internet all’indirizzo “XX”, i log dei messaggi PEC sono consultabili ed esportabili, oltre che dai titolari delle caselle, anche mediante un’utenza (con credenziali di autenticazione costituite dalla username “XX” e dalla relativa password) condivisa da più soggetti coinvolti a vario titolo nella gestione del servizio PEC della Società;

Rilevato che alla predetta utenza è attribuito un profilo di autorizzazione di tipo amministrativo in grado di effettuare operazioni di consultazione e di esportazione dei log relativi a tutti i messaggi inviati o ricevuti dai circa 6,5 milioni di caselle PEC gestite dalla Società nei 30 mesi precedenti;

Considerato che i log dei messaggi PEC – che la Società, ai sensi dell’art. 11, comma 2, del d.P.R. 11 febbraio 2005, n. 68, recante il Regolamento recante disposizioni per l’utilizzo della posta elettronica certificata, a norma dell’articolo 27 della legge 16 gennaio 2003, n. 3, è tenuta a conservare – devono contenere almeno le seguenti informazioni: il codice identificativo univoco assegnato al messaggio originale, la data e l’ora dell’evento, il mittente del messaggio originale, i destinatari del messaggio originale, l’oggetto del messaggio originale (che può contenere anche dati di carattere riservato, come nel caso di notifiche di atti processuali, anche penali), il tipo di evento (accettazione, ricezione, consegna, emissione ricevute, errore, ecc.), il codice identificativo dei messaggi correlati generati (ricevute, errori, ecc.), nonché il gestore mittente;

Ritenuto che la possibilità di effettuare da rete Internet operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle PEC gestite da Aruba PEC presenta ingiustificati profili di rischio per i diritti e le libertà degli interessati, aggravati dall’utilizzo condiviso delle credenziali di autenticazione relative alla predetta utenza, che non consente di attribuire le azioni compiute a un determinato soggetto, impedendo così di controllarne l’operato;

Rilevato che, dall’esame della documentazione in atti, è stato constatato che i log di tracciamento degli accessi e delle operazioni compiute sull’applicazione web denominata “Area Clienti” contengono, in particolare:

i parametri con cui viene invocato il web service raggiungibile all’indirizzo “XX”, comprese le credenziali di autenticazione di un’utenza tecnica (composte dalla username “XX” e da una password di 8 caratteri senza elementi di complessità, riportata in chiaro);

i parametri con cui viene invocata un’application programming interface raggiungibile all’indirizzo “XX”, comprese le credenziali di autenticazione di un’utenza tecnica (composte dalla username “XX” e dalla relativa password, riportata in chiaro);

Rilevato, peraltro, che, all’interno dei predetti log di tracciamento prodotti dall’applicazione web denominata “Area Clienti”, sono presenti anche informazioni riferite ai soggetti per cui viene richiesta l’attivazione, da parte di un Partner, di una casella PEC o di un altro servizio, quali il nome, il cognome, il codice fiscale, il numero di telefono, l’indirizzo di posta elettronica ordinaria, la denominazione della casella PEC, la username e la relativa password, ancorché sotto forma di hash con salt;

Ritenuto che la memorizzazione all’interno dei file di log di credenziali di autenticazione, per di più in chiaro, costituisce di per sé una grave violazione degli obblighi di sicurezza di cui all’art. 32 del Regolamento in quanto compromette la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, sia quando tali credenziali consentono di trattare direttamente dati personali, sia quando le stesse sono utilizzate per amministrare e gestire i sistemi informatici coinvolti nel trattamento (cfr. anche art. 5, § 1, lett. f), del Regolamento);

Ritenuto, più in generale, che riportare all’interno dei file di log informazioni non indispensabili per le finalità di controllo e sicurezza connesse al tracciamento degli accessi e delle operazioni compiute su un sistema informatico e sui dati in esso contenuti, determini una duplicazione di dati personali oggetto di trattamento nell’ambito del predetto sistema che risultano così esposti a maggiori rischi di trattamenti non autorizzati o illeciti, e, quindi, non sia conforme ai principi di minimizzazione e di riservatezza di cui all’art. 5, § 1, lett. c) e f), del Regolamento;

Considerate le rilevanti criticità sopra descritte, che comportano rischi di elevata probabilità e gravità per i diritti e le libertà degli interessati, relative a:

a) mancata modifica delle password impostate direttamente dai Partner al momento della loro attivazione delle predette 559.151 caselle PEC;

b) possibilità di effettuare, da rete Internet, operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti dai circa 6,5 milioni di caselle PEC gestite dalla Società, peraltro mediante un’utenza, condivisa da più soggetti, a cui è attribuito un elevato profilo di autorizzazione di tipo amministrativo;

c) memorizzazione, all’interno dei file di log prodotti dall’applicazione web denominata “Area Clienti”, di credenziali di autenticazione di utenze tecniche (username e password riportate in chiaro), e di informazioni non necessarie al perseguimento delle finalità di controllo e sicurezza connesse al tracciamento;

