La privacy policy e la cookie policy di alcuni siti istituzionali

Reading Time: 4 minutes

Non sono passate che poche ore da quando ho messo in linea questo articolo:

Il blog di Paolo Attivissimo non è a norma con la cookie e privacy policy? Lui si preoccupa.

e ho subito ricevuto una mail da parte di uno sfegatato supporter di Paolo Attivissimo, che mi bacchetta le dita e mi mette dietro la lavagna perché non è giusto che io me la prenda con il suo mentore. E’ vero. Prendersela con Paolo Attivissimo è un po’ come prendersela con la Croce Rossa.

E poi mi dice che non è giusto che il Superlativo Svizzero venga segnalato al Garante Italiano quando ci sono fior di siti istituzionali, anche a livello comunitario, che il GPDR non se lo filano di striscio.

Ha chiaramente torto sul Superlativo. Perché ogni titolare di sito web risponde per sé di quello che fa. E se il suo sito è attenzionato, ammesso che lo sia, dall’Autorità, non è che ce la si può prendere con nessuno. La responsabilità in Italia è personale. Anche quella amministrativa.

Invece ha ragione sul resto. Tanto da avermi messo la pulce nell’orecchio. Della serie: “vuoi vedere che…“. E sono andato a spulciare i principali siti delle nostre istituzioni, per vedere quale fosse la soluzione proposta. Ne ho presi quattro, i primi che mi venivano in mente, ma conto di integrare il tutto con qualche approfondimento successivo.

Premetto che tutti i risultati grafici che vi propongo sono stati ricavati da un browser vergine.

1) senato.it, il sito istituzionale di Palazzo Madama, presenta un banner a pie’ di home page. C’è scritto che è possibile visualizzare istruzioni su come negare o prestare il consenso all’uso dei cookie da parte loro. Bene.

Poi però scrivono che proseguendo nella navigazione si accettano i cookies. E questo è un male.

Perché nelle linee guida del Garante, è testualmente specificato che:

“il semplice “scroll down” del cursore di pagina è inadatto in sé alla raccolta, da parte del titolare del trattamento, di un idoneo consenso all’installazione e all’utilizzo di cookie di profilazione ovvero di altri strumenti di tracciamento.”

In altre parole, non basta proseguire nella navigazione del sito per dare un consenso all’uso dei cookie di profilazione. Ci vuole una manifestazione di volontà più univoca, più chiara.

Sul banner del sito del Senato c’è un pulsante con su scritto “Ok”. Ma se io lo premo, che cosa faccio, do un consenso o, semplicemente, prendo visione di cosa mi dicono? Perché sono due cose diverse. Un conto è leggere un contratto e dire “ho capito“, altro conto è sottoscriverlo e renderlo efficace. Ecco lo screenshot:

2) camera.it non mostra alcun banner. Si limita a linkare, in basso, la privacy policy e la cookie policy. La cookie policy è molto povera e insoddisfacente. Non c’è scritto se posso o non posso oppormi al loro uso. Da bocciare. E vai di screenshot anche qui:

3) governo.it è, invece, molto più accurato. Non solo provvedono a usare un banner in cui posso accettare o rifiutare i cookies (grazie Mario!)

ma addirittura rimandano con il link alla loro privacy policy. Cosa ci sarà scritto? Andiamo a leggerla!

Usano Google Analytics, sia pure anonimizzato, per le statistiche sulle visite al loro portale. Molto male. Perché Google Analytics è stato dichiarato illegale dai Garanti di Austria, Olanda e Francia, per tutto il territorio UE, in quanto veicola i dati acquisiti su server collocati negli Stati Uniti. Non si conoscono orientamenti, pareri o decisioni del Garante italiano in materia, ma nel dubbio meglio pararsi le terga e passare a Matomo. Che non è il massimo della vita e funziona malino, anzi, maluccio, sui grandi numeri. Però almeno non fa rischiare sanzioni amministrative salatissime.

4) Dulcis in fundo (o venenum in cauda) cortecostituzionale.it. Non c’è niente di niente. Nè una privacy policy, né una cookie policy, né un banner sia pure approssimativo e insufficiente. Assolutamente nulla.

Vi fornisco l’indirizzo della copia permanente: https://archive.ph/wKT7F

Ho ricavato, inoltre, un file PDF della home page. Eccolo.

Download (PDF, 317KB)

Quanto allo screenshot, c’è anche quello:

E chest’è!

La Commissione Europea sul controllo delle chat

Reading Time: 2 minutes

Oggi la Commissione Europea dovrebbe pubblicare un progetto di legge avente carattere temporaneo per il controllo delle chat mediante un algoritmo proprietario automatizzato (e, quindi, soggetto a errori).

Secondo quanto riportato dal sito eventiavversinews.it

“Se un algoritmo considera un messaggio sospetto, il suo contenuto e i suoi metadati vengono divulgati automaticamente e senza verifica umana a un’organizzazione privata con sede negli Stati Uniti e da lì alle autorità di polizia nazionali di tutto il mondo.”

Particolare attenzione viene dedicata alle foto. Quelle che ci mandiamo tutti i giorni a tonnellate di Giga per tutto il mondo. L’intento sarebbe quello di colpire soprattutto gli abusi sui minori.

Cioè, voi mandate una foto del vostro pargolo sul fasciatorio all’amica o all’amico del cuore, magari col pisellone di fuori, tutto sorridente, giocondo e libero (il pargolo, non il pisellone) e venite sbattuti, voi e il vostro numero di telefono, assieme a chissà quanti altri dati e metadati personali, nella lista nera di un organismo statunitense (privato, eh? Uh… privato!!!) che vi scambia come minimo per uno spacciatore o una spacciatrice di pornografia infantile, perché, vedete voi, l’algoritmo non sa riconoscere la vostra foto da quella di un laido guardone, quando va bene.

Che, poi, i detentori e gli spacciatori di immagini pedopornografiche mica usano WhatsApp. O Telegram, o Messenger. Usano sistemi di criptazione forte come il PGP, (o GPG, se vi piace di più) tutta roba blindatissima, sono sul dark web, mica come noi poveri scemi che mettiamo le foto dei nostri piedi su Facebook! Certo, qualcuno viene beccato con le mani nella marmellata, ma si tratta pur sempre di una esigua minoranza, rispetto all’immenso traffico della rete di questo tipo di porcate.

Non è solo una limitazione (per quanto “temporanea”) alle nostre libertà fondamentali di corrispondenza e di espressione, è un vero e proprio processo all’intenzione. Siccome il mio algoritmo (che ho predisposto e programmato io e col cavolo che ti rilascio i codici sorgente perche tu possa verificarne i criteri di selezione e le modalità operative) stabilisce che TU hai fatto o scritto qualcosa di disdicevole, allora TU quel qualcosa lo hai fatto, senza dubbio. Anche se volevi far vedere alla vicina quanto è cresciuto tuo figlio. Sparisce di colpo il dolo e si inserisce l’elemento del sospetto.

Ed è anche una iniziativa di una stupidità assoluta, perché a questo punto nulla mi vieta di far stampare le foto di mia figlia e di inviarle per posta ordinaria a chi voglio io. Spendo un po’ in francobolli ma chi se ne frega, almeno non vado a finire tra le scartoffie di qualche ufficio privato negli Stati Uniti.

Loro non molleranno mai. Ma gli conviene??

Il “rating reputazionale” e l’asterisco

Reading Time: 5 minutes

Fino a trenta minuti fa, giuro che non sapevo minimamente cosa fosse il rating reputazionale.

Poi ho ricevuto un link su Telegram, da parte del Garante della Privacy, con cui sono in stretto e quotidiano contatto, e mi si è aperto un mondo. Un mondo inquietante, devo dire.

Il fatto: il Garante della Privacy ha interpellato una Onlus, sulla base di alcune notizie di stampa, chiedendole “di far pervenire entro 30 giorni ogni informazione utile alla valutazione del trattamento di dati effettuato.

E, inoltre, “Secondo notizie di stampa l’Associazione avrebbe promosso il Progetto (Omissis) per sperimentare, nei confronti degli studenti, il rating “reputazionale” elaborato sulla base di algoritmi dalla Piattaforma Mevaluate. Al progetto avrebbe aderito un istituto di istruzione superiore.

Allora sono andato sul sito della Onlus per vedere che cosa sia questo “rating reputazionale”.

Leggo: “il Rating Reputazionale in maniera oggettiva misura la reputazione a 360 gradi di imprese, enti e individui e aumenta la sicurezza collettiva. Fa questo grazie a un algoritmo proprietario che prende in considerazione solamente le informazioni presenti in documenti e certificati.

E poi: “Il Rating Reputazionale è indipendente, perché non influenzato da alcun gruppo o potere, incorruttibile, perché frutto di un calcolo, certo, perché derivato unicamente da documenti originali prodotti dagli interessati (nessun problema di privacy), infallibile, perché determinato dall’algoritmo, dinamico, perché aggiornato in tempo reale (entro 30 giorni dal fatto che ne determina il possibile cambiamento), autorevole, perché ispirato dal Codice della Reputazione Universale sul modello della Dichiarazione universale dei diritti dell’uomo promossa dalle Nazioni Unite, che definisce i principi etici e regolamentari su cui si fonda il Codice, e validato dal Comitato Etico Mondiale che presidia la coerenza del rating con i principi etici del Codice e ne garantisce affidabilità e uniformità a livello internazionale attraverso specifiche note-paese, verificabile, perché sottoposto a “controllo pubblico diffuso”.

In breve, la reputazione di un cittadino può, in teoria, essere valutata da un algoritmo sulla base di certificati e documenti autentici e il suo risultato, frutto di un calcolo, può essere incorruttibile.

Il “Rating Reputazionale Digitalizzato, Documentato e Tracciabile è un codice composto da 5 sezioni, che permette sia analisi e classificazioni sintetiche, sia di avere informazioni dettagliate su onestà, abilità, competenze e meriti di una controparte, sia fisica che giuridica.

La pagina riporta l’esempio immaginario del caso del signor Rossi: il signor Rossi ha un rating di A-A-A-45-55, ma riceve una cartella esattoriale di cui vuole contestare il contenuto. Una cartella esattoriale, non un avviso di garanzia (ma anche di quelli parlerò dopo). Riceve un Rating di A-A*-A-45-55. Cioè, la seconda A assume un asterisco. Vuol dire che il signor Rossi ha una pendenza (che chi legge può anche interpretare come giudiziaria) in corso, per il SOLO fatto di aver contestato una cartella esattoriale.

Se perde il ricorso e non paga, il suo Rating si abbasserà a A-B-A-45-55 (magari non paga perché intende ricorrere a un grado di giudizio diverso o superiore).

Se vince il ricorso, o lo perde pagando il dovuto, ma anche addirittura se non lo presenta (cioè se non esercita il suo sacrosanto diritto di contestare la cartella) e paga, il suo Rating sarà di nuovo A-A-A-45-55.

Essere sottoposti a un algoritmo, altrove nella pagina definito “umano” è semplicemente spaventoso. Anche per il solo fatto che non esistono algoritmi “umani”.

Leggo ancora: “Nel caso di carichi pendenti la lettera «A» è contrassegnata da un asterisco e la relativa query dettagliata (D-QU) mostra i certificati con i provvedimenti non definitivi. Insomma, avvisi di garanzia e sentenze appellabili non modificano il rating reputazionale e restituiscono dignità all’imputato/convenuto in giudizio.”

Ma è un controsenso! Da una parte si mostrano i certificati relativi ai carichi pendenti di un determinato soggetto mediante “query” (visibili a chi? All’interessato? Al popolo? Non è chiarito.), dall’altra si afferma che quel soggetto è comunque tutelato nella sua dignità di indagato (e, quindi, non necessariamente di imputato). E l’uomo della strada che vede l’asterisco? Il datore di lavoro che deve assumere un determinato soggetto e se lo vede asteriscato? Penseranno che quel soggetto qualcosa avrà di sicuro. Non è che vanno a vedere se si tratta di un procedimento penale (che potrebbe risolversi anche con un decreto di archiviazione o una sentenza di assoluzione nel merito a seguito di dibattimento) o del fatto che, si veda il caso, ha fatto ricorso per la maledetta cartella esattoriale o, si veda il caso, un analogo ricorso per una violazione del codice della strada.

L’asterisco, per chi legge, non costituisce altro che lo stigma, il segno, il marchio, la lettera scarlatta di cui parlava Hawthorne. Del resto, come dice la gente, può darsi che tu sia la persona più onesta del mondo, e financo che tu abbia ragione. Però intanto questo è un fatto.

E poniamo il caso di un condannato con sentenza definitiva passata in giudicato. Magari per fatti minori, di quelli in cui si applica una pena minima, la sospensione condizionale della pena e tutti i benefici di legge. Il soggetto si è preso la sua condanna (meritata o no) e da allora si è rifatto una vita. Riga dritto, si è fatto una famiglia, lavora, nessuna condanna successiva.

Mi risulta che l’irrogazione della pena e la sua eventuale espiazione, debba servire alla riabilitazione del condannato. E uno che fa? Magari per una sentenza di condanna vecchia di 10 anni, si ritrova un valore B sulla colonnina del penale A VITA? E se ha chiesto (e, magari, ottenuto) la riabilitazione? Il Rating tiene conto anche di questo?

E chi è più onesto e affidabile, il povero disgraziato che è stato beccato con uno spinello di troppo, si è difeso in giudizio ed è stato condannato una sola volta, o chi ha patteggiato magari tre volte, ma non ha nessuna sentenza riportata sul casellario ad uso dei privati, e non è tenuto nemmeno ad autocertificare i suoi trascorsi giudiziari alla pubblica amministrazione?

E, infine, uno dei descrittori del Rating è «studi e formazione». In base all'”algoritmo umano”, a parità delle altre valutazioni e condizioni, ho più reputazione io, che ho una laurea, di mio nonno Armando che, poverino, aveva solo la seconda elementare ma si ritirava nel suo stanzino, accendeva il fuoco, leggeva di storia e sapeva dell’attentato a Umberto I meglio di me?

E’ il potere dell’algoritmo. E’ ciò che è incorruttibile. Frutto di calcolo.

E ha fatto bene, anzi, molto bene, il Garante della Privacy a volerci vedere chiaro. Soprattutto se il trattamento dei dati riguarda dei minori. Cosa vogliono sapere da un minore, se ha rubato la merendina al compagno di banco? Seguirò la vicenda e ne renderò conto. Ma attenti agli asterischi!

Qui di seguito il testo del comunicato del Garante della Privacy:

Il Garante per la protezione dei dati personali ha inviato una richiesta di informazioni all’Associazione (Omissis) che opera nel settore del rating “reputazionale”.

Secondo notizie di stampa l’Associazione avrebbe promosso il Progetto (Omissis) per sperimentare, nei confronti degli studenti, il rating “reputazionale” elaborato sulla base di algoritmi dalla Piattaforma Mevaluate. Al progetto avrebbe aderito un istituto di istruzione superiore.

Il Garante, considerata la delicatezza del progetto che si rivolge a soggetti particolarmente vulnerabili (studenti e minori), ha chiesto all’Associazione di far pervenire entro 30 giorni ogni informazione utile alla valutazione del trattamento di dati effettuato.

L’Associazione dovrà comunicare, in particolare, il funzionamento della piattaforma e della connessa banca dati al fine di consentire all’Autorità di valutare l’impatto dell’uso degli algoritmi e gli effetti che essi possono determinare sugli studenti, nonché le misure eventualmente adottate a loro tutela.

Roma, 3 maggio 2022

Il Garante della Privacy commina una sanzione di 26 milioni e 500.000 euro a Enel

Reading Time: 64 minutes

[doc. web n. 9735672]

Ordinanza ingiunzione nei confronti di Enel Energia S.p.a. – 16 dicembre 2021

Registro dei provvedimenti
n. 443 del 16 dicembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vicesegretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Con atto n. 26890/21 del 14 maggio 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Enel Energia S.p.a (di seguito “EE” o “la Società”) in persona del legale rappresentante pro-tempore presso la sede legale della società in Roma, Viale Regina Margherita n. 125, C.F. 06655971007.

Il procedimento trae origine da una complessa attività istruttoria avviata dall’Autorità a seguito della ricezione di numerosi reclami e segnalazioni di interessati, i quali lamentavano, in via principale ma non esclusiva (come si vedrà meglio infra par. 1.2), la ricezione, in nome e per conto di Enel, di una o più telefonate promozionali indesiderate, anche attraverso disco preregistrato, su utenze riservate ovvero iscritte al registro pubblico delle opposizioni unitamente, in alcuni casi, a connesse doglianze in materia di esercizio dei diritti e, più in generale, di gestione dei dati degli utenti nell’ambito dei servizi di fornitura energetica.

Il fenomeno del telemarketing nel settore energetico – in cui l’istruttoria nei confronti di Enel si inserisce, pur essendo già stato in passato oggetto dell’attenzione del Garante – ha subito un netto e preoccupante incremento con l’approssimarsi del termine ultimo previsto dal legislatore (peraltro a seguito di molteplici proroghe) per il definitivo passaggio dal mercato tutelato dell’energia elettrica e del gas naturale al mercato libero (si veda, da ultimo, art. 12, comma 9-bis, lett. b) del decreto legge 31 dicembre 2020, n. 183, convertito, con modificazioni, dalla legge 26 febbraio 2021, n. 21). L’Autorità è stata infatti destinataria, in questo ambito, delle doglianze dei cittadini rispetto ad un persistente e disturbante senso di ingerenza nella propria sfera di riservatezza a causa di tali pratiche, non di rado accompagnate, da comportamenti non solo invasivi ma anche, come lamentato, particolarmente aggressivi.

L’approccio dell’Autorità, conformemente alle precedenti istruttorie relative ad altri titolari del trattamento, si è quindi basato su una osservazione e valutazione complessive – più che in una logica, pur fondamentale e necessaria, di risposta individuale alla singola doglianza – di comportamenti che rivelano un fenomeno già noto, cui, l’approssimarsi del suddetto termine legislativo, ha apportato elementi di cronicità, particolare intensità e, conseguentemente, invasività nella sfera privata degli interessati.

Nel contesto della disciplina in materia di protezione dei dati personali, il sopra descritto approccio analitico di tipo sistemico e globale al problema, che il Garante ha inteso applicare, assume particolare rilevanza per comprendere natura e finalità del trattamento, misure tecniche e organizzative adottate dal titolare per garantire nel complesso dei trattamenti effettuati l’osservanza del Regolamento generale UE 679/2016 (da qui in avanti “RGPD” o “Regolamento”) nonché, alla luce del principio di responsabilizzazione (art. 5, par. 2, RGPD), modalità attraverso cui viene comprovato il rispetto di tale quadro regolamentare.

Pertanto, l’attività del Garante si è svolta principalmente attraverso istruttorie unitarie e richieste di informazioni cumulative. Con l’entrata in vigore del regolamento n. 1/2019, concernente lo svolgimento dei compiti e l’esercizio dei poteri demandati all’Autorità (in www.gpdp.it, doc. web n. 9107633), l’Ufficio ha infatti potuto avvalersi della facoltà ivi prevista all’art. 10, comma 4, di effettuare l’istruttoria preliminare proprio in relazione a più reclami e segnalazioni aventi il medesimo oggetto o relative al medesimo titolare o responsabile del trattamento, ovvero a trattamenti di dati tra loro correlati. Ciò al fine di esaminare, con maggiore efficacia e, al contempo, necessaria economia dei mezzi istruttori, le doglianze che hanno riguardato una pluralità di condotte riferibili non solo direttamente ad Enel ma anche ad alcuni partner commerciali dei quali la stessa si avvale.

In tale contesto Enel S.p.A. ed Enel Energia S.p.a. sono state inizialmente destinatarie, dal dicembre 2018 al luglio 2020, di quattro distinte richieste di informazioni cumulative (infra par. 1.2) le quali hanno riguardato complessivamente 135 fascicoli e sono state così articolate:

13 dicembre 2018, relativamente a 25 segnalazioni (fasc. 133144; da qui in avanti “I cum.”) cui ha fatto seguito il riscontro della società inviato al Garante in data 21 dicembre 2018;

19 agosto 2019, relativamente a 32 segnalazioni (fasc. 133144; da qui in avanti “II cum.”), con riscontro della società inviato al Garante in data 6 settembre 2019;

17 dicembre 2019, relativamente a 25 segnalazioni (fasc. 133144; da qui in avanti “III cum.”) con riscontro della società inviato al Garante in data 21 agosto 2020;

10 luglio 2020, relativamente a 8 reclami e 45 segnalazioni (fasc. 152287; da qui in avanti “IV cum.”), cui ha fatto seguito il riscontro della società inviato al Garante in data 21 agosto 2020; nonché – in data 24 dicembre 2020 ulteriore richiesta di integrazione delle informazioni fornite con riguardo alle fattispecie già individuate nella menzionata nota del 10 luglio 2020, fasc. 152287, da qui in avanti “IV-bis cum.”). Il riscontro a questa ultima richiesta è pervenuto in data 14 gennaio 2021. I riscontri alle predette richieste di informazioni sono pervenuti da parte della sola Enel Energia quale società attiva nel mercato libero della vendita di energia elettrica e gas naturale.

Le lamentate condotte nei confronti di EE hanno anche incluso le valutazioni emerse nell’ambito di istruttorie effettuate rispetto a singoli casi. Il riferimento è, in particolare, a 5 ulteriori reclami, presentati, ai sensi dell’art. 77 RGPD, anteriormente alla data del 20 luglio 2020 (infra par. 1.3).

1.2. Le richieste di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice e i riscontri forniti da Enel

L’esame particolareggiato delle doglianze pervenute all’Autorità ha condotto, nella logica sopra richiamata, a formulare nei confronti delle società interessate, in tempi successivi, diverse richieste di informazioni, ai sensi del combinato disposto di cui agli artt. 58, par. 1, lett. a) RGPD e dell’art. 157 del Codice. I numeri dei rispettivi fascicoli sono specificati tra parentesi. Delle stesse e dei riscontri forniti dalla Società si dà sinteticamente conto qui di seguito, fatto salvo, tuttavia, il pieno e completo rinvio a quanto già riportato nell’atto di contestazione.

Richiesta del 13 dicembre 2018 (I cum.): le doglianze pervenute al Garante, alla base delle menzionate richieste di informazioni, hanno riguardato, in particolare, il trattamento dei dati personali degli interessati nel contesto di telefonate promozionali indesiderate in quanto effettuate rispetto ad utenze riservate in assenza del necessario consenso degli interessati (132890, 133076, 132810, 132578, 131243, 131039, 130428, 129707, 122612, 106175), ovvero, rispetto ad utenze fisse , nonostante l’iscrizione della numerazione nel registro pubblico delle opposizioni (132985, 132792, 131811, 131762, 131444, 131337, 131237, 130644, 130529, 130349, 130197, 130077, 129198), nonché il tardivo riscontro ad istanze di esercizio dei diritti di accesso ai dati personali oppure di opposizione al relativo trattamento per finalità di marketing (132334, 129416).

Con riguardo agli indebiti contatti promozionali effettuati sia nei confronti di interessati, i cui numeri risultavano riservati sia nei confronti di interessati le cui utenze risultavano iscritte al ROP alla base della richiesta di informazioni del 13 dicembre 2018, la risposta complessiva fornita in particolare da EE ha evidenziato che in tutti i casi segnalati le numerazioni chiamanti non appartenevano alla rosa di quelle in uso alla società o  ai suoi partner commerciali e che  dette numerazioni, da una ricerca effettuata on-line, risultavano riferibili a “sedicenti operatori che spendono illegittimamente il nome di Enel Energia stessa – ovvero quello di altre società operanti anche in settori diversi da quello energetico” (cfr. riscontro della società del 21 dicembre 2018).

Con riferimento invece all’esercizio dei diritti di cui si è lamentato il mancato riscontro (fasc. 132334 e 129426), le risposte fornite da EE, sempre a seguito della predetta richiesta dell’Ufficio, hanno dato effettivamente conto del ritardo registrato dalla società nel dar seguito alle istanze degli interessati.

Richiesta del 19 agosto 2019 (II cum.): quanto ai riscontri forniti in particolare da EE a seguito della seconda richiesta di informazioni formulata dall’Ufficio il 19 agosto 2019 (fascicoli 116720, 116698, 136284, 137069, 137220, 137655, 137710, 137730, 137772, 137777, 138579, 139334, 140475, 136877, 136921, 136932, 137159, 137360, 138000, 139071, 139222, 139228, 139838, 139930, 140166, 140273, 140301, 138749, 138775, 139131, 139219, 138716) EE ha nuovamente rappresentato che, anche nelle nuove doglianze prospettate al Garante, le telefonate promozionali indesiderate che gli interessati hanno segnalato come riconducibili ad EE prevenivano invece da numerazioni estranee alla società ed alla sua rete di partner commerciali.

Più specificamente, la società ha evidenziato come dalle verifiche informatiche effettuate nei propri sistemi aziendali, la maggior parte degli interessati non avesse mai avuto un rapporto contrattuale con la stessa. Solo in cinque casi i dati personali dei segnalanti sono risultati presenti nei sistemi di EE in ragione di rapporti contrattuali in essere, mentre in sei casi i rapporti contrattuali risultavano cessati. Rispetto a due specifiche fattispecie la società ha tuttavia constatato come i contatti promozionali fossero ascrivibili, in un caso, ad un proprio partner in virtù di un contratto di agenzia ancora in essere (136877) e provenissero, nell’altro, da un ex partner, con il quale i rapporti contrattuali si erano conclusi precedentemente all’effettuazione della telefonata promozionale indesiderata (137360, 138000).

Richiesta del 17 dicembre 2019 (III cum.): una nuova richiesta di informazioni alla Società è stata inviata in merito ad ulteriori 25 segnalazioni, relative ad utenti titolari sia di numerazioni riservate in assenza del necessario consenso (142718, 142745, 142834, 143230, 142718, 143221, 143721, 144373, 144437, 144518) sia iscritte al registro pubblico delle opposizioni (142833, 143025, 143222, 143688, 143749, 143766, 144316, 144446, 145020).

Le doglianze pervenute hanno anche rappresentato la ricezione di telefonate promozionali dichiaratamente nell’interesse EE tramite disco pre-registrato (143863, 144081, 144296, 144240, 144385;). In un caso il segnalante, a fronte dell’indebita ricezione di telefonate promozionali, ha esercitato nei confronti di EE i propri diritti, in particolare quello di opposizione al trattamento per finalità di marketing diretto (144760).

A fronte di quanto rappresentato dagli interessati, la società non ha fornito, entro i termini previsti, alcun genere di riscontro, tanto da indurre il Garante a reiterare, ai sensi dell’art. 157 del Codice, la richiesta di informazioni in merito ai summenzionati fascicoli, unitamente ad una successiva richiesta, resasi necessaria a fronte delle ulteriori segnalazioni e reclami in seguito pervenuti all’Autorità (IV cum.).

La tardiva risposta complessiva comunque fornita dalla società ha evidenziato che in tutti i casi le numerazioni chiamanti non appartenevano alla rosa di quelle in uso ad EE e ai suoi partner.

In relazione ad ipotesi nelle quali i segnalanti hanno evidenziato di essere stati contattati attraverso modalità automatizzate, in particolare una segreteria telefonica, EE ha fornito il proprio riscontro evidenziando di non essere “nella disponibilità dei dati personali degli interessati” (143863; 144240; 144296), rappresentando altresì di non effettuare “chiamate con finalità promozionali mediante segreteria telefonica automatizzata.” (144240). In altri due casi la società non ha fornito alcun riscontro, a parte il menzionato generico richiamo alla estraneità dei numeri chiamanti (144081; 144385).

Analoghe affermazioni sono state formulate dalla società in relazione ad ulteriori segnalazioni (139123 e 143511), inizialmente oggetto di autonoma istruttoria e, successivamente, fatte confluire nel menzionato procedimento principale. In tali segnalazioni venivano lamentati diversi contatti promozionali indesiderati attraverso disco preregistrato che, in vista dell’imminente cessazione del mercato tutelato, invitavano al passaggio al mercato libero con EE. La società, nell’ambito di successive interlocuzioni con i segnalanti, ha negato ogni riferibilità a sé di tali contatti.

L’estraneità di EE al lamentato fenomeno è stata ribadita anche in risposta ad un’altra segnalazione (fasc. 139206) in cui l’interessato, dopo aver lamentato per l’ennesima volta le continue telefonate dalla “segreteria telefonica di Enel Energia”, dava atto di aver selezionato, al termine del messaggio preregistrato, il tasto “3” con l’opzione di essere ricontattato. A seguito di tale azione il segnalante dichiarava di essere stato effettivamente contattato da un’operatrice fisica proprio in nome di EE e, addirittura, di aver fissato una successiva visita ed incontrato un sedicente agente di quest’ultima in veste di incaricato Enel, salvo poi verificare il coinvolgimento di un partner commerciale di EE, XX., e ricevere da quest’ultima società, a seguito del legittimo esercizio dei propri diritti, solo l’indicazione che la stessa non gestisce attività di call center né attività promozionale.

Nell’ambito delle richieste cumulative e dei relativi riscontri forniti, anche con riguardo alle segnalazioni rispetto ad utenze iscritte al registro pubblico delle opposizioni, la società ha poi ribadito che in alcuni casi gli interessati sono stati titolari di contratti ormai cessati (143688, 143766, 144446); ovvero, in altri, ancora in essere (142833, 143749, 143766, 145020).

Richiesta del 10 luglio 2020 (IV cum): le doglianze alla base della quarta richiesta hanno riguardato, ancora una volta:

la ricezione di chiamate promozionali indesiderate verso numerazioni iscritte al Registro delle opposizioni (136820, 140498, 140527, 140842, 141460, 142199, 143304, 143549, 143610, 146926, 147410, 148139, 151382) e verso numerazioni riservate senza la previa ac-quisizione del necessario consenso (109024, 136529, 139443, 140347, 140821, 141283, 141602, 142057, 145842, 146806, 146898, 147277, 147347, 147737);

l’utilizzo di disco pre-registrato sempre nell’ambito di chiamate promo-commerciali (138477, 140347, 144213, 147139, 147196, 147750);

il mancato riscontro da parte di Enel Energia all’esercizio dei relativi diritti, nonché la rice-zione di ulteriori telefonate promozionali, anche preregistrate, nonostante la recepita oppo-sizione al trattamento (138729, 140347, 146556, 140058, 143143, 142953, 150137).

Le richieste dell’Autorità si sono altresì appuntate sulla opportunità di fornire chiarimenti in merito:

ai rapporti tra EE ed altre società che avrebbero contattato l’interessato per suo conto non-ché all’utilizzo del numero di telefono (136020);

alla lamentata obbligatorietà di un consenso da rilasciarsi per finalità di marketing e profila-zione da parte di altre società del gruppo Enel e di partner commerciali, nell’ambito dell’utilizzo di app per la consultazione dei consumi e per il pagamento delle bollette (142396, 142400, 143619, 144726);

all’invio di sms promozionali in assenza del consenso dell’interessato (150613);

alla acquisizione ed automatica associazione di numerazioni telefoniche di contatto (146166, 138115)

all’invio di fatture ed altri dati personali ad altri utenti (147284);

all’indebito utilizzo da parte di terzi di informazioni nella disponibilità di EE (143728) non-ché della relativa modulistica (151477).

ad ulteriori e distinte doglianze (140103; 140911).

A fronte del quadro sopra evidenziato EE ha richiamato i processi di vendita da essa utilizzati quale società attiva nel mercato libero dell’energia elettrica e del gas naturale, anche attraverso la propria rete commerciale e dichiarato di aver adottato anche con riguardo ai propri partner di vendita, misure tecnico-organizzative adeguate rispetto ai trattamenti di dati personali coinvolti in tali processi.

La Società ha anche dato atto “di dover gestire una importante numerosità dei reclami che, però, nella maggior parte dei casi non sono riconducibili alle condotte commerciali adottate dalla stessa”, nonché della frequenza di un uso abusivo del suo nome da parte di terzi, che attraverso condotte truffaldine tentano di trarre un vantaggio economico e ne minano la consolidata reputazione. In tal senso EE è intervenuta “diffidando tali soggetti a cessare le attività illecite inerenti l’uso abusivo dei propri segni distintivi e le pratiche commerciali scorrette poste in essere, anche sporgendo denuncia all’Autorità Giudiziaria”. Il richiamo in questi termini è stato, in particolare rispetto al fenomeno delle telefonate preregistrate a due esposti presentati alla Procura della Repubblica di Roma rispettivamente in data 12.11.2019 e 2.3.2020.

In relazione alle doglianze circa la ricezione di telefonate promozionali tramite disco-preregistrato, la società ha evidenziato, ancora una volta, la propria estraneità a tali modalità di contatto, giustificando in ogni caso la disponibilità dei dati dei segnalanti sulla base di motivazioni già richiamate in precedenza (140347:  alcune chiamate automatizzate sono state effettuate da un partner di EE; 144213: per finalità di gestione di reclamo; 147139: processo di rilevazione della qualità percepita; 1457750: per finalità di gestione di segnalazioni).

Relativamente alla lamentata obbligatorietà del rilascio di un consenso per finalità di marketing e profilazione per l’accesso e la fruizione dei servizi on line e tramite app di consultazione e pagamento delle fatture (142396, 144726, 142400, 143619), EE ha poi rappresentato che, per semplificare tali funzionalità è stato implementato il cosiddetto Profilo unico consistente in un account per l’accesso ai portali web e alle app delle società del Gruppo Enel. La società ha inoltre dichiarato che “ai fini della registrazione dell’account, è prevista solamente la conferma della presa visione dell’Informativa da parte dell’utente e non il rilascio dei consensi al trattamento dei dati personali per finalità di marketing e profilazione [omissis], come invece erroneamente segnalato da alcuni reclamanti”. Tale circostanza, rispetto alle singole doglianze, solo in un caso è stata comunicata direttamente all’interessato (142396).

Rispetto, invece, agli ulteriori singoli casi evidenziati, ci si limita in questa sede a operare pieno e completo rinvio a quanto ricostruito nell’atto di contestazione, qui richiamato integralmente.

Richiesta del 24 dicembre 2020 (IV-bis cum.) e accertamento svolto dall’Ufficio: con riferimento all’ultimo riscontro pervenuto da parte di EE (21 agosto 2020, riscontro a III cum. e IV cum.), quest’ultima è stata destinataria di una ulteriore richiesta di informazioni e chiarimenti rispetto ad alcune circostanze ivi emerse, in particolare rispetto al ruolo di alcuni partner commerciali ed alla relativa attività, nonché alle azioni intraprese e alle misure adottate nei confronti di tali soggetti. In particolare, in merito al rilevante fenomeno delle telefonate preregistrate con finalità promozionali, rispetto alle quali la società aveva in precedenza dichiarato di non essere in alcun modo coinvolta, è stato richiesto un riscontro più puntuale rispetto alle iniziative asseritamente intraprese ed alle misure adottate per contrastare tale fenomeno.

Nel fornire un ulteriore riscontro al Garante, in data 14 gennaio 2021, EE ha trasmesso i modelli di addendum contrattuali regolanti i rapporti tra quest’ultima e alcuni dei propri partner commerciali ed ha altresì specificato, in riferimento a ciascun caso oggetto di richiesta di informazioni, di aver contestato, a seguito della richiesta di informazioni del Garante del 10 luglio 2020, l’utilizzo illegittimo dei dati personali dei segnalanti e di aver notificato la penale contrattualmente prevista (136820, 140911, 141460) ad alcuni partner.

In relazione al fenomeno delle chiamate effettuate mediante segreteria telefonica automatizzata, EE ha comunicato, allegandone prova documentale, di aver depositato due esposti presso la Procura della Repubblica di Roma, in data 12 novembre 2019 e 2 marzo 2020, al fine di tutelare il proprio buon nome, abusivamente utilizzato da terzi oltre che “per prendere le distanze” da tale modalità di contatto promozionale.

Con riguardo, poi, ai servizi on-line ed in particolare alla predisposizione di una app di consultazione dei consumi energetici e per il pagamento delle bollette da parte degli utenti, nell’ambito del cd. Profilo unico è stato richiesto alla società di fornire elementi di chiarimento circa le modalità di funzionamento della predetta app, nonché indicazioni sulla dimensione quantitativa del servizio.

A tale richiesta la società ha dato riscontro evidenziando che “Per poter accedere ai servizi digitali è necessario attivare il Profilo Unico (Unique ID). [omissis] Attraverso una sola coppia di credenziali (username e password) è possibile accedere a tutti i servizi digitali che le singole società del Gruppo Enel mettono a disposizione, senza la necessità di effettuare una nuova registrazione ai fini dell’accesso ad una delle società del Gruppo Enel diversa da quella per la quale è stata effettuata la prima registrazione.” Attualmente tale modalità di accesso, si applica solo a Enel Energia ed Enel X, mentre sono escluse dal Profilo Unico le società del Gruppo Enel soggette alla normativa in materia di unbundling (per quanto riguarda l’Italia, SEN ed E-distribuzione).

EE ha altresì dichiarato che “Tramite il Profilo Unico le società condividono solo le credenziali necessarie per l’accesso ai rispettivi servizi digitali”, specificando che “i dati personali che sono stati conferiti dal digital user alle diverse società (ad esempio, ai fini della gestione del rapporto contrattuale in essere con le stesse) non vengono trasferiti da una società all’altra”. Dal settembre 2019 l’utilizzo del Profilo Unico ha carattere di obbligatorietà per tutti i digital user ossia utenti che avevano già in precedenza attivato un account on line e che sono stati guidati, attraverso un processo di migrazione, al nuovo profilo, ovvero per gli utenti che non usufruivano in precedenza dei servizi digitali.

La società, infine, ha fornito informazioni circa la dimensione quantitativa del ricorso al Profilo Unico (3.113.254 di utenti) e all’App (1.665.969 di utenti).

A fronte della persistente carenza di informazioni circa le modalità di conferimento dei consensi per finalità di marketing nell’ambito della creazione del Profilo Unico e di utilizzo della App, pur alla luce delle doglianze dei segnalanti, trasmesse integralmente alla società, su questo specifico aspetto (142396, 144726, 142400, 143619), l’Ufficio ha ritenuto opportuno svolgere direttamente un accertamento (cfr. verbale di accertamenti svolti, 7 maggio 2021 e allegati).

In tal senso è stato possibile constatare che, a seguito dell’inserimento dei dati richiesti (nome, cognome, informazioni di contatto, codice fiscale), l’utente visualizza una prima schermata con finalità informative, nella quale sia Enel Energia che Enel Italia S.p.a. sono indicate come titolari autonomi del trattamento. Successivamente è possibile visualizzare una seconda schermata relativa ai Termini e alle condizioni del servizio e all’Informativa Privacy, accompagnati da due caselle che devono essere necessariamente contrassegnate per poter procedere nella registrazione (come peraltro descritto da EE all’interno del riscontro del 14 gennaio 2021). All’assenso alla presa visione delle suddette condizioni e della informativa nella quale sono richiamate le finalità per le quali è richiesto il consenso, seppur facoltativo, dell’interessato non fa tuttavia seguito una immediata ed agevole visualizzazione di un’apposita sezione dedicata alla raccolta degli eventuali consensi richiamati nella informativa stessa. Solo a seguito del completamento della procedura di registrazione e dell’accesso all’area riservata, infatti, l’utente può cominciare un percorso, peraltro non di facile intuibilità, che lo condurrà a manifestare la propria volontà o il proprio diniego relativamente al trattamento dei propri dati per le finalità di marketing e profilazione di EE, di società del Gruppo e di terzi.

1.3.  I reclami istruiti singolarmente

Autonome istruttorie confluite nella presente trattazione unitaria con il procedimento prin-cipale, in base a quanto previsto dagli artt. 10, comma 4, del regolamento del Garante n. 1/2019 e 8, comma 2, del regolamento del Garante n. 2/2019, sono state condotte relativamen-te a diversi reclami pervenuti all’Autorità nel periodo preso in considerazione.

Le questioni sollevate hanno riguardato, ancora una volta, il fenomeno delle chiamate promozionali indesiderate, in particolare attraverso disco preregistrato, per il passaggio al mercato libero con EE, rivolte sia ad ex clienti sia a soggetti non clienti di EE, alcune doglianze circa l’esercizio dei diritti e l’invio di comunicazioni promozionali indesiderate via e-mail o sms.

In particolare in tre reclami (fasc. 142298, 144397 e 136321) è stata lamentata la ricezione di diversi contatti telefonici indesiderati, pur avendo gli interessati già rappresentato in più occasioni ad EE tale situazione, chiedendo la cancellazione dei propri dati personali, ovvero comunicando l’opposizione al trattamento per finalità promozionali. In due di questi casi le chiamate sono state effettuate attraverso disco pre-registrato (fasc. 142298 e 144397) e in particolare in uno (fasc. 142298) il reclamante è stato persino in grado di riferire con precisione di aver ricevuto, dopo aver digitato la cd. “opzione 3” ad essere ricontattato (opzione presente nella registrazione), una successiva telefonata da parte di un operatore di un call center che, presentandosi come EE proponeva il passaggio a quest’ultima nell’ambito del mercato libero, confermando, inoltre, dietro ripetute richieste dell’interessato di agire proprio per conto di Enel e non di aziende terze.

Altri specifici profili si sono appuntati, sempre nel contesto di comunicazioni promozionali indesiderate da parte di EE, sulla corretta gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento, in particolare della richiesta di opposizione al trattamento dei dati, esercitata in fase di sottoscrizione del contratto (fasc. 133249) e/o successivamente tramite apposita comunicazione al titolare (fasc. 133249, 136529 e 136321).

Infine, in due casi, i reclamanti hanno lamentato anche la ricezione di comunicazioni promozionali indesiderate via e-mail e/o sms (fasc. 133249 e 136321).

In generale a fronte di tutte le doglianze circa telefonate promozionali indesiderate, la Società si è sempre dichiarata completamente estranea alle chiamate segnalate, precisando che le numerazioni chiamanti dalle quali sono pervenuti i lamentati contatti non risultano appartenenti alla rosa delle numerazioni in uso ad EE né a quelle ricollegabili ai propri partner.

Solo in un caso (fasc. 136321), a seguito della richiesta di informazioni del Garante la Società ha evidenziato che il lamentato contatto telefonico era stato effettuato nell’ambito di attività di customer satisfaction da parte della società XX con la quale EE aveva stipulato un contratto per l’espletamento di tale servizio, nominandola responsabile del trattamento.

Più nello specifico, in merito al lamentato utilizzo del disco pre-registrato, EE ha rappresentato, in relazione ai due richiamati reclami (fasc. 142298 e 144397) di non disporre di alcun sistema automatizzato di segreteria telefonica per effettuare chiamate outbound per finalità promozionali, o per proporre nuovi contratti ovvero acquisire nuovi clienti.

Quanto alle richieste relative all’esercizio dei diritti, in un caso (fasc. 133249), EE ha ammesso il ritardo nella gestione della richiesta, dapprima imputandolo ad un disguido tecnico legato alla gestione della propria posta certificata, quindi, nel dare atto dell’avvenuta registrazione dell’opposizione del reclamante nei propri sistemi aziendali, ha  attribuito la non corretta registrazione della volontà di quest’ultimo all’operatore del punto Enel durante la fase di  caricamento delle informazioni contrattuali,  con la conseguenza che “a causa di questo errore l’indirizzo email fornito dal cliente in occasione della sottoscrizione del contratto suindicato veniva utilizzato quale destinatario di campagne di email marketing eseguite con la logica del soft spam”. Rispetto alle comunicazioni inviate dal reclamante, la società ha poi dichiarato che l’indirizzo e-mail al quale le stesse sarebbero state indirizzate è inesistente e comunque di aver successivamente provveduto a registrare correttamente l’opposizione dell’interessato nei propri sistemi aziendali. A fronte di tale rappresentazione, l’interessato ha replicato evidenziando, in particolare, come il dato di contatto fosse quello espressamente indicato in calce alle e-mail promozionali ricevute.

Relativamente al reclamo che lamentava anche la ricezione di comunicazioni promozionali indesiderate via e-mail e sms (fasc. 136321) EE ha evidenziato come: a) la comunicazione e-mail concernente la possibilità di iscriversi ad un programma fedeltà, promosso dalla società, “è stato inviato a titolo di “soft spam”, trattandosi di comunicazione afferente a servizi di cui il cliente può beneficiare nell’ambito del servizio di fornitura”; b) la comunicazione ricevuta via sms ed inviata da un punto vendita energia, è risultata imputabile ad un ex partner di EE, diffidato dalla società dall’uso illegittimo del marchio Enel.

1.4 Chiusura dell’istruttoria e avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato alla Società le violazioni delle seguenti disposizioni:

1. Art. 31 del Regolamento (Cooperazione con l’Autorità di controllo), per non aver fornito alcun riscontro alla richiesta inviata dal Garante alla società in data 17 dicembre 2019 (III cum.), in conseguenza del quale, al fine di ottenere tutti gli elementi utili ad una valutazione di merito, l’Ufficio ha ritenuto di dover reiterare la menzionata comunicazione (IV cum.); parimenti non rispettoso dell’art. 31 del Regolamento è apparso l’atteggiamento adottato in occasione dei riscontri a I, II, III cum. (pervenuto, in quest’ultimo caso, come si ricordava, solo a seguito di reiterata richiesta) e IV cum. (limitatamente ad alcuni fascicoli). La società, infatti, si è limitata ad evidenziare come le numerazioni chiamanti non appartenessero alla rosa di quelle in uso alla stessa o ai propri partner, non fornendo elementi puntuali di valutazione a sostegno di quanto affermato, né offrendo specifica evidenza circa una necessaria attività di verifica di tali numerazioni rispetto alla propria rete di vendita, confezionando, per lo più, una serie di risposte standardizzate per ciascuna delle segnalazioni. Più nello specifico, in sede di riscontro alle richieste III e IV cum. (comunicazione della Società del 21 agosto 2020), è mancata una specifica ed analitica risposta ad alcune delle segnalazioni pervenute all’Autorità, essendosi la società limitata ad una generica esclusione della numerazione chiamante da quelle in uso presso EE e i relativi partner (III cum. 144373, 143221, 143025, 143222, 144316, 144081, 144385; IV cum. 140821, 145842, 146898, 142199, 143304, 146926, 138477, 147196; istruttorie singole: 136529) senza fornire, appunto alcun elemento neppure di generale inquadramento delle singole fattispecie evidenziate.

2. Artt. 5, par. 2, e 25, par. 1 del Regolamento (Principio di responsabilizzazione e privacy by design), per non aver intrapreso rispetto al fenomeno degli indebiti contatti promozionali effettuati in suo nome una efficace azione di contrasto, esercitando (e potendo comprovare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato).

La mera non riferibilità delle numerazioni chiamanti alla rosa di quelle in uso da parte della società e dei propri partner commerciali, più volte ripetuta da EE come elemento di risposta alle richieste inviate dal Garante, si pone, infatti, in chiave critica in ragione di quell’ottica proattiva che definisce il principio di responsabilizzazione del titolare del trattamento e che permea tutto il nuovo assetto normativo di data protection.

Proprio la rilevanza del fenomeno e la circostanza che i contatti telefonici sono stati effettuati in nome di Enel Energia nonché il ruolo primario che essa riveste quale operatore del mercato energetico e le notevoli possibilità organizzative e gestionali che la connotano, avrebbero necessitato riscontri più in linea con la necessaria ed imprescindibile opera di costante vigilanza e di monitoraggio dei fenomeni emersi a seguito delle doglianze pervenute anche direttamente alla società, soprattutto nell’ambito del telemarketing.

Inoltre non vi è stata alcuna evidenza, a parte un generico riferimento alle clausole contrattuali tramite cui la società vincola i propri partner al rispetto della normativa in materia di protezione dei dati personali, circa l’adozione, di specifiche misure tecniche ed organizzative idonee a contrastare in maniera efficace e risolutiva il lamentato fenomeno.

EE avrebbe potuto esercitare nei confronti dei propri partner commerciali (e mostrando di esercitare) in maniera piena e consapevole, le proprie attribuzioni, alle quali corrispondono i doveri di accountability e di privacy by design (attraverso elementi di prevenzione, funzionalità, sicurezza, trasparenza del trattamento e centralità dell’interessato) individuati dagli artt. 5, par. 2, e 25, par. 1 e 2 del Regolamento. In particolare dando contezza dell’introduzione di forme di controllo automatiche e stabili nell’ambito dell’organizzazione societaria sia interna (anche con riguardo al personale) che rispetto alla rete di vendita costituita dai propri partner commerciali, nonché sui sistemi deputati ad attivare offerte e servizi verso la propria clientela. La programmazione di questi ultimi, ad esempio, avrebbe potuto e essere progettata in maniera predefinita in modo da segnalare e bloccare in tempo reale i tentativi di caricamento di contratti di fornitura ottenuti in maniera poco trasparente o comunque all’esito di trattamenti eseguiti in violazione della normativa in materia di protezione dei dati personali.

La società avrebbe dovuto altresì dar conto della individuazione di appositi criteri di selezione e di specifiche attività di audit nei riguardi dei propri partner, come pure di puntuali azioni di verifica, anche attraverso modalità automatizzate, dei propri processi interni di gestione dei dati personali anche sotto il profilo della correttezza e sicurezza degli accessi ai dati degli utenti come pure, per altro verso, in relazione alla sottoscrizione e conseguente caricamento di nuovi contratti.

Tali misure avrebbero contribuito ad una più opportuna rappresentazione della consapevolezza e delle scelte societarie messe in capo, a maggior ragione a tutela di una posizione che viene descritta come fortemente compromessa, in termini di immagine e reputazione, da condotte di terzi asseritamente scorrette.

3. Art. 5, par. 2 (Principio di responsabilizzazione), per non aver comprovato il rispetto della normativa in materia di data protection nel caso di comunicazione promozionale indesiderata effettuata da parte di un partner. Anche nelle ipotesi in cui la società ha dato conto dell’indebito contatto telefonico da parte di un proprio partner a seguito di informazioni richieste dall’interessato presso un punto vendita EE (II cum: 136877), la rappresentazione fornita all’Ufficio si è limitata alla generica riserva di adozione di opportuni provvedimenti nei confronti del partner stesso, senza tuttavia fornire evidenza delle azioni intraprese, soprattutto in un  quadro più articolato di  misure e interventi che, a livello aziendale, dovrebbero essere previsti per la gestione di tali problematiche. Tale comportamento non risulta in linea con il già menzionato principio di responsabilizzazione del titolare del trattamento (art. 5, par. 2 RGPD) il quale richiede a quest’ultimo di comprovare il rispetto della normativa in materia di data protection.

4. Art. 5, par. 2 e 24 del Regolamento (Principio di responsabilizzazione e responsabilità del titolare del trattamento) per non aver controllato l’attività dei propri partner commerciali, anche attraverso adeguate misure tecnico-organizzative). Relativamente alle segnalazioni che hanno lamentato contatti indesiderati attraverso modalità automatizzate, in particolare una segreteria telefonica, EE si è poi limitata a dichiarare generalmente di non effettuare “chiamate con finalità promozionali mediante segreteria telefonica automatizzata.” (III cum: 143863, 144296, 144240; 144296; IV cum: 140347, 144213, 147139, 147750; istruttorie singole: 139206, 143511, 139123, 142298, 144397).

A fronte di quanto rappresentato la società non ha quindi fornito elementi circostanziati volti ad escludere un proprio coinvolgimento rispetto alla formulazione di messaggi pre-registrati che in tutte le segnalazioni sono stati descritti come provenienti da Enel Energia e volti a favorire il passaggio degli utenti alla medesima società nell’ambito del mercato libero.  Ciò a comprova che l’attività promozionale è stata svolta a vantaggio di EE seppure con modalità asseritamente non autorizzate dalla società stessa. Peraltro, in due specifiche circostanze (III cum. 139206; istruttorie singole 142298) è chiaramente emerso che gli interessati, avendo optato per il ricontatto successivamente alla registrazione (cd. “opzione 3”) siano stati effettivamente ricontatti da operatori fisici qualificatisi come incaricati di Enel Energia e addirittura abbiano successivamente incontrato personalmente soggetti qualificatisi come agenti della società o comunque collegati a partner della stessa (XX).

Tali circostanze denotano una mancanza di controllo da parte di EE sull’attività dei propri partner che effettuano attività promozionale a suo vantaggio, anche attraverso adeguate misure tecnico-organizzative, integrando così le violazioni degli artt. 5, par. 2, e 24 RGPD.

5. Art. 5, par. 1, lett. d), del Regolamento (Principio di esattezza), per aver erroneamente associato in automatico, alla anagrafica della segnalante, la numerazione da cui era stata effettuata una chiamata al numero verde della società (presumibilmente un’utenza fissa utilizzata una tantum dalla segnalante stessa; (IV cum: 146166).

6. Artt. 5, par. 1, lett. d) (Principio di esattezza) e 6 del Regolamento (Liceità del trattamento), per aver inviato tramite fatture dati personali ad utente differente dall’intestatario del contratto a seguito dell’associazione del codice fiscale della segnalante ad un’altra utente Enel, in ragione della asserita somiglianza tra i due codici (IV cum: 147284). Da tale accadimento è possibile rilevare sia il profilo della violazione del principio di esattezza, essendo stati associati alla segnalante dati personali non corretti, sia una indebita comunicazione di dati personali (in particolare nome, cognome e codice fiscale di una diversa utente alla prima, tramite invio di fatture) in assenza di qualsivoglia presupposto di legittimità del trattamento;

7. Art. 12 del Regolamento (Trasparenza e modalità di riscontro all’esercizio dei diritti), per non aver fornito il necessario e tempestivo riscontro agli interessati circa le legittime istanze di esercizio dei diritti (nei casi di specie, diritto di diritto di accesso e del diritto di opposizione) formulate dagli interessati (I cum: 132334, 129416; III cum: 144726; IV cum: 138729). La società ha ammesso il ritardo nel dar seguito alle istanze degli interessati, giustificando, quantomeno nei due casi oggetto della prima richiesta, tale ritardo con la necessità di condurre indagini più approfondite e supplementari a seguito della comunicazione del Garante (I cum: 132334) o ancora di sospendere tale attività nelle more della piena applicabilità del RGPD (I cum: 129416). In un caso (III cum. 144726) la società ha attribuito il mancato riscontro ad un “mero disguido tecnico”.

8. Artt. 5. par. 1, lett. a) (Principio di correttezza) e 12, par. 2 del Regolamento, per aver fornito un riscontro contraddittorio a riguardo di un’ulteriore istanza di esercizio dei diritti avanzata dall’interessato in relazione alla ricezione di chiamate promozionali tramite disco pre-registrato (IV cum: 136020). Ciò in quanto in una prima risposta fornita all’interessato (come da all. 19 alla comunicazione di Enel del 21 agosto 2020), EE ha ammesso un “errore di digitazione” quale causa dell’indebito contatto promozionale, mentre nella rappresentazione fornita direttamente alla Autorità (pag. 15 del riscontro del 21 agosto 2020) ha imputato ad altro cliente la responsabilità di aver fornito i dati del segnalante come dati di contatto connessi ad una utenza di fornitura;

9. Art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice (Comunicazioni indesiderate e diritto di opposizione), per aver indebitamente inviato comunicazioni promozionali tramite e-mail, nonostante il diniego manifestato dall’interessato sia in fase di sottoscrizione del contratto di fornitura energetica rispetto al trattamento dei dati per finalità di marketing sia tramite la successiva opposizione al trattamento indirizzata espressamente alla casella di posta elettronica dedicata (istruttorie singole: 133249);

10. Art. 130, comma 4, del Codice (Soft spam), per aver inviato una comunicazione circa l’iscrizione al programma fedeltà di EE, senza aver fornito alcuna evidenza in merito la necessaria presenza di quell’elemento oggettivo di carattere informativo che si pone alla base di una corretta interlocuzione con gli interessati e legittima l’esonero dall’acquisizione del relativo consenso, unitamente alla presenza degli altri elementi richiamati dall’art. 130, comma 4, del Codice come pure dal Provvedimento del Garante del 4 luglio 2013 (doc. web n. 2542348; istruttorie singole, fasc. 1346321);

Il Garante ha altresì contestato a Enel, in relazione al Profilo Unico e alla App di consultazione e gestione dei consumi, anche a seguito di un accertamento svolto dall’Ufficio in data 7 maggio 2021, le seguenti violazioni:

11. Art. 31 del Regolamento (Cooperazione con l’autorità di controllo), per aver offerto una insufficiente collaborazione all’Autorità di controllo, non avendo fornito – pur a fronte di due richieste in tal senso unitamente alle specifiche segnalazioni degli interessati in merito – alcuna informazione circa le modalità di rilascio dei consensi per finalità di marketing e profilazione nell’ambito dell’utilizzo dei servizi digitali;

12. Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento (Principio di trasparenza e obblighi informativi), per aver presentato agli utenti del sito web due informative tra loro discordanti quanto alla individuazione del titolare del trattamento. L’utente, infatti, che intende creare un Profilo Unico, viene reindirizzato, dapprima, su una pagina dove è informato, attraverso una sintetica comunicazione, del fatto che Enel Energia e Enel Italia S.p.a. gestiranno i suoi dati come “autonomi titolari del trattamento”. Successivamente da una seconda informativa più estesa, la cui dichiarazione di presa visione è obbligatoria, unitamente ai termini di servizio, per la registrazione, non emerge più alcun riferimento a Enel Italia S.p.a., essendo menzionato come autonomo titolare del trattamento solo Enel Energia. I testi così discordanti generano confusione nell’utente e non rispecchiano l’essenziale principio di trasparenza informativa, logicamente finalizzato a consentire all’interessato anche una consapevole espressione del consenso;

13. Art. 5, par, 1, lett. c), del Regolamento (Principio di minimizzazione), per aver strutturato una procedura che consente un passaggio di dati ultronei e non pertinenti tra le società del Gruppo. Il Profilo unico, infatti, permette un accesso ai servizi digitali delle diverse società del Gruppo incluse nel relativo perimetro e le credenziali che l’utente acquisisce con una prima registrazione consentono anche successivi accessi ai servizi digitali di dette società. Tuttavia, a fronte dei dati strettamente necessari per creare il profilo utente e le credenziali di accesso, il numero di telefonia mobile, l’indirizzo e il codice fiscale ne arricchiscono il profilo, con informazioni non necessarie o, quantomeno, non necessarie con riguardo ad eventuali future interazioni con altre società del Gruppo. Considerando peraltro l’obbligatorietà dell’utilizzo del Profilo Unico per accedere ai servizi digitali, l’utente deve fornire, all’atto dell’adesione a tale servizio, un insieme di dati non strettamente pertinenti alla mera creazione del profilo che sono poi condivisi, nell’ambito della gestione del Profilo unico, fra le diverse società del Gruppo aderenti;

Sempre in relazione al Profilo unico, la lettura congiunta del testo dell’informativa e del form per la raccolta dei consensi (rinvenibile, peraltro in maniera poco agevole ed intuitiva, all’interno dell’area riservata) ha indotto l’Ufficio a contestare le seguenti ulteriori violazioni,

14. Artt. 12 e 13 del Regolamento (Informazioni agli interessati), per aver rilasciato agli interessati, relativamente al Profilo unico e nell’ambito dell’area riservata del sito, una informativa carente con riguardo ad una necessaria individuazione dei soggetti destinatari dei dati sia nell’ambito delle società facenti parte del Gruppo Enel sia con riferimento ad una generica platea di partner commerciali, risultando poco chiaro il generico riferimento a “società del Gruppo Enel, società controllanti, controllate o collegate, o da partner commerciali di Enel Energia”;

15. Artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice (Liceità del trattamento e comunicazioni indesiderate), per non aver acquisito uno specifico ed idoneo consenso da parte degli interessati con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari. Le caratteristiche dell’informativa descritte al punto 14 unitamente alle tre generiche finalità indicate in associazione alle caselle per l’espressione del consenso (1. Marketing Enel Energia; 2. Marketing terzi; 3. Profilazione) concorrono a definire un consenso che non soddisfa i requisiti di granularità e chiarezza, previsti dalla normativa vigente (art. 4, n. 11) RGPD). Difatti, un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE, non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 RGPD. Parimenti non può ritenersi chiaro se il consenso richiesto per le attività di marketing delle “società controllanti, controllate, collegate o partner commerciali di EE” da parte dei medesimi soggetti si riferisca ad attività di marketing che tali società effettuano per conto di Enel Energia ovvero ad una comunicazione di dati da Enel a soggetti terzi per finalità di marketing di questi ultimi, tenendo altresì conto che, in assenza di una chiara individuazione dei soggetti destinatari, non può considerarsi idoneo un consenso collegato a trattamenti riferibili ad un numero indeterminato di soggetti. Analoghi rilievi sono stati estesi alla richiesta di un consenso unico per finalità di profilazione sia di Enel Energia che dei soggetti già richiamati, quali autonomi titolari del trattamento.

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle più dettagliate osservazioni contenute all’interno dell’atto di avvio del procedimento n. 26890/21 del 14 maggio 2021, che qui deve intendersi integralmente riprodotto e a cui si opera pieno e completo rinvio. Parimenti richiamato in questa sede deve intendersi il verbale relativo all’accertamento svolto dall’Ufficio sul sito internet della società in data 7 maggio 2021.

Occorre infine evidenziare che nel suddetto atto di avvio del procedimento l’Autorità ha anche richiamato, al solo e unico fine di dare ulteriore evidenza della pervasività del fenomeno del telemarketing, le oltre 250 istanze, tra reclami e segnalazioni, pervenuti al Garante successivamente all‘ultima richiesta di informazioni del 20 luglio 2020 e fino alla data di formulazione e notificazione dell’atto stesso. Tali ulteriori doglianze, seppur non oggetto del menzionato atto di contestazione, evidenziavano, infatti, un quadro dinamico di persistente disagio ed una ancor più evidente esasperazione degli interessati rispetto al corretto trattamento dei relativi dati personali nonostante il ricorso all’iscrizione delle numerazioni telefoniche nel RPO, ovvero rispetto a modalità di contatto, quali le chiamate mediante disco preregistrato, particolarmente invasive e sgradite. Le stesse, quindi, pur non confluendo nell’istruttoria e nella correlata fase dell’odierno procedimento, rappresentano un innegabile fatto storico che testimonia, quando ancora ce ne fosse bisogno, che il fenomeno delle chiamate di disturbo è ben lungi dall’essere risolto.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. Memoria difensiva ed audizione di Enel Energia S.p.A.

2.1.1. Premessa

In data 28 giugno 2021 Enel Energia ha fatto pervenire un’ampia ed articolata memoria difensiva all’Autorità, corredata da copiosa documentazione, ai sensi dell’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 7 luglio 2021 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti, unitamente agli allegati alla memoria difensiva.

Nelle more della presentazione della memoria difensiva, EE ha inviato al Garante, in data 26 maggio 2021, una richiesta di proroga del termine per la presentazione delle suddette memorie, unitamente ad un’istanza di accesso ai documenti amministrativi riferito al verbale di accertamento dell’attività svolta dall’Autorità in data 7 maggio 2021 ed alle circa 250 istanze citate nell’atto di contestazione a riprova della persistenza e diffusività del fenomeno.

In data 18 giugno 2021 l’Autorità, dopo aver concesso la proroga richiesta, ha comunicato l’accoglimento dell’istanza relativamente al verbale ed ai fascicoli in questione, nei limiti di una verifica quantitativa e a campione di questi ultimi, rilevando come nessuna contestazione fosse stata formulata nei confronti della Società rispetto alle singole e specifiche circostanze richiamate in tali istanze, ma appunto alla loro globalità ed al loro valore di indicatore della persistenza e diffusività del fenomeno.

La Società ha contestato tale modalità di concessione dell’accesso senza tuttavia procedere a formale impugnazione del relativo provvedimento, ma chiedendo che i fascicoli in questione non fossero presi in considerazione nell’ambito del presente procedimento.

Nella memoria difensiva il titolare ha altresì richiesto l’annullamento o comunque l’archiviazione del procedimento in virtù del “mancato rispetto dei termini regolamentari per la Contestazione” (pag. 13 e ss della memoria). In particolare, il potere sanzionatorio dell’Autorità si sarebbe esaurito decorso il termine di 120 giorni per la notifica della violazione ai sensi dell’art. 166 comma 5 D.lgs 196/2003, dovendosi il dies a quo individuare, a detta di EE, nelle specifiche date riferibili a ciascuna risposta (ivi comprese quelle relative ai reclami istruiti singolarmente) che la stessa avrebbe inviato alle richieste di informazioni inviate di volta in volta dal Garante.

Consolidata giurisprudenza in materia di accertamento degli illeciti amministrativi smentisce la ricostruzione della Società basata su una logica di mero conteggio formale dei giorni successivi alla ricezione dei riscontri alle varie richieste di informazioni, individuando EE, per l’appunto, nell’acquisizione di tali riscontri l’elemento costitutivo dell’attività di accertamento e, dunque, il dies a quo.

In generale per quanto attiene l’attività delle Autorità amministrative indipendenti, la Cassazione (Cass. Civ. Sez. 2, n. 31635/2018), riprendendo argomentazioni già espresse in precedenza, ha ribadito che “l’attività di accertamento dell’illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il “fatto” nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell’infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell’infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017, cit.)”.

A conferma della consolidata impostazione della Cassazione, vanno evidenziate anche recenti pronunce del Consiglio di Stato (ad es., Sez. VI, n. 4020, del 24 maggio 2021)  laddove si osserva che “in tema di sanzioni amministrative, ciò che rileva ai fini del rispetto del principio dell’immediatezza della contestazione […] non è la notizia del fatto sanzionabile nella sua materialità, ma l’acquisizione della piena conoscenza della condotta illecita, implicante il riscontro dell’esistenza e della consistenza dell’infrazione e dei suoi effetti; sicché, per un verso, il termine per la contestazione dell’infrazione non decorre dalla sua consumazione, ma dal completamento dell’attività di verifica di tutti gli elementi dell’illecito, dovendosi considerare anche il tempo necessario all’amministrazione per valutare e ponderare adeguatamente gli elementi acquisiti e gli atti preliminari per l’individuazione in fatto degli estremi di responsabilità amministrativa, e per altro verso, il termine per la conclusione del procedimento sanzionatorio inizia a decorrere solo dal momento in cui è compiuta – o si sarebbe dovuta ragionevolmente compiere, anche in relazione alla complessità della fattispecie – l’attività amministrativa intesa a verificare l’esistenza dell’infrazione, comprensiva delle indagini intese a riscontrare la sussistenza di tutti gli elementi soggettivi e oggettivi dell’infrazione stessa”.

Analogamente ma con specifico riferimento agli illeciti amministrativi di cui al codice della privacy, la Suprema Corte ha poi recentemente ribadito che (Cass. civ., Sez. 2, n. 18288/2020). ”essendo consolidato l’indirizzo di questa Corte secondo cui, in tema di illeciti amministrativi di cui al codice della privacy, il dies a quo per il computo del termine di novanta giorni per la notificazione del verbale di contestazione decorre dall’accertamento della violazione, che non coincide con la generica e approssimativa percezione del fatto e con l’acquisizione della documentazione ad essa relativa, ma richiede l’elaborazione dei dati così ottenuti al fine di individuare gli elementi costitutivi delle eventuali violazioni (così, ex multis, Cass. 14678/2018).” Pur riferendosi tale giurisprudenza al termine di 90 giorni previsto dall’articolo 14 della legge 689/1981, i principi ivi individuati ben possono trovare analoga applicazione in relazione all’art. 166, comma 5 del Codice privacy, dal momento che tale ultima disposizione, a seguito delle modifiche apportate dal d.lgs. 101/2018, reca la nuova disciplina relativa ai procedimenti per l’adozione dei provvedimenti correttivi e sanzionatori, prima di allora definita esclusivamente tramite il rinvio operato dal Codice stesso alla menzionata legge 689/1981.

Ne discende che il tempo per l’elaborazione e valutazione dei dati, quando non arbitrariamente ed irragionevolmente protratto, sarà direttamente proporzionale al livello di complessità delle fattispecie oggetto del procedimento, della numerosità delle segnalazioni e dei reclami presentati e, non da ultimo, del metodo di analisi applicato dall’Autorità.

Tale metodo, come già anticipato, si è basato su una valutazione complessiva di numerose doglianze, pur una volta individuati profili e fattispecie ricorrenti, in grado di delineare tratti di responsabilità che più difficilmente sarebbero emersi in una logica di istruttoria e contestazione caso per caso. Si è, dunque, applicato un modus procedendi di fatto imposto dalle stesse caratteristiche del principio di responsabilizzazione, la cui realizzazione l’Autorità ha per l’appunto indagato, a fronte di un numero consistente e costante nel tempo di doglianze da parte degli interessati.

In altre parole, la piena conoscenza della condotta illecita connessa, in particolare, ma non esclusivamente, ai profili di responsabilità e responsabilizzazione, di cui agli articoli 5, par. 2, 24 e 25 par. 1 del RGPD, correlati, per di più, alle attività di un titolare della dimensione organizzativa di EE non poteva che passare attraverso una attività di acquisizione documentale e successiva valutazione composita ed articolata, anche a livello temporale.

Si rileva inoltre che una istruttoria, già di per sé complessa, non è stata certo agevolata dall’insorgere di un evento repentino ed imprevedibile, come la pandemia e di una conseguente situazione di emergenza tuttora in atto – in considerazione della quale, peraltro, il legislatore ha previsto la sospensione dei termini dei procedimenti amministrativi, da ultimo prorogata fino al 30 novembre 2020 (art. 41 del d.l. 34/2020). Né, tantomeno, per differenti profili, ha avvantaggiato la scarsa collaborazione dimostrata dal titolare del trattamento (amplius infra par. 2.2., n. 1).

Più in generale va da ultimo considerato che gli elementi richiesti dall’art. 83 del Regolamento per una compiuta valutazione delle condotte, che si assumono poste in essere in violazione delle disposizioni in materia di protezione dei dati personali, sono talmente ampi e complessi (anche in ottica garantistica) che, nel caso in argomento, non può seriamente obiettarsi che l’Autorità abbia difettato in tempestività nella contestazione degli illeciti.

2.1.2. Le singole contestazioni

Con riferimento alle singole contestazioni rivolte dall’Autorità si riportano qui di seguito le argomentazioni difensive sviluppate dalla Società nella propria memoria e in sede di audizione.

1) Con riferimento alla contestazione di cui al numero 1 del par. 1.4, la Società non ha na-scosto la propria sorpresa dinanzi a tali contestazioni, dal momento che “EE ha sempre dato se-guito alle richieste del Garante senza ricevere in risposta alcuna richiesta di chiarimenti o approfondi-menti.”. Inoltre la Società, secondo quanto dichiarato nella memoria “ha formulato le proprie ri-sposte con l’intento di non eccedere rispetto alle richieste per non incorrere in una violazione del prin-cipio di economicità del procedimento sancito anche dall’art. 7 del Regolamento 1/2019 […] onde evi-tare di essere di intralcio al fluido proseguimento dell’istruttoria” (punto 14). In altri passaggi della memoria, così come nel corso della audizione, EE ha ricordato la costante e dispendiosa, anche in termini di impegno economico, attenzione che la Società da sempre dedica al rispetto della disciplina in materia di protezione dei dati personali (punto 24 della memoria difensiva).

Relativamente alla mancata risposta alla III cum., EE ha attribuito l’accaduto a un “errore umano” che sarebbe occorso nello “smistamento di una pec” (Punto 25).

Infine, EE ha comunicato che implementerà la possibilità per l’interessato di verificare diret-tamente dal sito web di EE “la riferibilità a EE e ai suoi partner delle numerazioni dalle quali egli abbia ricevuto chiamate commerciali.”; a tal proposito la Società ha altresì inviato al Ga-rante un elenco contenente le numerazioni chiamanti riferibili a EE. In sede di audizione, il ti-tolare ha poi comunicato che il suddetto sistema è stato già implementato sul sito.

2-4) La Società ha dedicato ampia parte della propria memoria difensiva (punti 27-138) a controdedurre le contestazioni formulate dal Garante circa la responsabilità e responsabilizzazione del titolare e il rispetto del principio di privacy by design, così come richiamate ai numeri 2, 3 e 4 del precedente paragrafo.

La Società si è soffermata ad illustrare come le proprie scelte quanto ai contatti promozionali possano essere suddivise tra un approccio seguito fino all’insorgere della pandemia ed uno successivo ad esso.

Prima dell’emergenza epidemiologica e delle conseguenti misure di contenimento, EE non ha utilizzato né ha commissionato a terzi alcun canale di telemarketing o teleselling, e più in generale nessun canale telefonico outbound con finalità commerciali. La promozione commerciale di EE avveniva esclusivamente tramite punti fisici (negozi gestiti da partner EE con contratti di collaborazione commerciale) e contatti “porta a porta”, effettuati da agenzie autorizzate. Anche relativamente alle attività svolte da tali agenzie (tutte selezionate attraverso una precisa procedura di scouting) il ricorso al teleselling e al telemarketing era espressamente vietato all’interno dei contratti stipulati dalla Società. La procedura di acquisizione di nuovi contratti a seguito di una disponibilità recuperata dalle agenzie nel corso del “porta a porta” era strutturata secondo un sistema di controllo ex post (in due fasi, via telefono e via mail; Quality call, seguendo precisi script, e Quality letter) per ottenere conferma della identità del soggetto, dei dati personali ad egli/ella riferibili e della effettiva volontà a contrarre.  La Società ha affermato che tale sistema le ha consentito di tenere sotto controllo e limitare il fenomeno delle revoche di utenze attivate sulla base delle proposte delle agenzie. Quanto affermato e descritto nella memoria circa la modalità di gestione del canale commerciale ante-pandemia è, dunque, da ritenersi applicabile, secondo la rappresentazione fornita da EE, a tutti i casi oggetto di istruttoria e contestazione da parte del Garante, essendo quest’ultimi tutti antecedenti al gennaio 2021 (data di reintroduzione, come si vedrà a breve, delle chiamate outbound).

L’emergenza epidemiologica ha reso necessaria la reintroduzione delle modalità di contatto telefoniche per cui: a) a partire da maggio 2020 vi è stata la possibilità per le agenzie autorizzate da EE di concordare incontri tramite preventivo appuntamento telefonico (tale attività è finalizzata alla stipula di contratti di fornitura con modalità “a distanza” e alla digitalizzazione dei processi); b) a partire da gennaio 2021 è stato introdotto il canale teleselling. Tale ultima attività viene svolta, a detta di EE, attraverso “limitazioni delle numerazioni per i teleseller, controlli ex ante sulle liste di contatti ed ex post sulla bontà dell’espressione di volontà dei clienti e sulle modalità di contatto iniziali, in modo da escludere il ricorso a pratiche di marketing aggressivo e chiamate indesiderate.” (Punto 70 della memoria).

La Società ha tenuto a precisare che le procedure e le attività per le agenzie e per i teleseller sono del tutto differenti: solo i teleseller acquisiscono liste di contatti e concludono contratti per conto di EE (vendita a mezzo telefonico di prodotti e servizi tramite vocal order); le agenzie non svolgono attività di teleselling ma si limitano a telefonare a potenziali clienti per concordare successivi appuntamenti.

Nel quadro, dunque, antecedente alla pandemia e alle scelte compiute da EE, in presenza del richiamato divieto assoluto di effettuare chiamate commerciali da parte della Società e delle proprie agenzie, l’unico obbligo da riconoscersi in capo alla stessa, secondo la relativa rappre-sentazione, sarebbe stato quello di verificare che i propri partner non facessero chiamate pro-mozionali tout court e quindi, nei casi di chiamate non autorizzate, escludere che le numera-zioni chiamanti potessero essere riconducibili ad alcuno di essi. Nessun altro onere derivante dal principio di responsabilizzazione né da quello di privacy by design sarebbe stato attribuibile a EE, non essendo per nulla contemplata la possibilità di effettuare attività di telemarketing e teleselling. Non era dunque compito di EE, secondo quanto affermato nella memoria difensiva, ipotizzare e introdurre misure e procedure volte a controllare la formazione di liste di utenze telefoniche il cui utilizzo era del tutto vietato. Non sarebbero, dunque, applicabili ad Enel Energia tutti gli obblighi e le misure individuati dal Garante nel caso di titolari che effettiva-mente svolgevano attività di teleselling e telemarketing. Il richiamo è ai provvedimen-ti/ordinanze di ingiunzione nei confronti di Fastweb S.p.A. (provvedimento 25 marzo 2021, doc. web 9570997) o anche di ENI S.p.A. (provvedimento del 1 dicembre 2019, doc. web 9244358) o Vodafone S.p.A. (provvedimento 12 novembre 2020, doc. web 9485681).

La Società ha dunque ribadito la propria completa estraneità alle chiamate indesiderate og-getto delle doglianze presentate al Garante e sottolineato che in quanto del tutto estranea al fe-nomeno, EE non disponeva di alcun potere di verifica circa tale fenomeno e circa soggetti estranei al suo controllo.

Più nello specifico, la Società è poi tornata sull’argomento, ribadendo, a suo dire, l’insussistenza della violazione dell’art. 25, dal momento che la privacy by-design di EE prima delle misure adottate a seguito della pandemia era basata “sull’insieme di verifiche preliminari della serietà delle agenzie e su controlli successivi volti a verificare l’effettuazione tout court di chiama-te commerciali da parte delle proprie agenzie a seguito di reclami o segnalazioni degli utenti (così come è avvenuto in occasione di tutti i reclami oggetto delle Richieste) anche segnalando le condotte illecite all’autorità giudiziaria e al Garante. Non sarebbe stata invece ragionevole e coerente con una corretta privacy by-design l’attuazione di procedure di disciplina e verifica della formazione di liste di contatta-bilità telefonica, dato che i contatti telefonici erano esclusi e vietati a monte dai contratti conclusi con le agenzie”. (punto 122).

In tale contesto va ad inquadrarsi la principale tesi difensiva esposta dalla Società ovvero la fraudolenta e scorretta spendita del nome di Enel Energia da parte di soggetti non meglio iden-tificati i quali mirano ad irretire clienti per concludere contratti “senza che i contraenti siano dav-vero consapevoli di ciò che accade” (punto 64 e, in generale, tesi esposta nei punti da 55 a 64).

EE ritiene di essere vittima di “millantatori” e “truffatori”, i quali, lavorerebbero per società concorrenti spendendo in maniera illecita il nome del primo operatore energetico del Paese quale elemento di rassicurazione e al fine di suscitare l’attenzione dell’utente. Solo successiva-mente, secondo quanto ricostruito dalla Società, in caso di prosecuzione della telefonata e ma-nifestazione di interesse, tali soggetti lascerebbero intendere di essere un’agenzia e di ritenere in fondo più conveniente l’offerta di un concorrente di EE. La Società ha quindi sostenuto di non trarre alcun vantaggio da tale pratica ma, al contrario, di ricevere un significativo danno an-che di immagine.

EE ha argomentato tale tesi presentando a supporto: a) un provvedimento dell’AGCM del 24 ottobre 2018 con il quale è stata sanzionata la pratica commerciale scorretta della società Switch Power S.r.l., la quale cercava di irretire clienti telefonicamente spacciandosi per una so-cietà del gruppo Enel (all. 21 alla memoria). In sede di audizione la Società ha ampliato tale argomentazione riferendosi anche ad un esposto presentato nell’aprile 2021 nei confronti di un’altra società per la medesima pratica commerciale scorretta; b) alcuni casi, tra cui anche quelli riportati da parte di alcuni dirigenti Enel ed altri oggetto di articoli di stampa (all. 23 alla memoria); c) le dichiarazioni a favore di Enel rese da Federconsumatori, sezione provinciale di Taranto, che ha specificato come il personale EE visiti i clienti presso le utenze domestiche solo a seguito di chiamate per “presa   appuntamento”; d) le denunce (12 dal 2017 a maggio 2021) relative a una pluralità di condotte poste in essere da soggetti individuati come competitor di EE o completamente estranei all’attività del gruppo Enel o del tutto ignoti (cfr. punto 132 della memoria e all. 24 alla memoria).

5) Con riferimento alla contestazione di cui al numero 5 (art. 5, par. 1, lett. d), del Regolamento, la Società ha evidenziato che non vi è stata alcuna associazione automatica sull’anagrafica della segnalante con la numerazione da cui era stata effettuata una chiamata al numero verde della società (IV cum: fasc. 146166). L’errore sarebbe stato riconducibile all’intervento manuale di un operatore. La Società ha fatto presente che “a seguito della segnalazione, EE ha provveduto immediatamente a cancellare il dato e a contestare al proprio partner la pratica scorretta” (punto 172).

6) Sempre in relazione a profili di esattezza dei dati emersi in relazione all’invio di fatture ad un soggetto errato (IV cum: 147284), così come richiamati dal numero 6 (artt. 5, par. 1, lett. d), EE ha evidenziato un “errore materiale” dovuto alla somiglianza dei codici fiscali dei due clienti e, ha comunicato che, una volta accortasi dell’errore, vi ha prontamente posto rimedio (punto 173).

7) Quanto alle contestazioni richiamate all’interno del numero 7 (art. 12 del Regolamento, (I cum: 132334, 129416; III cum: 144726; IV cum: 138729). La società ha confermato quanto già ammesso in sede di riscontro riconoscendo il ritardo nel dar seguito alle istanze degli interessati, giustificando, quantomeno nei due casi oggetto della prima richiesta di informazioni (I cum: 132334, 129416) tale ritardo con la necessità di condurre indagini più approfondite e supplementari a seguito della comunicazione del Garante (I cum: 132334) o ancora di sospendere tale attività nelle more della piena applicabilità del RGPD (I cum: 129416). La Società, tuttavia, ha sottolineato come in entrambi i casi riferiti alla I cum. gli interessati fossero stati informati della necessità di tale proroga. Questa informazione sarebbe stata fornita in un caso 33 giorni dopo la richiesta (I cum. 132334) e in un secondo caso, entro il 30mo giorno dalla ricezione della stessa.

Relativamente ad un altro caso (III cum. 144726) la Società ha ribadito in sede difensiva quanto già sostenuto in sede di riscontro alle richieste del Garante ovvero ha riconosciuto l’accadimento di un “mero disguido tecnico”. Infine, relativamente al fascicolo 138729 (IV cum.) EE non ha fornito ulteriori informazioni rispetto a quelle contenute nelle comunicazioni di riscontro in fase istruttoria.

8) Parimenti, rispetto ad analoga contestazione, ma riferita alla differente fattispecie, di cui al numero 8 (artt. 5. par. 1, lett. a), e 12, par. 2 del Regolamento), EE ha negato la contraddittorietà tra la risposta fornita all’interessato e quella fornita all’Autorità (IV cum: 136020). Secondo la Società, infatti, pur essendo stati i due riscontri formulati in modo diverso (nella risposta al cliente si è parlato di “errore di digitazione”), in realtà essi sarebbero entrambi veritieri. Questo perché i dati di contatto del segnalante sono stati forniti da un altro cliente e, per via di tale sovrapposizione, l’operatore ha poi “erroneamente registrato sull’anagrafica” del cliente i dati del segnalante.

9) Sempre in materia di esercizio dei diritti degli interessati, la Società, con riguardo alla contestazione di cui al numero 9 (art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice), ha riconosciuto di aver commesso un ulteriore errore nell’aver indicato un indirizzo email sbagliato in calce alla comunicazione inviata all’interessato (istruttorie singole fasc. 133249) ma ha altresì evidenziato la facile reperibilità on line dell’indirizzo corretto per l’invio di istanze di esercizio dei diritti (privacy.enelenergia@enel.com). A riprova di tale facilità nella comunicazione vi sarebbe stata, secondo EE, la circostanza per cui lo stesso reclamante avrebbe poi successivamente rivolto una seconda istanza di opposizione all’indirizzo corretto, trovando piena e pronta soddisfazione.

10) Con riferimento alla contestazione della violazione dell’art. 130, comma 4, del Codice, di cui al numero 10, (istruttorie singole: 136321), EE ha ribadito dettagliando le proprie argomentazioni, quanto già sostenuto in fase istruttoria, richiamando, in relazione alle tre fattispecie lamentate dalla reclamante: a) l’invio di comunicazione assimilabile a soft spam come presupposto in grado di escludere la necessaria acquisizione del consenso; b) la circostanza che la chiamata ricevuta dalla reclamante è stata effettuata per verificare la qualità del servizio offerto e non a fini commerciali; c) l’invio del SMS promozionale era stato effettuato non da EE bensì da un suo ex partner, un XX, non più contrattualmente legato alla Società al momento dell’invio della comunicazione all’interessata.

11) Relativamente alla contestazione della violazione dell’art. 31, di cui al numero 11 anche in relazione alle informazioni fornite in merito al funzionamento del Profilo unico ovvero alla mancata allegazione della documentazione relativa ai consensi (in risposta a IV cum. e IV-bis cum.), EE ha ritenuto di essere stata esaustiva. Secondo la Società, infatti, il Garante non avrebbe espressamente richiesto di ricevere maggiori dettagli circa i consensi ma avrebbe solo formulato istanze di chiarimento circa le modalità di funzionamento della app e indicazioni sulla dimensione quantitativa del servizio.

12) Per quanto riguarda le contestazioni connesse al Profilo unico e alla app di consultazione e gestione dei consumi, riportate al numero 12 (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento), EE ha negato che vi fosse discordanza tra le due informative presenti sul sito web con riferimento alla individuazione del titolare del trattamento. In fase difensiva la Società ha spiegato come esistano sulla medesima pagina le informative dei due soggetti (Enel Energia S.p.A. e Enel Italia S.p.A.) e come “solo una parte delle informazioni e delle sezioni sul sito riguarda entrambe le entità”. La Società ha aggiunto che le informative sono “richiamate da un touchpoint unico (il footer della homepage) ma hanno struttura, forma e contenuto ben distinti e separati”. A trattare i dati di navigazione dei visitatori del sito è Enel Italia S.p.A., la quale, però, non è titolare del trattamento quanto alla gestione del Profilo unico (il quale risulta essere Enel Energia); al contrario Enel Italia S.p.A. unitamente ad una terza società, Enel Global Services s.r.l., agisce come responsabile del trattamento quanto ai dati forniti nel momento della registrazione e per fornire il servizio di autenticazione.

13) Sempre relativamente al Profilo Unico, rispetto alla contestazione di cui al numero 13 (art. 5, par, 1, lett. c), del Regolamento, EE ha evidenziato che “le società abilitate al Profilo Unico (per l’Italia EE e Enel X Italia Srl – “EX”) non hanno accesso ai dati degli utenti che hanno creato il Profilo Unico con l’altra società abilitata.” (Punto 185). Conseguentemente, secondo quanto riferito in fase difensiva, è possibile che si verifichino due ipotesi: 1) utente nuovo che non ha ancora creato un account tramite il Profilo Unico; 2) accesso ad area riservata con profilo già esistente.

Nel primo caso, l’utente si registra, sul sito di EE o sul sito di EX a seconda del caso, fornendo i propri dati (nome, cognome, codice fiscale, numero di telefono, e-mail. Questi ultimi due sono soggetti a validazione) e crea una password personale.

Nella seconda ipotesi, l’utente, con le medesime credenziali create presso la società con la quale per primo ha creato l’account, può accedere all’area riservata dell’altra società (“Ad esempio, prima l’utente ha creato l’account Profilo Unico sul sito e per l’area riservata di EE e dopo vuole accedere all’area riservata di EX”). EE ha sostenuto esservi una netta separazione tecnica e contenutistica tra le due aree riservate e che “nessun dato relativo alle aree riservate delle società abilitate a utilizzare il Profilo Unico viene scambiato tra le stesse.”.

Dopo aver illustrato le caratteristiche tecniche del sistema, la Società ha proseguito spiegando come tanto il numero di cellulare (a fini di validazione del meccanismo della password temporanea) quanto il codice fiscale debbano ritenersi quali dati indispensabili ai fini della corretta identificazione per prevenire la creazione di profili multipli (Punti 194-198). EE ha poi tenuto a precisare che la misura della autenticazione tramite numero di cellulare è stata implementata a seguito di alcune vulnerabilità (creazione di account multipli) emerse, con riferimento ad altra società del gruppo, nell’ambito di una precedente e distinta istruttoria condotta dall’Ufficio del Garante. L’indispensabilità, dunque, di tali dati ai fini della funzionalità del servizio, secondo EE dovrebbe indurre a ritenere superabile la contestazione circa la presunta violazione del principio di minimizzazione.

14) Rispetto alle contestazioni di cui al numero 14) (artt. 12 e 13 del Regolamento, la Società ha rappresentato che, fermo restando il fatto che nessun consenso per le finalità di marketing è raccolto nel corso della creazione del Profilo Unico, “le diverse finalità di marketing sono invece descritte, così come indicato dal Garante nella Contestazione, nella apposita sezione “Finalità di marketing e/o profilazione”.” In ogni caso la Società ha comunicato di aver provveduto a rivedere l’informativa “compiendo scelte lessicali più chiare.” (Punti 199-204).

15) Quanto alla granularità e specificità dei consensi, con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari di cui al numero 15 (artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice), EE ha richiamato le tre finalità individuate ovvero: 1) marketing diretto svolto da EE per prodotti EE; 2) marketing di terzi; 3) profilazione, sostenendo che tale distinzione è rispettosa delle Linee guida del Garante in materia di contrasto allo spam adottate nel 2013. La Società ha specificato di non aver mai svolto attività di profilazione né mai aver ceduto dati a terzi per finalità di marketing. Inoltre, EE non hai mai fatto marketing diretto pubblicizzando prodotti di terzi, incluse le società del gruppo La Società, infine, ha prospettato l’intenzione in futuro di chiedere il consenso degli interessati per finalità di marketing e profilazione, rimodulando la struttura tripartita dei consensi e meglio specificando le differenti finalità rispetto ai vari titolari (all. 38 alla memoria) e ha comunicato di aver sottoposto la correlata informativa ad un’opera di revisione “in un’ottica di sempre più diretta comunicazione”.

2.2 Considerazioni in fatto ed in diritto

Le argomentazioni difensive esposte da EE non consentono di escludere la responsabilità della Società in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione:

1) Per quanto riguarda la contestazione relativa all’art. 31 del Regolamento (Cooperazione con l’autorità di controllo), di cui al numero 1, è un dato di fatto incontrovertibile che la Società non abbia fornito risposta alcuna, se non dopo essere stata in tal senso sollecitata, alla terza richiesta di informazioni da parte del Garante. Il laconico, sintetico e non documentato riferimento all’errore umano nello smistamento non elide, infatti, il rilevato profilo di criticità.

Parimenti in sede di riscontro, l’atteggiamento di EE non ha dato conto, in un’ottica collaborativa e proattiva, di risposte analitiche e dettagliate circa le differenti fattispecie oggetto di segnalazione, così da agevolare ogni più opportuna valutazione dell’Autorità. Come è noto, infatti, i riscontri alle richieste di informazioni provenienti dal Garante andrebbero forniti sin da subito nella maniera più dettagliata e completa possibile e gli elementi utili a definire il quadro di indagine andrebbero, dunque, presentati già in sede istruttoria piuttosto che in una fase difensiva in quanto sollecitati. Tali comportamenti, già sanzionati dal Garante (Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. del 13 maggio 2021, doc. web 9670025), rischiano di determinare proprio quell’allungamento e appesantimento dell’iter procedimentale, che la stessa Società ha dichiarato di voler evitare. Né al riferimento al regolamento interno n. 1/2019 (art. 7, comma 5) può attribuirsi alcun rilievo in tale ambito, posto che la disposizione è chiaramente riferita alla fase difensiva e non a quella istruttoria.