Ritenuto necessario intervenire urgentemente per tutelare i diritti e le libertà degli interessati, essendo pregiudicata la capacità, da parte della Società in qualità di titolare del trattamento, di garantire, come richiesto dal Regolamento, la sicurezza dei dati trattati all’interno dei propri sistemi informatici, assicurandone, su base permanente, la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o da danni, anche accidentali; ciò in violazione degli artt. 5, § 1, lett. f), e 32 del Regolamento;

Ritenuta, in particolare, la necessità di ingiungere alla Società, ai sensi dell’art. 58, § 2, lett. d), del Regolamento, in via d’urgenza, con riserva di ogni altra determinazione, anche sanzionatoria – essendo la notifica di cui all’art. 166, comma 5, del Codice, incompatibile con la natura e finalità del presente provvedimento – di adottare le seguenti misure:

A) con riferimento alla criticità di cui al punto a):

1) l’invio, entro il termine di 10 giorni dalla ricezione del presente provvedimento, a tutti i titolari delle suindicate 559.151 caselle PEC che non abbiano già provveduto a modificare la password impostata dal Partner, di una comunicazione volta a rappresentare che, in caso di mancata modifica della stessa entro un termine congruo – da individuarsi a cura della Società – verrà adottata una procedura di modifica obbligatoria della password;

2) l’adozione, entro il termine di 30 giorni dalla ricezione del presente provvedimento, di una procedura di modifica obbligatoria dalla password di accesso alle caselle PEC in caso di inerzia dei titolari delle stesse;

B) con riferimento alla criticità di cui al punto b),

1) l’inibizione, entro il termine di 10 giorni dalla ricezione del presente provvedimento, dell’accesso, da rete Internet, all’applicazione web “PEC Log” con utenze in uso ad utenti operanti presso la Società a cui è attribuito un profilo di autorizzazione elevato, che consente di effettuare operazioni di consultazione e di esportazione dei log dei messaggi inviati o ricevuti da tutte le caselle gestite da Aruba PEC;

2) l’assegnazione, entro il termine di 10 giorni dalla ricezione del presente provvedimento, a un solo soggetto autorizzato delle credenziali di autenticazione dell’utenza “XX”, previa modifica della password, assicurando, inoltre, che tutti gli utenti dell’applicazione web denominata “PEC Log” siano dotati di credenziali di autenticazione ad uso esclusivo degli stessi;

C) con riferimento alla criticità di cui al punto c),

1) la ridefinizione, entro il termine di 30 giorni dalla ricezione del presente provvedimento, delle modalità di tracciamento degli accessi e delle operazioni compiute sull’applicazione web “Area Clienti”, prevedendo che i file di log prodotti non contengano credenziali di autenticazione di utenze tecniche, né ogni altra informazione non indispensabile per le finalità di controllo e sicurezza connesse al tracciamento;

2) la ridefinizione, entro il termine di 60 giorni dalla ricezione del presente provvedimento, delle modalità di tracciamento degli accessi e delle operazioni compiute su ogni altra applicazione web che produca file di log contenenti credenziali di autenticazione di utenze tecniche o, comunque, informazioni non necessarie al perseguimento delle finalità di controllo e sicurezza connesse al tracciamento;

3) la modifica, entro i termini di adozione delle misure di cui precedenti ai punti 1) e 2), delle password utilizzate dalle utenze tecniche riportate all’interno dei file di log;

Tenuto conto che, ai sensi dell’art. 83, § 6, del Regolamento, “l’inosservanza di un ordine da parte dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore”;

Ritenuto che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

Vista la documentazione in atti;

Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, § 2, lett. d), del Regolamento, ingiunge ad Aruba Posta Elettronica Certificata S.p.a. di adottare le misure di cui alle lettere A), B), e C) indicate in premessa, entro i termini di volta in volta individuati;

2)  richiede ad Aruba Posta Elettronica Certificata S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto ingiunto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato ai sensi dell’art. 157 del Codice entro 10 giorni dallo spirare dei termini di cui alle lettere A), B), e C) indicate in premessa; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, § 5, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 18 dicembre 2019

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

 157 total views

Il datore di lavoro, che adotta procedure tecnologiche per la segnalazione anonima di possibili comportamenti illeciti (whistleblowing), deve verificare che le misure tecnico-organizzative e i software utilizzati siano adeguati a tutelare la riservatezza di chi invia le denunce. Lo ha ribadito il Garante per la protezione dei dati personali nel sanzionare un’università per aver reso accessibili on line i dati identificativi di due persone che avevano segnalato all’ateneo possibili illeciti.