Peraltro non vale come esimente neanche la richiamata circostanza secondo cui il Garante non avrebbe fornito alcuna risposta o richiesto ulteriori di chiarimenti una volta ricevuti i ri-scontri da parte di EE, posto che è di tutta evidenza come l’onere di collaborazione, previsto dal citato art. 31 del Regolamento, gravi in capo al titolare, anche nel suo precipuo interesse, e non già in capo all’Autorità di controllo.

2-4) Con riferimento alle contestazioni formulate dal Garante con riguardo ai profili di responsabilizzazione del titolare e del rispetto del principio di privacy by design, così come richiamate all’interno dei numeri da 2 a 4 (artt. 5, par. 2, e 25, par. 1 del Regolamento; art. 5, par. 2 e art.t 5, par. 2 e 24 del Regolamento) le argomentazioni presentate dalla Società non risultano convincenti e non valgono a superare i rilievi dell’Autorità.

La principale argomentazione richiamata dalla Società a difesa della propria posizione, attraverso il richiamo ad una indebita spendita del suo nome non risulta supportata da elementi idonei ad escludere la responsabilità del titolare e rimane, in quanto tale, una ricostruzione meramente ipotetica. Ciò in quanto in nessuno dei passaggi argomentativi sviluppati dalla Società è stata comprovata l’attività di competitor volti ad acquisire clienti presentandosi come Enel Energia.

Gli articoli di stampa riportati fanno, infatti, prevalentemente riferimento ad episodi che nulla hanno a che vedere con le ipotesi contestate, posto che la spendita del nome di Enel è utilizzata per tentare di accedere, tramite raggiro, all’interno delle abitazioni degli utenti al fine di perpetrare azioni illecite ai danni dei malcapitati (prevalentemente persone anziane e sole).

Analogamente, il riferimento all’associazione di categoria Federconsumatori – peraltro non relativo ad una presa di posizione pubblica degli organi nazionali dell’associazione bensì riferito ad una intervista rilasciata da una rappresentante locale (Sezione di Taranto) – si riferisce al fenomeno delle truffe e dei tentativi di intrusione nelle abitazioni. Risulta pertanto inconferente rispetto alla fattispecie in esame e non rappresenta un profilo significativo ai fini della valutazione del Garante e in particolare rispetto al tema della responsabilizzazione.

A tal proposito è necessario premettere che le disposizioni regolamentari (artt. 5, par. 2, e 25, par. 1 del Regolamento; art. 5, par. 2 e art.5, par. 2 e 24 del Regolamento) delineano un preciso quadro di responsabilità generale gravante sul titolare del trattamento, non solo nel senso di imporre a quest’ultimo l’adozione di misure adeguate ed efficaci per assicurare il rispetto della disciplina in materia di protezione dei dati personali ma anche nel senso di esigere che il titolare dimostri, in concreto e con elementi probatori, la conformità di qualsiasi attività di trattamento che abbia effettuato direttamente o che altri abbiano effettuato per suo conto (si veda anche considerando 74, RGPD). È necessario, dunque, fornire evidenza di valutazioni complessive svolte sulle caratteristiche dei trattamenti, sui rischi ad essi connessi e sulla efficacia e adeguatezza delle misure adottate caso per caso. Efficacia ed adeguatezza che non possono che essere testate e dimostrate se non attraverso strutturati e sistematici meccanismi di verifica.

La ratio delle disposizioni sopra richiamate risiede nella necessità di far sì che il complesso degli adempimenti in materia di privacy non si riduca ad un assemblaggio meramente cartolare e che la “filiera” delle responsabilità nell’ambito del trattamento non preveda indebiti “scaricabarile” ma sia sempre, da ultimo, riconducibile al titolare. Questi, infatti, è il primario motore dei complessi meccanismi che determinano la compatibilità delle varie attività svolte con le disposizioni del Regolamento e del Codice volte a consentire all’interessato il pieno governo dei propri dati e il compiuto esercizio dei propri diritti e delle proprie libertà.

Il principio di responsabilizzazione, dunque, delineato sia in una prospettiva giuridica (art. 5, par. 2 e art. 24) sia in una più moderna dimensione tecnologica (art. 25) comporta il superamento di una logica esclusivamente formalistica di adeguamento al dato normativo, imponendo al titolare del trattamento di approntare sistematici meccanismi di verifica, anche ex ante ed ex post, del rispetto della normativa in materia di protezione dei dati personali da parte di tutti i soggetti coinvolti nella filiera dei trattamenti che lo riguardano, che possono essere ad esso riconducibili o che possono recare vantaggi anche di carattere economico al titolare.

A tal proposito il Garante osserva, in via preliminare, che il titolare ha fornito nel corso della fase difensiva elementi solo di carattere formale, per lo più legati alla dimensione della liceità contrattuale tra EE e i propri partner – che peraltro nulla prova sotto il profilo del corretto trat-tamento dei dati personali – senza produrre appunto necessaria evidenza di iniziative concrete assunte in qualità di titolare del trattamento, a fronte del dilagare di un fenomeno così invasivo e preoccupante nel corso degli anni, che avrebbe dovuto fungere per la società da vero e pro-prio  “campanello di allarme”.

La storia, la struttura e la dimensione organizzativa di Enel Energia ben avrebbero consentito a questa società, leader nel mercato energetico italiano e da sempre protagonista della vita economico-produttiva del Paese, seppure con forme e modalità differenti, di approntare con la dovuta diligenza misure organizzative all’avanguardia nella tutela degli interessati, nonché appropriati ed efficaci strumenti di controllo sull’intera filiera coinvolta nel trattamento dei dati personali. Ciò, a maggior ragione, in considerazione, da un lato, della mole di dati personali di cui la società, proprio in virtù della sua posizione e della sua storia, è detentrice (attualmente 9 milioni di clienti – cfr. scritti difensivi, punto 173), dall’altro, dell’elevato numero di segnalazioni ricevute ogni mese direttamente da EE (scritti difensivi, punto 167: una media mensile, da aprile 2020 ad aprile 2021, di circa 740 istanze di esercizio dei diritti, in larga parte relative al diritto di opposizione), nonché delle numerose e reiterate richieste di informazioni inviate dal Garante.

Tutto ciò premesso, con riferimento allo specifico profilo emerso in sede difensiva sulle mo-dalità di gestione delle attività promozionali nella fase antecedente alla pandemia, quando alla rete di vendita di EE era vietato l’utilizzo di liste telefoniche, giova evidenziare che la Società avrebbe dovuto, a fronte del crescente numero di segnalazioni relative a contatti telefonici in-desiderati, verificare che tale pressante divieto fosse stato adeguatamente osservato, compro-vando peraltro l’esistenza di strumenti di verifica. Ciò anche mediante controlli idonei a deli-neare e documentare comunque l’origine del dato alla base della eventuale proposta contrat-tuale e/o le modalità di “primo contatto” del potenziale cliente. Tale tipologia di controllo è del tutto differente da una attività di verifica di liste di anagrafiche (richiamata nella memoria di-fensiva), che appare, infatti, inconferente rispetto a quanto contestato dall’Autorità.

Tali controlli potevano, in primis, essere agevolmente svolti se le modalità di primo contatto e/o l’origine del dato del cliente avessero, per esempio, formato espressamente oggetto di indi-cazione analitica nel sistema di registrazione dei contratti, anche utilizzando il canale informa-tivo della Quality call che, invece, da quanto emerso documentalmente, non contiene riferimen-ti specifici rispetto alla verifica della liceità dell’originaria acquisizione del dato e/o del primo contatto, focalizzandosi piuttosto sulla sola verifica della regolarità dei profili contrattuali.

Analogamente, dalla documentazione fornita dalla Società ed esaminata dal Garante, non emergono con univoca chiarezza le caratteristiche delle modalità di accesso ai sistemi deputati all’attivazione delle offerte e dei servizi, attraverso cui le agenzie possono veicolare il risultato delle proprie attività. È su questo passaggio, infatti, che dovrebbero concentrarsi i controlli suc-cessivi da parte del titolare, soprattutto in un sistema commerciale complesso e stratificato qua-le quello presentato da EE. Difatti, se in un passaggio della memoria si fa riferimento alla rice-zione, da parte di EE, della “proposta contrattuale dalle agenzie” (Punto 37) e negli schemi con-trattuali allegati, si legge come le agenzie si impegnino ad “utilizzare in via esclusiva il sistema informativo autorizzato o messo a diposizione dalla Preponente” tuttavia non è stata fornita alcuna incontrovertibile evidenza circa il funzionamento effettivo di tale sistema e circa l’attività di monitoraggio e controllo svolta da EE, al fine di rappresentare all’Autorità l’idoneità delle mi-sure. Ciò, a maggior ragione, ove si consideri che, come emerso dalla documentazione in atti, la Società risulta piuttosto delegare in toto alle agenzie il controllo preventivo sulla liceità del primo contatto: “Eventuali verifiche pre-caricamento nei sistemi informatici eseguite attraverso l’utilizzo del contatto telefonico rientrano, altresì, nella diretta ed esclusiva responsabilità dell’Agenzia.” (Contratto Agenzia, All. 13 alla memoria, punto 2.2).

Similmente, all’interno del contratto tra EE e i negozi partner (punti fisici) si individua una sorta di manleva a favore di EE quando si legge: “Il Partner sarà unico responsabile dell’operato dei Punti Enel e dello Staff, qualsivoglia siano i rapporti giuridici che intercorrano con lo stesso, obbli-gandosi a tenere indenne Enel Energia da qualsiasi pretesa o richiesta avanzata, in relazione allo svol-gimento delle attività oggetto del Contratto, dal Punto Enel, dallo Staff o da terzi, ivi comprese quelle relative a risarcimenti danni, a obbligazioni retributive, a indennità e contributi previdenziali e/o assi-curativi, nonché quelle relative a qualsiasi ulteriore obbligazione o adempimento derivante dalla nor-mativa vigente in materia di lavoro autonomo e subordinato, dalla normativa posta a tutela della pri-vacy, dalla normativa fiscale.” (Contratto PENP, All. 12 alla memoria, punto 5.3).

Infine, rileva la circostanza per cui EE dispone, in sede di validazione dei contratti, di una serie di informazioni che attengono alla corretta gestione, anche da parte del singolo operatore, delle attività promozionali, essendo nella condizione di poter individuare facilmente per cia-scun contratto il canale di vendita e l’incaricato (il riferimento è al codice contratto, codice incari-cato, codice canale, tutti presenti all’interno del modulo di adesione, liberamente scaricabile sul sito Internet della Società).  Tuttavia appare evidente che la Società non compie questo genere di controlli o quantomeno non ne ha fornito evidenza al Garante, come si evince sia dalla già richiamata assenza nella Quality call di riferimenti specifici alla verifica della liceità sull’origine del dato, sia dal rinvio che viene compiuto all’attività dei partner sia, infine, dalle stesse affer-mazioni della società esplicitate in sede difensiva quando si legge: “Se alcune agenzie hanno in ipotesi avallato chiamate commerciali, estranee in sé e per sé (e non semplicemente per le modalità) alle attività previste da EE, non si poteva pretendere che EE svolgesse ex ante controlli su attività total-mente nascoste ed estranee alla propria filiera commerciale, attività che EE non poteva evidentemente nemmeno prevedere. Indagini di quel tipo riguardano la condotta materiale dei dipendenti delle agen-zie, alle spalle delle agenzie stesse e di EE, e non rientrano tra i poteri del titolare del trattamento [omissis] Quando un’attività illecita è completamente estranea e invisibile al titolare del trattamento, questi – se ha evidenza successiva di violazioni di tal fatta – non può che invocare l’intervento dell’autorità giudiziaria e chiudere i rapporti con chi se ne sia reso protagonista. Né la Contestazione indica ragionevoli misure volte a mitigare un rischio del genere, dato che la Contestazione illustra mancate misure relative alla gestione di attività di telemarketing e teleselling non previste da EE.” (scritti difensivi, punti 51 e 53).

Disponendo, dunque, delle informazioni necessarie a collegare ciascuna proposta contrat-tuale persino con il singolo operatore, la verifica dei volumi di vendita di ciascun operatore in relazione ad altre variabili, quali, a mero titolo esemplificativo, l’area geografica, la densità di popolazione relativa all’area commerciale di riferimento e altri analoghi indicatori numerici avrebbero reso possibile l’individuazione di pratiche scorrette e in violazione della normativa in materia di protezione dei dati. Parimenti indispensabile la già richiamata verifica, da effet-tuarsi direttamente presso il cliente, della liceità dell’origine del dato personale alla base della proposta contrattuale. Enel Energia disponeva di tutti gli strumenti necessari a contrastare sul nascere fenomeni di “sottobosco” di cui, peraltro, era a conoscenza ben prima dell’intervento del Garante.

Misure, quali quelle qui descritte, se adottate e se rappresentate al Garante (al quale non si può certo imputare la mancata indicazione nell’atto di contestazione) avrebbero dato oppor-tuna contezza di una impostazione non meramente formalistica e conservativa basata sul con-tratto e sulle sue caratteristiche ma, al contrario, avrebbero fatto emergere un apprezzabile ap-proccio proattivo a tutela del complesso dei diritti del consumatore e dell’interessato.

Emerge, in conclusione, l’assenza di un concreto collegamento fra le informazioni relative alle attività promozionali che vengono poste in essere, con qualunque modalità e in ogni for-ma, in base ai differenti canali di vendita, da EE e la piattaforma deputata alla validazione e alla registrazione dei contratti, cosicché le due differenti fasi (quella promozionale e quella con-trattuale) rimangono sostanzialmente separate e ciò rende possibile, da parte di agenti che in-tendano veicolare le proposte contrattuali senza seguire le disposizioni del titolare, inserire le stesse anche in caso di contatto promozionale illecito o comunque indesiderato. Ciò rende non solo possibile ma anche fortemente probabile, attesa la labilità delle “difese” poste in essere, che l’ingente quantità di contatti indesiderati portati all’attenzione dell’Autorità siano stati posti in essere nell’ambito della promozione di prodotti e servizi della Società.

Nell’ottica di quanto richiesto dall’art. 5, par. 2, del Regolamento, che impone al titolare di comprovare la liceità dei trattamenti, proprio l’assenza di misure, nel sistema ufficiale di regi-strazione, che verifichino il pieno rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto è condizione idonea a rappresentare la porta d’accesso per eventuali “procacciatori non ufficiali” di contratti in grado di “catturare” gli utenti destinatari delle lamentate telefonate promozionali, i quali costantemente denunciano un contatto in nome della Società (analogamente a quanto già rappresentato nei richiamati provvedimenti nei confronti di Vodafone Italia S.p.A. e Fastweb S.p.A.).

Peraltro, per affrontare in radice il problema, non è sufficiente agire in via esclusiva sulla re-te di vendita “ufficiale”, proprio a fronte di quel danno reputazionale che la Società lamenta con tanta convinzione, quanto piuttosto prevedere, come l’Autorità ha già avuto modo di evi-denziare, meccanismi efficaci volti a monitorare e a contrastare, anche in considerazione delle capacità organizzative e aziendali della principale società energetica italiana, un fenomeno che impatta in maniera così significativa e pervasiva sulla dimensione privata degli interessati che lamentano contatti promozionali indesiderati da parte di Enel Energia e ad escludere in radice che nella rete di vendita di Enel Energia si verifichino contatti tramite telefono.

In tal senso l’Autorità non ha mancato, in altre occasioni, di richiamare, proprio in una logi-ca preventiva e di rispetto della privacy by design, la possibilità di ricorrere a scelte societarie e organizzative volte, ad esempio, a inibire l’attivazione contrattuale di offerte o servizi quando esse non siano certamente riconducibili ad attività svolte nel rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto e dell’origine del dato (cfr. già menzionati provvedimenti nei confronti di Vodafone Italia S.p.A, 12 novembre 2020, doc. web 9485681, e Fastweb S.p.A., 25 marzo 2021, doc. web 9570997).

Tali medesime condizioni andrebbero applicate anche alle campagne di telemarketing che dichiaratamente EE ha ripreso a seguito dell’emergenza pandemica. Tali attività, al fine di non violare le disposizioni del Regolamento, andranno condotte nel pieno rispetto dei principi di responsabilizzazione e privacy by design, dovendo il titolare comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di con-tatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoni-che censite e iscritte al ROC – Registro degli Operatori di Comunicazione e fermo restando la necessaria verifica delle liste di contattabilità, come più volte ribadito dal Garante (da ultimo si veda Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A., 13 maggio 2021, doc. web n. 9670025).

5-6) Con riferimento alle contestazioni di cui ai numeri 5 e 6 (art. 5, par. 1, lett. d); artt. 5, par. 1, lett. d), e 6 del Regolamento, Liceità del trattamento), i riferimenti ad un “errore manua-le dell’operatore”, nel primo caso, ed a un errore materiale, nel secondo,  non valgono a solle-vare la Società dalla responsabilità derivante dalla violazione delle menzionate disposizioni né consentono di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fe-de, a maggior ragione perché non analiticamente documentati e in ordine ai quali EE non è sta-ta in grado di dimostrare l’inevitabilità. L’Autorità prende comunque atto della dichiarazione di Enel di aver prontamente posto rimedio all’errore in uno dei due casi (IV cum: 147284).

Quanto alle contestazioni richiamate nei numeri da 7 a 9 relativamente alle richieste di eser-cizio dei diritti è doveroso premettere alcune considerazioni. Pur prendendo atto di quanto af-fermato dalla Società in sede di memoria difensiva (Punto VI.G della memoria e annessa tabel-la) circa il consistente volume di richieste di esercizio dei diritti che vengono gestite dalla stessa, sia su base mensile sia su base annua, occorre comunque ribadire che, sebbene i rappresentati disallineamenti rispetto alle ordinarie modalità operative in tema di esercizio dei diritti costitui-scano una espressione statistica non significativamente rilevante rapportata alla attività di Enel Energia, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natu-ra correttiva e sanzionatoria.

7) quanto alle contestazioni richiamate all’interno del numero 7 (art. 12 del Regolamento, le argomentazioni fornite in merito al ritardo nei riscontri nei casi di cui ai fascicoli 132334 e 129416 (I cum.) non consentono di superare il rilievo circa la violazione delle norme poste a presidio della necessaria tempestività dei riscontri che devono essere forniti agli interessati a seguito di istanze di esercizio dei diritti.

Ciò, nel caso di specie (132334), anche tenendo conto della circostanza per cui la precedente disciplina dettata dal Codice già prevedeva l’istituto del cd. “interpello preventivo” e, dunque, non poteva avere rilevanza il fatto che non fosse stata data, all’epoca, una piena e completa applicabilità alla nuova normativa europea. Allo stesso modo, la circostanza per cui l’istanza rivolta dall’interessato fosse contestualmente oggetto di una richiesta di informazioni del Garante, avrebbe semmai dovuto indurre il titolare ad un comportamento virtuoso e non, come invece accaduto, reticente circa il riscontro (129416). In entrambi i casi, si ritiene che il ritardo, per quanto comunicato agli interessati, non fosse giustificato né giustificabile, dal momento che il titolare era senza dubbio in grado di fornire un completo ed esaustivo riscontro alle richieste degli stessi sin da subito.

Relativamente, poi, alla fattispecie oggetto di segnalazione nel fascicolo 144726 (III cum.), si rinviene nella memoria il riferimento ad un “mero disguido tecnico”. Tale circostanza non sgrava la Società della responsabilità derivante dalla violazione dell’articolo 12 né consente, in questo come nei precedenti casi, di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fede, dal momento che non è stata fornita prova del fatto che l’errore non è derivato da colpa. Ciò, a maggior ragione, perché l’inconveniente tecnico non è stato in alcun modo documentato né se ne è dimostrata l’inevitabilità.

Infine, con riferimento al fascicolo 138729 (IV cum.), non avendo il titolare fornito alcun elemento ulteriore volto a giustificare il mancato riscontro ad una istanza di esercizio dei diritti, è da ritenersi pienamente integrata la violazione dell’art. 12 del Regolamento;

8) parimenti, con riferimento alla contestazione analoga, ma riferita a differente fattispecie (IV cum. fasc. 136020), di cui al numero 8 (artt. 5. par. 1, lett. a), la circostanza che si sia trattato effettivamente di un errore di digitazione, non vale a superare le osservazioni dell’Autorità, dal momento che l’interessato comunque non ha ricevuto in prima battuta un riscontro chiaro ed inequivocabile rispetto alla fattispecie oggetto del reclamo. Si fa notare che la circostanza dell’errore di digitazione, se chiarita dall’inizio e non solo in sede difensiva e su sollecitazione del Garante, avrebbe permesso all’Autorità di verificare, disponendo di più specifici elementi, l’eventuale sussistenza di una più pertinente violazione in materia di mancato rispetto del principio di esattezza; peraltro, in tale contesto andrebbe evidenziato che, affinché l’errore di digitazione potesse essere considerato scusabile, la Società, per esempio, avrebbe dovuto fornire prova della volontà di contattare una numerazione differente di pochi elementi numerici da quella effettivamente chiamata nel medesimo contesto della campagna pubblicitaria;

9) con riguardo alla contestazione di cui al numero 9 (art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice), l’errore commesso e riconosciuto dalla Società nell’aver indicato un indirizzo email non corretto in una comunicazione all’interessato ha, di fatto, ostacolato  l’esercizio del diritto di opposizione (istruttorie singole: 133249) così come le  argomentazioni offerte dalla Società circa la mancata registrazione del diniego in fase di sottoscrizione contrattuale confermano la sussistenza della responsabilità della Società per l’invio di comunicazioni promozionali tramite e-mail senza il previo necessario consenso dell’interessato;

10) in relazione alla contestazione richiamata al numero 10 (art. 130, comma 4, del Codice) il titolare non ha prodotto alcuna prova documentale in grado di dimostrare che la reclamante avesse ricevuto la necessaria, adeguata informazione  circa la possibilità di ricevere comunicazioni su servizi e prodotti analoghi, attraverso le proprie coordinate di posta elettronica e, quindi, circa la presenza di quell’elemento oggettivo di carattere informativo che è fondamentale per una corretta interlocuzione con gli interessati e che legittima l’esonero dall’acquisizione del relativo consenso, oltre agli ulteriori elementi richiamati dall’art. 130, comma 4, del Codice come pure dal Provvedimento del Garante del 4 luglio 2013 (doc. web n. 2542348) (istruttorie singole: 136321); in assenza di tali fondamentali elementi di carattere informativo, la violazione dell’art. 130, comma 4, risulta integrata;

11) con riferimento al profilo di contestazione relativo alla mancata allegazione della documentazione sulla strutturazione dei consensi nell’ambito del Profilo Unico (richieste IV cum. e IV-bis cum.), la richiamata difesa di parte non ha fondamento. Le richieste del Garante volte a comprendere il funzionamento del Profilo Unico comportavano, come naturale corollario, la documentazione illustrativa della modalità di acquisizione dei consensi per finalità di marketing e profilazione;

12) per quanto riguarda le contestazioni riportate al numero 12 (artt. 5, par. 1, lett. a), 12 e 13 del Regolamento) in relazione alle informazioni fornite agli interessati, pur avendo la Società maggiormente chiarito l’interazione esistente tra Enel Energia s.r.l. ed Enel Italia e pur avendo provveduto a modificare le informative presenti sul sito assorbendo i rilievi del Garante, la comunicazione informativa precedentemente fornita da parte della Società agli utenti del sito internet non era in grado di soddisfare i requisiti di correttezza e trasparenza a vantaggio degli interessati;

13) sempre relativamente al Profilo Unico, rispetto alla contestazione di cui al numero 13 (art. 5, par, 1, lett. c), del Regolamento), il Garante prende atto delle spiegazioni fornite da EE in fase difensiva e ritiene che gli elementi raccolti siano pertinenti e idonei a sollevare la Società da responsabilità circa un mancato rispetto del principio di minimizzazione, ferma restando la necessaria rivalutazione, da parte del titolare del trattamento, circa il rispetto del principio di minimizzazione nel caso in cui muti l’attuale assetto rappresentato al Garante, per esempio attraverso un aumento del numero delle società che fruiscono del Profilo unico e un conseguente mutamento delle finalità del trattamento;

14) rispetto alle contestazioni di cui al numero 14 (artt. 12 e 13 del Regolamento), pur aven-do la Società rappresentato di aver provveduto a rivedere l’informativa “compiendo scelte lessi-cali più chiare.” (Punti 199-204), l’informativa finora fornita non può ritenersi completa ed esaustiva rispetto alla individuazione dei soggetti terzi destinatari dei dati, stante il generico richiamo a “società del Gruppo Enel, società controllanti, controllate o collegate, o da partner com-merciali di Enel Energia”. Con riferimento al periodo antecedente il giugno 2021, l’informativa rilasciata agli interessati da EE nell’ambito del proprio portale risultava carente proprio con ri-guardo ad una necessaria individuazione dei soggetti destinatari dei dati, quantomeno con ri-ferimento alle categorie merceologiche, sia nell’ambito delle società facenti parte del Gruppo Enel sia con riferimento ad una generica platea di partner commerciali. Per tali aspetti l’informativa è risultata, quindi, carente ed inadeguata con riferimento ai requisiti previsti da-gli artt. 12 e 13 RGPD;

15) quanto alla granularità e specificità dei consensi, con riguardo a trattamenti svolti da soggetti diversi in veste di autonomi titolari di cui al numero 15 (artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice), premesso che in sede di audizione EE ha comunicato di aver già adottato alcune misure per accogliere le osservazioni formulate dal Garante (tra cui proprio una revisione del wording dei consensi per una migliore riformulazione degli stessi), i rilievi dell’Autorità sono confermati. La previsione di un consenso nei termini accertati dal Garante nell’atto di avvio del procedimento non soddisfa i requisiti di granularità e chiarezza, ricavabili dalla normativa regolamentare. Difatti, un consenso unico alla comunicazione dei dati per finalità promozionali anche da parte di società del gruppo, società controllanti, controllate e collegate e partner commerciali di EE, non può considerarsi né specifico né libero e non costituisce una idonea base giuridica per i richiamati trattamenti, ai sensi dell’art. 6 RGPD.

Le informazioni fornite dalla Società in fase difensiva parrebbero aver chiarito che il consenso richiesto per le attività di marketing delle “società controllanti, controllate, collegate o partner commerciali di EE” da parte dei medesimi soggetti non si riferisce ad una comunicazione di dati da Enel a soggetti terzi per finalità di marketing di questi ultimi. Tuttavia in assenza di una chiara individuazione dei soggetti destinatari, non può comunque considerarsi idoneo un consenso collegato a trattamenti riferibili ad un numero indeterminato di soggetti.

Analoghi rilievi possono estendersi alla richiesta di un consenso unico per finalità di profilazione sia di Enel Energia che dei soggetti già richiamati, quali autonomi titolari del trattamento, poiché, anche in tal caso, un consenso lecitamente acquisito deve essere specifico e distinto per poter costituire una idonea base giuridica, ai sensi della richiamata norma regolamentare.

Pertanto, con riferimento agli aspetti anche fattuali sopra evidenziati e tenuto conto delle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, nonché dell’ulteriore documentazione prodotta, si formulano le seguenti valutazioni circa i profili riguardanti la disciplina in materia di protezione dei dati personali.

3. CONCLUSIONI

Per quanto sopra esposto, mentre può ritenersi superata la contestazione di cui al numero 13) in ragione dei motivi esposti nelle considerazioni in diritto al numero 13 (par. 2.2.). si ritiene accertata la responsabilità di Enel in ordine alle seguenti violazioni:

1)  Art. 31 del Regolamento, per le motivazioni descritte al numero 1 del precedente para-grafo 2.2;

2) Artt. 5, par. 2, e 25, par. 1 del Regolamento, per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2;

3) Artt. 5, par. 2 , per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2;

4) Art. 5, par. 2 e 24 del Regolamento, per le motivazioni descritte ai numeri da 2 a 4 del precedente paragrafo 2.2;

5) Art. 5, par. 1, lett. d), per le motivazioni descritte al numero 5 del precedente paragrafo 2.2;

6) Artt. 5, par. 1, lett. d), per le motivazioni descritte al numero 6 del precedente paragrafo 2.2;

7) Art. 12 del Regolamento, per le motivazioni descritte al numero 7 del precedente paragrafo 2.2;

8) Artt. 5. par. 1, lett. a) e 12, par. 2 del Regolamento, per le motivazioni descritte al numero 8 del precedente paragrafo 2.2;

9) Art. 21 del Regolamento e art. 130, commi 1 e 2 del Codice, per le motivazioni descritte al numero 9 del precedente paragrafo 2.2;

10) art. 130, comma 4, del Codice, per le motivazioni descritte al numero 10 del precedente paragrafo 2.2;

11) Art. 31 del Regolamento, per le motivazioni descritte al numero 11 del precedente paragrafo 2.2;

12) Artt. 5, par. 1, lett. a), 12 e 13 del Regolamento, per le motivazioni descritte al numero 12 del precedente paragrafo 2.2;

13) Artt. 12 e 13 del Regolamento, per le motivazioni descritte al numero 14 del precedente paragrafo 2.2;

14) Artt. 6, par. 1, del Regolamento e 130, commi 1 e 2, del Codice, per le motivazioni descritte al numero 15 del precedente paragrafo 2.2;

Da tale accertamento di illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario, nei confronti di Enel Energia S.p.A:

– rivolgere un avvertimento, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, circa le campagne promozionali tramite teleseller che, secondo le dichiarazioni difensive, EE ha ri-preso a seguito dell’emergenza pandemica. Tali campagne, al fine di non violare le disposi-zioni del Regolamento, andranno condotte nel pieno rispetto dei principi di responsabiliz-zazione e privacy by design, dovendo il titolare comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di con-tatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni tele-foniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e previa neces-saria verifica delle liste di contattabilità;

– rivolgere un ammonimento, ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità così come omet-tere la risposta ad una richiesta di informazioni formulata da quest’ultima, durante la fase istruttoria del procedimento, integra la violazione di quei doveri di collaborazione nei con-fronti dell’Autorità di controllo cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento;

– ingiungere, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamen-to svolto dalla propria rete di vendita, a modalità e misure idonee a prevedere e comprova-re che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante telefono, siano stati effet-tuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

– ingiungere, ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tec-niche ed organizzative necessarie alla gestione delle istanze di esercizio dei diritti degli inte-ressati – e in particolare il diritto di opposizione alle finalità promozionali – che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimen-to delle richieste, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestiva-mente comunicata agli interessati, di un’eventuale proroga per il riscontro;

– richiedere di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguata-mente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 40 dalla noti-fica del presente provvedimento; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

– adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Enel Energia S.p.A. delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 4 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei con-fronti di Enel Energia S.p.a. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3, 4 e 5, del Regolamento (pagamento di una somma fino a € 10.000.000 ovvero, per le imprese, fino al 2% del fatturato mondiale annuo dell’esercizio precedente, se superiore e pa-gamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Enel Energia S.p.A., in accordo con i precedenti provvedimenti adot-tati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in euro 530.279.555.

Ai fini della determinazione dell’ammontare della sanzione occorre tenere conto degli ele-menti indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui ai numeri 2, 3 e 4 in ragione della particolare pervasività dei contatti il-leciti effettuati in nome del titolare (lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla riservatezza e il diritto alla tranquil-lità individuale), del livello di danno effettivamente subito dagli interessati, che sono stati incessantemente esposti a chiamate di disturbo, delle crescenti difficoltà che gli stessi incon-trano per arginare il fenomeno, della molteplicità delle condotte poste in essere da EE in vio-lazione di più disposizioni del Regolamento e del Codice;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere ripetuto delle violazioni di cui ai numeri da 2 a 4, della durata supe-riore a sei mesi delle violazioni dei numeri da 2 a 4, se si considera che le prime segnalazioni riferiscono di chiamate indesiderate avvenute nel 2018; similmente il Profilo unico è stato at-tivo con le modalità illustrate nei numeri 12 a 15 sino al giugno 2021, quando, secondo le dichiarazioni rese dalla Società, informativa e box dei consensi sono stati modificati;

3) quale fattore aggravante, l’elevato numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui ai numeri da 2 a 4 deve tenere conto non solo dei numerosi segnalanti e reclamanti (140); similmente estesa è la platea di interessati i cui dati sono trattati nell’ambito del Profilo Unico. Secondo quanto riferito dalla Società in sede di ri-scontro, si tratterebbe di oltre 3 milioni di Digital users Enel;

4) quale fattore aggravante, il carattere negligente delle condotte (art. 83, par. 2, lett. b) del Re-golamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che, anche alla luce di recenti provvedimenti dell’Autorità, avrebbero dovuto costi-tuire un valido supporto nelle scelte organizzative della Società ma che invece, in particola-re con riferimento alle violazioni di cui ai numeri da 2 a 4, sono risultati in massima parte disattesi.

5) quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Re-golamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti cor-rettivi e sanzionatori con riferimento a trattamenti affini (art. 83, par. 2, lett. i) del Regolamento);

6) quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle viola-zioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento, in particolare: a) alla imple-mentazione della possibilità per l’interessato di verificare direttamente dal sito web di EE “la riferibilità a EE e ai suoi partner delle numerazioni dalle quali egli abbia ricevuto chiamate commerciali.”; b) alla avvenuta modifica delle informative presenti sul sito, ivi compresa quella relativa al Profilo unico; c) alla riformulazione delle didascalie illustrative in prossimi-tà dei riquadri per l’acquisizione dei consensi, sempre nell’ambito del Profilo unico;

7) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del tratta-mento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle pro-cedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente ap-plicabile dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla re-golamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la primaria posizione di mercato di Enel Energia nel set-tore delle telecomunicazioni e il valore economico complessivo della Società; l’esigenza di in-trodurre con prontezza misure adeguate, a fronte di un netto e percepibile incremento del fenomeno delle comunicazioni promozionali, di cui la Società ha mostrato di avere piena contezza, con l’approssimarsi del termine ultimo previsto dal legislatore per il definitivo passaggio dal mercato tutelato dell’energia elettrica e del gas naturale al mercato libero.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilan-ciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle san-zioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Socie-tà, si ritiene debba applicarsi a Enel Energia S.p.a. la sanzione amministrativa del pagamento di una somma di euro 26.513.977 (ventisei milioni, 513.977), pari al 5% della sanzione massi-ma edittale, in linea con altri recenti provvedimenti adottati dall’Autorità in materia di tele-marketing.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblica-zione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Co-dice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) rivolge un avvertimento ad Enel Energia S.p.A., ai sensi dell’art. 58, par. 2, lett. a), del Regolamento circa le campagne promozionali tramite teleseller che, secondo le dichiara-zioni difensive, il titolare ha ripreso a seguito dell’emergenza pandemica; tali campagne, al fine di non violare le disposizioni del Regolamento, andranno condotte nel pieno ri-spetto dei principi di responsabilizzazione e privacy by design, dovendo il titolare com-provare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e previa necessaria verifica delle liste di contattabilità;

b) rivolge un ammonimento ad Enel Energia S.p.A., ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una do-cumentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità così come omettere la risposta ad una richiesta di informazioni formulata da quest’ultima, durante la fase istruttoria del procedimento, integra la violazione di quei doveri di collaborazione nei confronti dell’Autorità di controllo cui il titolare del tratta-mento è tenuto ai sensi dell’art. 31 del Regolamento;

c) ingiunge ad Enel Energia S.p.A, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare ogni trattamento svolto dalla propria rete di vendita, a modalità e misure idonee a prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali che, qualora siano stati operati mediante telefono, siano stati effettuati dalla suddetta rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e nel rispetto delle disposizioni di cui all’art. 130 del Codice;

d) ingiunge ad Enel Energia S.p.a, ai sensi dell’art. 58, par. 2, lett. d), di implementare tutte le ulteriori misure tecniche ed organizzative necessarie alla gestione delle istanze di eser-cizio dei diritti degli interessati – e in particolare il diritto di opposizione alle finalità pro-mozionali – che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimento delle richieste, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestivamente comunicata agli interessati, di un’eventuale proroga per il riscontro;

e) ingiunge ad Enel Energia S.p.a., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, entro 40 giorni dalla notifica del presente provvedimento, le iniziative intra-prese al fine di dare attuazione alle prescrizioni e ai divieti adottati, nonché alle richieste dei reclamanti; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

ad Enel Energia S.p.a., in persona del legale rappresentante pro-tempore, con sede legale in Roma, Viale Regina Margherita n. 125, C.F. 06655971007, di pagare la somma di euro 26.513.977 (ventisei milioni, 513.977) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 26.513.977 (ventisei milioni, 513.977), se-condo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provve-dimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del pre-sente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provve-dimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 16 dicembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICESEGRETARIO GENERALE
Filippi

Gli spammer restino seduti

Reading Time: < 1 minute

Vorrei approfittare dei miei mezzi (che sono MIEI, e in quanto tali li uso come voglio) per ricordare alla ditta italiana che mi ha mandato una mail di spamming, che non ha risposto entro 30 giorni al mio interpello preventivo e che ha parzialmente aderito alle mie richieste SOLO DOPO una sollecitazione del Garante in tal senso, che è INUTILE che mi telefoni anche QUATTRO volte al giorno. Prima di tutto perché ho da fare, in secondo luogo perché non ho voglia di rispondere, in tertiis perché comunque NON E’ corretto nei confronti dell’Autorità che se ne sta occupando.

Se hanno da dirmi qualcosa, il mio indirizzo PEC ce l’hanno, quello del Garante lo stesso, scrivano pure a me o a lui. Ma al telefono di queste cose non si parla. Non so cosa abbiano da dirmi (che sono uno stronzo, probabilmente, il che è verissimo), ma qualsiasi cosa sia, avevano 30 giorni di tempo per rispondermi e non mi si sono filati di pezza e adesso gli bruciano le terga per una letterina di invito del Garante? Su, via, e che sarà mai?

Spamming italiano: una PEC del Garante per la Privacy

Reading Time: < 1 minute

Ho appena ricevuto una PEC da parte del Garante per la Protezione dei Dati Personali, in merito ad un mio reclamo proposto in seguito all’invio di un messaggio di posta elettronica indesiderata (spamming) da parte di una ditta italiana.

Non faccio nomi, naturalmente, almeno fino alla completa definizione del procedimento. Sulla comunicazione inerlocutoria che mi è arrivata, c’è un invito alla controparte a chiarire se intenda o no aderire alle mie richieste, e a rispondere in un massimo di 20 giorni. Dopodiché avrò 10 giorni di tempo io per affidare al Garante le mie controdeduzioni.

In caso di inottemperanza, lo spammer rischia una sanzione amministrativa pecuniaria.

La lotta contro lo spamming di casa nostra (l’unica che si possa portare avanti, del resto) vale la pena di essere intrapresa. Spammare la gente non lo so (ma gli conviene?)

Esenzione vaccino: la circolare del Ministero della Salute (file PDF)

Reading Time: 4 minutes

Sono profondamente debitore alla Dottoressa Giannina Candelori per avermi segnalato tempestivamente la circolare del Ministero della Salute n. 35309 del 4 agosto scorso.

La circolare n.35309 del 4 agosto riporta indicazioni per l’esenzione dal vaccino delle persone che non possono vaccinarsi a causa di una condizione medica.

Che uno dice, “finalmente se ne sono occupati, chissà quale coniglio avranno estratto dal cilindro Lorsignori, ma l’essenziale è che anche le categorie più deboli siano protette”.

Ma vediamo cosa dice in concreto:

“La certificazione di esenzione alla vaccinazione anti SARS-COV-2 (di seguito “certificazione”) viene rilasciata nel caso in cui la vaccinazione stessa venga omessa o differita per la presenza di specifiche condizioni cliniche documentate, che la controindichino in maniera permanente o temporanea.”

Quindi, l’esenzione deve essere debitamente DOCUMENTATA da certificazioni mediche (ad esempio visite allergologiche).

Ma CHI certifica?

“Fino al 30 settembre 2021, salvo ulteriori disposizioni, le certificazioni potranno essere rilasciate direttamente dai medici vaccinatori dei Servizi vaccinali delle Aziende ed Enti dei Servizi Sanitari Regionali o dai Medici di Medicina Generale o Pediatri di Libera Scelta dell’assistito che operano nell’ambito della campagna di vaccinazione anti-SARS-CoV-2 nazionale.”

Quindi, se avete delle patologie incompatibili con la somministrazione dei vaccini, andate pure dal vostro medico di base. L’essenziale è che tutto sia DOCUMENTATO e che la certificazione di esenzione venga rilasciata ENTRO il 30 settembre prossimo. Non avete molto tempo.

Cosa deve contenere il certificato di esenzione vaccinale?

“Le certificazioni dovranno contenere:

‒ i dati identificativi del soggetto interessato (nome, cognome, data di nascita);

‒ la dicitura: “soggetto esente alla vaccinazione anti SARS-CoV-2. Certificazione valida per consentire l’accesso ai servizi e attività di cui al comma 1, art. 3 del DECRETO-LEGGE 23 luglio 2021, n 105;

‒ la data di fine di validità della certificazione, utilizzando la seguente dicitura “certificazione valida fino al _________” (indicare la data, al massimo fino al 30 settembre 2021);

‒ Dati relativi al Servizio vaccinale della Aziende ed Enti del Servizio Sanitario Regionale in cui opera come vaccinatore COVID-19 (denominazione del Servizio – Regione);

‒ Timbro e firma del medico certificatore (anche digitale);

‒ Numero di iscrizione all’ordine o codice fiscale del medico certificatore.”

Ma soprattutto attenzione!

“I certificati non possono contenere altri dati sensibili del soggetto interessato (es. motivazione clinica della esenzione).”

Per cui il medico che sottoscrive la dichiarazione NON POTRA’ fare cenno alle vostre patologie, presenti o pregresse. La documentazione è, sì, essenziale per permettere al medico di valutare il vostro quadro clinico e decidere con serenità di conseguenza, ma il vostro datore di lavoro (sia esso Pubblica Amministrazione o privato) NON DEVE sapere di che cosa soffrite o avete sofferto in passato. TASSATIVO.

Ora, però, c’è un “ma”. La certificazione potrà essere valida “al massimo fino al 30 settembre 2021”. Ora, se si dovesse trattare di un soggetto con inidoneità PERMANENTE alla vaccinazione, la data limite del 30 settembre 2021 (tra poco, praticamente) sarebbe una limitazione ingiusta e ingiustificata. A meno che dal 1 ottobre non intervenga un’altra circolare a normare la già intricata matassa.

Prendiamo, per esempio, il caso di una donna in gravidanza con patologie che termini la gestazione OLTRE il 30 settembre. Non è che prima del 30 settembre è ammalata e dopo il 30 settembre guarisce di colpo. Avrà certamente bisogno di una certificazione TEMPORANEA, non dico di no, ma almeno sufficiente a coprire tutto il periodo della gravidanza.

E a proposito di gravidanza, cosa dice la circolare?

“La vaccinazione anti-SARS-CoV-2 non è controindicata in gravidanza. Qualora, dopo valutazione medica, si decida di rimandare la vaccinazione, alla donna in gravidanza potrà essere rilasciato un certificato di esenzione temporanea alla vaccinazione.”

Cioè, lo SCRIVONO. Mettono NERO SU BIANCO che la vaccinazione “non è controindicata in gravidanza”. Questo andrebbe come minimo lasciato decidere alla sensibilità e alla libertà dei medici e valutato caso per caso, non può essere assunto come un dogma, e, come tale, indiscutibile. Lo scrive il Ministero della Salute, non un Pinco Pallino qualsiasi. E poi chi glielo spiega alla donna in gravidanza che dovesse manifestare delle reazioni avverse che non ci sono controindicazioni? Il medico vaccinatore se la sentirebbe di escludere QUALSIASI tipo di conseguenza in seguito alla somministrazione del vaccino e di sottoscrivere una dichiarazione scritta autografa in tal senso. Io qualche dubbio lo conservo.

E l’allattamento?

“L’allattamento non è una controindicazione alla vaccinazione anti-SARS-CoV-2.”

Veramente dovrebbe essere la vaccinazione a non costituire una controindicazione all’allattamento e non il contrario. Comunque anche qui il linguaggio è dogmatico. A differenza di quanto dichiarato per la gravidanza, qui non c’è neanche il beneficio del dubbio. Non ci sono controindicazioni punto e basta. Vengono i brividi solo a leggerlo, con questo stile asciutto e burocratico, come se non si trattasse della salute delle donne e dei loro nascituri.

Cosa è consigliato in caso di reazione allergica?

“Una reazione allergica grave dopo una dose di vaccino o a qualsiasi componente del vaccino costituisce una controindicazione alla somministrazione di ulteriori dosi dello stesso vaccino o di prodotti che contengano gli stessi componenti. Questo tipo di reazione allergica si verifica quasi sempre entro 30 minuti dalla vaccinazione, anche se sono imputabili a vaccino i casi di anafilassi insorti entro le 24 ore. In caso di reazione allergica grave alla prima dose di un vaccino COVID-19, si può considerare la possibilità di utilizzare un vaccino di tipo diverso per completare l’immunizzazione; tuttavia, vista la possibilità di reazioni crociate tra componenti di vaccini diversi è opportuno effettuare una consulenza allergologica e una valutazione rischio/beneficio individuale.”

Quindi:

a) le reazioni “allergiche” si verificano solitamente entro 30 minuti dalla somministrazione, ma
b) le reazioni anafilattiche possono insorgere ANCHE entro 24 ore dall’inoculazione
c) si consiglia di valutare la possibilità di completare il ciclo vaccinale con un altro tipo di vaccino, ma
d) è possibile l’insorgere di “reazioni crociate tra componenti di vaccini diversi”.

Non è una bella prospettiva, no davvero.

Nel file PDF che vi allego, e che contiene l’intero testo della circolare, sono incluse anche le definizioni di “controindicazioni” e di “precauzioni”, nonché le controindicazioni ai vaccini attualmente in fase di somministrazioni. Vi sono anche delle importanti note sull’insorgere della sindrome di Guillain-Barré e di casi di miocardite/pericardite. Per favore, leggetele con cura.

La circolare termina con una nota importante sui test sierologici:

“Si ribadisce che l’esecuzione di test sierologici, volti a individuare la risposta anticorpale nei confronti del virus, non è raccomandata ai fini del processo decisionale vaccinale; per tale motivo la presenza di un titolo anticorpale non può di per sé essere considerata, al momento, alternativa al completamento del ciclo vaccinale.”

In soldoni, ci si vaccina anche se si hanno anticorpi sufficienti.

Firmato: Dott. Giovanni Rezza, direttore generale del Ministero della Salute.

Download (PDF, 510KB)

Covid 19: Il Garante privacy “avverte” la Regione Sicilia L’ordinanza del Presidente delle Regione viola le norme sulla privacy dei lavoratori – Comunicato stampa e testo del provvedimento

Reading Time: 26 minutes

Il Garante per la protezione dei dati personali ha avvertito la Regione Sicilia e tutti i soggetti coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Sicilia, in assenza di interventi correttivi, possono violare le disposizioni del Regolamento europeo e del Codice privacy.

L’ordinanza prevede infatti trattamenti di dati personali relativi allo stato vaccinale dei dipendenti pubblici e degli enti regionali, determinando limitazioni dei diritti e delle libertà individuali che possono essere introdotte solo da una norma nazionale di rango primario, previo parere dell’Autorità.

Le disposizioni regionali prevedono che tutti i dipendenti a contatto diretto con l’utenza siano “formalmente invitati” a ricevere la vaccinazione e, in assenza di questa, assegnati ad altra mansione.

Tali trattamenti relativi allo stato vaccinale del personale non previsti dalla legge statale, introducono, di fatto, un requisito per lo svolgimento di determinate mansioni su base regionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.

L’ordinanza prevede, inoltre, trattamenti generalizzati di dati relativi allo stato vaccinale dei dipendenti, anche da parte del medico competente, non conformi alla disciplina in materia di protezione dei dati e alla disciplina in materia di sicurezza nei luoghi di lavoro.

Considerata poi la delicatezza delle informazioni trattate e le possibili conseguenze discriminatorie in ambito lavorativo, il coinvolgimento dei datori di lavoro, previsto dall’ordinanza, in assenza di misure tecniche e organizzative può porsi in contrasto con le norme nazionali che vietano ai datori di lavoro di trattare informazioni relative alla salute, alle scelte individuali e alla vita privata dei dipendenti.

Il Garante, in considerazione delle gravi violazioni riscontrate, ha dunque ritenuto necessario intervenire tempestivamente per tutelare i diritti e le libertà degli interessati, prima che tali criticità producano i loro effetti, ed ha di conseguenza avvertito la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti, che, in assenza di interventi correttivi, i trattamenti di dati previsti possono violare la normativa privacy.

Il provvedimento adottato dal Garante è stato comunicato al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza, anche al fine di segnalare alle Regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

Roma, 23 luglio 2021


Provvedimento del 22 luglio 2021 [9683814]

Registro dei provvedimenti
n. 273 del 22 luglio 2021

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito, “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Decreto Legislativo 9 aprile 2008, n. 81, in materia di tutela della salute e della sicurezza nei luoghi di lavoro;

VISTO Protocollo condiviso di aggiornamento delle misure per il contrasto e il contenimento della diffusione del virus SARSCoV-2/COVID-19 negli ambienti di lavoro del 6 aprile 2021, che ha aggiornato il protocollo del 24 aprile 2020;

VISTO il decreto-legge 22 aprile 2021, n. 52, recante “Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da Covid-19”;

VISTO il Decreto del Presidente del Consiglio Dei Ministri del 17 giugno 2021 “Disposizioni attuative dell’articolo 9, comma 10, del decreto-legge 22 aprile 2021, n. 52, recante Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

Vista la documentazione in atti;

Viste le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, doc. web n. 1098801;

Relatore il prof. Pasquale Stanzione;

PREMESSO

Con l’ordinanza n. 75 del 7 luglio 2021 il Presidente della Regione Siciliana ha introdotto sul territorio regionale “Ulteriori misure per l’emergenza epidemiologica da Covid-19”, “al fine di conseguire celermente nel territorio della Regione Siciliana uno standard di vaccinazione non inferiore alla quota percentuale dell’80% per tutti i target anagrafici individuati a livello nazionale” e “tenuto conto del rischio di diffusione del virus nella variante comunemente nota come “Delta”.

Nella predetta ordinanza, il Presidente della Regione Siciliana prevede che sia disposta, una “ricognizione del personale non vaccinato operante nelle Pubbliche Amministrazioni e preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990”, disponendo, in particolare, all’art. 3 che:

–    “le AA.SS.PP. provvedono, mediante apposito interpello a tutti gli Enti pubblici operanti nel territorio della Regione Siciliana, alla ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione” (comma 1);

–    all’esito di tale ricognizione […] tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” (comma 2);

–    “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2);

–    analoga attività ricognitiva debba essere effettuata “con riferimento al personale preposto ai servizi di pubblica utilità e ai servizi essenziali di cui alla legge n. 146 del 12 giugno 1990, nonché agli autotrasportatori e al personale delle imprese che assicurano la continuità della filiera agro-alimentare e sanitaria e agli equipaggi dei mezzi di trasporto” (comma 1).

A seguito di richiesta di informazioni da parte di questa Autorità, con nota prot. n. XX del XX, la Regione Siciliana ha specificato che:

–    “l’Ordinanza contingibile e urgente del 7 luglio 2021, n. 75 è stata emanata dal Presidente della Regione sia in qualità di Autorità sanitaria regionale – ai sensi della legge n. 8233/1978 – sia come soggetto attuatore delle misure emergenziali connesse allo stato di emergenza dichiarato dal Consiglio dei Ministri relativo alla pandemia da Covid-19 (Ordinanza del Capo della Protezione civile n. 630/2020)”;

–    “si tratta, quindi, dell’esercizio di poteri riconosciuti per legge e volti ad intervenire con urgenza per contrastare l’evolversi (e, oggi, l’acuirsi) della pandemia. Impregiudicate, pertanto, le specifiche disposizioni contenute nelle rispettive discipline di settore, le attività giuridiche e materiali (incluse quelle relative al trattamento di dati) che il provvedimento richiede ai soggetti rientranti nella propria sfera applicativa sono strumentali alle finalità istituzionali perseguite dal Presidente, ossia la tutela di un diritto costituzionalmente rilevante quale è la salute dei siciliani”;

–    “le disposizioni contenute nella Ordinanza n. 75 del Presidente della Regione, volte a tutelare la salute pubblica, siano assolutamente legittime e, certamente, non siano volte a violare le norme in materia di protezione dei dati personali” e “come emerge dal tenore letterale dell’articolo 3 dell’Ordinanza, oggetto di verifica non è la individuazione dei nominativi dei lavoratori pubblici non ancora vaccinati, bensì la indicazione del “numero” dei detti dipendenti”;

–    “l‘attività di indagine, utile ai fini della Programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale, deve avvenite in anonimato. Ciò, è chiaro, garantisce sia i dipendenti sia l’attività pubblica volta a gestire l’emergenza sanitaria”;

–    “la corretta interpretazione della Ordinanza, avvalorata dalla [successiva] Circolare interpretativa, [che prevede il coinvolgimento del medico competente…] elimina in radice il problema del trattamento di un dato sensibile riferito ad una determinata persona fisica che, potenzialmente, potrebbe reputarsi leso”;

–    “può osservarsi come spetti sempre e solo al medico competente, nel rispetto della vigente normativa, valutare le condizioni di salute del dipendente e, eventualmente, comunicarle al datore di lavoro Per assumere le necessarie determinazioni (nel rispetto del CCNL e delle leggi di settore). Si pensi, a titolo meramente esemplificativo, alle c.d. fragilità già evidenziate per individuare i soggetti con priorità in sede di vaccinazione e che, ove presenti in lavoratori non vaccinati, a giudizio del medico competente potrebbero senza dubbio aumentare il rischio di salute dei medesimi ove svolgano mansioni a contatto con il pubblico”;

–    “si vuole, cioè, tutelare la salute del lavoratore in funzione della concreta attività svolta la cui valutazione compete sempre e solo al medico competente […]. E giova chiarire ulteriormente come, stante l’anonimato del dato, il datore di lavoro senza la specifica richiesta del medico competente (che valuta in concreto le condizioni di salute del dipendente) non potrebbe certamente intervenire mancando proprio la conoscenza dei lavoratori non vaccinati”;

–    “nella prudente ponderazione degli interessi (la salute pubblica, la sicurezza dei lavoratori e la protezione dei dati), quindi, si ritiene che non potrebbe certamente escludersi che uno degli elementi incidenti oggi in modo significativo sulla salute dei dipendenti sia proprio il rischio del contagio”;

–    “la decisione del medico, del resto, non sarebbe certamente (e non potrebbe esserlo, stante l’anonimato del dato) la conseguenza della ricognizione dei dipendenti vaccinati, bensì frutto di eventuale visita – come avviene per verificare la sicurezza dei lavoratori – e valutazioni specifiche delle condizioni di salute rispetto alle mansioni ricoperte”;

–    “in sintesi, dunque, non vi sarebbe alcun pregiudizio o intento “punitivo” per il dipendente non vaccinato né, certamente, potrebbe mai ritenersi una volontà discriminatoria. É tuttavia vero (drammaticamente lo ricordano le migliaia di morti) che la pandemia richiede misure urgenti e straordinarie affinché venga preservata la salute di tutti (lavoratori e non)”.

Più nel dettaglio con riguardo alla circolare (prot. XX del 13 luglio 2021) interpretativa e attuativa dell’ordinanza del Presidente della Regione n. 75 del 7 luglio 2021, a firma dell’Assessore regionale per la Salute e del Dirigente generale del Dipartimento regionale Attività sanitarie e Osservatorio epidemiologico, indirizzata ai rappresentati legali delle Aziende sanitarie provinciali del SSR, adottata successivamente alla richiesta di elementi dell’Autorità, emerge che:

–    “la suddetta rilevazione dovrà avvenire in prima istanza per finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti che non si sono ancora sottoposti a vaccinazione (non essendo pertanto richiesta, allo stato, indicazione nominativa dei dipendenti interessati dalla ricognizione medesima)”;

–    “si raccomanda alle AA SS PP. in indirizzo di garantire, all’atto di instaurare la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente (ad esempio mediante |invio di questionari da compilare in forma anonima) senza contestualmente procedere all’acquisizione di dati sensibili”;

–    “ulteriore attività demandata alle Aziende Sanitarie Provinciali all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione consiste nell’effettuazione – per il tramite dei datori di lavoro e, più in particolare, del medico competente – di un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente, a prescindere quindi dal possesso o meno dello status di soggetto vaccinato”;

–    “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”;

–    “il datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D. gs. n. 81/2008 e ss.mm ii.)”;

–    “le determinazioni conseguenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino, infine, verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento”.

OSSERVA

Per i profili di competenza dell’Autorità si rileva in via preliminare che il Garante ha recentemente chiarito che le certificazioni attestanti l’avvenuta vaccinazione (e, non diversamente la guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare) non possano essere ritenute una condizione necessaria per consentire l’accesso a luoghi o servizi o per l’instaurazione o l’individuazione delle modalità di svolgimento di rapporti giuridici se non nei limiti in cui ciò è previsto da una norma di rango primario, nell’ambito dell’adozione delle misure di sanità pubblica necessarie per il contenimento del virus SARS-CoV-2 (cfr. Provvedimento n. 229 del 9 giugno 2021, doc. web n. 9668064, recante il “Parere sul DPCM di attuazione della piattaforma nazionale DGC per l’emissione, il rilascio e la verifica del Green Pass”).

L’Autorità ha infatti più volte ribadito come la competenza in merito all’introduzione di misure di limitazione dei diritti e delle libertà fondamentali che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale (artt. 6, par. 2, e 9 del Regolamento e artt. 2-ter e 2-sexies del Codice in materia di protezione dei dati personali, Considerando n. 37 del Regolamento del Parlamento europeo e del Consiglio sull’EU digital COVID certificate, approvata nella sua formulazione finale il 21 maggio 2021 e adottata il 14 giugno 2021).

Come evidenziato anche dal Presidente del Garante nella audizione informale alla Camera del 6 maggio 2021, in generale, la materia risulta essere assoggettata alla riserva di legge statale (Corte cost., sent. 5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. 37/21). Al riguardo, nel provvedimento di avvertimento del n. 207 del 25 maggio 2021 nei confronti della Regione Campania (doc web n. 9590466) il Presidente ha infatti rappresentato che la Corte Costituzionale ha recentemente evidenziato che “la pandemia in corso ha richiesto e richiede interventi rientranti nella materia della profilassi internazionale di competenza esclusiva dello Stato ai sensi dell’art. 117, secondo comma, lettera q), Cost.” (Ordinanza della n. 4/21).

Il Garante ha pertanto reso parere favorevole sullo schema di decreto di attuazione della disciplina in tema di certificazioni verdi a condizione che, in sede di conversione in legge del d.l. 22 aprile 2021, n. 52 (“Misure urgenti per la graduale ripresa delle attività economiche e sociali nel rispetto delle esigenze di contenimento della diffusione dell’epidemia da COVID-19”), fossero, tra l’altro, specificamente definite le finalità del trattamento e fosse introdotta una riserva di legge statale per l’utilizzo delle certificazioni per attestare l’avvenuta vaccinazione o guarigione da Covid-19, o l’esito negativo di un test antigenico o molecolare. Al riguardo, si rappresenta che, in sede di conversione in legge del d.l. n. 52/2021, è stata modificata la disciplina sulle certificazioni verdi prevedendo che le stesse possono essere utilizzate esclusivamente ai fini di cui agli artt. 2, comma 1, 2-bis, comma 1, 2-quater, 5, comma 4, 7, comma 2, e 8-bis, comma 2, della legge n. 87/2021 (art. 9, comma 10 bis, legge n. 87/2021).

Con specifico riguardo al contesto lavorativo, il predetto decreto legge n. 52/2021, convertito nella legge n. 87/2021, nel prevedere specifiche misure atte a ridurre il rischio di contagio in ambienti in cui svolge anche l’attività lavorativa, non ha introdotto quella relativa al possesso di un attestato comprovante l’avvenuta vaccinazione o il risultato negativo di un test per Covid-19 (cfr. artt. 3, 3 bis, 4, 4 bis, 5, 5 bis, 6, 6 bis, 7, 8, 8 bis, 8 ter, legge n. 87/2021).

Anche in merito alla possibilità di introdurre la vaccinazione anti SARS-CoV-2, quale requisito per lo svolgimento di particolari professioni o mansioni, con particolare riguardo all’esposizione a un maggior rischio di contagio nel contesto sanitario, l’Autorità ha ritenuto necessario, nella prospettiva di certezza del diritto e nel principio di non discriminazione, che la materia dovesse essere oggetto di una regolazione uniforme con legge nazionale, nel rispetto del principio di proporzionalità (art. 6, par. 3, lett. b), del Regolamento) e del principio di ragionevolezza (art. 3 Cost.), tenendo conto della specifica situazione sanitaria ed epidemiologica in atto e delle evidenze scientifiche (cfr. FAQ n.3 in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Il legislatore è, dunque, successivamente intervenuto con il decreto legge del 1° aprile 2021, n. 44 (convertito in legge n. 76 del 28 maggio 2021 – Misure urgenti per il contenimento dell’epidemia da COVID-19, in materia di vaccinazioni anti SARS-CoV-2, di giustizia e di concorsi pubblici), il cui articolo 4 ha previsto che, limitatamente agli esercenti le professioni sanitarie e agli operatori di interesse sanitario, la vaccinazione anti SARS-CoV-2 costituisce “requisito essenziale per l’esercizio della professione e per lo svolgimento delle prestazioni lavorative”.

In tale quadro, con riguardo a tutte le altre categorie di lavoratori, nel rispetto della disciplina di protezione dei dati, della disciplina nazionale di settore e delle norme più specifiche e di maggior tutela che garantiscono la dignità e la libertà degli interessati sui luoghi di lavoro (art. 88 del Regolamento e 113 del Codice) nonché di quelle emanate nel contesto dell’emergenza epidemiologica in corso, il datore di lavoro non può trattare i dati relativi alla vaccinazione dei propri dipendenti (inclusa l’intenzione di aderire o meno alla campagna vaccinale). Come recentemente ribadito dal Garante anche con provvedimenti di carattere generale e documenti di indirizzo, eventuali trattamenti di dati personali inerenti alla vaccinazione di dipendenti sono allo stato consentiti, nel contesto lavorativo, per il tramite del medico competente, nei limiti e alle condizioni previste dalle disposizioni vigenti in materia di salute e sicurezza sui luoghi di lavoro che ne costituisco la base giuridica (d.lgs. 9 aprile 2008 n. 81; Provvedimento del 13 maggio 2021 – documento di indirizzo “Vaccinazione nei luoghi di lavoro: indicazioni generali per il trattamento dei dati personali”, doc. web n. 9585300 e documento “Protezione dei dati – Il ruolo del medico competente in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

Alla luce delle considerazioni preliminari sopra riportate, si ritiene pertanto che le disposizioni di cui all’ordinanza del Presidente della Regione Siciliana del 7 luglio 2021, n.75, presentino le seguenti criticità:

1. Inidoneità della base giuridica.

In via preliminare, si rileva che l’individuazione della avvenuta vaccinazione quale condizione per esercitare diritti e libertà individuali o accedere agli ambienti di lavoro, non può essere prevista da un’ordinanza regionale, in quanto, come sopra evidenziato, la competenza circa l’introduzione di misure di sanità pubblica che implichino il trattamento di dati personali ricade nelle materie assoggettate alla riserva di legge statale e pertanto deve avvenire attraverso una disposizione che abbia le caratteristiche richieste dal Regolamento (art. 6, par. 3, del Regolamento), previa acquisizione del parere dell’Autorità.

In particolare, la predetta ordinanza presidenziale, pur alla luce delle precisazioni contenute nella circolare del 13 luglio, prot. n. XX, nel prevedere la generalizzata ricognizione del personale degli enti pubblici e di altri lavoratori non vaccinati e la conseguente assegnazione a differenti mansioni che non implichino il contatto con l’utenza esterna (cfr. art. 3, comma 2, cit.), introduce trattamenti di dati personali relativi allo stato vaccinale dei dipendenti che comportano limitazioni dei diritti e delle libertà individuali, allo stato non previsti da alcuna disposizione di legge statale (cfr., Corte cost., sent. n. 271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent. n. 37/21).

A tale riguardo si rappresenta che l’Ufficio, ancorché in relazione all’uso delle certificazioni verdi, e più in generale dei certificati vaccinali, per finalità ulteriori e con modalità difformi rispetto a quelle espressamente previste dalla legge nazionale, ha ribadito alle regioni e alla Conferenza delle Regioni e delle Province autonome la necessità di soprassedere dall’adottare o dal dare attuazione ad iniziative territoriali (Provvedimento di limitazione definitiva in merito ai trattamenti previsti dalla Provincia autonoma di Bolzano in tema di certificazione verde per Covid 19 – 18 giugno 2021, doc. web n. 9671917; Provvedimento di avvertimento alla regione Campania in merito all’uso delle certificazioni verdi Covid-19 – del 25 maggio 2021, doc web n. 9590466). Ciò in considerazione del fatto che l’ordinanza presidenziale di una regione o di una provincia autonoma (e analogamente anche una circolare interpretativa) non rappresenta una valida base giuridica, alla luce delle caratteristiche richieste dalla disciplina di protezione dei dati (qualità della fonte, contenuti necessari, rispetto del principio di proporzionalità) per introdurre limitazioni ai diritti e alle libertà individuali che implichino il trattamento di dati personali, in quanto disciplina profili che ricadono nelle materie assoggettate alla riserva di legge statale (art. 6, parr. 2 e 3, del Regolamento e 2-ter e 2-sexies del Codice).

Peraltro l’ordinanza n. 75 della Regione Siciliana prevede che, “tutti coloro che nell’esercizio dei propri compiti d’ufficio si trovino ad instaurare contatti diretti con il pubblico vengono formalmente invitati, per il tramite dei datori di lavoro, a ricevere la vaccinazione” e che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna” (comma 2). Tale circostanza, anche alla luce delle successive precisazioni effettuate con la circolare interpretativa sopra richiamata che prevede “l’assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3), introduce in realtà un requisito per lo svolgimento di determinate mansioni (quelle che implicano “il contatto diretto del lavoratore con l’utenza esterna”) su base regionale e non previsto dalla legge nazionale, generando una disparità di trattamento rispetto al personale che svolge le medesime mansioni sull’intero territorio nazionale.
Come messo in evidenza anche dalla Corte di Giustizia “l’esame della liceità dei requisiti [per lo svolgimento dell’attività lavorativa] e della verifica del permanere nel tempo dei medesimi […deve essere] effettuato […] rispetto al diritto nazionale [… e non può essere] sottratto a un controllo giurisdizionale effettivo” (v., in tal senso, sentenza del 17 aprile 2018, Egenberger, C-414/16, EU:C:2018:257, par. da 56 a 58)  atteso che la previsione di un requisito per lo svolgimento dell’attività lavorativa da cui far derivare una differenza di trattamento per il prestatore di lavoro (quale, come, nel caso di specie, l’adibizione a mansioni differenti) deve costituire “requisito professionale essenziale, legittimo e giustificato” rispetto alla “natura” delle attività di cui trattasi e al “contesto” in cui vengono espletate le sue mansioni.

Pertanto, la valutazione della liceità del trattamento di informazioni afferenti alla salute, vita privata e alle convinzioni personali, anche sotto il profilo del rispetto del principio di finalità e proporzionalità, così come pure la legittimità delle decisioni assunte dal datore di lavoro in conseguenza di tali trattamenti, è subordinata all’esistenza, oggettivamente verificabile, di un nesso diretto tra il requisito professionale e lo svolgimento dell’attività lavorativa (dovendo questo consistere in un “requisito essenziale e determinante” per lo svolgimento dell’attività lavorativa ed essere “necessario, a causa dell’importanza dell’attività professionale di cui trattasi”; punto 55). In ogni caso, “il principio della parità di trattamento in materia di occupazione e di condizioni di lavoro [..] trova la sua fonte in diversi atti internazionali e nelle tradizioni costituzionali comuni agli Stati membri, ma ha il solo obiettivo di stabilire, in queste stesse materie, un quadro generale per la lotta alle discriminazioni fondate su diversi motivi, tra i quali la religione o le convinzioni personali” (cfr. Corte di Giustizia, sentenza del 17 aprile 2018, Egenberger, C-414/16).

Con specifico riguardo al trattamento dei dati della stato vaccinale, peraltro, la normativa europea in materia di certificazioni vaccinali stabilisce che “è necessario evitare la discriminazione diretta o indiretta di persone che non sono vaccinate, per esempio per motivi medici, perché non rientrano nel gruppo di destinatari per cui il vaccino anti COVID-19 è attualmente somministrato o consentito, come i bambini, o perché non hanno ancora avuto l’opportunità di essere vaccinate o hanno scelto di non essere vaccinate” (cfr. considerando 36 del regolamento (UE) 2021/953 del Parlamento europeo e del Consiglio, del 14 giugno 2021).

Alla luce delle considerazioni che precedono eventuali trattamenti di dati personali posti in essere dai soggetti a vario titolo indicati dall’ordinanza presidenziale n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, risultano privi di idonea base giuridica in violazione dell’art. 5, 6, 9, del Regolamento e 2-ter e 2-sexies del Codice).

2. I principi applicabili al trattamento dei dati personali.

In via preliminare, si rappresenta che il trattamento di dati personali previsto dalla predetta ordinanza persegue una pluralità di finalità, non sempre chiaramente individuate, che si fondano su differenti presupposti di legittimità e che sono perseguibili da parte di distinti titolari del trattamento.

Seppur non chiaramente individuate dalla Regione nel corso dell’istruttoria, dalla documentazione in atti si evince infatti che il trattamento che si intende porre in essere mira a perseguire diversi interessi e a tutelare beni giuridici distinti (es. adozione di misure di sanità pubblica; finalità statistiche e ricognitive nonché di verifica della esatta percentuale, nell’ambito del target in esame, del numero dei dipendenti; sicurezza sul lavoro).

Al riguardo, infatti, la disciplina in materia di protezione dei dati personali individua specifiche e autonome eccezioni al generale divieto di trattamento dei dati appartenenti alle categorie particolari, tra i quali si configurano quelli sulla salute, distinguendo anche con riguardo ai diversi presupposti di liceità, i trattamenti necessari per finalità di salute pubblica (art. 9, par. 2, lett. i), del Regolamento), di medicina preventiva e del lavoro (art. 9, parr. 2, lett. h), e 3, del Regolamento) e di ricerca scientifica a fini statistici (art. 9, par. 2, lett. j), del Regolamento).

Nel quadro dall’ordinamento vigente, anche nel contesto eccezionale, legato all’emergenza, occorre infatti che ciascuno dei soggetti chiamati a perseguire le predette finalità operi nell’ambito e nei limiti previsti dalla rispettiva disciplina applicabile, che ne costituisce la base giuridica, evitando la confusione di ruoli che può dare luogo a trattamenti illeciti di dati personali e che potrebbe determinare effetti lesivi dei diritti e delle libertà degli interessati.

Pertanto l’ordinanza n 75 del 7 luglio 2021 non individua in modo corretto le distinte finalità del trattamento perseguite, i titolari del trattamento legittimati a perseguirle, i diversi presupposti di liceità su cui debbono fondarsi i trattamenti, nonché le misure volte ad assicurare il rispetto dei principi di protezione dei dati con particolare riferimento a quello di liceità, correttezza e trasparenza e di protezione dei dati fin dalla progettazione e per impostazione predefinita (artt. 5 e 25 del Regolamento).

3. Trattamenti dei dati per finalità di sicurezza dei luoghi di lavoro. 

Alla luce delle precisazioni fornite dalla Regione (nota del XX, cit.), con la circolare successivamente emanata al fine di precisare e chiarire il portato dell’ordinanza n.75, è stato previsto, a tutela degli interessati, il coinvolgimento del medico competente nel trattamento dei dati.

In particolare, “all’esito della ricognizione del numero dei dipendenti degli Enti pubblici non ancora sottoposti a vaccinazione” le aziende devono rivolgere “- per il tramite dei datori di lavoro e, più in particolare, del medico competente – un “invito” a sottoporsi alla vaccinazione da rivolgere a tutto il personale dipendente”. Successivamente “i lavoratori che all’esito dell’invito sopra menzionato si presenteranno spontaneamente dinanzi al medico competente verranno sottoposti ad apposita visita di idoneità, da svolgersi nelle forme e secondo le modalità previste dalla normativa vigente in materia di sicurezza e salute sui luoghi di lavoro nonché dei provvedimenti recentemente adottati in materia dal Garante per la Protezione dei Dati Personali, che si concluderà nella stesura e nel giudizio finale (di idoneità o di inidoneità) circa lo svolgimento della specifica mansione a cui il lavoratore ê assegnato”. A propria volta “i1 datore di lavoro, ricevuto il suddetto giudizio, attuerà le misure indicate dal medico competente nei casi di giudizio di parziale o temporanea inidoneità alla mansione cui è adibito il lavoratore (cfr. artt. 41, 42 e 279 del D.lgs. n. 81/2008 e ss.mm ii.). Inoltre è prevista l’adozione di “determinazioni consequenziali in ordine all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino verranno adottate nel rispetto della normativa e della contrattazione collettiva di riferimento” (cfr. circolare cit. p. 3; sul punto l’ordinanza, art. 3, comma 2, dispone infatti che “per l’ipotesi di indisponibilità o di rifiuto di sottoposizione a vaccinazione, il datore di lavoro pubblico provvede, nei modi e termini previsti dal CCNL di categoria, ad individuare per l’interessato una differente assegnazione lavorativa, ove possibile, che non implichi il contatto diretto del lavoratore con l’utenza esterna”).

In proposito si osserva che la finalità di sicurezza e salute sui luoghi di lavoro afferisce, tipicamente, all’adempimento degli obblighi in materia di “diritto del lavoro”, che legittimano il trattamento di dati personali dei dipendenti da parte del datore di lavoro (artt. 5, 6, par. 1, lett. c), 9, par. 2, lett. b), e 88 Regolamento) e del medico competente (art. 9, parr. 2, lett. h), e 3, del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), ciascuno nell’ambito dei differenti compiti ed entro i precisi limiti fissati dalla legge. Ciò anche nel quadro delle disposizioni nazionali più specifiche e di maggior tutela che garantiscono la dignità e la libertà del dipendente nel contesto lavorativo (artt. 88 del Regolamento e 113 del Codice; cfr., con riguardo al l tradizionale riparto di competenze tra il medico competente e il datore di lavoro, “Protezione dei dati: il ruolo del “medico competente” in materia di sicurezza sul luogo di lavoro, anche con riferimento al contesto emergenziale”, doc. web n. 9585367).

In tale quadro, le finalità e le operazioni del trattamento che devono essere poste in essere dal medico competente sono determinate esclusivamente dalla legge. In particolare le norme nazionali di settore in materia di tutela della salute e di sicurezza dei luoghi lavoro assegnano specifici compiti e responsabilità al medico competente e costituiscono la base giuridica dei relativi trattamenti dei dati personali di cui specificano anche le modalità (d.lgs. n. 81/2008).

Il professionista sanitario deve trattare i dati in modo autonomo, nel rispetto della disciplina di protezione dei dati e dei principi che regolano l’attività diagnostica, delle regole di deontologia professionale, con particolare riguardo al segreto. Per tali ragioni nello svolgimento di tali compiti che la legge gli attribuisce in via esclusiva, in particolare l’attività di sorveglianza sanitaria dei singoli lavoratori, il medico competente è, per legge, l’unico legittimato a trattare in piena autonomia e competenza tecnica i dati personali di natura sanitaria indispensabili per lo svolgimento della funzione di protezione della salute e sicurezza dei luoghi di lavoro. Né le sue valutazioni possono, per definizione, risentire o essere condizionate da terzi ovvero dalle scelte organizzative e gestionali dell’ente/datore di lavoro (ancorché in quella struttura organizzativa tale figura sia funzionalmente inserita), rispetto al quale deve, al contrario, mantenere autonomia e terzietà (art. 39 d.lgs. n. 81/2008).

In tale contesto, quindi, il trattamento dei dati personali anche relativi alla vaccinazione dei dipendenti, come precisato in recenti occasioni dal Garante, può certamente essere effettuato dal solo del medico competente (art. 9, parr. 2, lett. h), e 3. del Regolamento; cfr. anche art. 2-sexies, comma 2, lett. u), del Codice), stante gli specifici limiti per il trattamento di tali dati da parte del datore di lavoro, ma ciò deve comunque avvenire nei limiti e alle condizioni stabilite dalla richiamata disciplina di settore in materia di sicurezza sul lavoro.

In base a tale quadro normativo, il medico competente nell’ambito dei compiti di sorveglianza sanitaria che la legge gli attribuisce in via esclusiva (il medico “programma e effettuata la sorveglianza sanitaria”; “la sorveglianza sanitaria è effettuata dal medico competente”), è l’unico soggetto legittimato a trattare i dati relativi alla salute dei lavoratori e a verificare l’idoneità alla “mansione specifica” (artt. 25, 39, comma 5, e 41, comma 4, del d.lgs. n. 81/2008), potendo, “in funzione della valutazione del rischio” e delle “condizioni di salute” dei lavoratori, ovvero su richiesta del lavoratore in presenza di proprie specifiche o sopravvenute condizioni di salute, stabilire caso per caso se ricorrono i presupposti e la necessità di sottoporre i lavoratori a ulteriori visite straordinarie e/o a indagini diagnostiche (art. 41, commi 2 e 4, d.lgs. 81/2008).

Ciò in quanto il medico, anche nel periodo emergenziale in corso, non tratta i dati per conto o in base alle istruzioni e indicazioni di altri soggetti (enti pubblici, autorità sanitarie, datori di lavoro) ma in qualità di titolare del trattamento (artt. 4, n. 7, e 24 del Regolamento; cfr. EDPB, Guidelines 7/2020 on the concepts of controller and processor in the GDPR), nel quadro di specifiche diposizioni di legge finalizzate anzitutto al perseguimento della tutela della salute nei luoghi di lavoro e della collettività (cfr., v., in particolare Protocollo condiviso di regolamentazione delle misure per il contrasto e il contenimento della diffusione del virus Covid-19 negli ambienti di lavoro sottoscritto il 24 aprile 2020, aggiornato il 6 aprile 2021 il cui contenuto è vincolante per i datori di lavoro pubblici e privati; Circolare del Ministero della Salute del 29 aprile 2020, n. 0014915, recante “Indicazioni operative relative alle attività del medico competente nel contesto delle misure per il contrasto e il contenimento della diffusione del virus SARS-CoV-2 negli ambienti di lavoro e nella collettività”).

Per tali ragioni la previsione attraverso l’ordinanza presidenziale in esame di dar corso a una ricognizione generalizzata del numero di dipendenti non vaccinati e l’indiscriminata effettuazione di visite straordinarie in favore di tutti i dipendenti che si presentino “spontaneamente” dinanzi al medico competente dopo essere stati “formalmente invitati per il tramite dei datori di lavoro a ricevere la vaccinazione” (art. 3 ordinanza cit. ; ovvero dai datori di lavoro “per il tramite del medico competente” cfr. circolare, cit.), e dunque a prescindere dalle specifiche valutazioni del professionista sulla base del documento di valutazione dei rischi e di eventuali peculiari o sopravvenute condizioni di salute del singolo lavoratore, non risulta conforme al quadro normativo sopra descritto (art. 41 d.lgs. 81/2008).

Non sussistono, inoltre, i presupposti per un ricorso in modo generalizzato e preventivo alla sorveglianza sanitaria eccezionale prevista nel periodo dell’emergenza con esclusivo riguardo ai lavoratori “fragili” in quanto esposti a maggiori rischi, individuati dalle norme di settore nell’età o in pregressi o sopravvenuti stati morbosi (cfr., art. 83 del Decreto-Legge 19 maggio 2020, n. 34, convertito con modificazioni dalla l. 17 luglio 2020, n. 77; v. anche Circolare Ministero del lavoro e delle politiche sociali e del Ministero della salute n. 28877 del 04 settembre 2020-DGPREDGPRE-P -Aggiornamenti e chiarimenti con riguardo alle lavoratici e ai lavoratori “fragili”).

In ogni caso, come chiarito dal Garante, il medico che nell’ambito della sorveglianza sanitaria venga a conoscenza di dati relativi alla avvenuta o meno vaccinazione dei dipendenti può, considerata la specificità del contesto lavorativo, delle condizioni cliniche del singolo lavoratore nonché delle indicazioni fornite dalle autorità sanitarie anche in merito alla efficacia e affidabilità medico-scientifica del vaccino, valutare “se del caso, tenerne conto in sede di valutazione dell’idoneità alla mansione specifica” del singolo lavoratore (cfr., FAQ in materia di “Trattamento di dati relativi alla vaccinazione anti Covid-19 nel contesto lavorativo” www.gpdp.it – doc. web n. 9543615).

Anche con riguardo a tale profilo, la procedura introdotta dalla Regione con la predetta ordinanza che prevede che l’adozione di “determinazioni consequenziali in ordine  all’eventuale assegnazione del lavoratore ad altra mansione per effetto dell’accertata inidoneità siccome discendente dall’omessa effettuazione del vaccino” (cfr. circolare p. 3; e ordinanza), non appare conforme al quadro normativo in materia di protezione dei dati, alla disciplina in materia di sicurezza dei luoghi di lavoro nonché alle disposizioni introdotte nel periodo dell’emergenza epidemiologica in corso, comportando trattamenti in violazione degli artt. 5, 6, 9 del Regolamento e 2-ter e 2-sexies del Codice.

4. I trattamenti di dati da parte dei datori di lavoro.

L’ordinanza n. 75, anche a seguito delle precisazioni effettuate con la successiva circolare, non chiarisce inoltre il ruolo e le finalità del trattamento dei dati effettuati dal datore di lavoro, prevedendo che le aziende sanitarie pongano in essere un interpello nei confronti di tutti gli Enti pubblici operanti nel territorio della Regione Siciliana funzionale alla “ricognizione aggiornata del numero dei dipendenti che non si sono ancora sottoposti alla vaccinazione “ e che tale attività di indagine, “utile ai fini della programmazione della futura gestione sanitaria della pandemia e della organizzazione dei presidi di prevenzione su tutto il territorio regionale”, debba avvenire assicurando la “gestione anonima” dei dati (cfr. nota del XX cit.).

Tuttavia né l’ordinanza né la circolare chiariscono quali specifiche misure tecniche e organizzative debbano essere adottate affinché, in ragione della particolare delicatezza delle informazioni trattate e degli elevati rischi e delle possibili conseguenze, anche indirette, per gli interessati nel contesto lavorativo e professionale (cfr., con riguardo alla “vulnerabilità” degli interessati nel contesto lavorativo, cfr. artt. 35 e 88, par. 2, del Regolamento e “Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del Regolamento 2016/679”, WP 248 del 4 aprile 2017), le aziende sanitarie e i datori di lavoro possano assicurare in tutte le fasi del trattamento e fin dal momento “la necessaria interlocuzione con gli Enti pubblici datoriali, l’anonimato del personale dipendente”, essendo particolarmente generico il mero riferimento in via esemplificativa all’ ”|invio di questionari da compilare in forma anonima” (cfr. circolare, cit.).

Non è, inoltre, specificato con quali modalità e garanzie il datore di lavoro possa acquisire nell’ambito della propria struttura organizzativa il solo dato numerico relativo ai dipendenti non vaccinati, con la conseguenza che le decisioni e le scelte organizzative e tecniche in proposito – che possono comportare trattamenti di dati personali non conformi alla disciplina di protezione dei dati e/o incidere anche sul livello di sicurezza e integrità dei dati trattati (art. 5, par. 1, lett. f), e 32 del Regolamento) – siano rimesse alle valutazioni di volta in volta, assunte da singoli datori di lavoro.

Si aggiunga, peraltro, che la prospettata raccolta e comunicazione di dati numerici e non nominativi da parte dei datori di lavoro può, specie nei contesti lavorativi di piccole dimensioni, consentire di identificare, anche indirettamente, gli interessati, anche in ragione della disponibilità di ulteriori informazioni, quali il profilo professionale, l’unità produttiva e il comprensorio territoriale.

I datori di lavoro posso legittimamente trattare i dati personali, anche relativi a categorie particolari di dati (cfr. art. 9, par. 1, del Regolamento), dei dipendenti se il trattamento è necessario per la gestione del rapporto di lavoro e per adempiere a specifici obblighi o compiti previsti dalla normativa nazionale e comunitaria (artt. 6, par. 1, lett. c), 9, parr. 2, lett. b), e 4, e 88 del Regolamento). Ad eccezione, pertanto, di quanto previsto per la vaccinazione quale requisito professionale per il personale sanitario, il trattamento da parte del datore di lavoro di dati relativi allo stato vaccinale dei dipendenti non è previsto da alcuna disposizione di legge (artt. 5, par. 1, lett. a), nonché 9, par. 2, lett. b), del Regolamento).

Pertanto, nell’ambito delle procedure previste dalla predetta ordinanza, il trattamento da parte dei datori di lavoro di informazioni, che consentano anche indirettamente l’identificazione degli interessati, possono determinare trattamenti di dati personali privi di idonea base giuridica e porsi in contrasto, in talune circostanze, con le disposizioni dell’ordinamento che vietano al datore di lavoro di conoscere informazioni attinenti alla salute e alla sfera privata del lavoratore (art. 88 del Regolamento, art. 113 del Codice in relazione all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276; cfr. Corte di Giustizia, Grande Sezione, sentenza 11 settembre 2018, causa C-68/17).

Tali norme, volte a prevenire effetti discriminatori nel contesto lavorativo, costituiscono nell’ordinamento interno quelle disposizioni più specifiche e di maggiore garanzia di cui all’art. 88 del Regolamento la cui osservanza costituisce una condizione di liceità del trattamento e la cui violazione – analogamente alle specifiche situazioni di trattamento del capo IX del Regolamento – determina anche l’applicazione di sanzioni amministrative pecuniarie ai sensi dell’art. 83, par. 5, lett. d), del Regolamento (cfr., da ultimo, con specifico riguardo alla violazione dell’art.113 del Codice nell’ambito lavorativo pubblico, provv. n. 190 del 13 maggio 2021, doc. web n. 9669974; cfr., anche la giurisprudenza della Corte europea dei diritti dell’uomo, nel caso Antovic e Mirković v. Montenegro, Application n. 70838/13 del 28.11.2017, che ha stabilito che il rispetto della “vita privata” deve essere esteso anche ai luoghi di lavoro pubblici, richiamando il rispetto delle garanzie previste dalla legge nazionale applicabile).

RITENUTO

alla luce delle rilevanti criticità sopra illustrate, che quanto previsto dall’ordinanza presidenziale della Regione Siciliana n. 75 del 7 luglio 2021, come integrata dalla circolare interpretativa del 13 luglio 2021, non risulta conforme alla disciplina in materia di protezione dei dati personali in quanto:

–   individua misure per la prevenzione e gestione dell’emergenza epidemiologica da Covid 19 che prevedono il trattamento di informazioni personali, relative alla salute degli interessati, e incidono sui diritti e libertà degli stessi che possono essere introdotte solo da una norma del diritto dell’Unione o nazionale di rango primario che abbia le caratteristiche richieste dal Regolamento e previa acquisizione del parere dell’Autorità;

–   introduce trattamenti preventivi e generalizzati di dati relativi allo stato vaccinale dei dipendenti, non previsti da alcuna disposizione di legge statale e comunque non conformi alle disposizioni di settore, in violazione dei principi di protezione dei dati e senza prevedere misure adeguate a garantire la protezione dei dati in ogni fase del trattamento (artt. 5, 6, 9, 25 e 32 del Regolamento e artt. 2-ter e 2-sexies del Codice);

–   introduce trattamenti che, in assenza di specifiche e adeguate misure tecniche e organizzative, possono comportare la violazione da parte dei datori di lavoro della disciplina nazionale più specifiche e di maggiore garanzia a tutela della dignità degli interessati nei luoghi di lavoro (art. 88 del Regolamento, art. 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Considerato che il Regolamento attribuisce al Garante, tra gli altri, il potere di rivolgere avvertimenti al titolare o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del Regolamento (art. 58, par 2, lett. a)) e che ricorre l’esigenza di intervenire tempestivamente al fine di tutelare i diritti e le libertà degli interessati prima che le richiamate violazioni producano effetti.

Considerato quindi che risulta necessario avvertire la Regione Siciliana e tutti gli altri soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) del fatto che i trattamenti di dati personali di cui all’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, in assenza di interventi correttivi, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276).

Ritenuto inoltre di comunicare il presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome, per le valutazioni di competenza anche al fine di segnalare alle regioni e alle Province autonome il necessario rispetto delle disposizioni in materia di protezioni dei dati personali.

TUTTO CIÒ PREMESSO, IL GARANTE

a)    ai sensi dell’art. 58, par 2, lett. a), del Regolamento avverte la Regione Siciliana (C.F. 80012000826) e tutti i soggetti pubblici e privati coinvolti (aziende sanitarie provinciali, datori di lavoro, medici competenti) che i trattamenti di dati personali effettuati in attuazione dell’ordinanza n. 75 del 7 luglio 2021 del Presidente della Regione Siciliana, sulla base delle motivazioni espresse in premessa, possono violare le disposizioni in materia di protezione dei dati personali di cui agli artt. 5, 6, 9, 25, 32 e 88 del Regolamento e 2-ter, 2-sexies e 113 del Codice in riferimento all’art. 8 della l. 20 maggio 1970, n. 300 e all’art. 10 del d.lgs. 10 settembre 2003, n. 276.

b)    trasmette copia del presente provvedimento al Presidente del Consiglio dei ministri e alla Conferenza delle Regioni e delle Province autonome per le valutazioni di competenza;

c)    ai sensi dell’art. 154-bis, comma 3, del Codice, dispone la pubblicazione del presente provvedimento nella Gazzetta Ufficiale della Repubblica italiana.

 

Roma, 22 luglio 2021

 

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

Garante Privacy: maggiori tutele per i dati giudiziari

Reading Time: 2 minutes

Il Garante per la privacy ha espresso parere favorevole sullo schema di regolamento, predisposto dal Ministero della giustizia, che disciplina il trattamento dei dati giudiziari in una pluralità di ambiti e contesti.

Il testo, che recepisce buona parte delle indicazioni fornite dall’Autorità nel corso di diverse interlocuzioni con il Ministero, rafforza in maniera significativa le tutele previste per le persone e definisce un complesso di garanzie minime e coerenti nei principali settori nei quali possono essere trattati dati giudiziari: dall’ambito forense al mondo del lavoro, dalla verifica dei requisiti di onorabilità a quella della solidità e affidabilità di soggetti privati, dall’ambito assicurativo a quello delle professioni intellettuali o della ricerca storica e statistica, oppure nella mediazione e conciliazione delle controversie civili e commerciali.