L’università aveva dichiarato che, a causa di un aggiornamento della piattaforma software utilizzata, si era verificata la sovrascrittura accidentale dei permessi di accesso ad alcune pagine web interne dell’applicativo usato per il whistleblowing, rendendo così possibile a chiunque consultare i nomi e altri dati di coloro che avevano inviato segnalazioni riservate. Tali informazioni erano di conseguenza state indicizzate da alcuni motori di ricerca fino a che l’università, dopo essere venuta a conoscenza del problema, era intervenuta per farli deindicizzare e cancellare le relative copie cache.

Nel corso dell’istruttoria è stato rilevato che la violazione dei dati personali (data breach) era riconducibile all’assenza di adeguate misure tecniche per il controllo degli accessi, che avrebbero consentito di limitare la consultazione al solo personale autorizzato. In base al Regolamento spetta in primo luogo proprio al titolare del trattamento (in questo caso l’ateneo) – tenendo conto della natura, dell’oggetto, del contesto e delle finalità del trattamento – mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Tra queste rientra anche una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure adottate. Nel caso di specie invece l’università si è limitata a recepire le scelte progettuali del fornitore dell’applicativo che non prevedeva la cifratura dei dati personali (identità del segnalante, informazioni relative alla segnalazione, eventuale documentazione allegata), né l’adozione di un protocollo di trasmissione che garantisse una comunicazione sicura, sia in termini di riservatezza e integrità dei dati scambiati, sia di autenticità del sito web visualizzato da chi invia le segnalazioni. La gravità della violazione risulta acuita dal particolare regime di riservatezza stabilito dalle norme in materia di whistleblowing, proprio a maggior tutela degli interessati.

Il Garante, quindi, dopo aver accertato l’illecito trattamento dei dati e l’omesso adempimento degli obblighi di sicurezza imposti dal Gdpr – tenendo comunque conto che la violazione ha riguardato solo due persone e che l’Ente ha attivamente cooperato nel corso dell’istruttoria – ha inflitto all’ateneo una sanzione amministrativa di 30.000 euro.

dalla Newsletter del Garante per la Privacy del 18/02/2020

 244 total views,  1 views today

Commette un illecito la società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro e accede alle mail contenute nella sua casella di posta elettronica. La protezione della vita privata si estende anche all’ambito lavorativo.

Questi i principi ribaditi dal Garante per la privacy nel definire il reclamo di un dipendente che lamentava la violazione della disciplina sulla protezione dei dati da parte della società presso la quale aveva lavorato.

L’ex dipendente contestava, in particolare, alla società la mancata disattivazione della email aziendale e l’accesso ai messaggi ricevuti sul suo account. L’interessato era venuto a conoscenza di questi fatti per caso, nel corso di un giudizio davanti al giudice del lavoro promosso nei suoi confronti dalla sua ex azienda, avendo quest’ultima depositato agli atti una email giunta sulla sua casella di posta un anno dopo la cessazione dal servizio.

Dagli accertamenti svolti dall’Autorità è emerso che l’account di posta era rimasto attivo per oltre un anno e mezzo dopo la conclusone del rapporto di lavoro prima della sua eliminazione, avvenuta solo dopo la diffida presentata dal lavoratore. In questo periodo la società aveva avuto accesso alle comunicazioni che vi erano pervenute, alcune anche estranee all’attività lavorativa del dipendente.

Il Garante ha ritenuto illecite le modalità adottate dalla società perché non conformi ai principi sulla protezione dei dati, che impongono al datore di lavoro la tutela della riservatezza anche dell’ex lavoratore. Subito dopo la cessazione del rapporto di lavoro, un’azienda deve infatti rimuovere gli account di posta elettronica riconducibili a un dipendente, adottare sistemi automatici con indirizzi alternativi a chi contatta la casella di posta e introdurre accorgimenti tecnici per impedire la visualizzazione dei messaggi in arrivo.

L’adozione di tali misure tecnologiche – ha spiegato il Garante – consente di contemperare l’interesse del datore di lavoro di accedere alle informazioni necessarie alla gestione della propria attività con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori oltre che di terzi. Lo scambio di email con altri dipendenti o con persone esterne all’azienda consente infatti di conoscere informazioni personali relative al lavoratore, anche solamente dalla visualizzazione dei dati esterni delle comunicazioni (data, ora oggetto, nominativi di mittenti e destinatari).

Oltre a dichiarare l’illecito trattamento, il Garante ha quindi ammonito la società a conformare i trattamenti effettuati sugli account di posta elettronica aziendale dopo la cessazione del rapporto di lavoro alle disposizioni e ai principi sulla protezione dei dati ed ha disposto l’iscrizione del provvedimento nel registro interno delle violazioni istituito presso l’Autorità. Tale iscrizione costituisce un precedente per la valutazione di eventuali future violazioni.

fonte; Newletter del Garante della Privacy del 20/12/2019