La bozza di regolamento si applica anche ai dati relativi alle misure di prevenzione, come quelle per gli indiziati di appartenenza ad associazione di tipo mafioso. Il testo prescrive inoltre che tutti i titolari rispettino i principi di proporzionalità e di minimizzazione previsti dal Gdpr, trattando solo dati indispensabili e per il tempo strettamente necessario rispetto alla finalità perseguita. Chi tratta i dati, dovrà anche verificare l’affidabilità delle fonti, adottando specifiche garanzie volte ad assicurare l’esattezza dei dati trattati, che dovranno essere sempre aggiornati rispetto, tra l’altro, all’evoluzione della posizione giudiziaria dell’interessato.

Al fine di rafforzare ulteriormente le garanzie già previste nel testo del Ministero, il Garante ha comunque espresso nel parere ulteriori osservazioni. In particolare, il Garante ha richiesto che le garanzie introdotte con il decreto siano previste come parametro di riferimento minimo anche per quei trattamenti che vengono svolti in ambito pubblico sulla base di previsioni normative diverse. Ha inoltre chiesto che sia prestata particolare attenzione ai dati giudiziari raccolti da fonti aperte in caso di trattamenti svolti a fini di verifica della solidità, solvibilità ed affidabilità nei pagamenti. In tali casi si dovrebbero ammettere, quali legittime fonti di raccolta, solo i siti internet istituzionali, nonché quelli di ordini professionali e di associazioni di categoria.

Il Garante ha inoltre sottolineato che, nella maggior parte dei casi, il consenso dell’interessato non può essere considerato una base giuridica legittima per il trattamento dei dati giudiziari; questo aspetto vale in particolare nella gestione del rapporto di lavoro dove il dipendente si trova in una posizione di disparità tale, rispetto al datore di lavoro, da non garantire una libera espressione del consenso.

L’Autorità ha infine rilevato l’importanza di disciplinare anche i trattamenti svolti da soggetti no-profit, per finalità di mediazione e conciliazione delle controversie civili e commerciali, nonché quelli per finalità di accesso a sistemi o aree sensibili in determinati ambiti, particolarmente rilevanti nel contesto socio-economico attuale.

Spamming 3: Folli banderuole, gagliardetti e gonfaloni

Reading Time: < 1 minute

Questi, invece, mi propongono l’acquisto di gagliardetti, bandierine, banderuole e perfino gonfaloni. Scrivono che l’offerta è riservata alle Associazioni, ma intanto la loro mail di propaganda la mandano a me, che associazione non sono. Anche qui ho inviato via PEC una richiesta di informazioni ai sensi delle leggi sulla privacy, per sapere da dove hanno preso, acquisito o, peggio ancora, acquistato, il mio indirizzo. Naturalmente non ho ricevuto nessuna risposta. Zero, nada, Nichts, rien de rien. Il reclamo da indirizzare al Garante per la Protezione dei Dati Personali è già pronto. Hanno ancora due giorni per rispondermi, poi lo inoltro. Così, tanto per fare.

Spamming 2: “Non abbiamo nessun Suo dato e comunque si è trattato sicuramente di un errore”

Reading Time: < 1 minute

Sullo spamming che proviene dall’estero non si può fare molto. Anzi, direi che non si può fare proprio niente. Te lo ciucci e basta. Tutt’al più ti ci inalberi un pochino, come è successo a me.

Ma su quello che viene dall’Italia, come in questo caso, si può fare e molto. Prendete per esempio questo messaggio: non ho capito bene cosa vendano e che cosa offrano, ma viene dal nostro paese (ho sbianchettato i dati che possano farvi risalire al mittente, ma fidatevi), e appare assai molesto. Me lo sono ritrovato in una delle mie caselle di posta elettronica e ho quasi subito inviato al mittente una richiesta di informazioni ai sensi della normativa vigente in tema di Privacy, per sapere da dove diavolo avessero recuperato il mio indirizzo e se, per caso, lo avessero ceduto a terzi. Mi hanno risposto che non hanno i miei dati e che si è trattato di un mero errore. Ma, dico, vogliono prendermi in giro? Cioè, io ricevo un messaggio di spamming PRECISO a un indirizzo di posta elettronica PRECISO e questi mi dicono che si è trattato di un errore e che non detengono nessun mio dato? Intanto mi rivolgo al Garante per la Protezione dei Dati Personali e gli mando un bel reclamo circostanziato, il resto si vedrà (ma guardate un po’ voi se si può tollerare!)

Ci mancava solo questa!

Reading Time: 2 minutes

Ricevo e ripubblico:
—-

Gentile cliente,

desideriamo informarla che il 23 aprile scorso abbiamo rilevato e bloccato un accesso non autorizzato alla rete che ospita alcuni dei nostri sistemi gestionali, ma nessun dato è stato cancellato né alterato.

Precisiamo inoltre che nessun sistema di produzione ed erogazione dei nostri servizi è stato coinvolto, poiché completamente separati.

Abbiamo subito attuato una serie di misure interne ed esterne fra cui informare le Forze dell’Ordine ed il Garante per la Protezione dei Dati Personali. A conclusione di tutte le nostre analisi, abbiamo ritenuto doveroso informarla dell’accaduto seppur non sia richiesta alcuna azione da parte sua.

Diamo grande importanza alla sicurezza informatica e facciamo ingenti investimenti in tecnologia, strumenti ed organizzazione, ma in questa circostanza non siamo riusciti a prevenire l’evento. Si tratta purtroppo di un periodo molto particolare, nel quale gli attacchi informatici, sempre più sofisticati, sono in forte aumento e stanno colpendo globalmente aziende ed organizzazioni pubbliche e private di ogni livello.

Di seguito, maggiori informazioni:

I dati presenti nei sistemi interessati, la cui integrità e disponibilità non sono state impattate in alcun modo, sono quelli anagrafici di fatturazione (nome e cognome, codice fiscale, indirizzo, città, CAP, provincia, telefono, indirizzo email, indirizzo PEC) e i dati di autenticazione all’area clienti, quali login e password, queste ultime protette da crittografia forte, e comunque prontamente disabilitate, pertanto in ogni caso inutilizzabili.

Non sono stati in alcun modo interessati i dati di pagamento (es. carte di credito), né i servizi dei clienti (es. hosting, cloud, email, PEC…) e tutti i dati in essi contenuti.

La disabilitazione delle password di accesso all’area clienti è stata eseguita senza preavviso come da procedura di sicurezza standard. Ci dispiace se questo può averle causato qualche disagio, ma ci ha consentito di azzerare ogni tipo di rischio seppure potenziale. Se non ha già provveduto a ripristinare la password a seguito dell’evento, il sistema le chiederà di sceglierne una nuova al primo accesso all’area clienti. Le ricordiamo che non c’è alcuna urgenza nel completare l’operazione, in quanto il sistema è già in sicurezza.

Ad ulteriore cautela anche al fine di difendersi da comuni truffe digitali, le raccomandiamo di:

  • scegliere sempre password diverse per ciascun servizio utilizzato e cambiarle periodicamente;
  • prestare particolare attenzione a email o PEC di dubbia provenienza o il cui contenuto dovesse generare sospetti;
  • se il contenuto di un’email sembra sospetto, inatteso o il mittente è sconosciuto, evitare di cliccare sui link e non scaricare gli allegati;
  • tenere presente che il personale Aruba non chiede mai via email, SMS o telefonicamente di comunicare le proprie credenziali di accesso ai servizi (username/password) o i riferimenti dei propri metodi di pagamento elettronici (es. numero carta di credito o account PayPal).

Le confermiamo che non è necessaria alcuna azione da parte sua, ci scusiamo per l’accaduto e restiamo a disposizione per ulteriori informazioni o per chiarimenti all’indirizzo XXXXXXXX@staff.aruba.it

 

Cordiali saluti

Audacity è diventato spyware? Ma forse anche no, però fate attenzione, sì?

Reading Time: 2 minutes

La preziosa e incommensurabile lettrice Artemisia Panciàtici (occhio all’accento) vedova Rotini (o vedova Cioli, si veda il caso) mi segnala una notizia che ha dell’incredibile per chi, come me, usa a manetta il software di audio editing “Audacity”.

Il programma, rilasciato sotto GPL (che sapete assai voi cos’è), è stato acquisito due mesi fa dalla Muse Groups che ha cambiato e stravolto totalmente l’informativa sulla privacy per gli utenti finali. Secondo quanto riferisce “Punto Informatico” in un articolo di quattro giorni fa, i dati raccolti sarebbero “nome e versione del sistema operativo, paese di provenienza (sulla base dell’indirizzo IP), tipologia del processore, messaggi e codici di errore generati in caso di malfunzionamento, report in merito ai crash.” Inoltre, verrebebro registrati anche dei “dati necessari alle forze dell’ordine, nei contenzioni e richiesti dalle autorità”, ma non si specifica esattamente quali. L’uso del software, come se non bastasse, verrebbe proibito ai minori di 13 anni (non se ne capisce il motivo, visto che la GPL con cui il software è stato rilasciato non impone limitazioni di sorta).

E’ successo un mezzo putiferio, e la Muse Group ha dovuto fare parziale chiarezza sul tema. Intanto è stato categoricamente negato che i dati vengano condivisi o venduti a terze parti. Ciò non significa che non vengano raccolti, naturalmente. L’indirizzo IP diventerebbe irrecuperabile dopo 24 ore, e i dati raccolti a beneficio delle forze dell’ordine e dell’autorità giudiziaria, vengono forniti solo se espressamente sollecitati da un provvedimento di indagine.

Lo stesso “Punto informatico” chiarisce che “L’indirizzo IP, che diventa illeggibile dopo 24 ore, serve solo per offrire due nuove funzionalità che verranno introdotte nella prossima versione 3.0.3 del software, ovvero gli aggiornamenti automatici e la segnalazione degli errori (ma solo con il consenso degli utenti). Audacity 3.0.2 non raccoglie nessun dato, quindi si potrebbe anche evitare l’installazione dell’aggiornamento”, ma nulla si sa, né Muse Group ce lo dice, sulla proibizione dell’uso del software ai minori di 13 anni che è e resta un particolare di non secondaria importanza nell’uso del programma.

Molto rumore per nulla? Forse. Però intanto è bene preservarsi e difendersi. Come? Per esempio installando e utilizzando una versione PRECEDENTE di Audacity che non abbia queste restrizioni. Funzionerà bene lo stesso, avrete tutte le funzionalità principali, e, soprattutto, dovrete osservare solo la licenza GPL (che è molto permissiva) e non gli inutili orpelli posti in essere da chi ha acquisito l’applicazione in questione. Dove trovate questo materiale? Mah, per esempio nell’ultima versione (vetusta, ma purtuttavia ancora utilissima) di The Open DVD, raccolta di software open source per Windows realizzata dal Gruppo Studenti Linux del Politecnico di Torino. La trovate qui:

OpenDVD

Vi è inclusa la versione 2.3.2, ma tanto per farci quello che ci dovete fare voi mi sa che vi basta e vi avanza. Ma prego, non c’è di che!

Privacy: sindaco di Messina costretto dal Garante a rimuovere foto di minori disagiati e sanzionato per 50.000 euro

Reading Time: 2 minutes

Per denunciare situazioni di degrado presenti nel suo Comune, un sindaco non può pubblicare sulle proprie pagine social immagini e video in chiaro di minorenni disabili e di persone disagiate, o di presunti autori di trasgressioni esponendoli ai commenti offensivi degli utenti del social network.

Lo ha stabilito il Garante per la privacy, in un recente provvedimento, ordinando al sindaco di Messina di rimuovere dal proprio profilo le immagini pubblicate e sanzionandolo per 50mila euro.

L’Autorità è intervenuta a seguito di alcune segnalazioni che denunciavano un utilizzo di dati non conforme alla disciplina in materia di dati personali da parte del sindaco.

Nel corso del procedimento è emerso che all’interno della pagina Facebook “De Luca Sindaco di Messina”, tra gli altri contenuti, era pubblicato un video che ritraeva persone riconoscibili e in evidenti condizioni di difficoltà socio-economica, senza che la loro identificabilità fosse giustificata da ragioni di interesse pubblico. La pubblicazione del video, a giudizio del Garante, travalica i limiti posti dal principio di essenzialità dell’informazione stabilito dalle disposizioni in materia di protezione dei dati personali e dalla Regole deontologiche dei giornalisti, viola il diritto di non discriminazione e lede la dignità delle persone riprese.

In un’altra pagina del profilo era stata pubblicata, inoltre, l’immagine di un ragazzo disabile, associata al provvedimento che assegnava ai genitori un posto auto nei pressi dell’abitazione, per di più con l’indirizzo in chiaro. Anche in questo caso la diffusione è risultata ingiustificata ed in contrasto sia con il principio di essenzialità dell’informazione che con le disposizioni poste a tutela dei minori e delle persone con problemi di salute.

Altre immagini e video – diffusi senza rendere irriconoscibili i minori ripresi in condizioni di degrado per documentare la questione delle “baraccopoli” o la descrizione delle condizioni di salute di una bambina – sono risultati anch’essi in contrasto con le norme a tutela della riservatezza e in violazione delle regole fissate dalla Carta di Treviso. Quanto alle immagini di presunti trasgressori delle norme sul decoro urbano, il Sindaco aveva provveduto ad eliminarle nel corso dell’istruttoria.

A conclusione del procedimento l’Autorità ha quindi vietato al sindaco di Messina l’ulteriore trattamento dei dati, eccettuata la loro conservazione ai fini di un eventuale utilizzo in sede giudiziaria, e gli ha ordinato il pagamento di una sanzione di 50mila euro.

dalla Newsletter del Garante per la Privacy.

Privacy: il Garante infligge a Iren una sanzione di 3 milioni di euro

Reading Time: < 1 minute

Il consenso, inizialmente rilasciato da un cliente ad una società anche per attività promozionali di terzi, non può estendere la sua efficacia anche a successive cessioni ad ulteriori titolari. Tali cessioni infatti non sarebbero supportate dal necessario consenso, specifico ed informato dell’interessato.

Sulla base di questo principio, il Garante per la protezione dei dati personali ha comminato una sanzione di circa 3 milioni di euro ad Iren Mercato S.p.A., società operante nel settore energetico, per non aver verificato che tutti i passaggi dei dati dei destinatari delle promozioni fossero coperti da consenso. A seguito di diversi reclami e segnalazioni il Garante ha accertato che la società aveva infatti trattato dati personali per attività di telemarketing, che non aveva raccolto direttamente, ma che aveva acquisito da altre fonti. Iren infatti aveva ottenuto liste di anagrafiche da una S.r.l., che a sua volta le aveva acquisite, in veste di autonomo titolare del trattamento, da altre due aziende. Queste ultime società avevano ottenuto il consenso dei potenziali clienti per il telemarketing effettuato sia da loro che da parte di terzi, ma tale consenso non copriva anche il passaggio dei dati dei clienti dalla S.r.l. all’Iren.

L’ammontare della sanzione applicata dal Garante, è stato motivato anche dal fatto che le liste anagrafiche, prive di tutti i consensi necessari e di cui il Garante ha vietato ogni ulteriore utilizzo a fini promozionali, riguardavano diversi milioni di persone. L’Autorità ha infine rivolto un avvertimento alla società per aver fornito una rappresentazione ed una documentazione probatoria incompleta ed inidonea durante l’istruttoria.

dalla Newsletter del Garante per la Privacy

Il Garante della Privacy ha disposto il blocco dell’app PA-IO

Reading Time: 13 minutes

Il Garante della privacy ha ordinato in via d’urgenza alla società PagoPA di bloccare provvisoriamente alcuni trattamenti di dati effettuati mediante la predetta app che prevedono l’interazione con i servizi di Google e Mixpanel, e che comportano quindi un trasferimento verso Paesi terzi (es. Usa, India, Australia) di dati particolarmente delicati (es. transazioni cashback, strumenti di pagamento, bonus vacanze), effettuato senza che gli utenti ne siano stati adeguatamente informati e abbiano espresso il loro consenso. (Vedere qui)

Ecco il testo del Provvedimento:


Provvedimento correttivo nei confronti di PagoPA sul funzionamento dell’App IO – 9 giugno 2021

Registro dei provvedimenti
n. 230 del 9 giugno 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito, Codice);

VISTO l’art. 64-bis del decreto legislativo 7 marzo 2005, n. 82, (di seguito, CAD), che, al comma 1, prevede le pubbliche amministrazioni “rendono fruibili i propri servizi in rete, in conformità alle Linee guida, tramite il punto di accesso telematico attivato presso la Presidenza del Consiglio dei ministri”;

VISTO l’art. 8, comma 3, del decreto legge 14 dicembre 2018, n. 135, convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12, che prevede che, per la progettazione, lo sviluppo, la gestione e l’implementazione del punto di accesso telematico di cui al predetto art. 64-bis del CAD, la Presidenza del Consiglio dei Ministri si avvale della società PagoPA S.p.a., istituita con d.P.C.M. 19 giugno 2019, ai sensi del comma 1 del medesimo art. 8 del d.l. 135/2018 (di seguito, PagoPA o Società);

VISTI lo schema di Linee guida di cui all’art. 64-bis del CAD, trasmesso al Garante dall’Agenzia per l’Italia digitale (di seguito, AgID) per il parere previsto dall’art. 71 del CAD – in una prima versione in corso di aggiornamento – il 3 maggio 2021, e la valutazione di impatto sulla protezione dei dati, trasmessa dalla Società il 26 giugno 2020, relativa alle caratteristiche dei trattamenti illo tempore effettuati, in fase di sperimentazione;

RILEVATO che il predetto punto di accesso telematico è costituito dall’App IO per dispositivi mobili (scaricabile gratuitamente dagli app store di Apple e Google) e dall’insieme dei sistemi e delle componenti tecnologiche messe a disposizione da PagoPA (di seguito, nel loro complesso, Piattaforma IO), ed è integrato con la piattaforma di cui all’art. 5, comma 2, del CAD (c.d. “Piattaforma PagoPA”);

VISTO il provvedimento n. 102 del 12 giugno 2020 (doc. web n. 9367375), con il quale il Garante, oltre a rilasciare il parere sullo schema di provvedimento del Direttore dell’Agenzia delle entrate adottato ai sensi dell’art. 176 del decreto legge 19 maggio 2020, n. 34 – convertito, con modificazioni, dalla legge 17 luglio 2020, n. 77, in materia di “tax credit vacanze” (c.d. bonus vacanze) – ha altresì autorizzato l’Agenzia delle entrate ad utilizzare la Piattaforma IO, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, nel rispetto delle seguenti prescrizioni:

l’utente deve essere informato della possibilità di disattivare le notifiche push e anche sui trattamenti effettuati in caso di attivazione delle stesse, assicurando, in ogni caso, che il contenuto delle notifiche si limiti ad avvisare l’utente della necessità di consultare l’App, senza fornire indicazioni di dettaglio relative al mittente e al contenuto del messaggio oggetto della notifica (punto 5.2 del provvedimento);

occorre garantire che la predetta App non preveda l’adesione automatica a tutti i servizi ivi disponibili e alla relativa messaggistica, adottando misure tecniche e organizzative necessarie a garantire agli utenti la possibilità di scegliere gli Enti erogatori da cui ricevere la predetta messaggistica (c.d. modalità opt-in), anche nella fase sperimentale (punto 5.3 del provvedimento);

deve essere assicurata la legittimità del trasferimento dei dati personali verso Paesi terzi, considerato che, per la gestione della Piattaforma IO, PagoPA si avvale di alcuni fornitori (tra cui Microsoft, Google, Instabug e Mixpanel) che effettuano trattamenti al di fuori dell’Unione europea (punto 5.4 del provvedimento);

VISTO, inoltre, il provvedimento n. 232 del 26 novembre 2020 (doc. web n. 9492345), con il quale il Garante si è espresso, ai sensi degli artt. 58, par. 3, lett. c), del Regolamento e 2-quinquiesdecies del Codice, in merito all’utilizzo dell’App IO per l’attuazione del Programma infrannuale di rimborso in denaro (c.d. cashback) di cui all’art. 1, commi da 288 a 290, della legge 27 dicembre 2019, n. 160, da parte del Ministero dell’economia e delle finanze, richiamando le predette prescrizioni e riservandosi ogni ulteriore valutazione all’esito della complessiva istruttoria in merito ai trattamenti effettuati nell’ambito dell’App IO quale punto di accesso telematico di cui all’art. 64-bis del CAD;

RILEVATO, altresì, che, da ultimo, l’art. 42, comma 2, del decreto legge 31 maggio 2021, n. 77, ha previsto che “le certificazioni verdi COVID-19 di cui all’articolo 9 del decreto-legge 22 n. 52 del 2021, sono rese disponibili all’interessato […] anche tramite il punto di accesso telematico di cui all’articolo 64-bis del decreto legislativo 7 marzo 2005, n. 82”, e che il Garante, nel rendere il parere con il provvedimento adottato in data odierna, sullo schema di decreto del Presidente del Consiglio dei Ministri di attuazione, che disciplina i trattamenti connessi all’attivazione della Piattaforma nazionale-DGC per l’emissione, il rilascio e la verifica delle certificazioni verdi Covid-19, si è riservato di effettuare ulteriori approfondimenti sull’utilizzo dell’App IO;

CONSIDERATO che il predetto punto di accesso telematico rappresenta una delle c.d. piattaforme abilitanti al centro delle politiche di trasformazione digitale della pubblica amministrazione e che l’App IO, allo stato scaricata da circa 11,5 milioni di utenti, attualmente rende disponibili oltre 12 mila servizi erogati da più di 5 mila enti a livello nazionale e locale;

RITENUTO, pertanto, necessario assicurare che, nelle more dell’adozione delle citate Linee guida attuative dell’art. 64-bis del CAD e della valutazione complessiva del Garante sui trattamenti che si intendono effettuare attraverso il predetto punto di accesso telematico, i trattamenti di dati personali attualmente in essere, o che si intendono a breve avviare, attraverso la Piattaforma IO, avvengano comunque nel rispetto del Regolamento e del Codice;

CONSIDERATI i recenti approfondimenti istruttori di carattere tecnico-giuridico effettuati d’ufficio, per tali ragioni, sulla base dell’analisi del codice sorgente dell’App IO, della documentazione disponibile in rete, relativa anche alle librerie software richiamate all’interno dell’App, nonché dell’osservazione del comportamento tenuto dalla stessa durante la sua esecuzione su un dispositivo mobile, con particolare riguardo alle sue interazioni con i servizi di Google LLC (di seguito, Google), Mixpanel Inc. (di seguito, Mixpanel) e Instabug Inc. (di seguito, Instabug), società stabilite negli Stati Uniti, responsabili del trattamento di PagoPA, che si avvalgono anche di sistemi informatici (risorse elaborative e di memorizzazione) ivi ubicati e di ulteriori fornitori anch’essi stabiliti in Paesi terzi;

RILEVATI i gravi elementi di criticità emersi nel corso dei predetti approfondimenti istruttori, che richiedono un immediato esame dell’Autorità, in ragione dei rischi di elevata probabilità e gravità che presentano per i diritti e le libertà degli interessati di seguito illustrati:

A) le interazioni dell’App IO con i servizi di Google e Mixpanel: l’App IO, all’atto del primo avvio e durante la sua esecuzione sul dispositivo di un utente, archivia talune informazioni sullo stesso e, in alcuni casi, accede a informazioni già archiviate, per trasmetterle a Google e Mixpanel. In particolare:

con riferimento all’utilizzo delle librerie software di Google, è emerso che l’App IO, al suo primo avvio su un dispositivo Android, effettua in modo automatico l’inizializzazione dei servizi Firebase di Google, creando così un identificativo univoco associato all’installazione dell’App, che sarebbe necessario, nel caso in esame, solo ai fini dell’invio di notifiche push da parte di Google. Tale identificativo viene, invece, generato, per impostazione predefinita, in relazione ai dispositivi di tutti gli utenti dell’App IO, a prescindere dalla volontà di ciascuno di avvalersi di tale servizio di notifica, e viene utilizzato anche nell’ambito di alcune interazioni dell’App con i servizi Firebase Analytics di Google che consentono, quantomeno, di monitorare le installazioni dell’App IO sui dispositivi degli utenti. Ciò, senza che sia chiara la finalità di tale trattamento e, peraltro, senza che l’utente ne sia adeguatamente informato e sia messo nelle condizioni di esprimere, in modo consapevole, il consenso previsto dall’art. 122 del Codice;

con riguardo, invece, alle librerie software di Mixpanel, si osserva che, come anche evidenziato da PagoPA nella determinazione di acquisto di tale servizio, disponibile sul sito della Società, queste rappresentano uno “strumento di analisi dei prodotti tecnologici volto a comprendere il comportamento degli utenti dei singoli prodotti, a visualizzarne, segmentarne ed analizzarne i dati, al fine di misurarne il successo e la diffusione e individuarne, per questa strada, aree di miglioramento” ed “è in grado di offrire informazioni dettagliate e in tempo reale su come le persone interagiscono con l’App in modo da potersi concentrare sulle funzionalità di maggior impatto e innovare più velocemente i servizi digitali resi disponibili al cittadino sull’App”. Gli accertamenti tecnici effettuati hanno evidenziato che le librerie di tracciamento di Mixpanel, presenti all’interno dell’App IO, sono state configurate per inviare automaticamente e sistematicamente i dati relativi a una pluralità di eventi (generati nel corso dell’utilizzo dell’app da parte dell’utente) ai sistemi di Mixpanel, unitamente a un identificativo unico dell’utente. Ciò, senza che l’utente, anche in questo caso, ne sia adeguatamente informato e sia posto nelle condizioni di esprimere il consenso di cui all’art. 122 del Codice. Le informazioni inviate a Mixpanel riguardano, tra le altre, il bonus vacanze dell’Agenzia delle entrate (es. eventi relativi alla verifica dei requisiti per la richiesta del bonus e alla generazione dello stesso), il programma cashback del Ministero dell’economa e finanze (es. l’elenco delle transazioni che partecipano al programma cashback e i c.d. hashpan degli strumenti di pagamento elettronico degli utenti, ), nonché l’utilizzo della Piattaforma PagoPA (es. gli eventi relativi all’aggiunta di strumenti di pagamento al portafoglio dell’utente e all’esecuzione di pagamenti a favore di pubbliche amministrazioni e gestori di pubblici servizi). Al riguardo, occorre tener presente che l’identificativo univoco utilizzato, in base alle sue caratteristiche, è qualificabile come dato personale e può essere utilizzato per creare profili degli utenti dell’App IO e identificarli, essendo generato mediante una funzione deterministica, peraltro resa pubblica (cfr. repository GitHub dell’App IO), che, a partire dal codice fiscale di un utente, produce sempre lo stesso identificativo, anche in caso di utilizzo di un diverso dispositivo mobile, consentendo così la reidentificazione degli interessati. Ciò, in quanto tale identificativo presenta un elevato grado di associabilità al codice fiscale dell’utente, tenuto anche conto che, nel caso in esame, l’identificativo è trasmesso dall’App IO ai sistemi di Mixpanel unitamente all’indirizzo IP del dispositivo dell’utente e ad altre informazioni relative al suo dispositivo e agli eventi oggetto di tracciamento;

B) l’attivazione automatica dei servizi offerti all’interno dell’App IO: risulta accertato che, contrariamente a quanto già prescritto dal Garante con il citato provvedimento del 12 giugno 2020, all’atto del primo accesso da parte dell’utente, tutti i servizi resi disponibili da ogni ente presente nell’App IO, sia a livello nazionale che locale, e quelli che progressivamente diverranno disponibili, sono già attivi, per impostazione predefinita, e spetta all’utente provvedere a disattivare, in modo puntuale, i servizi non di interesse (c.d. modalità opt-out), il cui numero, di recente aumentato esponenzialmente, è pari, a oggi, a oltre 12 mila servizi riferibili a più di 5 mila enti. Non è stata, peraltro, implementata una funzionalità per consentire all’interessato di disattivare in blocco tutti i servizi presenti nell’App, né per disattivare tutti i servizi offerti da un singolo ente;

C) l’utilizzo delle notifiche push: l’utilizzo di tali notifiche per informare gli utenti della ricezione di un messaggio all’interno dell’App IO comporta inevitabilmente il trattamento di dati personali da parte dei gestori dei sistemi operativi dei dispositivi utilizzati (Apple e Google). Inoltre, è stato accertato che, per ciascun servizio attivo, risultano abilitate, per impostazione predefinita, oltre all’inoltro dei messaggi via e-mail, anche le funzionalità relative all’invio delle predette notifiche, con la conseguenza che l’identificativo univoco attribuito da Google agli utenti con dispositivi Android (cfr. lett. A), punto 1) viene generato anche laddove l’interessato decida di non avvalersi di tale modalità di notifica;

RITENUTO, alla luce di quanto sopra esposto, che, in particolare:

l’utilizzo delle librerie di Google e Mixpanel comporti, seppur in misura differente tra loro, un tracciamento che consente di ricondurre, a soggetti determinati identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso dei diversi servizi offerti all’interno dell’App IO, che non risulta strettamente necessario per erogare i servizi esplicitamente richiesti da un utente nell’ambito dell’App IO, né, con riferimento a Mixpanel, è necessario per il perseguimento delle finalità di “assistenza, debug e miglioramento dell’App IO” dichiarate da PagoPA (nell’informativa resa agli utenti e nella documentazione fornita al Garante). Ciò, peraltro, senza che siano chiare le finalità dei trattamenti effettuati attraverso tali strumenti e senza che l’utente sia adeguatamente informato e possa esprimere quindi con piena consapevolezza il consenso, previsto dall’art. 122 del Codice, per l’archiviazione di informazioni sul proprio dispositivo e per l’accesso a quelle già archiviate;

la sistematica raccolta e i successivi trattamenti delle sopraccitate informazioni, aventi carattere estremamente personale (es. transazioni economiche e hashpan degli strumenti di pagamento degli utenti, trattati da PagoPA nell’ambito del programma cashback in qualità di responsabile del trattamento per conto del Ministero dell’economia e delle finanze) e riferite a milioni di interessati, sui sistemi di Mixpanel, non risultino conformi, oltreché ai principi di liceità, correttezza e trasparenza e di limitazione della finalità, anche ai principi di minimizzazione e di integrità e riservatezza (quest’ultimo con particolare riguardo alla mancata adozione di misure adeguate a garantire la riservatezza degli hashpan degli strumenti di pagamento degli utenti) di cui all’art. 5, par. 1, del Regolamento;

il ricorso ai servizi offerti da Google, Mixpanel e Instabug, che a loro volta si avvalgono di numerosi fornitori stabiliti fuori dall’Unione europea, comporta inevitabilmente il trasferimento dei dati sopra descritti verso Paesi terzi (es. Stati Uniti, India, Australia), in relazione ai quali non è stata comprovata, allo stato, l’adozione di garanzie adeguate ai sensi degli artt. 44 e ss. del Regolamento. Ciò, tenuto conto anche che, indipendentemente dal luogo in cui sono ubicati i sistemi informatici su cui conservati i dati personali degli utenti dell’App IO, l’accesso remoto a tali sistemi di trattamento, da parte di soggetti stabiliti al di fuori dell’Unione europea, configura comunque un trasferimento di dati verso Paesi terzi (cfr., sul punto, le “Raccomandazioni 01/2020 relative alle misure che integrano gli strumenti di trasferimento al fine di garantire il rispetto del livello di protezione dei dati”, adottate dal Comitato europeo per la protezione dei dati il 10 novembre 2020, spec. note 22 e 27);

l’attivazione, per impostazione predefinita, di tutti i servizi disponibili all’interno dell’App IO (oltre 12 mila), con la descritta abilitazione automatica della ricezione di notifiche push e di inoltro via e-mail, non consente agli utenti la possibilità di scegliere gli enti e i servizi per i quali ricevere le predette notifiche e i messaggi in modalità opt-in, elemento che deve ritenersi necessario, nel caso di specie, anche in considerazione della mancata adozione di modalità semplificate per la disattivazione degli stessi da parte degli utenti, in contrasto, quindi, con i principi di proporzionalità e di privacy by design e by default;

CONSIDERATA, su tale base, la necessità di intervenire urgentemente su tali aspetti per tutelare i diritti e le libertà degli interessati, nelle more della conclusione degli accertamenti in corso, in ragione del fatto che, come sopra rappresentato, i trattamenti in esame coinvolgono milioni di interessati e sono riferibili a sempre più numerosi servizi offerti da pubbliche amministrazioni e gestori di pubblici servizi attraverso l’App IO, che riguardano anche dati particolarmente delicati (es. transazioni economiche e strumenti di pagamento) e sulla salute, tenuto conto che è stato recentemente prospettato anche l’utilizzo dell’App IO per la messa a disposizione degli utenti delle certificazioni verdi Covid-19;

RITENUTO, dunque, in via d’urgenza – essendo la notifica di cui all’art. 166, comma 5, del Codice incompatibile con la natura e le finalità del presente provvedimento – di dover adottare le seguenti misure:

1) imporre a PagoPA, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità;

b) i servizi di Mixpanel, sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati, già inviati a Mixpanel, effettuato per finalità diverse dalla mera conservazione degli stessi;

2) ingiungere a PagoPA, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché quelle necessarie ad assicurare le medesime garanzie nei confronti di coloro che risultano già utenti dell’App in relazione ai servizi attivati automaticamente;

3) ingiungere a PagoPA, ai sensi dell’art. 157 del Codice, di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

RISERVATA ogni altra determinazione, anche sanzionatoria, da adottarsi nei confronti dei soggetti a vario titolo coinvolti nei trattamenti di dati personali effettuati mediante la Piattaforma IO, sulla base di successivi approfondimenti e di interlocuzioni con la Società;

TENUTO CONTO che: l’inosservanza di un ordine di limitazione provvisoria del trattamento adottato dal Garante è soggetta alla sanzione penale di cui all’art. 170 del Codice e alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e), del Regolamento; l’inosservanza di un ordine adottato dal Garante ai sensi dell’art. 58, par. 2, del Regolamento è soggetta alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 6, del Regolamento; il mancato riscontro a una richiesta di informazioni di cui all’art. 157 del Codice, è soggetto, ai sensi dell’art. 166, comma 2, del Codice, alla sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

RITENUTO che ricorrono i presupposti di cui all’art. 17 del regolamento n. 1/2019 del Garante concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

TUTTO CIÒ PREMESSO, IL GARANTE

1) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, impone a PagoPA S.p.A. (CF/P.IVA 15376371009) la limitazione provvisoria – da rendere operativa senza ingiustificato ritardo, e comunque non oltre sette giorni dalla ricezione del presente provvedimento – dei trattamenti effettuati mediante l’App IO che prevedono l’interazione con:

a) i servizi di Google LLC, consentendo esclusivamente i trattamenti necessari all’invio di notifiche push agli utenti dell’App IO che hanno esplicitamente e liberamente attivato tale funzionalità per taluni servizi;

b) i servizi di Mixpanel Inc., sospendendo l’archiviazione dei dati sui dispositivi degli utenti, l’accesso a tali dati e la raccolta degli stessi sui sistemi di Mixpanel, nonché interrompendo ogni altro ulteriore trattamento dei dati già inviati a Mixpanel effettuato, anche da parte di altri soggetti, per finalità diverse dalla mera conservazione degli stessi;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a PagoPA S.p.A. di adottare, entro trenta giorni dalla ricezione del presente provvedimento, misure tecniche e organizzative necessarie a modificare le modalità di attivazione dei servizi disponibili all’interno dell’App IO e delle relative funzionalità di notifica push e di inoltro via e-mail dei messaggi, garantendo a tutti gli interessati la possibilità di una scelta libera, esplicita e specifica in relazione a ciascun servizio o ai servizi offerti da uno determinato ente (c.d. modalità opt-in), nonché ad assicurare le medesime garanzie nei confronti di coloro per i quali, essendo già utenti dell’App IO, sono stati attivati automaticamente servizi non richiesti in modo libero, esplicito e specifico;

3) ai sensi dell’art. 157 del Codice, ingiungere a PagoPA S.p.A., di fornire all’Autorità:

a) entro trenta giorni dalla ricezione del presente provvedimento, un riscontro, adeguatamente documentato, in merito alle misure che intende adottare al fine di rendere conformi alla disciplina in materia di protezione dei dati personali i trattamenti effettuati mediante l’App IO che prevedono le interazioni di cui al precedente punto 1), lett. a) e b);

b) entro quaranta giorni dalla ricezione del presente provvedimento, un riscontro adeguatamente documentato in merito alle iniziative intraprese al fine di dare attuazione a quanto ingiunto al precedente punto 2);

4) dispone la trasmissione del presente provvedimento anche alla Presidenza del Consiglio dei Ministri, al Ministero dell’economia e delle finanze, al Ministero della salute, all’Agenzia delle entrate e all’AgID per le valutazioni di competenza;

5) dispone l’annotazione del presente provvedimento nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u), del Regolamento, delle violazioni e delle misure adottate in conformità all’art. 58, par. 2, del Regolamento.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del decreto legislativo 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo individuato nel medesimo art. 10, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 giugno 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

Telemarketing selvaggio: l’ordinanza-ingiunzione del Garante della privacy a Planet Group s.p.a.: 80.000 euro di sanzione amministrativa

Reading Time: 19 minutes

Finalmente veniamo a capo di uno dei filoni più importanti e resistenti del Telemarketing selvaggio, quelle aziende che ci chiamano sul telefono (cellulare!) per proporci di tutto, dal trading on line al cambio di gestore telefonico, da una nuova fornitura di gas e luce all’acquisto di generi alimentari on line (a me è successo anche questo).

Si chiama Planet Group, e ha contattato in poco meno di tre anni (dal 2016 al 2019) qualcosa come 47.981 utenze telefoniche per conto della TIM. Il Garante per la protezione dei dati personali ha aperto un’istruttoria, che si è conclusa con l’irrogazione di una sanzione pecuniaria di ben 80.000 euro. Sanzioni di minore entità sono state irrogate alla Plurima s.r.l. (5000 euro, anche in considerazione dello stato di grave crisi economica in cui versa dopo il ritiro ell’incarico di intermediario da parte di TIM) e Mediacom s.r.l. (15000 euro).

Ma leggete il testo di questa ordinanza-ingiunzione e come si è svolta l’istruttoria. E’ un testo molto lungo ma vi posso assicurare che ne vale la pena. Perché, checché ne pensiate, sia pure dopo anni, TUTTE le segnalazioni e i reclami inviati al Garante sortiscono il loro effetto. Ed è giusto tutelare la nostra privacy, perché siamo diventati merce, non persone. E allora avanti così.


Ordinanza ingiunzione nei confronti di Planet Group spa – 11 marzo 2021

Registro dei provvedimenti
n. 98 dell’11 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presiden-te, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati perso-nali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI, fra i provvedimenti del Garante a contenuto generale più rilevanti, le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 254234 e il provv. gen. 19 gennaio 2011, Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l’impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni, doc. web n. 1784528;

VISTI le numerose doglianze pervenute all’Autorità, contenute in segnalazioni e reclami, riguardanti anche la ricezione di chiamate promozionali indesiderate per conto di TIM s.p.a., alcune imputate direttamente agli operatori di “Planet Group”;

VISTI gli esiti degli accertamenti effettuati presso Tim s.p.a., destinataria del provvedimento, correttivo e sanzionatorio, del 15 gennaio 2020 [doc. web n.  9256486], nonché presso le socie-tà di call center – come Planet Group spa (di seguito indicata come: “Planet Group” o “la Società”) – incaricate dello svolgimento delle campagne promozionali;

VISTI la memoria del 13 novembre 2020 nonché il verbale di audizione di Planet Group del 30 novembre 2020;

VISTA la complessiva documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

1. Le doglianze degli interessati

Sono pervenute all’Autorità, dal 2017 ai primi mesi del 2019 (peraltro, secondo una dinamica confermatasi anche nei mesi successivi), numerosissime doglianze (nell’ordine di varie centinaia), contenute in segnalazioni e reclami, in particolare riguardanti la ricezione di chiamate promozionali, per conto di TIM s.p.a. avvenute:

a) in assenza di consenso degli interessati; oppure:

b) nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero

c) anche dopo l’esercizio del diritto di opposizione.

In taluni casi (XX; XX; XX) sono state evidenziate, proprio con riguardo agli operatori di Planet Group, telefonate reiterate particolarmente insistenti e poco attente alle esigenze ed impegni pur prospettate dagli interessati al momento del contatto.

2. L’attività istruttoria dell’Ufficio e relativi esiti.

In ragione di tale situazione l’Autorità ha ritenuto opportuno effettuare un’articolata attività istruttoria, al fine di acquisire maggiori elementi di valutazione rispetto alle suindicate doglianze, procedendo con accertamenti ispettivi presso Tim e i suoi partner, fra cui Planet Group, ove le operazioni sono state avviate il 27 marzo 2019. Successivamente (il 30 settembre 2019) l’Ufficio ha inviato una prima richiesta di informazioni integrative con riguardo alle modalità del trattamento, in relazione alla quale la Società ha fornito riscontro il 13 dicembre 2019. Sono state successivamente formulate alcune ulteriori richieste di informazioni riguardo ad altre doglianze (pervenute tramite segnalazioni e reclami), rispetto alle quali la Società ha fornito riscontri, rispettivamente, il 17 dicembre 2019 e il 1° luglio 2020.

Sulla base dei suddetti riscontri nonché della documentazione complessivamente acquisita, l’Ufficio, il 12 ottobre u.s., ha provveduto ad inviare a Planet Group comunicazione di avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, esponendo quanto segue.

Planet Group- nel periodo compreso fra il 1° gennaio 2016 e il 13 dicembre 2019 – ha contattato, per conto dei propri committenti (fra cui Tim) un numero complessivo di 47.981 utenze telefoniche “referenziate” (ossia estranee alle liste di contattabilità fornite da Tim, ma suggerite dai soggetti contattati in esse inseriti).

Con riferimento a tali contatti, Planet Group non ha circostanziato né dimostrato lo status di “referenziato” per le singole utenze contattate “fuori lista” (inclusi, fra gli elementi, l’origine e le modalità esatte, anche temporali, di acquisizione dei dati in questione), ma si è limitata a definirle, genericamente ed indistintamente, quali utenze “referenziate”, nel sen-so sopra individuato (v. riscontro 13 dicembre 2019, cit.) e ad indicare l’utenza ‘referenziante’.

La medesima Società ha dichiarato di aver effettuato tale attività in base al proprio contrattualizzato ruolo di responsabile del trattamento, evidenziando di aver comunque interrotto siffatta raccolta di dati e il successivo utilizzo per i contatti promozionali e di aver previsto sessioni formative per i propri operatori, mirate al corretto trattamento dei dati (v. riscontro 13 dicembre 2019).

Nella citata comunicazione, l’Ufficio ha evidenziato che, con specifico riguardo ad alcune doglianze (Sigg.ri XX; XX; XX; XX; XX; XX; XX; XX; XX), la Società, in linea generale (salvo alcuni specifici contatti, per i quali ha affermato la non riferibilità a sé della linea chiamante utilizzata), non ha contestato le circostanze (data, ora, modalità, ossia telefonata con operatore) relative alle comunicazioni promozionali lamentate dagli interessati né il diniego del trattamento formulato dagli stessi (v. riscontro 1° luglio 2020, cit.). Inoltre, alcune telefonate riferite ad alcuni dei summenzionati interessati (XX; XX; XX; XX) sono state espressamente confermate da Planet Group (v. verbale 28 marzo 2019).

Con riguardo alle telefonate in questione, la Società ha dichiarato di aver agito in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento, evidenziando – fatta salvo il caso di XX – che le numerazioni contattate appartenevano alle liste ricevute da TIM spa per lo svolgimento delle proprie campagne promozionali (v. riscontro 1° luglio 2020, cit.). In quest’ottica, Planet Group ha indicato il codice dell’utenza come risultante nelle dette liste (eccezion fatta per l’utenza intestata a XX).

Con riferimento a XX, l’Ufficio ha dunque ritenuto – sulla base del riscontro fornito dalla Società – che il contatto, non essendo stato fornito da Tim, sia stato acquisito da Planet Group in altro modo. Può dunque affermarsi che tale utenza rientri nelle c.d. utenze ‘fuori lista’, di cui sopra e che non risultino in atti elementi riguardo all’eventuale acquisizione del necessario previo specifico consenso per la finalità promozionale.

Lo stesso – si è già detto nella nota del 12 ottobre u.s. – può dirsi per l’utenza di XX (v. riscontro 17 dicembre 2019, cit.), in relazione alla quale la Società non ha smentito né le telefonate lamentate, né l’opposizione effettuata dall’interessato nell’ambito delle stesse; non ha fornito alcun elemento sull’origine dei dati né riguardo al necessario consenso o ad altro idoneo presupposto di liceità. Analogo discorso vale anche per l’utenza di XX, che risulta contattata in base ad un’iniziativa non autorizzata di un operatore di codesta Società, circostanza genericamente indicata e non chiarita (v.: riscontro 30 gennaio 2019, reso dalla Società e veicolato da Tim spa nell’ambito dell’attività istruttoria avviata: provv. 15 gennaio 2020, par. 2.3).

È stato dunque rilevato come Planet Group abbia trattato i dati dei suindicati interessati (con particolare riguardo alle utenze fuor lista) in assenza del necessario specifico preventi-vo consenso per la finalità promozionale, ma anche di altro idoneo presupposto giuridico (v. artt.: 6, par.1, Regolamento – 130, Codice), con contestuale violazione del principio di li-ceità (art. 5, par. 1, lett. a, Regolamento).

Per altre utenze (XX; XX; XX), l’Ufficio ha osservato che – pur ipotizzando le stesse validamente consensate per le finalità promozionali di Tim – risulta esser stato effettuato un trattamento successivo all’opposizione chiaramente formulata, talora in forma reiterata, dagli interessati.

Precisato che l’opposizione – rilevante ai fini della normativa vigente in materia – è già quella eventualmente effettuata dall’interessato nel corso della telefonata e che va dunque puntualmente e tempestivamente recepita dal titolare/ responsabile del trattamento, si deve ribadire come la suddetta condotta integri la violazione del diritto di opposizione al trattamento per finalità di marketing (art. 21, par. i  2 e 3, del Regolamento) nonché del principio di correttezza (art. 5, par. 1, lett. a, Reg. cit.).

Per taluni altri interessati (in particolare, XX; XX; XX; XX) non può dirsi recepita l’opposizione effettuata, dato che la relativa utenza non è presente in black list (v. verbale 28 marzo 2019, cit.). Analoga lacuna (assenza in black list) è emersa per n.  45 utenze, risultate presenti nei sistemi della Società come destinatarie di telefonate promozionali, per le quali l’Ufficio, in sede ispettiva (v. verbale 29 marzo 2019), aveva richiesto di effettuare una verifica (v. riscontro del 12 aprile 2019, all. ti “1_Check_Controllo_Utenze” e “2_Check_Controllo_Utenze”).

Peraltro, in sede di attività istruttoria relativa ai trattamenti di dati effettuati per conto di Tim, è risultato che la Società ha effettuato attività telefonica in modo insistente e concentrato (fino a 4 telefonate al giorno: v. casi di XX e XX, riscontro 1° luglio 2020; fino a 155 telefonate verso un’altra utenza, peraltro nel ristretto periodo di un mese), violando anche in tal caso il richiamato principio di correttezza e ponendo in pericolo altresì il diritto alla tranquillità individuale, connesso a quello alla protezione dei dati (v. provv. 15 gennaio 2020, cit., par. 3.2).

Complessivamente, le violazioni sopra indicate hanno rivelato anche un non adeguato disegno e governo dei trattamenti e delle misure poste a presidio della conformità dei medesimi alla normativa, in contrasto anche con il fondamentale principio di privacy by design (art. 25, par. 1, del Regolamento).

Pertanto, l’Ufficio, con la menzionata comunicazione di avvio del procedimento, il 12 ottobre u.s., ha rilevato la contestabilità a Planet Group della violazione delle seguenti disposizioni di seguito indicate:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

– art. 21, parr.  2 e 3, del Regolamento;

– art. 25, par. 1, del Regolamento.

Con la memoria difensiva presentata il 13 novembre u.s. nell’ambito del procedimento instaurato, Planet Group ha rappresentato che: “Per la grande maggioranza delle utenze di cui alla comunicazione in oggetto, e precisamente per 36.039 utenze contattate delle 47.981 contestate, come si evince dall’identità dei codici fiscali, presenti nelle liste delle utenze da contattare comunicate a Planet Group, che si ritrovano anche nei contratti attivati per conto di Telecom. In altri termini, è stato contattato, in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato. Tale circostanza si evince dalle registrazioni dei contratti stipulati che, in considerazione del loro ‘peso’ non possono essere prodotte in tale sede e che saranno spedite, su supporto informatico, all’indirizzo dell’Autorità. Pertanto, deve ritenersi del tutto errato il numero delle utenze che sarebbero state contattate illegittimamente.”.

Con specifico riguardo alla violazione degli artt. 5, par. 1, lett. a) e 6, par. 1, del Regolamento, la Società ha rappresentato che le stesse dovrebbero “trovare applicazione tenendo conto non già di 47.981 utenti, ma al più, laddove la scrivente società dovesse versare nell’impossibilità di reperire condizioni che legittimino il trattamento, esclusivamente di 11.943 utenti.”

Peraltro, Planet ha affermato di aver agito “nei confronti degli anzidetti 47.981 utenti …. in qualità di responsabile del trattamento, contattando numerazioni presenti nelle liste trasmesse da Telecom Italia e adoperando gli script assegnati dalla società titolare del trattamento”, chiedendo di tener conto “di tali aspetti … in sede di eventuale comminazione della sanzione, alla luce dell’art. 82, par. 2, lett. a) dove, tra gli elementi di cui occorre tener conto, si menziona il numero degli interessati.”, osservando, in via correlata che “in merito alla nozione di “danno”, preme rilevare che gli interessati non hanno subito alcun danno risarcibile e, quindi, deve concludersi che ‘il livello del danno da essi subito’ di cui all’ultimo inciso della disposizione in esame, sia nei fatti insussistente. …. Allo stesso tempo, in più occasioni la giurisprudenza di merito ha puntualizzato che le telefonate commerciali, salvo che non integrino gli estremi della molestia, non sono risarcibili: pertanto, nel caso di specie, gli unici casi in cui potrebbe essere astrattamente ipotizzabile un danno, potrebbero essere quelli dei segnalanti XX e XX.”.

Riguardo alla violazione dell’art. 21, parr. 2 e 3, del Regolamento, Planet Group ha evidenziato di aver “cooperato immediatamente con l’Autorità e … provveduto, sin nei giorni successivi all’ispezione, ad implementare misure informatiche e organizzative che potessero facilitare sia l’esercizio dei diritti degli interessati, sia la cancellazione delle utenze che avevano manifestato la propria volontà di non essere contattate per finalità commerciali.” . Inoltre, non contestando il fatto che  “45 utenze non risulterebbero essere state inserite in black list,” ha tuttavia evidenziato che “trattasi di un numero decisamente esiguo in proporzione alle lamentate e presunte violazioni ….” e  che “la mancata presenza in black list non dimostra in alcun modo – anche perché non risultano ulteriori doglianze – che tali soggetti interessati siano stati contattati successivamente alla loro richiesta di non ricevere ulteriori comunicazioni commerciali.”

La Società inoltre -con specifico riguardo alla contestata violazione dell’art. 25, par. 1, del Regolamento- ha eccepito la genericità della relativa motivazione nonché l’applicazione della norma in questione unicamente al titolare del trattamento e non anche al responsabile del trattamento, ruolo rivestito dalla medesima, a suo dire, nell’ambito delle campagne di TIM.

Nell’ambito dell’audizione tenutasi il 30 novembre u.s., Planet Group, riportandosi interamente a quanto già dichiarato con la nota del 13 novembre 2020, ha rappresentato che:

– “A riprova del corretto comportamento assunto, nonché per una corretta quantificazione del nume-ro degli utenti contattati”, avrebbe provveduto “a depositare memorie informatiche (nel numero totale o a campione significativo, in base a quanto tecnicamente possibile per la Società e quanto di conseguenza riterrà stabilire l’Autorità) delle registrazioni telefoniche intrattenute con gli utenti contattati”; documentazione che, tuttavia, non risulta pervenuta a questa Autorità;

– con riferimento all’applicazione dell’eventuale sanzione: “l’art. 25 GDPR sulla privacy by design … pare un riferimento giuridico carente delle necessarie motivazioni, in quanto la condotta societaria si è conformata al proprio ruolo di responsabile del trattamento – e non titolare – ed ha effettuato le telefonate sul presupposto della necessaria base giuridica.”

Inoltre, con espresso riferimento al criterio sanzionatorio del ‘danno’ di cui all’art.83, par.2, lett. a), Planet Group ha evidenziato:

– di ritenere esiguo il numero dei soggetti contattati e inconsistenti i danni, comunque difficili da accertare, eventualmente arrecati agli interessati, citando nuovamente alcune sentenze in materia di responsabilità da violazione della normativa in materia;

–  che: “ …. non risulta …. che nessun soggetto abbia rivolto nei confronti della medesima alcuna pretesa risarcitoria, nè abbia esperito azione risarcitoria…… e che non sembra emergere, nella fattispecie, alcun allarme sociale riguardo al comportamento generale della società nell’ambito della ge-stione dei dati personali.”

3. Valutazione della complessiva condotta della Società

Va evidenziato preliminarmente che, nella fattispecie concreta, Planet Group è da ritenersi di fatto titolare, insieme a Tim, dei trattamenti promozionali rivolti alle numerazioni “fuori lista” o “referenziate”, con la conseguente applicabilità di principi ed obblighi in materia di pro-tezione dei dati; in tal senso, non assume rilievo qualificare il suo ruolo come titolare autonomo o invece congiunto a Tim.

Dagli atti infatti è emerso come Planet Group abbia contribuito a stabilire sia le finalità pro-mozionali sia le modalità di contatto (v. art. 28 del Regolamento), organizzando quest’ultime in assenza di istruzioni operative formalizzate dalla committente; modalità di fatto poi accettate da Tim, che ha recepito i contratti conclusi e introitato le relative utilità. Planet Group risulta aver operato eccedendo, di fatto, rispetto al ruolo di mero responsabile “del trattamento formal-mente affidato per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM (v. provv. 1° febbraio 2018, doc. web n. 7810723). Ciò anche in considerazione della circo-stanza inconfutabile, che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica”: v. provv. 15 gennaio 2020, cit., par. 3).

Comunque, anche ove si riconoscesse a Planet Group il ruolo di responsabile (anziché titola-re o contitolare) del trattamento, la valutazione della sua condotta in termini di illiceità non muterebbe. Infatti, con specifico riguardo alle telefonate effettuate, nei confronti di utenze “fuori lista”, è risultato che sono stati contattati soggetti “referenziati”, in base a una costante prassi operativa riconducibile a una cosciente scelta aziendale della Società e non riferibile ad eccezionali iniziative dal personale.

Al contempo, è però chiaro come vada distinto il ruolo dei call center che, come Planet, han-no eseguito le campagne promozionali da quello del committente (Tim, nella fattispecie), invero preponderante e ben più incisivo, con riguardo alle dinamiche e prassi operative condivise nonché all’introitamento dei profitti derivanti dalle campagne promozionali.

Occorre poi riproporre le considerazioni già formulate da questa Autorità con il provv. 15 gennaio 2020 (par. 3.1., cit.). In particolare, “non può invocarsi quale base giuridica …. quella del ‘legittimo interesse’ alle attività di marketing, magari unitamente al presunto interesse del soggetto ‘referenziante’, che coinvolge nella promozione l’amico o il parente. Va poi evidenziato che il legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento – già previsto sia dall’abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) – non può surrogare – in via generale – il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) – lo ammette solo ‘a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali’. … In ogni caso, l’esistenza di legittimi interessi richiede un’attenta valutazione anche in merito all’eventualità che l’interessato, al momento e nell’ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”.

Va inoltre ribadito anche nel caso di Planet Group quanto già chiarito nel citato provv. 15 gennaio 2020, ossia che: “L’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall’Autorità di controllo) di quest’ultimo sui diritti, libertà e meri interessi degli interessati (nello spe-cifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l’attenta ponderazione dell’impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato”(1).

Peraltro, richiamando sempre il provv. 15 gennaio 2020: “il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al mo-mento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01)”.

Pertanto -qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici- si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati(2).

Si deve rilevare peraltro come Planet Group abbia rappresentato, riguardo alle utenze ‘fuori lista’, che è stato chiamato “in seconda istanza e su indicazione del soggetto contattato, un soggetto terzo (familiare e/o convivente dello stesso) che ha stipulato il contratto su delega del soggetto contattato.

Il meccanismo di delega in questione non è idoneo a surrogare l’adempimento dell’obbligo di acquisizione di un previo libero e specifico consenso al marketing da parte del soggetto contat-tato, in seconda battuta, in quanto delegato (per es. ad attivare un prodotto o servizio) dal primo soggetto contattato (presente nelle liste della committente), né può valere come altra idonea base giuridica, ed infatti non è ricompreso nell’elenco delle condizioni di liceità di cui all’art. 6 del Regolamento. In tale prospettiva, non assume alcun rilievo che Planet Group non abbia poi prodotto le memorie informatiche atte a comprovare siffatto svolgimento dei contatti telefonici. In particolare, tale meccanismo non può integrare – di regola – la condizione del ‘legittimo interesse’ (come sopra esposto nella sua corretta dimensione e limiti operativi).

Differentemente da quanto asserito ed argomentato da Planet Group, la condotta della Società – al pari delle analoghe attività promozionali effettuate da altri call center – determina alarme sociale, ed è infatti oggetto di numerosissime doglianze (ancora oggi connotandosi come la problematica più ricorrente fra quelle pervenienti a questa Autorità) e fonte di conseguenti, e talora complesse, attività istruttorie, nonostante i reiterati provvedimenti, sia a carattere gene-rale sia diretti a determinati titolari.

Inoltre, in alcuni casi concreti, è certamente ravvisabile – anche al riguardo l’argomentazione della Società non risulta condivisibile – un danno serio ed apprezzabile, la cui concreta configurabilità, quanto ai presupposti ed anche alla relativa quantificazione, anche ai fini risarcitori, evidentemente spetta alla competente valutazione dell’autorità giudi-ziaria.

Con specifico riguardo al mancato tempestivo recepimento del diritto di opposizione,  è necessario ricordare che, ai sensi dell’art. 12, comma 3, del Regolamento: “Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa”.  Ciò vale per tutte le istanze di esercizio dei diritti degli interessati, ma assume rilevanza ancor maggiore – nell’ottica del contrasto del marketing indesiderato – con specifico riguardo alle istanze di opposizione al trattamento per finalità di marketing, oggetto non a caso della maggior parte delle più critiche doglianze pervenute e pervenienti tuttora all’Autorità.

Va peraltro evidenziato come risultino gravi i molteplici casi di contatto reiterato e insistente con la connessa violazione del diritto di opposizione al trattamento, ma anche del menzionato fondamentale principio di correttezza, in ragione di modalità che appaiono invasive dei fondamentali diritti alla riservatezza e alla tranquillità individuale. Va inoltre evidenziato che, per quanto in atti, non risulta che la Società – a differenza di altri call center incaricati da Tim – abbia adottato misure per provare a governare – e tempestivamente comprovare – il fenomeno delle chiamate fuori lista, conducendolo nei corretti binari della normativa vigente.

In base a quanto complessivamente acquisito, l’Autorità ritiene dunque – conformemente al-le valutazioni già formulate con la citata comunicazione dell’Ufficio del 12 ottobre u.s. – che siano ravvisabili nella fattispecie le seguenti violazioni in capo a Planet Group:

– art. 5, par. 1, lett. a), del Regolamento;

– art. 6, par.1, del Regolamento;

– 130 del Codice;

–  art. 21, par. i 2 e 3, del Regolamento, il cui disvalore può ritenersi assorbente rispetto alla violazione dell’art. 12, par.3, Regolamento;

– art. 25, par. 1, del Regolamento.

Pertanto si ritiene, ai sensi dell’art. 58, par. 2, lett. d) ed f), del Regolamento, di dover adot-tare nei confronti di Planet Group la limitazione definitiva dei trattamenti sopra descritti, in-giungendo altresì di conformarli alla disciplina vigente.
4.Ordinanza-ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni, come sopra indicate, impongono anche l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Planet Group della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e  5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Tali violazioni risultano integrate in relazione a trattamenti collegati effettuati da Planet Group, per cui si ritiene applicabile la disposizione di maggior favore prevista dall’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, sono state violate, con dolo o colpa, varie disposizioni del Regolamento, la sanzione comminata per la violazione più grave (di cui all’art. 83, par. 5, lett. a e b, del Regolamento) può assorbire quella applicabile per la violazione meno grave (v. art. 83, par. 4, lett. a, del Regolamento).

Per la determinazione dell’ammontare della sanzione nella fattispecie concreta occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nella presente fattispecie, possono considerarsi nei termini seguenti:

– la limitata durata della violazione (art. 83, par. 2, lett. a), del Regolamento);

– il numero limitato di interessati coinvolti, se relazionato alla notevolissima mole di telefonate promozionali effettuate dalle società di call center, partner di TIM (art. 83, par. 2, lett. a), cit.);

– la dimensione soggettiva della condotta, che deve ritenersi non dolosa, ma colposa, con par-ticolare riferimento al carattere reiterato e insistente di alcuni contatti telefonici e alla man-cata tempestiva attuazione del diritto di opposizione al trattamento (art. 83, par. 2, lett. b), del Regolamento);

– la dichiarata interruzione delle attività di contatto dei soggetti ‘referenziati’ sin dal 9 ottobre 2019, in base al divieto comunicatole da Tim (art. 83, par. 2, lett. c), del Regolamento);

– l’assenza di precedenti violazioni e provvedimenti dell’Autorità a carico della Società (art. 83, par. 2, lett. e), del Regolamento);

– la pronta cooperazione con l’Autorità nel corso degli accertamenti ispettivi e del procedi-mento (art. 83, par. 2, lett. f), del Regolamento);

– le categorie di dati personali interessate dalla violazione, essenzialmente individuabili in meri dati di contatto (art. 83, par. 2, lett. g), del Regolamento);

–  l’attuale gravissima crisi economica e finanziaria, anche a causa dell’emergenza sanitaria in corso (art. 83, par. 2, lett. k, del Regolamento).

A tali circostanze attenuanti si contrappongono le seguenti circostanze aggravanti:

–  la mancata adozione, per quanto in atti, di misure finalizzate a disciplinare e governare le attività di contatto di utenze ‘fuori lista’ prima che, il 9 ottobre 2019, subentrasse il divieto di Tim riguardo tale attività (art. 83, par. 2, lett. c), del Regolamento);

– la difformità della condotta della Società rispetto alla consistente attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing – possono ragionevolmente far ritenere raggiunta da tutti gli operatori (inclusa Planet Group), una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate (art. 83, par. 2, lett. k, cit.).

In base al complesso degli elementi sopra indicati, in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa ma anche della gravità delle condotte riscontrate, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Planet Group la sanzione amministrativa del pagamento di una somma di euro 80.000,00 (ot-tantamila) pari allo 0,40 % della sanzione edittale massima (euro 20.000.000).

Tale percentuale tiene conto, in termini comparativi con analoghe fattispecie, dell’elevato numero di utenze referenziate trattate senza base giuridica, dell’accertamento di gravi violazioni ulteriori, in particolare del diritto di opposizione e del principio di correttezza nella ge-stione di alcune telefonate promozionali; nonché della mancata adozione di apposite tempesti-ve misure per rimediare a tali violazioni

Nel caso in argomento si ritiene che debba applicarsi poi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto degli accertamenti, vale a dire il fenomeno del marketing indesiderato per conto delle compagnie telefoniche, oggetto, come sopra osservato, di numerosissime doglianze e conseguenti istruttorie di quest’Autorità, nonostante i reiterati provvedimenti sia a carattere generale sia diretti a determinati titolari.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione e adotta le seguenti misure correttive nei confronti di Planet Group S.p.a., con sede legale in Milano, viale Monza n. 265 (p.i. 07483620964):

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone la limitazione definitiva del trattamento dei dati personali degli interessati, per i quali non disponga di un consenso libero e specifico per la finalità promozionale o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge l’implementazione di misure tecniche ed organizzative tali da assicurare:

1. il trattamento per la finalità promozionale solo dei dati personali per i quali disponga di un consenso libero e specifico per tale finalità o di un’altra idonea e documentata base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

2. la gestione corretta, nonché documentata adeguatamente e tempestivamente, del fe-nomeno delle chiamate eventualmente rivolte ad utenze c.d. “fuori lista”;

3. l’inserimento in black list, senza ingiustificato ritardo, dei dati degli interessati che in qualunque modo si oppongano al trattamento nonché la pronta comunicazione al committente della campagna promozionale;

4. la verifica documentabile, ad intervalli regolari, dell’effettiva registrazione, senza in-giustificato ritardo, della volontà degli interessati riguardo all’attività promozionale e dell’effettivo conseguente inserimento in black list delle numerazioni raggiunte da contatti commerciali con esito di diniego al trattamento;

5.  modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine;

c)  ai sensi dell’art.58, par.1, lett. a), del Regolamento nonché dell’art. 157 del Codice, ingiunge alla medesima Società di fornire, nel termine di 30 giorni dal ricevimento del presente provvedimento, riscontro documentato con riguardo alle iniziative intraprese al fine di dare attuazione a quanto disposto ai punti 1 e 2; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, lett. e, del Regolamento;

ORDINA

a Planet Group spa, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 80.000,00 (ottantamila), a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, mediante il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 80.000,00 (ottantamila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7 del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione sul sito del Garante del presente provvedimento, e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento, nonché degli artt. 152 del Codice e 10 del d. lg. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 11 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 

____________

(1) V., in tal senso: Relazione annuale 2018, p. 107, il provv. 22 maggio 2018, doc. web n. 8995274, nonché il Parere del Grup-po Art. 29, n. 6/2014,– WP 217, p. 35, secondo il quale l’istituto del legittimo interesse “garantisce una maggiore protezione dell’interessato; in particolare, stabilisce che si tengano in considerazione non solo i diritti e le libertà fondamentali dell’interessato, ma anche il suo ‘interesse’ – mero e non qualificato. … tutte le categorie di interessi dell’interessato devono essere prese in considerazione e valutate comparativamente rispetto a quelle del responsabile del trattamento, nella misura in cui siano pertinenti nell’ambito del campo di applica-zione della direttiva”.
(2) In tal senso, v.: il citato provv. del 15.1.2020, nonché, in precedenza, le Linee Guida del Garante in materia promozionale, 4 luglio 2013, e ancor prima, il provv. gen. 19 gennaio 2011, “Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”, doc. web n. 1784528.

Caso Grillo: per il Garante della Privacy la pubblicazione del video è un atto illecito

Reading Time: < 1 minute

Caso Grillo: Garante privacy, diffusione video è atto illecito

In relazione alla circostanza – riferita dai genitori della ragazza presunta vittima di stupro attraverso il loro legale – che frammenti del video, relativo all’oggetto del procedimento penale, vengano condivisi tra amici, il Garante per la protezione dei dati personali richiama l’attenzione sul fatto che chiunque diffonda tali immagini compie un illecito, suscettibile di integrare gli estremi di un reato oltre che di una violazione amministrativa in materia di privacy.

Roma, 28 aprile 2021

Pass vaccinale: molti rischi per i dati sensibili. Intervista al Dott. Pasquale Stanzione, presidente dell’Autorità Garante per la Privacy

Reading Time: 3 minutes

“Molti rischi per i dati sensibili. Così il pass vaccinale non va”
Intervista a Pasquale Stanzione, Presidente del Garante per la protezione dei dati personali
(di Flavia Amabile, La Stampa, 30 aprile 2021)

La norma del governo che istituisce il pass vaccinale non è chiara e non tutela la privacy dei cittadini, va modificata, insiste Pasquale Stanzione, presidente dell’Autority per la protezione dei dati personali.

Che cosa contesta alla norma?

«Così com’è, la norma non circoscrive sufficientemente l’ambito di utilizzo dei pass, con il rischio di interpretazioni, magari in buona fede, che però abbiano l’effetto di estenderne indebitamente il perimetro. Non vi è una chiara definizione dei protagonisti del trattamento (titolare e responsabile in particolare) necessaria invece, a tacer d’altro, per l’esercizio, da parte degli interessati, dei diritti loro riconosciuti dalla disciplina privacy. Inoltre, la previsione di due modelli diversi di pass a seconda che siano tampone negativo o da guarigione o, invece, da vaccino andrebbe sostituita dall’indicazione della sola scadenza temporale del certificato. Vanno poi introdotte garanzie adeguate alla natura dei dati trattati, che sono sensibili».

Il governo non l’ha consultata quando ha scritto il decreto che prevede l’introduzione dei pass. Se l’aspettava?

«È una questione di osservanza di norme, come quelle che impongono il parere obbligatorio, ancorché non vincolante, del Garante, a tutela tanto di un diritto di libertà, quale è appunto la privacy, quanto della stessa efficacia delle misure di contrasto della pandemia. Norme dall’ambito applicativo non ben definito, prive di una chiara indicazione dei soggetti responsabili e delle misure idonee a prevenire indebiti trattamenti dei dati, rischiano infatti di complicare, anziché agevolare l’azione di contrasto della pandemia».

Secondo Fratelli d’Italia l’Autorità non aveva mai contestato in modo così diretto un atto del governo.

«Laddove è apparso necessario, il Garante è intervenuto sempre, anche in passato, a sottolineare le criticità di provvedimenti proposti o approvati, come per l’obbligo della conservazione fino a sei anni dei tabulati o l’imposizione della rilevazione biometrica della presenza dei dipendenti pubblici. In ciascuno di questi casi l’intento del Garante è sempre stato costruttivo, volto cioè a indicare quali aspetti rivedere e perché, alla ricerca del miglior equilibrio possibile tra i  vari interessi in gioco».

Forza Italia, invece, denuncia che con il suo intervento lei mette a rischio la funzionalità del pass.

«La funzionalità del pass rischia di essere pregiudicata non già dalle richieste di modifica del Garante, ma dalle lacune della norma che auspico possano essere colmate, almeno in sede di conversione del decreto legge».

In molti l’accusano di aver già affossato l’app Immuni con i suoi rilievi…

«Con Immuni si è scelto un sistema che, pur garantendo un tracciamento efficace, non ci condannasse a forme di bio- sorveglianza invasive come sarebbe stata la geolocalizzazione obbligatoria. I limiti che ne hanno contrassegnato l’applicazione non sono diversi da quelli che hanno caratterizzato il contact tracing digitale negli altri Paesieuropei, dovuti probabilmente a una percezione scorretta del reale funzionamento del sistema”.

Spallanzani e Figc stanno lavorando perché si possa assistere agli europei di calcio con una App che rileverà se siamo in possesso di un certificato vaccinale o di un tampone. Quali sono i limiti da rispettare?

«Le possibili applicazioni del pass, assieme con le garanzie necessarie per impedirne abusi, devono essere inscritte nella normativa di riferimento, senza lasciare eccessivi margini di discrezionalità in sede attuativa».

Il Parlamento Ue sta mettendo a punto il certificato verde digitale per muoversi all’interno dell’Europa. Come si può rispettare la privacy?

«Come abbiamo riferito in Senato, il draft di regolamento, pur con qualche modifica che il Garante europeo per la privacy e il Board hanno richiesto, sottende un equilibrio ponderato tra privacy, esigenze sanitarie e libertà di circolazione, in quanto contempla garanzie adeguate per evitare trattamenti indebiti dei dati e, tramite essi, discriminazioni nei confronti di quanti non vogliano o non possano vaccinarsi».

L’informativa sulla privacy di certastampa.it

Reading Time: 2 minutes

Per la mia estrema puntigliosità, nonché per il gusto di una sana curiosità “investigativa”, sono andato a leggermi l’informativa sulla privacy del sito certastampa.it, quello che raccoglie gli editoriali di un certo Adamo. Ce n’è di che riflettere assai.

Prima di tutto, ecco il link al testo integrale, “fotografato” questa mattina e assicurato in copia permanente su archive.is. Non mi pare il caso di regalare clic alla testata, quindi leggetelo e consultatelo da lì:

https://archive.is/Clchp

Vediamo un po’, e andiamo “random”, ché è tanto bello. Tra le altre cosette si legge:

“Tutti i dati personali sono raccolti e trattati nel rispetto delle leggi degli Emirati Arabi Uniti e dell’UE sulla tutela dei dati.”

Ora, passi certamente l’Unione Europea (ne facciamo parte), ma cosa c’entrano gli Emirati Arabi Uniti? Per quale motivo vengono citati in testa all’informativa sulla privacy? Che fine fanno i dati dei lettori? Più avanti, alla non indifferente voce relativa al “Trattamento internazionale dei dati”, si apprende che:

“Certa Stampa è attiva in più giurisdizioni, alcune delle quali non si trovano nello Spazio Economico Europeo (SEE) come UAE, Australia, Nuova Zelanda, Singapore.”

A Singapore? Cioè, io mi collego al sito, fornisco il mio indirizzo IP di provenienza e in teoria questo dato potrebbe andare a finire in Australia o in Nuova Zelanda. E perché??

E’ presto detto. Alla voce successiva scrivono:

“I dati personali dell’utente possono essere condivisi con terze parti per gli scopi descritti nella presente Informativa sulla privacy: (omissis) Fornitori di servizi di fiducia che utilizziamo per gestire la nostra attività, come gli operatori di servizi di marketing via e-mail che assistono il nostro team di marketing nella gestione di sondaggi e campagne di marketing mirate”

Insomma, la solita pubblicità che vi arriva via e-mail. Niente di nuovo sotto il sole.

E se io volessi accedere alle informazioni sulla disponibilità e sul trattamento dei miei dati personali? E’ semplice, ecco qui:

“Non si dovrà sostenere alcun costo per accedere alle proprie informazioni personali (o per esercitare uno degli altri diritti). Tuttavia, se la richiesta di accesso è chiaramente infondata o eccessiva potremmo addebitare al richiedente un costo ragionevole. In alternativa, potremmo rifiutarci di soddisfare la richiesta in tali circostanze.”

Cioè? Io dovrei PAGARE per poter accedere a dei dati che sono esclusivamente MIEI, nel caso in cui LORO, per un arbitrio assolutamente unilaterale, considerassero la mia richiesta manifestamente infondata o addirittura “eccessiva”? Possono veramente rifiutarsi di “soddisfare la richiesta” in determinati casi? Certo che possono. Ma se non rispondono entro 15 giorni alla prima interpellanza formulata ai sensi della Legge sul trattamento dei dati personali, possono andare, a loro volta, incontro a un ricorso, che il detentore dei dati e richiedente accesso può presentare all’Autorità Garante. In breve, possono anche non rispondere ma se ne assumono rischi e responsabilità.

Intanto (che poi con la privacy e il trattamento dei dati personali non c’entra niente, ma tanto per chiosare) il dominio certastampa.it sta per scadere. Da una ricognizione del Whois, si apprende che la data di scadenza è fissata al 7 aprile. Mi sa che gli conviene mettere mano al portafogli e pagarsi l’hosting!

Molta confusione, dunque, sotto il solicello malato di aprile. Vi terrò debitamente informati.

Il Garante per la Privacy (se non ci fosse bisognerebbe inventarlo) chiude Tik Tok ai minori di cui non sia stata accertata l’età anagrafica

Reading Time: < 1 minute

Il Garante per la protezione dei dati personali ha disposto nei confronti di Tik Tok il blocco immediato dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica.

L’Autorità ha deciso di intervenire in via d’urgenza a seguito della terribile vicenda della bambina di 10 anni di Palermo.

Il Garante già a dicembre aveva contestato a Tik Tok una serie di violazioni: scarsa attenzione alla tutela dei minori; facilità con la quale è aggirabile il divieto, previsto dalla stessa piattaforma, di iscriversi per i minori sotto i 13 anni; poca trasparenza e chiarezza nelle informazioni rese agli utenti; uso di impostazioni predefinite non rispettose della privacy.

In attesa di ricevere il riscontro richiesto con l’atto di contestazione, l’Autorità ha deciso comunque l’ulteriore intervento odierno al fine di assicurare immediata tutela ai minori iscritti al social network presenti in Italia.

L’Autorità ha dunque vietato a Tik Tok l’ulteriore trattamento dei dati degli utenti “per i quali non vi sia assoluta certezza dell’età e, conseguentemente, del rispetto delle disposizioni collegate al requisito anagrafico”.

Il divieto durerà per il momento fino al 15 febbraio, data entro la quale il Garante si è riservato ulteriori valutazioni.

Il provvedimento di blocco verrà portato all’attenzione dell’Autorità irlandese, considerato che recentemente Tik Tok ha comunicato di avere fissato il proprio stabilimento principale in Irlanda.

Roma, 22 gennaio 2021


E ORA CHIUDETE QUEL CAVOLO DI TIK TOK, Si’??

Privacy: Referti on line accessibili ad altri pazienti, il Garante sanziona un policlinico

Reading Time: < 1 minute

Il Garante per la protezione dei dati personali ha sanzionato per 20 mila euro un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, 39 pazienti avevano potuto avere accesso all’elenco alfabetico di 74 altri assistiti, visualizzare i loro referti radiologici e l’elenco degli esami.

Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue, notificato il data breach al Garante, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito.

Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione di 20 mila euro, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.

(dalla Newsletter del Garante per la Protezione dei Dati Personali)

Il Garante della Privacy multa per 80.000 euro l’Azienda Ospedaliera “Cardarelli” di Napoli

Reading Time: 2 minutes

“Per aver trattato illecitamente i dati di oltre 2000 aspiranti infermieri l’Azienda ospedaliera Cardarelli di Napoli si è vista applicare dal Garante per la privacy una multa di 80mila euro”. E’ quanto viene riportato dalla newsletter dell’Autorità garante, notizia ignorata dai media, e scarsamente riportata dai giornali on line. Una sanzione di 60000 euro è stata applicata anche “alla società che gestiva la piattaforma per la raccolta online delle domande dei partecipanti.”

E’ successo che

“collegandosi alla piattaforma per la gestione delle domande, per un’errata configurazione dei sistemi, in un determinato arco temporale era stato (…) possibile visualizzare un elenco di codici, assegnati ai candidati al momento dell’iscrizione al concorso, che attraverso semplici passaggi consentivano l’accesso a un’area del portale nella quale erano contenuti i documenti presentati dai partecipanti.”

Documenti che riguardavano anche dati sensibili, come le certificazioni mediche riguardanti alcuni candidati.

Data la gravità delle circostanze, il Garante della Privacy, composto tra l’altro anche dall’eccellente avvocato Guido Scorza, ha deciso di irrogare la sanzione, che l’Azienda Opedaliera Cardarelli di Napoli dovrà pagare entro 30 giorni dalla notifica del provvedimento. Sul sito del Garante della Privacy è stato pubblicato il provvedimento integrale, come misura accessoria alla sanzione. Preferisco darvi la notizia e non ripubblicarlo (anche se si tratta di un documento pubblico, indubbiamente).

Il tutto è stato sollecitato da una semplice segnalazione di un utente. Il che rivela come non sia un’idea peregrina fare una segnalazione al Garante, senza il bisogno di accedere ad atti più formali come il reclamo o il ricorso. Insomma, la semplice segnalazione funziona e come.

“Chiunque può rivolgere, ai sensi dell’art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’art. 58 del Regolamento”. Qualora si preferisse presentare un reclamo, il Garante della Privacy precisa che tale presentazione è totalmente gratuita.

I furbetti del bonus Covid-19: il Garante per la Privacy apre un’istruttoria con richiesta di informazioni all’INPS

Reading Time: < 1 minute

In relazione alla vicenda del cd. bonus Covid partite Iva, il Garante per la protezione dei dati personali questa mattina ha inviato una richiesta di informazioni all’Inps e ha aperto una istruttoria in ordine alla metodologia seguita dall’Istituto rispetto al trattamento dei dati dei beneficiari e alle notizie al riguardo diffuse.

Il Garante chiede all’Inps di conoscere, in particolare:

quale sia la base giuridica del trattamento effettuato sui dati personali dei soggetti interessati; l’origine e tipi di dati personali trattati, riferiti alla carica di parlamentare e amministratore locale e regionale; le modalità con cui è stato effettuato il trattamento, con specifico riguardo all’operazione di “raffronto” dei dati personali dei soggetti richiedenti o beneficiari del bonus, con quelli riferiti alla carica di parlamentare e amministratore locale e regionale; l’ambito del trattamento ed eventuali comunicazioni a terzi di tali dati.

Roma, 12 agosto 2020

da: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9448048

Gli avvoltoi del contributino

Reading Time: 5 minutes

E’ accaduto che cinque parlamentari (che definire “furbetti” sarebbe un eufemismo) hanno chiesto il sussidio di 600 euro per le imprese e le partite IVA in proprio. Su questi cinque, in tre l’hanno ottenuto, agli altri due è stato rifiutato.

Ma com’è stato possibile che un parlamentare, dico, un parlamentare, si sia permesso di prendersi la briga e di certo il lusso anche solo di richiedere un bonus integrativo, solo perché, contemporaneamente, per caso è anche titolare di una partita IVA la cui attività collegata si è fermata durante il lock down del virus? Con lo stipendio che prende da parlamentare aveva bisogno anche degli aiuti di stato pagati con i denari dei cittadini? Evidentemente sì, se la domanda l’ha fatta e gli è stata pure accettata.

E’ compatibile essere titolari di un’impresa con il ruolo di parlamentare? Sì, non ci sono controindicazioni legali. Pensiamo ai tanti insegnanti di diritto che esercitano contemporaneamente la professione di avvocato, o a quelli di economia-aziendale, magari part-time, che fanno anche i commercialisti.

E’ legale, dunque, tutto questo? Assolutamente sì. Glielo ha permesso una norma del cavolo, fatta con i piedi dal governo, che consente a CHIUNQUE di fare la richiesta di attribuzione del bonus. Dunque, sia chiaro, e sia detto una volta per tutte: in questo comportamento non c’è NULLA di illegale.

Sul piano morale, le cose cambiano un pochettino, e il discorso è un tantinello più lungo. A parte la questione economica, per cui uno si chiede se sia etico che un parlamentare che guadagna fior di quattrini tra stipendio e indennità, vada a raschiare il barile per accaparrarsi sciattamente anche i 600 euro destinati dallo Stato a chi è con l’acqua alla gola e non ce la fa, c’è una questione di priorità di diritti non da poco. Quando la notizia si è sparsa, tutti, ma proprio tutti, dal Presidente della Camera Fico in giù, si sono uniti in un solo coro: “Fuori i nomi”. E a questa schiera, stavolta mi lego anch’io. Per una volta non morrò pecora nera (questa l’hanno capita in due, la Essebì e qualche altro gucciniano incallito) l’INPS, che eroga il contributo, ha fatto marcia indietro: per una questione di privacy, hanno detto. E allora è venuto fuori il Garante per la Protezione dei Dati Personali che ha ufficialmente comunicato che sì, i nomi si possono pubblicare.

La trasparenza della Pubblica Amministrazione, che è una casa di vetro, come la definiva Filippo Turati, non viene prima del diritto del singolo alla riservatezza dei propri dati personali. Tutti i diritti hanno pari dignità. Non è vero che perché la Pubblica Amministrazione ha l’obbligo di trasparenza, allora il diritto del singolo a veder riconoscere e proteggere le informazioni su di lui (fosse anche solo un indirizzo e-mail di riferimento), soccombe e sparisce. No, sussistono tutti e due. Bisogna vedere caso per caso. E in questo caso il Garante ha detto che i nomi si possono pubblicare. Punto e basta.

Del resto, ci sarà pure uno straccio di autocertificazione da qualche parte, una firma su una domanda, un atto in in cui si chiede un intervento pubblico (dunque è pubblico anche l’atto), in cui si dichiarano determinate circostanze. Se queste circostanze sono vere, i cinque parlamentari che hanno presentato richiesta non hanno nulla da temere, a parte il linciaggio della folla e la messa al pubblico ludibrio della stampa periodica. Se qualcuno ha dichiarato il falso va perseguito per falso in atto pubblico. Delle due l’una.

E invece i nomi tardano ad arrivare. Il sito web di “Repubblica” prova a fare i nomi di due sospettati eccellenti della Lega, cui il partito ha imposto di non rispondere alle chiamate sul cellulare (figuratevi voi a che punto sono ridotti!). Ora, la domanda nella domanda, secondaria ma anch’essa legittima, è: “E se non fossero loro?” Sbattuti in prima pagina (o bisognerebbe dire Home Page?) e intrisi dell’untoraggio del sospetto. Ma si sa che la calunnia è un venticello assai gentile.

I nomi, dunque, tutti vogliamo i nomi. Vogliamo sapere per scegliere di non votarli più e di non rinnovare loro l’incarico parlamentare e le funzioni svolte finora. Almeno questo. E i nomi salteranno fuori, presto o tardi. Loro, i cinque, non dicono niente. Tacciono. E vorrei anche vedere. Anche se tutti intorno premono. Ma è solo questione di tempo. Quel tempo che deve trascorrere prima che questa buffa sceneggiata con protagonisti dei veri e propri avvoltoi, venga messa in secondo piano dalla stampa, e cessi di essere tra le parole di tendenza su Twitter, dove non si parla d’altro. Basterà aspettare la dichiarazione dei redditi dell’anno prossimo e avere pubblico accesso a quelle informazioni. Facile come bere un bicchier d’acqua frizzante.

Questa tendenza alla stigmatizzazione di atteggiamenti e atti solo già di per sé deplorevoli, è l’altra faccia della medaglia di quella tendenza forcaiola del dàgli all’untore di manzoniana memoria. Vogliamo i nomi (che è giusto che escano fuori) per gridare e lanciare addosso a questi poveretti (perché un parlamentare che si riduce a fare una domanda di bonus da 600 euro per le imprese è un poveretto, anche se non certo dal punto di vista economico) gli strali della nostra indignazione e della nostra frustrazione davanti agli usi e abusi del potere. Sono il populismo e il giustizialismo legaioli che gli si stanno ritorcendo contro. Ce lo voglio proprio vedere il popolo delle partite IVA e delle false fatturazioni, oltre che delle prestazioni in nero, soprattutto quello più nordaiolo, dare del delinquente a chi ha avuto accesso a un pubblico contributo. Ma perché, loro cos’hanno fatto?

In casa M5S, poi, la musica è quella da Requiem. Si sono inventati (pensate che geniacci!) un’autocertifazione in cui rinunciano alla privacy, da firmare e da ritornare a strettissimo giro di posta. Ora, un’autocertificazione attesta delle circostanze personali, non delle scelte di voler rinunciare ai propri diritti. Se io ho un diritto ce l’ho e basta, anche se non ne usufruirò mai. E se non ne usufruisco non ho bisogno di autocertificare proprio una bella verza di nulla. Non voglio andare a votare a un referendum abrogativo? Eppure è un mio diritto votare. Non ho mica bisogno di autocertificarlo. Che si vuole conseguire con questo pastrocchio-pagliacciata? Far vedere che si è trasparenti ed onesti? Lo facciano tramite la loro dichiarazione dei redditi, piuttosto, ché le autocerticazioni lasciano il tempo che gtrovano. E poi “rinunciano” alla privacy? Allora pubblichino direttamente il loro nome, cognome, indirizzo, e-mail, numero di telefono, preferenze sessuali, politiche, religiose, a chi destinano l’8 per mille e a chi il 5 per mille, mettano tutto on line sul loro odiosissimo Rousseau, fatto coi piedi anche lui, e poi stiano ad aspettare. Voglio dire, se la logica è “io non ho bisogno della privacy perché non ho nulla da nascondere”, allora la logica non regge. Perché questa gente chiude e sigilla le raccomandate che spedisce? Perché se no non afriverebbero? Ma no, perché se no qualcuno potrebbe prendere visione del loro contenuto, è chiaro. Perché non ci dice dove sono raggiungibili telefonicamente se qualche cittadino vuole porre loro una domanda? Non lo fanno, certo. La loro mail personale col cavolo che te la fanno vedere, c’è quella di stato della Camera dei Deputati. Dove neanche ti rispondono (questo blog ha provato in passato più volte a inviare delle comunicazioni circolari a un gruppo parlamentare o a più parlamentari di diversi gruppi, e gli effetti sono stati catastrofici, pochissime risposte su centinaia di mail inviate). Se gli chiedi “Scusi, lei è gay o lesbica?” ti dicono subito “Ma come si permette, lei non sa con chi sta parlando, sono affari miei!”. La privacy la si invoca solo quando ci fa comodo.

E così, quello che se la sta passando peggio di tutti, adesso, è un imprenditore tessile di Castiglion delle Stiviere, nel mantovano, che produce calze da donna e che è costretto a vivere con il telefono blindatissimo se no i suoi gli dànno il benservito. Ma guardate a cosa deve essere ridotta una persona di potere da parte di quello stesso potere che quella persona rappresenta!

La caccia all’uomo continua. Stay tuned.

Per la foto: Di Presidenza della Repubblica, Attribution, Collegamento

Garante della Privacy – Sanzione di 800.000 euro nei confronti di Iliad

Reading Time: 28 minutes

Registro dei provvedimenti
n. 138 del  9 luglio

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il dott. Antonello Soro, presidente, la dott.ssa Giovanna Bianchi Clerici e la prof.ssa Licia Califano, componenti, e il dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Iliad Italia S.p.A. (di seguito indicata anche come: “Iliad” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi effettuati nei giorni 27, 28 e 29 maggio 2019 presso la sede legale della Iliad Italia S.p.A. in Milano;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

A partire dalla fine del 2018 sono pervenuti al Garante alcuni reclami e segnalazioni riferiti a diverse modalità di trattamento dei dati personali poste in essere da Iliad.

In particolare, le questioni portate all’attenzione dell’Autorità hanno riguardato il trattamento dei dati della clientela per l’attivazione di sim card e la relativa modalità di acquisizione di dati di pagamento, il trattamento per finalità promozionali proprie e di terzi e le misure adottate per la conservazione dei dati nell’area personale dei clienti.

Data la natura e l’eterogeneità delle questioni rappresentate ed in considerazione del fatto che la Società, in quanto nuovo operatore di comunicazioni elettroniche, non era mai stata oggetto di interlocuzioni con il Garante, si è ritenuto opportuno effettuare una valutazione complessiva nell’ambito di un unico accertamento ispettivo che è stato condotto nei giorni 27, 28 e 29 maggio 2019.

2. ESITI DELL’ISTRUTTORIA

Nel corso di tale accertamento sono state effettuate verifiche che, a partire dalle singole segnalazioni e seguendo la prassi dell’Ufficio per la conduzione degli accertamenti in loco, hanno permesso di valutare anche in via più generale le modalità con cui vengono effettuati i trattamenti e le misure tecniche e organizzative adottate dalla Società.

All’esito di tale attività sono emerse violazioni delle norme in materia di protezione dei dati personali e sono stati altresì rilevati alcuni trattamenti che avrebbero potuto verosimilmente violare tali norme. Pertanto, in data 11 ottobre 2019, è stato notificato alla Società l’avvio del procedimento ai sensi dell’art. 166, comma 5, del Codice per la contestazione delle violazioni del Codice e del Regolamento.

La Società ha fatto pervenire le proprie osservazioni in replica con nota dell’8 novembre 2019 e con un’audizione tenuta il successivo 10 dicembre.

2.1. Accettazione contestuale delle condizioni contrattuali e dell’informativa privacy.

Al fine di verificare in via generale i processi aziendali più strettamente connessi al trattamento dei dati personali degli utenti, le operazioni sono iniziate con la verifica delle attività necessarie ad attivare una nuova utenza mediante accesso al sito web www.iliad.it.

In tale contesto è stato verificato che la procedura che conduceva alla conferma dell’ordine prevedeva, una volta inseriti tutti i dati, l’obbligatoria spunta di una casella con la quale il soggetto dichiarava di “aver preso visione e accettato le condizioni generali, la carta dei servizi, la brochure dei prezzi e l’informativa privacy di Iliad sul trattamento dei dati personali” (cfr. pag. 3 del verbale del 27 maggio). I documenti ivi richiamati, compresa l’informativa, erano facilmente raggiungibili mediante apposito link.

Si rileva, tuttavia, che i trattamenti elencati nell’informativa pubblicata sul sito web sono sia di natura facoltativa che obbligatoria e, in alcuni casi (trattamenti per finalità di marketing e profilazione) sono subordinati all’acquisizione di uno specifico consenso.

Tuttavia, la formulazione della dichiarazione sopra menzionata, contemplando contestualmente la “presa visione” e la “accettazione” dell’informativa, poteva indurre il dubbio che la raccolta del consenso per finalità di marketing – che pure è prevista in maniera specifica in una delle schermate precedenti – avvenisse in tale ultima sede proprio con la spunta “per accettazione”.

Pur risultando corretta la presentazione dell’informativa al momento della raccolta dei dati, come previsto dall’art. 13 del Regolamento, e tenuto conto che il titolare del trattamento deve poter dimostrare, documentandone la presa visione, di aver reso tali informazioni, appare superflua la contestuale menzione anche dell’accettazione dell’informativa dal momento che a tale dizione non si può attribuire altro significato che quello di mera conferma di lettura;  in caso contrario, infatti, procedendo alla spunta della casella, il soggetto si troverebbe ad esprimere un consenso al trattamento che non sarebbe né libero, perché la spunta è obbligatoria e unica per l’accettazione anche delle clausole contrattuali, né specifico perché riguardante tutti i trattamenti menzionati nell’informativa. A tal proposito si richiama quanto contenuto nei considerando 42 e 43 del Regolamento in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Pertanto, l’Ufficio, con nota dell’11 ottobre 2019, ha contestato alla Società che tale trattamento – tenuto conto che, nei termini descritti, l’intenzione del titolare non pareva essere quella di ottenere un consenso al trattamento, ma solo di dimostrare di aver ottemperato agli obblighi informativi – non aveva il carattere della chiarezza e dell’intelligibilità e, dunque, si sarebbe potuto porre in contrasto, in particolare, con i principi di correttezza e trasparenza espressi dall’art. 5, par. 1, lett. a) del Regolamento.

Con la memoria difensiva dell’8 novembre 2019, la Società ha dichiarato che, pur ritenendo “che l’approccio sino ad ora seguito sia conforme ai principi di liceità e trasparenza […], nell’ottica di migliorare sempre i servizi ai propri utenti, Iliad ha rimosso il riferimento all’informativa sul trattamento dei dati personali dalla frase contestata”. La stessa ha inoltre allegato la nuova schermata nella quale, al termine della procedura di attivazione utenza, viene richiesto di selezionare la presa visione e accettazione di Condizioni generali, Carta dei servizi e Brochure prezzi mentre, in un separato spazio viene mostrato il seguente avviso: “I tuoi dati personali saranno trattati in conformità con Informativa Privacy di Iliad sul trattamento dei dati personali”.

2.2. Richiesta del consenso per finalità di marketing.

Durante l’accertamento ispettivo è stata esaminata la procedura di registrazione presente sul sito www.iliad.it, volta alla richiesta di una nuova utenza, ed è stato riscontrato che, in calce alla pagina di inserimento dei dati anagrafici, era presente una casella da spuntare per prestare il consenso al trattamento dei dati personali per finalità promozionali della stessa Iliad. La mancata spunta della casella consentiva comunque di andare avanti nella sottoscrizione del contratto. Ciò in conformità all’informativa privacy dove, al punto 4 lett. i), era contemplato il trattamento per finalità di marketing previo espresso consenso dell’interessato.

A tal proposito, con dichiarazioni rese a verbale (cfr. pag. 2 verbale del 28 maggio) la Società ha chiarito che “la spunta della checkbox, relativa alla richiesta del consenso per finalità promozionali, vista nella procedura di attivazione online, non comporta la registrazione di tale manifestazione del consenso nei sistemi informativi di Iliad, in quanto la Società non svolge attività di marketing diretto”.

L’Ufficio, pertanto, con la menzionata nota dell’11 ottobre, ha evidenziato che, in assenza di un trattamento per finalità promozionali risultava inconferente sia la sua menzione nell’informativa, sia la richiesta di uno specifico consenso; di contro, qualora la società avesse inteso invece effettuare tale tipo di trattamento, non avrebbe potuto dimostrare la corretta acquisizione dei consensi degli interessati, non avendoli registrati. Analogamente è stato messo in evidenza che al punto 4, lett. j) dell’informativa, era prevista la possibilità di utilizzare i dati forniti dall’interessato “per l’invio di comunicazioni di marketing focalizzate sugli interessi e sulle esigenze dell’utente”. Anche in questo caso risulta non pertinente il riferimento ad un trattamento, la profilazione finalizzata al marketing, che in realtà non viene effettuato (e per il quale, in questo caso, non è neanche prevista la richiesta dello specifico consenso).

Con la memoria difensiva dell’8 novembre 2019, la Società ha innanzitutto precisato che “a differenza di altri operatori del mercato delle telecomunicazioni, Iliad non svolge alcuna attività di marketing, telemarketing o profilazione degli utenti […] e svolge attività promozionali principalmente tramite il canale televisivo e digitale che non comporta il trattamento dei dati personali degli utenti”. Poi, con specifico riguardo al punto contestato, ha dichiarato che “Iliad ha intenzione di svolgere un trattamento dei dati personali dei propri utenti per finalità promozionali e, per questa ragione, Iliad ha inserito tale finalità di trattamento nella propria informativa sul trattamento dei dati personali ed ha predisposto un sistema di raccolta dei consensi […]. Tuttavia, detta attività è stata fino ad ora posticipata proprio perché – a causa di un problema tecnico – la società non ha potuto registrare i consensi”. La stessa ha, infatti, aggiunto che il sistema di raccolta dei consensi, già predisposto, era risultato affetto da un bug di progettazione che impediva di identificare l’utente, la data e l’ora in cui veniva effettuata la spunta della checkbox relativa al consenso. La Società ha pertanto corretto l’errore e da luglio 2019 tutti i consensi vengono registrati a sistema; ciò consente agli utenti di esprimere la propria volontà di conferimento o di revoca del consenso anche attraverso l’apposita funzione presente nell’area personale.

Inoltre, si dà atto che la Società ha dichiarato di non aver previsto tra le sue procedure la cessione dei dati dei clienti a terzi per finalità promozionali (cfr. verbale del 28 maggio 2019) e pertanto non trova diretto fondamento quanto lamentato in alcune segnalazioni in merito alla ricezione di chiamate promozionali dopo aver attivato un’utenza Iliad.

2.3 Idoneità delle Simbox a garantire la riservatezza degli interessati.

Nel corso dell’accertamento ispettivo è stato richiesto alla Società di descrivere le modalità di assegnazione delle sim ai clienti. Iliad ha chiarito che le nuove utenze possono essere richieste tramite il sito web o recandosi presso i canali di vendita fisici (punti vendita a marchio Iliad o appositi spazi, detti “corner”, allestiti in luoghi aperti al pubblico). In tutti i casi la società ha predisposto apposite procedure per identificare i soggetti che richiedono l’attivazione di una utenza telefonica, in conformità a quanto disposto dalle vigenti norme in materia di contrasto al terrorismo (legge 31 luglio 2005, n. 155).

Nel caso dell’attivazione via web l’utente può scegliere se procedere subito all’identificazione tramite il sito oppure rimandare tale fase al momento della consegna della sim tramite corriere. Nel primo caso, viene richiesto, al termine della procedura, di allegare la copia del documento di riconoscimento registrando un breve video nel quale si dichiara di voler sottoscrivere il contratto; nel secondo caso, invece, l’identificazione dell’intestatario della sim viene fatta direttamente dal corriere, nominato responsabile del trattamento e appositamente istruito per tale procedura.

Se invece l’attivazione di una nuova sim viene effettuata tramite i canali fisici, la società ha predisposto delle apposite macchine, denominate “Simbox”, con le quali i clienti possono effettuare l’acquisto in autonomia, inserendo i propri dati e terminando la procedura con la scansione del documento e la registrazione di un videomessaggio di assenso alla conclusione del contratto. Il personale presente nei negozi ha solo funzione di assistenza ai clienti e non viene coinvolto nella procedura di attivazione dell’utenza.

Le videoregistrazioni così effettuate sono visionate da operatori di back office che, effettuato un confronto con il documento caricato, concludono la procedura consentendo l’attivazione dell’utenza.

Durante l’accertamento svolto dall’Autorità è stata simulata la modalità di attivazione di un’utenza mediante utilizzo di una Simbox installata presso un punto vendita. Durante tale attività, documentata mediante riprese fotografiche (cfr. all. 5 al verbale del 28 maggio) è stato possibile verificare che all’interno del negozio erano presenti diverse macchine pubblicamente accessibili per effettuare in autonomia la procedura.

È stato contestato ad Iliad che la telecamera installata sulla Simbox è in grado di effettuare una ripresa con un angolo di circa 180 gradi; come si evince anche dalla documentazione agli atti tale modalità potrebbe consentire di registrare l’immagine pure delle persone che si trovino a passare dietro o di lato al soggetto che sta effettuando l’operazione; le registrazioni fotografiche, di cui all’allegato 5 del verbale del 28 maggio, mostrano infatti che l’inquadratura della telecamera non riprende solo il viso della persona che effettua la registrazione ma anche le persone dietro di essa. Allo stesso tempo, l’assenza di misure idonee a garantire la riservatezza dei clienti durante le operazioni, potrebbe consentire a chiunque si trovi nei locali di visualizzare i dati digitati sullo schermo della Simbox e di ascoltare il contenuto del videomessaggio (durante il quale l’utente deve pronunciare il proprio nome e cognome).

Occorre, inoltre, tenere conto che tali macchine sono installate, non solo nei negozi Iliad, ma anche (e prevalentemente) presso appositi spazi allestiti presso stazioni ferroviarie e centri commerciali e anche in questo caso non sono previste particolari misure volte a tutelare la riservatezza dei clienti, considerato in particolare che si tratta di luoghi caratterizzati, in generale, da una notevole affluenza di persone (cfr. all. 2 al verbale del 27 maggio dove è presente la foto di due Simbox posizionate all’interno di un centro commerciale).

Del resto, anche nel contratto di appalto di servizi sottoscritto con la società che si occupa della gestione operativa delle aree poste nei centri commerciali, non vi è alcun richiamo in merito a particolari accorgimenti da osservare nel posizionamento delle Simbox per il rispetto di canoni di riservatezza (cfr. all. 2 al verbale del 27 maggio).

Nel fornire proprie osservazioni in replica, Iliad ha rappresentato che la telecamera della Simbox si attiva solo per il breve lasso di tempo (massimo 10 secondi) necessario ad effettuare la registrazione e non consente di inquadrare nitidamente i soggetti che passano in prossimità della macchina. Inoltre, con riguardo alla possibilità, contestata dal Garante, di esporre i dati personali digitati dagli utenti alla vista di soggetti terzi, la Società ha affermato che le dimensioni dello schermo e il suo posizionamento non dovrebbero consentire a terzi di leggere il testo digitato dal momento che la visuale sarebbe coperta dalla persona che effettua l’operazione e tenuto conto che il carattere di inserimento è di colore grigio.

Ciò precisato, pur continuando a ritenere che le misure adottate siano già conformi alle norme, la società ha comunque introdotto le seguenti soluzioni correttive:

– nella schermata che appare all’utente all’avvio della procedura di registrazione, viene mostrato il seguente avviso: “assicurati di non registrare immagini di terzi, di essere solo, di fronte e posizionato in modo che l’intero viso sia visibile e identificabile”;

– le registrazioni raccolte, non appena validate dagli operatori del customer care, sono rese visibili solo ai manager della funzione customer care e, trascorsi sei mesi, sono accessibili solo alla funzione JAS (Judicial Authority Services) per la durata del contratto.

Inoltre, nel corso dell’audizione tenuta il 10 dicembre 2019, Iliad ha aggiunto che la registrazione video non viene conservata nelle Simbox, ma viene memorizzata direttamente nel database centrale; inoltre, i video contenenti immagini di terzi sono immediatamente cancellati dagli operatori addetti alla procedura di identificazione con contestuale interruzione del processo e richiesta al cliente di effettuare una nuova registrazione. La Società ha inoltre precisato che l’operatore addetto all’identificazione e l’assistente presente nei punti vendita non possono effettuare copie dei documenti forniti dai clienti o delle registrazioni effettuate.

2.4.  Rispetto delle norme in materia di accesso e conservazione dei dati di traffico telefonico e telematico.

Nel corso dell’accertamento condotto il 28 maggio 2019, è stato fatto accesso al sistema CRM della società, sia con profilo di operatore sia con profilo di amministratore, per verificarne il contenuto. È stato così rilevato, e riportato a verbale, che il profilo “amministratore del reparto di customer care” poteva visualizzare i dati di traffico telefonico degli utenti in chiaro accedendo al sistema mediante digitazione di userid e password. Inoltre, i dati accessibili erano relativi al traffico effettuato da agosto 2018.

È stato pertanto contestato alla società che tale procedura non poteva considerarsi conforme alle norme in materia di conservazione dei dati di traffico telefonico e telematico di cui agli art. 123, 132 e 132-ter del Codice e sulla base di quanto prescritto dal Garante con provvedimento generale del 17 gennaio 2018 (in www.garanteprivacy.it doc web n. 1482111). Ciò in quanto:

1. l’incaricato con profilo di amministratore – che, essendo addetto alla funzione customer care, avrebbe potuto avere accesso solo ai dati conservati per finalità di fatturazione, poteva invece visualizzare dati conservati per un periodo superiore ai sei mesi consentiti dall’art. 123 del Codice (sono risultati presenti dati di traffico di agosto 2018 alla data di maggio 2019);

2. lo stesso ha avuto accesso al sistema contenente i dati di traffico digitando unicamente username e password, senza pertanto utilizzare tecniche di strong authentication al momento dell’accertamento;

Inoltre, in conseguenza di quanto accertato sopra, non risultava attuata la prescrizione di conservare le diverse tipologie di dati in sistemi informatici separati, dal momento che l’operatore, accedendo al sistema CRM, poteva visualizzare anche dati generati in un periodo eccedente i sei mesi.

Con nota dell’8 novembre 2019, Iliad ha ritenuto non fondate le contestazioni ricevute dal Garante sulla base del fatto che le informazioni contenute nello screenshot di cui all’allegato 6 al verbale di accertamento del 28 maggio 2019, “non permettono di ricostruire i flussi di comunicazione degli utenti a cui si riferiscono e non possono pertanto considerarsi dati di traffico”. A tal proposito occorre evidenziare che il contenuto cui si riferisce la società (allegato 6), essendo riferito all’accesso fatto con profilo di operatore, non è mai stato oggetto di contestazione da parte dell’Autorità e pertanto risulta impropriamente citato. La contestazione, invece, si è basata sull’accesso effettuato con profilo di amministratore che, come riportato nel verbale del 28 maggio 2019 sottoscritto dalla parte, “può visualizzare ulteriori informazioni quali i dati del traffico telefonico uscente in chiaro a decorrere, per la scheda dell’utente visualizzato, da agosto 2018”. Su tale punto non sono pervenute altre osservazioni da parte di Iliad né con la menzionata memoria difensiva, né durante la successiva audizione.

Inoltre, con riguardo al contestato accesso effettuato senza adottare tecniche di strong authentication, la Società, nella propria memoria difensiva ha dichiarato che “con riferimento al gestionale Mobo oggetto di ispezione nello specifico ma in generale relativamente a tutti i sistemi aziendali, Iliad ha adottato una duplice tecnologia di autenticazione. Infatti, oltre all’inserimento della username e password dell’utente che accede al sistema, vi è una forma di autenticazione automatica determinata dalla connessione esclusivamente dei devices aziendali alla rete Iliad. Al momento dell’accesso alla rete Iliad tramite il device aziendale, infatti, il sistema effettua un primo riconoscimento del dipendente Iliad e un secondo riconoscimento avviene al momento dell’accesso al gestionale Mobo”. La stessa, tuttavia, non ha allegato alcuna documentazione comprovante quanto dichiarato e occorre evidenziare che tale giustificazione non è stata fatta presente al momento dell’accertamento.

Con la nota dell’8 novembre 2019, la Società ha fornito proprie osservazioni anche riguardo al fatto che, al momento dell’accertamento, i dati di traffico telefonico generati oltre i sei mesi sono risultati presenti nel sistema gestionale del customer care, in difformità da quanto prescritto dal Garante in merito alla necessità, trascorsi i primi sei mesi, di operare una separazione dei sistemi informatici deputati alla conservazione dei dati per le diverse finalità. A tal proposito la società ha dichiarato di aver “creato un unico database con misure di sicurezza e livelli di accesso differenziati (CRM i.e. gestionale Mobo e JAS) a seconda delle finalità del trattamento e del relativo termine di conservazione. Tale sistema ha quindi una separazione di carattere logico invece che fisico”.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1 Accettazione contestuale delle condizioni contrattuali e dell’informativa privacy.

Il trattamento descritto al punto 2.1., le cui motivazioni si richiamano interamente, per come posto in essere prima delle modifiche apportate dalla Società, non risultava pienamente conforme ai principi espressi dal Regolamento. Ciò in quanto la formulazione proposta nella schermata di conclusione del contratto risultava inconferente richiedendo la “accettazione” dell’informativa e non solo la sua presa visione e tale richiesta era, per di più, formulata insieme alle conferme di carattere contrattuale. Come noto, l’informativa redatta dal titolare ha la funzione di rendere noto all’interessato ogni aspetto del trattamento dei dati personali; tale natura meramente esplicativa fa sì che il titolare, pur potendo pretendere dall’interessato di confermarne la presa visione, non possa tuttavia richiedere anche di esprimere, attraverso una generica e generale accettazione, una volontà che risulterebbe di fatto analoga ad un consenso.

L’Ufficio pertanto, pur avendo compreso che, nei termini descritti, l’intenzione del titolare non pareva essere quella di ottenere un consenso al trattamento ma solo quella di dimostrare di aver ottemperato agli obblighi informativi, ha ritenuto necessario contestare la mancanza dei requisiti della chiarezza e dell’intelligibilità con la conseguenza di un possibile trattamento in contrasto, in particolare, con i principi di correttezza e trasparenza espressi dall’art. 5, par. 1, lett. a) del Regolamento.

Le misure correttive adottate dalla Società, a seguito della contestazione ricevuta, risultano sufficienti a separare gli obblighi informativi dalla raccolta del consenso, restituendo a tale fase del trattamento la necessaria chiarezza.

Su tale aspetto, dunque, non si ritiene di adottare specifiche misure correttive, ad eccezione di quanto indicato al punto 4.1 del presente provvedimento.

3.2. Richiesta del consenso per finalità di marketing.

Con riguardo al trattamento descritto al punto 2.2., si evidenzia che la Società, sulla base delle dichiarazioni rese, fino al luglio 2019 ha richiesto agli interessati di prestare il proprio consenso al trattamento per finalità promozionali senza tuttavia tenere traccia di tale volontà. Ciò sarebbe avvenuto perché, come in un primo momento dichiarato a verbale, la Società non effettuava (e risulterebbe non effettuare tuttora) attività di marketing diretto ma anche, come successivamente sostenuto nella memoria difensiva, a causa di un bug presente nel sistema preposto alla registrazione dei consensi.

Sulla base delle dichiarazioni rese, si deve pertanto ritenere che, come già contestato, la richiesta di un consenso per finalità promozionali, specificamente menzionate nell’informativa, senza che tale trattamento esista o sia previsto, risulti in contrasto con il principio di correttezza e trasparenza di cui all’art. 5, par. 1, lett. a), del Regolamento.

Tuttavia, preso atto dell’intenzione della Società, non menzionata nel corso dell’accertamento ispettivo, ma resa nota in sede difensiva, di voler effettivamente porre in essere un trattamento per finalità promozionali, tenuto conto degli interventi correttivi apportati, e del fatto che la Società ha dichiarato di considerare come negato il consenso dei soggetti registrati prima di luglio 2019, si ritiene che, anche su tale punto, non sussistano i presupposti per adottare specifiche misure correttive, ad eccezione di quanto indicato al punto 4.1 del presente provvedimento.

3.3 Idoneità delle Simbox a garantire la riservatezza.

Le verifiche effettuate simulando la sottoscrizione di un contratto tramite Simbox, hanno suscitato alcune perplessità in ordine alla riservatezza della procedura. Pertanto è stato contestato alla Società che un simile trattamento può esporre gli interessati al rischio di accessi non autorizzati violando il principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento.

Le misure correttive introdotte dalla Società (descritte al punto 2.3) possono ritenersi idonee a contenere il rischio, ma potrebbero non essere sufficienti, soprattutto nel caso di totem posizionati in luoghi aperti al pubblico (non solo i punti vendita Iliad ma anche i corner) che sono, in generale, caratterizzati da maggiore affluenza di persone.

Inoltre, tenuto conto del complessivo trattamento effettuato anche prima dell’adozione delle misure correttive, si ritiene integrata la violazione dell’art. 5, par. 1, lett. f) del Regolamento con riguardo alla mancata adeguatezza delle misure adottate per garantire la riservatezza dei dati personali.

Ciò premesso, ai sensi dell’art. 58, par. 2, lett. a), si ritiene di dover rivolgere alla Iliad un ammonimento in merito alle rilevate violazioni della riservatezza mediante l’uso della Simbox e di dover, di conseguenza, ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire maggiore riservatezza agli interessati al momento dell’effettuazione della registrazione del video adottando specifici accorgimenti per il posizionamento delle macchine, collocandole in maniera tale da non poter consentire accessi indebiti alle informazioni (ad esempio in prossimità di una parete) o inserendo dei pannelli posteriori, ovvero prevedendo, distanze di cortesia ed integrando conseguentemente le istruzioni al personale addetto all’assistenza.

3.4. Rispetto delle norme in materia di accesso e conservazione dei dati di traffico telefonico e telematico.

Come ricostruito al punto 2.4., nel corso dell’attività ispettiva è stato accertato che l’incaricato addetto al customer care con profilo di amministratore poteva visualizzare dati di traffico telefonico in chiaro, generati da più di sei mesi, accedendo al sistema, denominato “Mobo”, preposto alla gestione del customer care.

La condotta della Società è stata valutata alla luce delle disposizioni di cui agli art. 123, 132 e 132-ter del Codice che dettano specifiche indicazioni in merito alle misure da adottare nella conservazione dei dati di traffico. In particolare, l’art. 132-ter impone ai fornitori di servizi di comunicazione elettronica di avvalersi, ai sensi dell’art. 32 del Regolamento, di misure tecniche e organizzative adeguate al rischio esistente. Tali misure, da considerarsi, allo stato dell’arte, quale requisito minimo di sicurezza generalmente utilizzato dagli operatori presenti sul mercato, sono in concreto identificabili con quanto prescritto dal Garante, in materia di conservazione dei dati di traffico, con provvedimento generale del 17 gennaio 2008 (in www.garanteprivacy.it doc web n. 1482111, come modificato dal successivo provvedimento del 24 luglio 2008, doc. web n. 1538224), in base al quale:

– il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo ad incaricati specificamente autorizzati e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione; per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (e generati da più di sei mesi), una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato;

– i sistemi informatici utilizzati per i trattamenti di dati di traffico conservati per esclusiva finalità di giustizia devono essere differenti da quelli utilizzati anche per altre funzioni aziendali (come fatturazione, marketing, antifrode); è tuttavia ammissibile un primo periodo, di 6 mesi dalla generazione, durante il quale i dati possono essere trattati con sistemi informatici non esclusivamente riservati alle finalità di giustizia;

– il fornitore deve definire e attribuire agli incaricati specifici profili di autorizzazione differenziando le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati.

All’esito dell’attività istruttoria condotta, l’Ufficio ha ritenuto che gli elementi acquisiti potessero configurare delle violazioni ad ha pertanto avviato il procedimento di cui all’art. 166, comma 5 del Codice. A fronte delle puntuali contestazioni ricevute, la Società – che pure ha presentato una memoria di 22 pagine ed è stata ascoltata in una successiva audizione – ha risposto sul punto in maniera non esaustiva e talvolta equivoca.

Nello specifico caso relativo alla conservazione dei dati di traffico, Iliad ha replicato che le contestazioni ricevute erano da considerarsi infondate in quanto, a suo parere, vi sarebbero state tre questioni da considerare:

1) i livelli di accesso ai dati personali;

2) la verifica che attraverso il gestionale Mobo fosse possibile visionare i dati di traffico;

3) il termine di conservazione dei dati personali.

Con riguardo al primo punto, Iliad ha dichiarato di aver adottato livelli di accesso ai sistemi differenziati in base al ruolo dei dipendenti e, anche nel caso in esame, l’accesso al sistema Mobo consente livelli di visibilità delle informazioni differenti a seconda del profilo (operatore/ amministratore). In merito a ciò, deve osservarsi che tale aspetto non è mai stato oggetto di contestazione da parte dell’Ufficio che, invece, ha contestato il fatto che l’incaricato, in quanto addetto al customer care (ancorché con il profilo di amministratore) ha potuto visualizzare dati conservati per un periodo superiore ai sei mesi, termine oltre il quale non dovrebbe più essere consentito al personale addetto a verificare la correttezza della fatturazione (quale è l’amministratore di customer care) e dovrebbe, invece, essere riservato alle sole figure autorizzate ad accedere ai dati di traffico conservati per finalità di giustizia.

Relativamente al secondo punto, come già descritto al paragrafo 2.4, la Società ha osservato che lo screenshot inserito nell’allegato 6 al verbale del 28 maggio 2019 non contiene dati di traffico e, per tale motivo, la contestazione non sarebbe fondata. Come già ricordato, l’allegato cui fa riferimento la Società è quello relativo all’accesso effettuato con profilo di operatore che non è mai stato oggetto di contestazione da parte dell’Ufficio. L’accesso effettuato con il profilo di amministratore di sistema è invece riportato nell’allegato 7, che mostra come l’incaricato abbia fatto accesso al sistema digitando userid e password e che la piattaforma di customer care tiene traccia delle operazioni effettuate dall’amministratore; inoltre, il risultato complessivo di tale accesso, in cui si dà atto della presenza di “dati del traffico telefonico uscente in chiaro a decorrere, per la scheda dell’utente visualizzato, da agosto 2018” è stato riportato nel verbale che la parte ha sottoscritto e non ha mai successivamente contestato.

Inoltre, la Società, nella menzionata memoria, proseguendo in merito alla asserita infondatezza della contestazione (terzo punto dell’elenco di cui sopra), ha aggiunto che “in ogni caso Iliad conferma che l’accessibilità ai dati di traffico nel sistema Mobo è attualmente limitata ad un periodo di sei mesi dalla loro registrazione”. È pertanto da considerarsi indubbia, in quanto confermata dalla stessa Iliad, la presenza di dati di traffico nel sistema di customer care (Mobo) e, come sottolineato dall’avverbio “attualmente”, i tempi di conservazione sono ora limitati a sei mesi potendo così dedurre che tale termine di conservazione fosse prima diverso e che, verosimilmente, la Società abbia posto in essere un intervento correttivo (che tuttavia non ha menzionato né tantomeno documentato).

La contestazione rivolta ad Iliad ha riguardato anche l’aspetto connesso alla conformità del procedimento di autenticazione. Come riportato nel verbale del 28 maggio 2019, l’incaricato con profilo di amministratore ha effettuato l’accesso al sistema di customer care inserendo una user-id e una password (come riportato nell’allegato 7 al verbale). È stato pertanto contestato che, al momento dell’accertamento, non è stata utilizzata la misura dell’autenticazione a due fattori che, come prescritto nel provvedimento del Garante, è necessaria per garantire la riservatezza dei dati di traffico anche se conservati solo per finalità di fatturazione.

Come descritto al punto 2.4, la società, nella propria memoria difensiva ha dichiarato che l’autenticazione a due fattori è data in automatico “dalla connessione esclusivamente dei devices aziendali alla rete Iliad. Al momento dell’accesso alla rete Iliad tramite il device aziendale, infatti, il sistema effettua un primo riconoscimento del dipendente Iliad e un secondo riconoscimento avviene al momento dell’accesso al gestionale Mobo”. Sul punto si richiama il menzionato provvedimento del Garante che ammette che «tale fase di autenticazione può essere realizzata con procedure strettamente integrate alle applicazioni informatiche con cui il fornitore tratta i dati di traffico, oppure con procedure per la protezione delle singole postazioni di lavoro che si integrino alle funzioni di autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il fornitore deve assicurare che non esistano modalità di accesso alle applicazioni informatiche da parte dei propri incaricati di trattamento che consentano di eludere le procedure di strong authentication predisposte per l’accesso alla postazione di lavoro». Pertanto, pur considerando che la giustificazione addotta dalla Società potrebbe essere in linea di principio accettabile con riguardo solo ai dati generati entro i sei mesi, essa appare tuttavia tardiva e dunque non più verificabile, in quanto fatta presente solo dopo aver ricevuto la contestazione e non durante l’accertamento ispettivo; la stessa è, altresì, non documentata dal momento che la Società si è limitata ad affermare che una prima fase di autenticazione è superata con l’accesso al device aziendale senza tuttavia comprovare, né durante l’accertamento ispettivo, né successivamente, che lo strumento utilizzato dall’incaricato possedeva le caratteristiche necessarie ad identificare l’utilizzatore in maniera univoca. Si deve, peraltro, ricordare che per l’accesso ai dati generati da più di sei mesi, è in ogni caso richiesto che una delle tecnologie di autenticazione sia basata su caratteristiche biometriche dell’incaricato.

Infine, i rilievi mossi nei confronti della Società, hanno riguardato più in generale le modalità di conservazione dei dati di traffico che, sulla base delle risultanze istruttorie, destavano perplessità anche in ordine alla conservazione separata in funzione della finalità (fatturazione o giustizia). Infatti, la presenza di dati di traffico generati da più di sei mesi nel sistema dedicato alla gestione dei clienti, ha comportato la contestazione alla Società del mancato rispetto della prescrizione di conservare in sistemi informatici separati le diverse tipologie di dati.

In relazione a tale specifica contestazione, la Società ha replicato soltanto che “Iliad ha creato un unico database con misure di sicurezza e livelli di accesso differenziati (CRM i.e. gestionale Mobo e JAS) a seconda della finalità del trattamento e del relativo termine di conservazione. Tale sistema ha quindi una separazione di carattere logico invece che fisico […] Iliad non ha deciso di procedere ad una duplicazione fisica dei database a seconda della finalità del trattamento”. Dalla laconica risposta della Società, che pure ha ricevuto puntuali contestazioni e ha avuto ampiamente modo di articolare la propria difesa, si può solo evincere che è presente un unico sistema, separato logicamente mediante accessi differenziati in base alle finalità e ai tempi di conservazione. La Società, tuttavia, non ha fornito alcuna spiegazione in merito al contestato accesso ai dati generati da oltre sei mesi da parte dell’incaricato dell’area customer care che, per la funzione svolta, non avrebbe dovuto accedere a tali dati tenuto conto che, stando a quanto dichiarato, la separazione logica in base alle finalità avrebbe dovuto comunque impedire tale accesso.

Pertanto, la risposta sopra riportata, conferma quanto già contestato in merito alla mancata separazione dei sistemi deputati alla conservazione dei dati di traffico.

Il citato provvedimento del Garante, infatti, prescrive che i dati conservati per esclusive finalità di giustizia siano conservati in sistemi informatici distinti fisicamente – e non logicamente – da tutti gli altri sistemi aziendali e a tali sistemi siano applicate misure dedicate quali, tra le altre, l’accesso solo a personale autorizzato con sistemi di riconoscimento a due fattori (di cui uno biometrico) e la cifratura dei dati. Lo stesso provvedimento ammette anche che, a scelta del titolare, i dati generati fino a sei mesi, possano essere conservati in un unico sistema per poter essere trattati anche per finalità di giustizia, senza necessità di ricorrere ad alcuna separazione; tale facoltà, tuttavia, è applicabile, come detto, solo entro i sei mesi dalla generazione e pertanto, in presenza di dati generati da più di sei mesi, non può considerarsi applicabile al caso in esame.

Pertanto, le dichiarazioni rese dal titolare del trattamento nel corso dell’istruttoria, della cui veridicità si può essere chiamati a rispondere ai sensi dell’art. 168 del Codice, non consentono, in ogni caso, di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento, e non risultano idonee ad escludere la responsabilità della parte in ordine a quanto contestato non avendo esse contribuito a dimostrare che le misure adottate dalla società possano ritenersi rispondenti alle misure di sicurezza – allo stato dell’arte disponibili e adottate in via generale dagli operatori di comunicazione elettronica – descritte nel provvedimento del Garante in materia di conservazione dei dati di traffico.

Alla luce del nuovo quadro normativo costituito dal Regolamento e dal Codice, si deve infatti ritenere che le specifiche prescrizioni del provvedimento del Garante del 17 gennaio 2008 siano da considerare alla stregua delle basilari misure di sicurezza del trattamento applicabili ai fornitori di servizi di comunicazione elettronica. Il mancato rispetto di tali prescrizioni deve considerarsi equivalente alla mancanza di misure tecniche e organizzative adeguate al rischio esistente e, di conseguenza, integra la violazione dell’art. 132-ter del Codice.

Per quanto sopra riportato, inoltre, deve ritenersi altresì, integrata la violazione dell’art. 123 del Codice, con riguardo alla conservazione eccedente i sei mesi nei sistemi adibiti a finalità di fatturazione.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al presente paragrafo, si rende necessario ai sensi dell’art. 58, par. 2, lett. d), del Regolamento ingiungere ad Iliad di adeguare le misure di sicurezza poste a tutela dei dati di traffico conformandole a quanto prescritto dal Garante con il provvedimento del 17 gennaio 2008 come modificato dal provvedimento del 24 luglio 2008. Inoltre, tenuto conto che le contestazioni rivolte alla Società non si sono dimostrate sufficienti a sollecitare un intervento correttivo da parte di quest’ultima, si ritiene di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, parr. 4 e 5, del Regolamento.

4. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

4.1. Informativa e consenso.

Le condotte accertate ai punti 3.1. e 3.2. della presente decisione integrano rispettivamente la violazione dell’art. 5, par. 1, lett. a), del Regolamento.

Tuttavia, tenuto conto:

– delle intenzioni del titolare che, sulla base di quanto acquisito in atti, non paiono volte a realizzare consapevolmente gli effetti delle condotte contestate e sono piuttosto riconducibili ad un’applicazione negligente delle norme;

– della presumibile mancanza di conseguenze in capo agli interessati dal momento che la finalità promozionale del trattamento non sarebbe stata ancora realizzata;

– delle misure adottate e volte a risolvere le criticità sopra indicate,

si ritiene che esse possano essere qualificate come violazioni “di grado minore” alla luce dell’art. 83, par. 2 e del considerando 148 del Regolamento e che, pertanto, possa essere sufficiente al riguardo ammonire Iliad, ai sensi dell’art. 58, par. 2 lett. b) del Regolamento per la mancata osservanza dell’ art. 5, par. 1, lett. a) del Regolamento, nonché dei principi di cui all’art. 25 del Regolamento, significando, altresì, che in difetto si rende applicabile la sanzione di cui all’art. 83, par. 5 lett. a) del Regolamento.

4.2. Simbox e misure di sicurezza.

Le condotte accertate al punto 3.3 della presente decisione sono idonee ad esporre gli interessati al rischio di accessi non autorizzati ai dati personali e dunque sono suscettibili di integrare la violazione del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento.

Tuttavia tenuto conto delle misure correttive introdotte dalla Società idonee a contenere tale rischio, nonché degli accorgimenti adottati con riferimento ad eventuali video contenenti immagini di terzi, si ritiene che anche tale violazione possa essere qualificata “di grado minore” alla luce dell’art. 83, par. 2 e del considerando 148 del Regolamento.  Pertanto si ritiene sufficiente al riguardo ammonire Iliad, ai sensi dell’art. 58, par. 2, lett. a), del Regolamento in merito alle rilevate violazioni della riservatezza mediante l’uso della Simbox e, contestualmente, ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d) del medesimo Regolamento, di adottare misure correttive idonee a garantire maggiore riservatezza agli interessati al momento dell’effettuazione della registrazione del video adottando gli specifici accorgimenti indicati al punto 3.3 della presente decisione.

4.3. Misure di sicurezza applicate alla conservazione dei dati di traffico.

Le condotte accertate al punto 3.4 della presente decisione integrano le violazioni degli artt. 132-ter e 123, comma 2 del Codice, soggette rispettivamente alla sanzione di cui all’art. 83, par. 4 e par. 5 del Regolamento.

4.4. Quantificazione della sanzione amministrativa pecuniaria.

In ragione di quanto sopra prospettato, risulta applicabile l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5 del Regolamento.

In particolare, ai fini della quantificazione della sanzione amministrativa, per le violazioni di cui al precedente punto 4.3, il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso  [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1 del  Regolamento (UE) 2016/679), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, nel caso di specie, devono essere considerate le seguenti circostanze:

1. l’ampia portata dei trattamenti riguardanti la conservazione dei dati di traffico) che, sulla base degli elementi forniti e in mancanza di altre specificazioni in merito, si possono ritenere di carattere sistemico e dunque estesi alla generalità dei clienti del servizio di telefonia mobile di Iliad relativi a circa 3 milioni di utenze alla data dell’accertamento ispettivo, come dalla stessa dichiarato (art. 83, par. 2, lett. a) del Regolamento);

2. la gravità delle violazioni rilevate, in ragione del fatto che, per l’inadeguatezza delle misure di sicurezza, sono stati esposti a violazione una tipologia di dati personali (i dati di traffico telefonico) per i quali il legislatore, in considerazione dell’elevato pregiudizio derivante dal trattamento, ha predisposto delle norme di carattere speciale a tutela della conservazione (art. 83, par. 2, lett. a) del Regolamento);

3. il grado di responsabilità del titolare del trattamento, tenuto conto che le misure tecniche e organizzative descritte non sono risultate adeguate allo stato dell’arte, nonostante le prescrizioni del Garante siano da considerarsi ormai ampiamente note fra gli operatori dei servizi di comunicazione elettronica, in quanto impartite con un provvedimento generale del 2008, più volte oggetto di specifici provvedimenti applicativi;

4. il generale approccio tenuto da Iliad nel trattamento dei dati personali (art. 83, par. 2, lett. d) del Regolamento), considerato che, oltre quanto evidenziato al punto precedente, pure le violazioni descritte ai punti 3.1, 3.2. e 3.3, pur se considerate  di carattere minore, hanno comunque mostrato un quadro complessivamente negligente nell’applicazione, sin dalla progettazione, di misure di tutela degli interessati che, date le costanti e numerose pronunce del Garante, sono ormai da considerarsi comunemente note ai titolari del trattamento (si vedano, anche qui, i numerosi provvedimenti in merito alla correttezza dell’informativa e alla raccolta del consenso e, con riguardo al rispetto di misure idonee ad evitare accessi non autorizzati, mediante, ad es. l’istituzione di distanze “di cortesia”, i numerosi interventi chiarificatori del Garante, tra i quali,  ad es. la nota del 30.3.1998, doc. web n. 39464);

5. il grado di cooperazione con l’Autorità di controllo, dal momento che la Società si è limitata a ritenere infondate le violazioni contestate, sostenendo le proprie ragioni con argomentazioni spesso non pertinenti con quanto accertato a verbale, e tenuto conto che, a fronte delle contestazioni ricevute in materia di conservazione dei dati di traffico, la stessa, diversamente da quanto fatto con gli altri rilievi ricevuti, non ha ritenuto di dover intervenire in alcun modo per adeguare le proprie misure di sicurezza, limitandosi solo a confermare l’attuale presenza nel sistema Mobo di dati di traffico generati da non più di sei mesi (art. 83, par. 2, lett. f) del Regolamento);

6. la maniera in cui l’Autorità di controllo ha preso conoscenza della violazione, emersa nel corso di un’attività ispettiva (art. 83, par. 2, lett. h) del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. delle misure adottate da Iliad che, ancorché non sufficienti, appaiono comunque utili ad attenuare parte delle conseguenze pregiudizievoli delle violazioni riscontrate;

2.  della rilevante perdita registrata nel 2018, superiore al valore della produzione (art. 83, par. 2, lett. k) del Regolamento).

In una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa, tenuto conto che la Società, anche in ragione della recente presenza sul mercato italiano, non ha avuto precedenti procedimenti sanzionatori, e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati, debba applicarsi alla Iliad la sanzione amministrativa del pagamento di una somma pari al 4% della sanzione edittale massima di 20 milioni di euro, corrispondente a euro 800.000,00 (ottocentomila). La sanzione edittale massima è individuata con riferimento al disposto dell’art. 83, comma 5, tenuto conto che il 4% del fatturato di Iliad Italia S.p.A. risulta inferiore ai 20 milioni di euro.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In tale quadro, si ritiene altresì – in considerazione della delicatezza dei trattamenti di cui è stata accertata l’illiceità alla luce dei diritti fondamentali degli interessati e dell’elevato numero degli stessi- che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ricorda che in caso di inosservanza del presente provvedimento, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

nei confronti di Iliad Italia S.p.A., con sede legale in viale Francesco Restelli, 1/A, Milano, C.F. 13970161009,

a) con riguardo alle violazioni riscontrate relativamente alle corrette modalità di somministrazione dell’informativa e del consenso degli interessati (punti 3.1. e 3.2 in premessa), ammonisce Iliad, ai sensi dell’art. 58, par. 2 lett. b) del Regolamento per la mancata osservanza dell’art. 5, par. 1, lett. a), del Regolamento, nonché dei principi di cui al successivo art. 25 del Regolamento;

b) con riguardo alle violazioni riscontrate relativamente alle videoregistrazioni effettuate mediante Simbox (punto 3.3. in premessa): ai sensi dell’art. 58, par. 2, lett. a), del Regolamento ammonisce Iliad in merito alle rilevate violazioni della riservatezza e, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla stessa di adottare, entro 120 giorni dal ricevimento del presente provvedimento, le misure correttive indicate in premessa, idonee a garantire maggiore riservatezza agli interessati durante l’utilizzo di dette apparecchiature;

c) con riguardo alle violazioni riscontrate relativamente alla conservazione dei dati di traffico telefonico (punto 3.4. in premessa), ai sensi dell’art. 58, par. 2, lett. d), ingiunge di adottare, entro 120 giorni dal ricevimento del presente provvedimento, tutte le misure necessarie a rendere il trattamento conforme al provvedimento del Garante del 17 gennaio 2008 come modificato dal provvedimento del 24 luglio 2008;

d) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

e) ai sensi dell’art. 157 del Codice, richiede di comunicare, entro i successivi 30 giorni, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto, con un riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, lett. e) del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Iliad Italia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 800.000,00 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 800.000,00 (ottocentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Garante della Privacy – Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 9 luglio 2020 – 16.729.600 euro a titolo di sanzione amministrativa

Reading Time: 61 minutes

Registro dei provvedimenti
n. 143 del 9 luglio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Wind Tre S.p.A. (di seguito indicata anche come: “Wind Tre” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi condotti nei confronti di Wind Tre e di alcuni partner commerciali della stessa;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con una pluralità di segnalazioni e reclami sono stati portati all’attenzione dell’Autorità diversi trattamenti di dati personali posti in essere da Wind Tre, prevalentemente (ma non esclusivamente) riconducibili a condotte finalizzate all’attività promozionale.

Tenuto conto che la Società è stata già destinataria di un provvedimento inibitorio e prescrittivo per trattamenti analoghi effettuati in vigenza del precedente quadro normativo (cfr. provv. 22 maggio 2018, n. 313, in www.garanteprivacy.it, doc. web n. 8995285), l’istruttoria condotta ha preso in considerazione solo le istanze pervenute dopo il 25 maggio 2018, che sono state oggetto di istruttoria cumulativa ai sensi dell’art. 10, comma 4, del regolamento interno del Garante n. 1/2019 (doc. web n. 9107633). Tale prima attività istruttoria verrà indicata nel corso del presente provvedimento anche come “procedimento A”.

Con diverso procedimento (cfr. fascicoli 139150, 139507, 139505, 140416, 141133) sono stati poi presi in considerazione altri aspetti dell’attività del titolare connessi a segnalazioni pervenute all’Autorità che informavano di attività promozionali, poste in essere per esso dalla filiera di subagenti di un fornitore accreditato, contattando i clienti di un altro operatore telefonico i cui dati personali venivano acquisiti con modalità illegittime.

Questo secondo procedimento verrà indicato di seguito anche come “procedimento B”.

All’esito di dette attività sono emerse diverse violazioni delle norme in materia di protezione dei dati personali.

2. ESITI DELL’ISTRUTTORIA

Le istruttorie condotte hanno comportato l’esame di oltre 100 fascicoli, oltre allo svolgimento di accertamenti ispettivi presso la stessa Wind Tre, presso alcuni partner e presso un altro operatore telefonico. Si deve inoltre considerare l’attualità della condotta o, comunque, dei suoi effetti, date le istanze, di analogo contenuto, pervenute all’Autorità anche successivamente alla formale contestazione inviata alla Società in data 13 maggio 2020, da intendersi qui integralmente richiamata e alla quale si rimanda per ogni elemento di dettaglio.

2.1. Attività promozionale mediante sms, e-mail, fax, telefonate e chiamate automatizzate

Nel periodo preso in esame, come accennato, sono pervenuti al Garante numerosi reclami e segnalazioni relativi alla ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate. In molti casi è stata lamentata la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione.

In risposta a specifiche richieste di informazioni, la Società,

1. in alcuni casi, ha documentato l’acquisizione di uno specifico consenso mediante esibizione dei contratti (proposte di acquisto – pda) sottoscritti dagli interessati;

2. in altri ha documentato l’acquisizione di un consenso che, alla luce degli accertamenti condotti, si è rivelato inidoneo;

3. nei rimanenti casi non è stata in grado di documentare l’avvenuta acquisizione del consenso.

2.1.1. Contatti effettuati senza consenso

La Società, in alcuni riscontri forniti, ha dichiarato che il contatto è avvenuto per errore (cfr. fascicoli 128119, 127661, 130539, 123638,134545, 142932, 121112); in altri casi, che la revoca non era stata tempestivamente recepita per problemi legati alla gestione della corrispondenza o all’identificazione dell’interessato, di cui si dirà meglio in seguito (cfr. fascicoli 141011, 134392, 130266,130344, 145996, 124985, 134434, 133063, 133372, 134997, 128000, 128805, 130356, 129952, 127784).

2.1.2. Contatti effettuati sulla base di un consenso da ritenersi non idoneo

In altri casi, la Società ha risposto alle specifiche richieste di informazioni documentando l’acquisizione di un consenso che, alla luce delle valutazioni compiute, si è rivelato inidoneo.

2.1.2.1.  Consensi risalenti e non conformi al nuovo quadro normativo introdotto dal Regolamento

In particolare, in tre casi (cfr. fascicoli 133088, 134927, 131464), il consenso è stato documentato allegando i contratti sottoscritti dai clienti. Questi, tuttavia, risalenti agli anni 1998/99 non risultano più idonei rispetto al quadro normativo vigente in quanto non consentono di documentare una volontà libera, specifica e informata dell’interessato essendo previsto un solo consenso per finalità di trattamento diverse (attività promozionale del titolare, di terzi, valutazione della soddisfazione della clientela, tutela del credito); a tal proposito si richiamano gli artt. 4, punto 11, e 7 nonché il contenuto del considerando n. 171 del Regolamento in base al quale «qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Pertanto, è onere del titolare valutare se i consensi già acquisiti siano da considerarsi ancora conformi alle norme vigenti; tra queste, si richiamano anche le modifiche normative intervenute successivamente al 1999 volte a disciplinare, con disposizioni di carattere speciale, il trattamento posto in essere nell’ambito dei servizi di comunicazione elettronica (art. 130 del Codice e disposizioni in materia di Registro delle opposizioni) da considerarsi ormai note a tutti gli operatori del settore, anche alla luce delle numerose pronunce del Garante.

2.1.2.2.  Consensi acquisiti direttamente dai partner commerciali

In un caso (cfr. fascicolo 130729), la ricezione di un sms indesiderato è stata giustificata sostenendo che l’invio risultava effettuato direttamente dalla XX Srl, senza utilizzare liste di Wind Tre, sulla base di un consenso autonomamente acquisito per la promozione di servizi di terzi (peraltro non esibito unitamente alla risposta).

A tale proposito si rileva che la Società, con allegato 1 alla nota del 15 luglio 2019, ha fornito la copia di una comunicazione inviata ai propri partner commerciali per richiamarli al rispetto della normativa vigente in materia di marketing. Tra le prescrizioni presenti in tale comunicazione si evidenzia quanto indicato al punto I) dove la Società richiede di “verificare che, nell’eventualità attuiate attività di promozione di nostre offerte, siano contattate solo le numerazioni consensate per i contatti commerciali delle quali Wind Tre è titolare oppure legittimamente acquisite da Voi in proprio e delle quali siete legittimamente titolari, analogamente consensate ai contatti commerciali e alla comunicazione a Società di telecomunicazioni”.

Da tale comunicazione e sulla base di quanto dichiarato in merito alla segnalazione relativa al fascicolo 130729, si evince che la Società prevede, tra le modalità di effettuazione delle campagne promozionali, anche la possibilità di affidare tale trattamento a terzi in qualità di autonomi titolari senza tuttavia garantire che tali contatti non pregiudichino la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali.

2.1.2.3. Consensi acquisiti mediante le app MyWind e My3.

In altri casi, la Società ha documentato il consenso fornendo la schermata del sistema informativo interno da cui risulta prestato un consenso tramite “canali interattivi” o “SelfcareAppAndroid”.

Dall’esame della documentazione allegata si evince che i consensi sono stati forniti dagli interessati accedendo alla propria area personale tramite l’app MyWind o My3.

In particolare, in tre casi (cfr. fascicoli 134496, 138094 e 140940) il consenso, originariamente non presente, risulta acquisito a seguito di una registrazione informatica descritta come “variazione”, che, secondo quanto successivamente illustrato dalla Società, indicherebbe il fatto che l’interessato stesso, operando direttamente tramite i canali Selfcare (di cui le app sono uno strumento) avrebbe richiesto una modifica dello status dei consensi, conferendoli ove non presenti. In due di essi (fascicoli 134496 e 138094) tale variazione risulta effettuata nel mese di dicembre 2018, data in cui è stata implementata una modifica dell’app. Inoltre, in due circostanze (fascicoli 138094 e 140940), tale variazione risulta contestualmente prestata per tutte le tipologie di trattamento elencate nella pagina iniziale dell’app (marketing, profilazione, arricchimento dati, geolocalizzazione, trasferimento a terzi). A tale ultimo riguardo uno dei reclamanti (cfr. fascicolo 138094), in replica al riscontro della Wind Tre, ha ribadito le proprie perplessità in merito ai consensi che risultavano conferiti, evidenziando di non avere idea, per alcuni trattamenti, neanche del significato di quanto riportato (ad esempio per l’”arricchimento dei dati”) e ha altresì  osservato che non avrebbe avuto motivo di fornire all’operatore tutti i consensi in un momento in cui, a causa dei numerosi disservizi, non era più soddisfatto del servizio fornito.

A tal proposito, si osserva che il funzionamento delle app MyWind e My3, preposte alla gestione del profilo utente connesso al servizio telefonico, è stato portato all’attenzione del Garante con una pluralità di altre segnalazioni e reclami (fascicoli 116325, 133895, 133630, 132819, 132840, 132535, 134089, 135405). Tutte le istanze ricevute hanno lamentato, in maniera analoga e con allegazione dei relativi screenshot, che le app in questione obbligavano l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione) salvo poi consentire di revocarli trascorse 24 ore.

Con nota del 17 aprile 2019 la Società, nel dichiarare di aver apportato nell’ultimo trimestre 2018 alcune modifiche alle app in questione, ha allegato le schermate di accesso di entrambe, analoghe a quelle già presentate dai segnalanti, dalle quali è emerso quanto segue:

– veniva enunciata la volontà del titolare di effettuare i cinque trattamenti descritti;

– vi si leggeva che “se preferisci puoi scegliere […] quali consensi prestare su Gestione consensi. Premendo Accetto consenti a Wind Tre di raccogliere e utilizzare le informazioni sopra elencate e da te personalizzate. Dichiaro inoltre di accettare i termini e condizioni e di aver preso visione dell’informativa privacy”;

– premendo il tasto “Annulla”, non era possibile utilizzare l’app perché, a detta della Società, non risultavano accettati termini e condizioni e non risultava la presa visione dell’informativa.

Wind Tre, al riguardo, ha affermato che non v’era alcun vincolo a fornire i consensi poiché questi erano previamente gestibili dal link “Gestioni consensi” presente nel corpo del testo e “probabilmente alcuni utenti possono aver frainteso i contenuti della pagina”. Infatti, andando in Gestione consensi si potevano scegliere le singole preferenze; poi “effettuata tale scelta, il cliente tornando alla pagina precedente e premendo accetta conferma la scelta sui consensi appena effettuata e al contempo accetta termini e condizioni”.

In tali casi, pertanto, si evidenzia come la procedura seguita fosse complessa, inadeguata all’utilizzo rapido, tipico di una applicazione per smartphone e, per tali ragioni, idonea ad ingenerare errori da parte dell’interessato con dirette ricadute sulla legittima espressione del consenso. La Società, in ogni caso, nonostante le segnalazioni di volta in volta ricevute, non ha ritenuto di dover intervenire tempestivamente nella configurazione descritta.

Allo stesso modo, occorre considerare, in via generale, che le app del tipo di My3 e MyWind assolvono alla essenziale funzione di consentire all’utente di monitorare i consumi e le soglie di utilizzo dei servizi e, quindi, di controllare la complessiva spesa telefonica. L’impossibilità di tenere sotto controllo le spese correnti può aver rappresentato un ulteriore elemento negativo per l’interessato, nella sua veste di consumatore.

Inoltre, con reclamo dell’8 gennaio 2020 (fascicolo 145970), è stata documentata la conversazione tenuta in chat con operatori del servizio clienti che confermano che “…i consensi sono revocati. se li hai trovati temporaneamente concessi potrebbe essere stato a causa dell’ultimo aggiornamento dell’area clienti perché, per poter accedere, ti viene prima richiesto di prestare i consensi e poi possono nuovamente essere revocati”.

Con nota del 17 febbraio 2020 la Società, nel ribadire che l’espressione di specifici consensi era sempre possibile attraverso il link “Gestione consensi”, ha aggiunto che, al fine di rendere più snello l’utilizzo dell’app, premendo il tasto “Accetta” il cliente poteva confermare contestualmente l’accettazione di termini e condizioni ma anche dei consensi facoltativi non precedentemente espressi, salvo poi la possibilità di modificarli successivamente. La stessa ha, inoltre, aggiunto che “il signor … ha più volte modificato la sua volontà prestando e revocando i consensi precedentemente rilasciati”.

Infine, con reclamo del 5 febbraio 2020 (fascicolo 146873) è stata lamentata ancora una volta l’impossibilità di utilizzare l’app senza necessariamente cliccare sul tasto “Accetta” e senza che si potessero chiaramente comprendere gli effetti di tale manifestazione di volontà. La reclamante ha documentato che, una volta indicato “Accetta”, i consensi presenti nell’area personale risultavano tutti conferiti. La stessa ha inoltre allegato uno scambio di corrispondenza con la casella privacy@h3g.it dalla quale è emerso che la Società ha fornito riscontro indicando, in un primo momento che “una volta effettuato l’accesso all’App potrà modificare i consensi alla sezione Strumenti – Impostazioni – Gestione Consensi”. Alle successive osservazioni contrariate della cliente, la Società ha risposto che “Al solo fine di agevolare e rendere più snello il primo accesso all’App My3 da parte dei nostri Clienti, abbiamo previsto, nel caso in cui il Cliente non voglia andare nella sezione dedicata Gestione Consensi per evitare un ulteriore passaggio, operazione questa comunque effettuabile in qualsiasi momento, di prevedere un tasto Accetto sia per le Condizioni del Servizio sia per i Consensi non precedentemente manifestati. L’Accetto riferito invece all’informativa privacy è da intendersi non come un vincolo dei consensi per usufruire delle funzionalità ma piuttosto quale presa visione delle modalità e finalità del trattamento”.

Tali giustificazioni fornite dalla Società non sono state ritenute accoglibili ed è stata pertanto formulata una specifica contestazione ai sensi dell’art. 166, par. 5 del Regolamento. In base a quanto affermato da Wind Tre, infatti, l’intento della richiesta sarebbe stato quello di far accettare le condizioni contrattuali e dimostrare la presa visione dell’informativa. A ciò evidentemente doveva però aggiungersi anche l’intenzione di acquisire consensi in precedenza non manifestati.

In base a quanto dichiarato, dunque, queste tre diverse manifestazioni di volontà (all’apertura dell’app, con una sola domanda, veniva chiesto: 1) di accettare le condizioni contrattuali; 2) di accettare l’informativa; 3) di fornire – o “convalidare” tutti i consensi richiesti) si sarebbero dovute esprimere con un’unica azione, consistente nella selezione del pulsante “Accetta”. Se anche si volesse ammettere un’utilità di tale tipo di procedura, si dovrebbe rilevare il mancato rispetto di quanto contenuto nell’art. 7, par. 2 del Regolamento nonché nei considerando 42 e 43 in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Inoltre, la proposizione delle menzionate richieste appare anche priva di senso logico dal momento che non è dato comprendere per quale motivo queste venissero reiterate ad ogni accesso all’app. In tal senso, anche avendo voluto considerare la richiesta solo come una conferma di presa visione dell’informativa, essa appare del tutto pretestuosa in mancanza di modifiche dell’informativa stessa che ne rendessero necessaria la riproposizione. Analoga considerazione può essere fatta in merito alle condizioni contrattuali, che si suppongono rese note al momento della sottoscrizione del contratto di servizio (e non modificate ad ogni singolo accesso).

Le numerose segnalazioni pervenute (tutte di analogo contenuto) portano a ritenere che, dietro la mancanza di chiarezza, si celi dunque una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti, regola che non è stata modificata neanche dopo la ricezione delle numerose segnalazioni.

La previsione di una modalità di scelta (asseritamente preventiva) tramite il link “Gestione Consensi”, oltre a dimostrarsi difficilmente comprensibile, appare anche giuridicamente insufficiente a garantire l’espressione di un valido consenso dal momento che, in mancanza di specificazioni in tal senso, si sarebbe sempre potuta considerare superata dalla manifestazione di volontà successivamente espressa premendo il tasto “Accetta”. E, soprattutto, non appare giustificata nella sua reiterazione.

Del tutto insufficiente è da considerarsi, infine, il rimedio consistente nella possibilità di revocare (peraltro non prima di 24 ore) i consensi espressi involontariamente, dal momento che, come noto, l’espressione della volontà deve essere libera e preventiva. La stessa Wind Tre ha dato atto che, in diversi casi, i consensi risultavano prestati e poi revocati più volte. Rimanendo da sottolineare il rischio di utilizzo dei dati nel corso delle predette 24 ore.

Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte non posso considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Con la memoria difensiva del 15 giugno 2020 la Società ha dichiarato che, ad oggi, le due app sono state sostituite dall’unica app WINDTRE, che non richiede più di manifestare il consenso all’accesso.

2.1.2.4.  Consensi prestati con modalità non legittime (manifestazione del consenso non libera).

Come evidenziato al punto 2.1., in numerosi casi la Società ha documentato l’acquisizione del consenso fornendo copia dei contratti sottoscritti dai clienti (cd. pda).

Fatte salve le specifiche anomalie già indicate sopra, si vogliono ora esaminare le modalità generali di raccolta del consenso all’atto della sottoscrizione di un contratto per l’acquisto di una utenza mobile o fissa. Ciò in quanto più volte negli anni è stata portata all’attenzione del Garante, la difficoltà di esprimere un consenso libero e specifico per tutte le finalità del trattamento, nonostante le dichiarazioni della Società in merito alle istruzioni impartite in tal senso ai propri partner.

Da ultimo si richiama una segnalazione del 13 marzo 2020 (cfr. fascicolo 148352) con la quale, con note inviate anche a Wind Tre, è stata lamentata l’impossibilità di esprimere un consenso libero per finalità promozionali, sia preventivamente che successivamente alla sottoscrizione del contratto attivato presso un rivenditore.

Si richiama, inoltre, il reclamo (cfr. fascicolo 136370) con il quale è stato rappresentato, in maniera molto puntuale, che l’operatore addetto alla vendita ha predisposto un contratto con tutte le caselle relative ai consensi già preselezionate e, dopo qualche resistenza opposta alle richieste del cliente, ha modificato solo le selezioni a sistema senza ristampare il contratto. La Società, interpellata in merito, ha risposto con nota del 17 luglio 2019 rappresentando che la volontà del cliente è stata probabilmente equivocata dall’operatore. Sulla base di tali elementi, l’Ufficio aveva disposto la chiusura dell’istruttoria in data 20 novembre 2019. Tuttavia, alla luce di alcuni fatti sopravvenuti, che di seguito si illustrano, deve essere considerato nuovamente quanto emerso anche dalla descritta istruttoria valutando diversamente la buona fede delle dichiarazioni a suo tempo fornite dalla Società

Infatti, con un reclamo del 17 giugno 2019 (cfr. fascicolo 139604) è stato lamentato che, per l’attivazione di una nuova utenza presso un dealer, sarebbe stato da questi predisposto per la firma un contratto contenente i consensi già selezionati senza aver previamente richiesto al cliente di manifestare una volontà in tal senso; date le dimensioni dei caratteri con cui era scritto il testo relativo alla manifestazione dei consensi, non sarebbe stato possibile accorgersi immediatamente di quanto veniva presentato per la firma; per ottenere la stampa di un nuovo contratto senza i consensi selezionati sarebbero state opposte molte resistenze da parte dell’addetto alla vendita.

In questo caso l’Ufficio ha richiesto un accertamento ispettivo presso il rivenditore XX S.r.l. di Merano, dove era stata attivata l’utenza in questione e che operava in qualità di responsabile del trattamento di Wind Tre. L’attività ispettiva, delegata al Nucleo speciale privacy, è stata effettuata nei giorni 11 e 12 dicembre 2019 e ne è emerso quanto segue:

la registrazione dei consensi viene effettuata utilizzando l’applicativo di Wind Tre denominato “Wind Station”;

in merito alle effettive modalità di raccolta della volontà del cliente, l’operatore ha dichiarato a verbale che “seguendo le indicazioni del capo area signor …, nel corso di ogni attivazione di sim card, l’operatore di riferimento deve flaggare d’iniziativa tutti i consensi ivi previsti. Tale operazione tra l’altro è agevolata da un apposito pulsante presente all’interno del gestionale […]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all’attenzione dell’interessato per l’accettazione di presa visione dell’informativa e rilascio dei consensi, quest’ultimo dovesse manifestare perplessità sui consensi presenti nel modello di riferimento, l’operatore provvede a modificarli secondo le indicazioni fornite direttamente dall’interessato”; ne consegue che l’operatore, di default, valorizza tutti i consensi e stampa il contratto, così predisposto, per la firma del cliente;

i verbalizzanti hanno acquisito la copia del contratto sottoscritto dal reclamante il 21 maggio 2019 nel quale è presente, sul lato destro in alto, un riquadro denominato “resta in contatto con Wind” contenente una dichiarazione di presa visione dell’informativa e autorizzazione al trattamento dei dati personali per finalità di marketing da parte di Wind Tre e dei propri partner; profilazione; geolocalizzazione; comunicazione a terzi e arricchimento dei dati. Le dimensioni e la spaziatura del testo contenuto in tale riquadro sono notevolmente inferiori a quelle dei caratteri che compongono l’annesso contratto tanto da risultare oggettivamente di difficile lettura sia per quanto riguarda l’intero testo sia, soprattutto, per quanto riguarda la visualizzazione di un eventuale flag nelle caselle relative ai singoli consensi;

l’operatore ascoltato al riguardo, ha dichiarato di aver ricevuto istruzioni verbali in merito alla prassi operativa sopra descritta per l’acquisizione dei consensi e, al fine di documentare quanto asserito, ha consegnato copia di due e-mail ricevute dal responsabile di Wind Tre: in una di esse, del 25 maggio 2019, è presente un grafico che descrive le percentuali di acquisizione dei consensi raggiunte dal dealer con un invito “ancora una volta di arrivare al 100% su tutto”; con la seconda e-mail, del 5 giugno 2019, il rappresentante commerciale di Wind Tre inviava al dealer un resoconto delle prestazioni effettuate ai fini della valutazione del fornitore; nel testo si legge “attenzione ai dati di qualità inseriti, in particolare i flag devono essere al 100% su tutto”; a tale mail viene allegata una tabella dalla quale si evince chiaramente che l’ottenimento di alte percentuali di flag sui consensi è annoverato fra gli indicatori di qualità;

infine, esaminando il contenuto del gestionale fornito da Wind Tre al rivenditore, è stato fatto accesso alla comunicazione pubblicata da Wind Tre il 22 marzo 2019 dal titolo “Nuovi consensi da POS NG”. Con tale avviso si informavano i partner della variazione effettuata sulla lista dei consensi a partire dal 25 marzo 2019 che riguardava, in particolare, l’accorpamento dei primi due consensi in un’unica manifestazione di volontà, presentata al sottoscrittore con il seguente testo: “Comunicazioni commerciali Wind: acconsento al trattamento dei miei dati personali per la ricezione, da parte di Wind, di comunicazioni inerenti offerte speciali, sconti e promozioni relative a prodotti e servizi Wind e di partner selezionati da Wind”; veniva così richiesto un unico consenso per ricevere comunicazioni promozionali sia di Wind Tre che di terzi. Inoltre, in caso di “modifica Offerta per i già clienti acquisiti prima del 9 gennaio 2017 sono visualizzati i soli 2 consensi old valorizzati come espressi in fase di attivazione e i nuovi 4 consensi non valorizzati (blank). È possibile modificare i primi 2 e acquisire i 4 nuovi consensi […] ma qualora il rivenditore provi nell’acquisire solo alcuni dei 4 nuovi consensi o modificarne uno dei 2 old, verrà visualizzato il warning bloccante, dove appunto verrà indicato di valorizzare tutti e 6 consensi. […]. Per i clienti acquisiti dal 9 gennaio 2017, da Modifica Offerta, risultano già valorizzati tutti e 6 i consensi con la possibilità di modificarli insieme alla variazione commerciale dell’offerta”.

2.1.2.5. Consensi di clienti di altro gestore acquisiti con modalità illegali

Vengono qui in riferimento gli esiti degli accertamenti del cd. “procedimento B” richiamato in premessa e svolti dopo che l’Autorità ha appreso, da una segnalazione, dell’esistenza in Roma di un call-center che avrebbe svolto attività di contatto di potenziale clientela e offerta di servizi telefonici per conto della Società, mediante acquisizione di dati di clienti di altro operatore telefonico con modalità non lecite e comunque fuori dalla cornice normativa delineata dal Regolamento e dal Codice.

L’Ufficio, effettuate le necessarie verifiche relative alle informazioni anagrafiche dei soggetti indicati nella segnalazione, delegava alla Guardia di finanza, Nucleo speciale tutela privacy e frodi tecnologiche, lo svolgimento di accertamenti ispettivi presso detto call-center.

L’accertamento ispettivo ha consentito di rilevare che le attività ivi svolte facevano capo alla Alessandro Corbelli Sunrise s.r.l.s. e, nonostante le stesse, in sede di accesso, fossero state presentate come attività di formazione per l’avviamento di futuri operatori di call-center, le risultanze degli accessi alle postazioni di lavoro hanno evidenziato che – proprio al momento dell’accertamento – erano in corso attività di contatti telefonici promozionali dei servizi della società Wind Tre.

I contatti telefonici dei potenziali clienti, indirizzati all’area business, prevedevano la fissazione di appuntamenti per la compilazione delle proposte di contratto, appuntamenti che venivano “caricati” nelle agende elettroniche delle persone che si sarebbero dovuto recare presso i clienti.

Nel call-center veniva rinvenuta ingente modulistica contrattuale di Wind, predisposta per la clientela business, e numerose sim-card a marchio Wind.

Le attività di contatto venivano svolte in sette postazioni di lavoro mediante l’utilizzo di personal computer e telefoni cellulari. Nella cronologia dei predetti telefoni è stata rinvenuta traccia di centinaia di telefonate effettuate nei tre giorni antecedenti l’intervento ispettivo. Dagli accessi ai computer in uso agli operatori è stato possibile acquisire numerosi file in formato excel contenenti elenchi costituiti da informazioni anagrafiche e di contatto telefonico di aziende e persone fisiche. Tutti gli operatori interpellati hanno dichiarato che tali file venivano quotidianamente caricati sul desktop dei pc da parte del referente e che gli stessi contenevano i nominativi e i numeri di telefono dei soggetti da contattare. Nel pc del referente e in un’altra postazione di lavoro venivano rinvenuti file excel contenenti dati personali (nome, cognome, ragione sociale, codice fiscale, numero di telefono fisso e numero di telefono mobile) di oltre 500.000 utenti. Venivano anche   rinvenute tracce informatiche di accessi tramite virtual machine al database di un’altra compagnia telefonica.

Con riferimento all’origine dei dati personali rinvenuti nelle diverse postazioni di lavoro del call-center, uno specifico accertamento ispettivo effettuato presso la sede dell’operatore telefonico da cui – secondo la segnalazione sopra richiamata – questi sarebbero stati trafugati, non consentiva di acquisire piena prova in tal senso, mentre il referente presente nel call-center al momento dell’accertamento dichiarava che “l’attività in una giornata tipo di questo call center prevede che io distribuisca agli operatori le liste di soggetti da contattare che sono presenti nel mio PC delle quali non so definirne l’origine […]; con riferimento alle SIM presenti nel call center e alla documentazione contrattuale e alle brochure rappresento che tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.

Tali dichiarazioni del referente, paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità, non erano in grado di comprovare che l’acquisizione dei dati anagrafici dei potenziali clienti fosse avvenuta nel rispetto delle disposizioni del Regolamento e del Codice, con particolare riferimento alla disciplina del consenso, e, in ogni caso, evidenziavano che le attività di call-center si svolgevano al di fuori delle procedure implementate da Wind Tre per disciplinare le attività di telemarketing e teleselling. Inoltre, le modalità di contatto dei potenziali clienti avvenivano senza fornire la necessaria informativa prevista dall’art. 14 del Regolamento come evidenziato dall’assenza di informazioni sul trattamento dei dati personali nello script di chiamata acquisito durante l’accertamento, con ciò corroborando la considerazione che il consenso eventualmente raccolto non può comunque considerarsi valido per mancanza delle necessarie preventive informazioni.

In buona sostanza, l’attività del call-center si presentava come del tutto abusiva, in violazione non soltanto delle disposizioni in materia di protezione dei dati personali ma anche di quelle in ambito fiscale, tributario e lavorativo per le quali il nucleo privacy procedeva ad interessare le competenti articolazioni della Guardia di finanza. Risultava inoltre condotta da una società non presente nel Registro degli operatori di comunicazione, utilizzando numerazioni non censite nel medesimo registro, in un quadro estremamente preoccupante di disinteresse per i diritti degli interessati e per le necessarie garanzie di sicurezza che avrebbero dovuto presiedere ogni operazione di trattamento.

Nel corso dell’accertamento effettuato presso detto call-center venivano acquisiti riscontri documentali di un significativo legame operativo fra esso e l’agenzia Merlini s.r.l. che svolge attività di commercializzazione dei prodotti della società Wind Tre presso la propria sede operativa di Ponsacco (PI).

L’Ufficio delegava quindi alla Guardia di finanza l’effettuazione un accertamento ispettivo nei confronti della predetta agenzia, dal quale emergeva che Merlini s.r.l. opera esclusivamente per conto di Wind Tre, in forza di un contratto di agenzia che prevede anche la sua designazione quale responsabile del trattamento. Merlini s.r.l. svolge la sua attività per il tramite di collaboratori presenti sul territorio nazionale, denominati “procacciatori”. Fra i procacciatori che collaborano con tale società risultava anche la società Alessandro Corbelli Sunrise s.r.l.s. e, con riferimento ad essa, Merlini s.r.l. produceva alcune fatture, elenchi di contratti acquisiti ed e-mail contenenti copie dei documenti dei clienti.

Circa l’attività dei procacciatori, Merlini s.r.l. esibiva copia di alcune lettere d’incarico nelle quali è riportato testualmente: “la sua attività dovrà essere svolta in piena autonomia seguendo unicamente le indicazioni e disposizioni che le saranno impartite circa i nostri prodotti, le condizioni di vendita ed altre disposizioni commerciali. L’attività. potrà comunque essere svolta in collaborazione con addetti alla produzione e/o commercializzazione, con agenti propri”. Merlini s.r.l. dichiarava di non aver individuato i procacciatori quali responsabili del trattamento o autorizzati a svolgere operazioni di trattamento in quanto essi “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.

Con nota del 25 ottobre 2019 l’Ufficio richiedeva a Merlini s.r.l. di esibire copia della lettera di incarico conferito alla società Alessandro Corbelli Sunrise s.r.l.s., e di ogni altro negozio giuridico stipulato con la medesima. Merlini s.r.l. forniva riscontro con e-mail del 4 novembre 2019, rappresentando “di non avere ulteriore documentazione ed in particolare copia di altri mandati. Come già esposto durante l’accertamento del 9 luglio, con molti collaboratori (tra cui Corbelli) sono ed erano in corso accordi verbali e il rapporto si è concretizzato con l’invio di proposte di contratto Wind da parte dei collaboratori e il puntuale pagamento degli affari procacciati da parte della nostra società” e aggiungendo altresì “che al momento di avviare nuove collaborazioni ai procacciatori il mandato scritto è l’ultima cosa che interessa […]”.

Con specifico riferimento alla vicenda di cui sopra, l’Ufficio delegava alla Guardia di finanza anche due accertamenti ispettivi che si svolgevano presso la sede di Wind Tre, in Roma.

Relativamente ai rapporti con Merlini s.r.l., Wind Tre produceva il contratto di agenzia stipulato fra le due aziende e un prospetto riepilogativo della documentazione acquisita e del processo svolto per affiliare gli agenti di vendita alla rete di Wind Tre. Tale processo di affiliazione prevede, fra l’altro, l’acquisizione di visure camerali, questionari di due diligence e scoping, documentazione bancaria, fiscale e curriculum dei rappresentanti legali.

Fra la documentazione, veniva esibito un questionario sottoposto all’agente di vendita in ordine agli adempimenti in materia di protezione dei dati personali. Fra le risposte fornite da Merlini s.r.l., emergevano numerosi elementi idonei a ingenerare dubbi in ordine al corretto trattamento dei dati personali e alla efficace gestione dei collaboratori. Ad esempio:

– alla domanda (presente nella sezione 6 “Composizione liste contatti commerciali” del questionario) “il partner acquisisce le liste di soggetti da contattare telefonicamente attraverso canali differenti da Wind Tre?”, Merlini s.r.l. rispondeva affermativamente senza indicare i canali di acquisizione delle predette liste;

– alla domanda “il partner garantisce il corretto utilizzo delle liste di contatti nell’ambito della loro validità temporale preventivamente comunicata da Wind Tre e le cancella, decorso il termine, da qualsiasi sistema/supporto di memoria?”, Merlini s.r.l. rispondeva negativamente;

– a tutte le domande relative agli “obblighi relativi al trattamento dati per chiamate commerciali” e al “codice di condotta per attività di telemarketing” Merlini s.r.l. rispondeva che esse non erano conferenti rispetto alla propria attività, nonostante le stesse riguardassero le regole deontologiche e le istruzioni operative presenti nelle sezioni I e L del contratto di agenzia sottoscritto dalla stessa Merlini s.r.l.

Nessuna verifica risulta essere stata posta in essere da Wind Tre, alla luce dei riscontri forniti da Merlini s.r.l., in ordine alla rete dei collaboratori di quest’ultima società e, in particolare, se tali collaboratori fossero stati individuati sulla base dei medesimi requisiti richiesti da Wind Tre, nonché avviati alle attività promozionali sulla base delle stesse modalità operative individuate nel contratto di agenzia stipulato tra Wind Tre e Merlini s.r.l..

2.1.3. Contatti effettuati senza che sia stata documentata l’acquisizione di un idoneo consenso

La Società, in diverse circostanze, non è stata in grado di documentare l’avvenuta acquisizione del consenso, affermando, a seconda dei casi:

a) che le numerazioni chiamanti indicate dai segnalanti non risultavano riconducibili a quelle in possesso dei partner o,

b) che l’utenza chiamata non risultava presente nelle liste da contattare per finalità promozionali (cfr. fascicoli 128220, 127687, 132667, 132114, 131606, 131684, 135017, 136153, 136903, 137035, 136371, 136650, 137157, 137392, 137186, 138316, 138667, 139253, 140782, 139839, 140716, 140463, 140391, 142109, 144236, 146789) ovvero ancora,

c) che le modalità utilizzate per effettuare la campagna promozionale non erano riconosciute come rispondenti alle policy di comunicazione aziendali (cfr. fascicoli 134997, 130266, 145996, 123638, 130729, 113495, 133984, 134569, 132667, 133372, 134927, 132256, 132114, 131606, 131897, 131464, 135017, 136903, 136945, 137003, 137392, 139253, 140782, 139839, 140343, 140391, 144236, 146789);

ovvero:

d) non fornendo alcun elemento (informativo o documentale) atto a comprovare il possesso di un idoneo consenso limitandosi ad assicurare di aver inserito la numerazione dell’interessato in black list (cfr. fascicoli 134569, 132256,133372, 131897, 136945, 137035, 139126, 142352, 139839);

e) documentando il consenso mediante allegazione di copie di contratti illeggibili o comprovanti unicamente le volontà contrattuali e non anche le scelte in merito ai dati personali (cfr. fascicoli 128208, 130787, 113495, 131896).

2.2. Modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati

In molti casi è stato lamentato il mancato riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, anche in maniera reiterata, con particolare riguardo all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca.

La Società, con le note inviate in risposta alle diverse richieste di informazioni formulate dall’Autorità, ha rappresentato che alcune istanze non sono state riscontrate o non sono state tempestivamente riscontrate perché:

a) pervenute ad un indirizzo non preposto alla gestione di tale tipologia di richieste (cfr. fascicoli 130344, 133911, 142614, 145996, 124985, 134434, 133063, 133372, 137580);

b) in ottemperanza ad una procedura aziendale, poi superata, veniva richiesto di identificarsi mediante l’invio di un documento (cfr. fascicoli n, 130344, 128000, 128805, 130356, 129952, 127784, 128208);

c) si sono registrati errori o problemi di ricezione della posta cartacea o elettronica (cfr. fascicoli n. 141011, 134392, 130266, 130539).

2.2.1. Istanze pervenute a recapiti non corretti

Con riguardo a quanto rappresentato al punto a), in particolare, la Società ha fatto presente che le comunicazioni che non hanno avuto un adeguato riscontro sono pervenute ad indirizzi mail o pec non presidiati da personale idoneo a gestire istanze relative alla protezione dei dati personali. La stessa ha, altresì, evidenziato che in una struttura complessa, quale è quella di Wind Tre, non è possibile assicurare la corretta gestione delle richieste se non pervengono ai corretti recapiti, come indicato nelle informative presenti sui siti web dei brand Wind e Tre.

L’ufficio ha pertanto verificato, in data 26 febbraio 2020, la pubblicazione di detti recapiti sui siti web della Società, riscontrando quanto segue:

a) relativamente ai riferimenti per il brand Wind,

– nel sito www.wind.it al link “privacy” era presente un elenco di diverse informative seguite dalla “cookie policy” in calce alla quale è riportato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) o chiamando il 155”. Infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

pertanto, per i clienti Wind veniva messo a disposizione unicamente il recapito fisico di una casella postale o, in alternativa, si invitava a chiamare il servizio clienti;

b) relativamente ai riferimenti per il brand Tre,

– nel sito www.tre.it al link “privacy” era presente un elenco di diverse informative seguite da un documento denominato “Privacy policy” all’interno del quale era specificato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it o chiamando il 133”;

– infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it. e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

Per i clienti Tre, dunque, veniva messo a disposizione un recapito fisico che faceva riferimento prima ad una casella postale e, successivamente, all’indirizzo Via Alessandro Severo 246, Roma, senza chiarire quale fosse il corretto recapito da utilizzare; inoltre, veniva fornito un indirizzo di posta elettronica ordinaria o, in alternativa, si invitava a chiamare il servizio clienti.

Occorre, tuttavia, notare che le numerose istanze pervenute hanno lamentato tutte, in maniera analoga, il mancato riscontro a richieste inviate quasi sempre ai medesimi indirizzi: windtrespa@pec.windtre.it, servizioclienti155@pec.windtre.it e windtreitaliaspa@pec.windtre.it.

L’utilizzo così ricorrente dei medesimi recapiti da parte di numerosi segnalanti, in luogo di quelli riportati nelle informative, può considerarsi indicativo del fatto che, innanzitutto, essi siano stati in qualche modo resi noti ai clienti (verosimilmente nella documentazione contrattuale o, come riferito in alcune segnalazioni, forniti telefonicamente dallo stesso servizio clienti). La stessa Wind Tre, con il riscontro fornito il 26 novembre 2019, nel contestare l’utilizzo di un indirizzo pec inesistente, ha affermato che “l’indirizzo corretto è servizioclienti155@pec.windtre.it così come riportato nelle Condizioni Generali di contratto”.

Inoltre, tenuto conto della tecnologia allo stato disponibile, non si può considerare sufficiente – e in tali termini è stato contestato alla Società – la predisposizione del solo canale fisico per l’invio delle istanze, obbligando gli interessati ad inviare una lettera o una raccomandata (eventualmente anche con ricevuta di ritorno, per avere conferma della ricezione), sopportandone i relativi costi.

L’alternativa del contatto telefonico con il servizio clienti o l’indirizzo di posta elettronica ordinaria (peraltro fornito solo per il brand Tre e non per Wind) non soddisfano le esigenze di chi voglia comprovare l’invio di un’istanza.

Si richiama, a tal proposito, quanto disposto dall’art. 12, par. 2 del Regolamento in base al quale il titolare del trattamento agevola l’esercizio dei diritti dell’interessato, nonché quanto previsto dall’art. 7, par. 3 in base al quale il consenso è revocato con la stessa facilità con cui è accordato.

Infine, pur ritenendo comprensibili le esigenze rappresentate dalla Società di far confluire verso un unico “canale” le richieste relative alla protezione dei dati personali, la numerosità delle doglianze pervenute ha reso evidente che i soggetti interessati non sempre sono in grado di ricondurre autonomamente le proprie istanze a problematiche connesse alla disciplina della protezione dati.

Come si evince dalle numerose segnalazioni rimesse a codesta Società, non solo l’utente medio ma anche diversi professionisti (ingegneri, avvocati, ecc.), si sono avvalsi dei recapiti pec sopra menzionati ritenendoli corretti e solo in pochissimi casi è stato utilizzato il contatto del dpo (per lo più dopo precedenti tentativi infruttuosi). Analogamente si richiamano le difficoltà rappresentate da quanti, pur non essendo mai stati clienti o non essendolo più, sono stati oggetto di campagne promozionali senza avere avuto, tuttavia, la possibilità di individuare un corretto recapito cui indirizzare il proprio diniego al trattamento (dato che anche in questi casi il primo tentativo è stato fatto utilizzando il canale del servizio clienti).

Ne consegue che il servizio clienti, che di fatto rappresenta un interlocutore primario per gli interessati, non è risultato sufficientemente istruito per la corretta gestione delle istanze pervenute (almeno ad un primo livello di ricezione e smistamento), con la conseguenza che numerose richieste sono rimaste inevase o sono state trattate impropriamente.

Si dà atto, tuttavia, di quanto comunicato dalla Società con nota del 6 marzo 2020 in merito alla predisposizione di una nuova informativa, introdotta a seguito dell’istituzione del brand unico Wind Tre, nella quale sono indicati, quali canali di comunicazione con il titolare, un indirizzo fisico, una pec e un numero telefonico. La stessa Wind Tre ha inteso evidenziare, nella propria memoria difensiva, che tale misura correttiva è stata posta in essere in data antecedente alla ricezione della comunicazione di avvio del procedimento da parte del Garante, ricevuta il 13 maggio 2020.

2.2.2. Istanze non corredate da documenti di riconoscimento.

La Società in altri casi, come sopra accennato, ha poi dichiarato di non aver prontamente riscontrato le richieste degli interessati perché non corredate del documento di identità. In particolare, nelle diverse note di risposta pervenute, la stessa ha più volte dichiarato che inizialmente le procedure aziendali prevedevano l’obbligo di presentazione del documento di identità. Successivamente, anche a seguito delle numerose segnalazioni inoltrate dal Garante, si è provveduto ad operare una semplificazione garantendo comunque la revoca del consenso per finalità di marketing anche in assenza del documento, purché la stessa provenisse da un indirizzo e-mail riconducibile al cliente, “demandando in un secondo momento l’identificazione dell’interessato”.

Nel quadro normativo vigente, l’identificazione dell’interessato che esercita i propri diritti si configura come presupposto necessario per il corretto riscontro delle richieste. È, infatti, di tutta evidenza che il titolare del trattamento, nel fornire risposta alle istanze degli interessati, debba garantirli da eventuali pregiudizi, compreso l’accesso a terzi non autorizzati. Pertanto, l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche dal considerando 64 che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza.

Alla luce di tali principi, la ragionevolezza delle misure adottate, può essere valutata tenendo conto del contesto e dei potenziali rischi ma anche dell’utilità a conseguire lo scopo (di pervenire alla corretta identificazione).

Nel caso in questione, è possibile operare una diversa quantificazione del rischio connesso alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso). Ciò innanzitutto in considerazione delle scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti, laddove fosse un terzo malintenzionato ad esercitarli. Inoltre, una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, non potendo ipotizzarsi altri soggetti che potrebbero avere un interesse in tal senso (a differenza di quanto invece potrebbe accadere con l’esercizio di altri diritti).

Infine, le misure adottate devono, come detto, limitare l’acquisizione e la conservazione di dati non necessari. Tale eventualità potrebbe invece verificarsi nel caso di soggetti che, pur non essendo clienti di Wind Tre, ma essendo stati contattati (correttamente o meno) per una campagna di quest’ultima, vogliano presentare uno specifico diniego alla ricezione di messaggi promozionali: la richiesta rivolta anche a questi soggetti di fornire un documento di identità appare ancor più sproporzionata e può comportare l’acquisizione di dati personali che non sono già nella disponibilità del titolare e che dunque non sono necessari.

In conclusione, dalle risposte della Società è emerso un quadro incerto e contraddittorio nella descrizione delle misure tecniche e organizzative adottate per identificare gli interessati in maniera ragionevole, rappresentativo di una insufficiente valutazione dei differenti interessi in gioco.

L’iniziale richiesta di copia del documento di identità per tutti i soggetti, clienti e non clienti, e per qualsiasi tipologia di richiesta, secondo quanto dichiarato, è stata successivamente rivista prevedendo un immediato riscontro all’esercizio di revoca del consenso; non si comprende, tuttavia, quale sia la necessità, una volta accolta la richiesta dell’interessato, di richiedere comunque, ancorché in una fase successiva, l’invio del documento di identità.

2.2.3. Istanze non riscontrate per errori o problemi di ricezione della posta cartacea o elettronica

In un rimanente numero di casi Wind Tre ha giustificato il mancato riscontro alle istanze inviate dagli interessati prospettando la registrazione di episodi in cui la corrispondenza è risultata dispersa o non pervenuta ai corretti destinatari per errori o problemi di ricezione.

Tali eventi vanno valutati alla luce delle osservazioni sin qui fatte in merito all’idoneità delle misure organizzative adottate dalla Società.

2.3. Informazioni agli interessati

Richiamando quanto riportato al punto precedente, si rileva che, prima dell’intervento correttivo effettuato con l’introduzione del brand unico, le informative rese disponibili sui siti web di Wind e Tre indicavano dati di contatto non univoci e diversi dagli indirizzi del servizio clienti, pure comunicati dalla Società e utilizzati più frequentemente dagli interessati. Ciò ha comportato, a detta della Società, difficoltà e ritardi nella gestione delle istanze.

Con riguardo alla conformità alle disposizioni in materia di trasparenza, di cui all’art. 12 del Regolamento, si deve aggiungere anche quanto emerso dall’attività istruttoria avviata a seguito di un reclamo (cfr. fascicolo 143394) in merito all’esercizio del diritto di accesso ai dati di traffico conservati per finalità di controllo della fatturazione.

Con nota del 26 novembre 2019 la Società ha motivato il mancato riscontro alle richieste inoltrate dal reclamante rappresentando che le stesse erano state inviate ad indirizzi inesistenti e, pertanto, essendo ormai trascorsi più di sei mesi, l’accesso a tali dati non era più possibile. Prescindendo dal fatto specifico, verosimilmente originato dall’errore del cliente, deve tuttavia rilevarsi che, come contestato anche nello stesso reclamo, l’informativa resa agli interessati ai sensi dell’art. 13 del Regolamento non indicava il periodo di conservazione dei dati previsto dall’art. 123 del Codice. Ciò ha comportato, nel caso di specie, l’erroneo affidamento nel ben più ampio termine di conservazione dei dati indicato dalla Società per l’esecuzione del contratto (10 anni e sei mesi).

Si deve, infatti, considerare quanto prescritto dall’art. 123, comma 4 del Codice in merito all’obbligo del fornitore del servizio di includere, nelle informazioni rese ai sensi degli artt. 13 e 14 del Regolamento, anche le informazioni in merito alla conservazione dei dati di traffico.

In tale contesto, dunque, non si può semplicemente opporre all’utente la non conoscenza delle norme, dal momento che lo scopo della disposizione violata – l’art. 123, comma 4 – è proprio quello di bilanciare l’asimmetria informativa nei confronti degli utenti.

2.4. Pubblicazione e aggiornamento dei dati negli elenchi telefonici

Sono poi pervenuti all’Autorità numerosi reclami con i quali è stata lamentata la pubblicazione, mai autorizzata, di dati personali negli elenchi telefonici, nonché l’impossibilità di ottenerne da Wind Tre la cancellazione. In risposta a specifiche richieste di informazioni la Società ha fornito le seguenti motivazioni:

a) la pubblicazione è avvenuta per errore materiale o disallineamento (cfr. fascicoli 137276, 128170, 128336, 133645, 146363);

b) la richiesta di cancellazione non è stata tempestivamente accolta per difficoltà di comunicazione con il cliente (cfr. fascicoli 134918, 142978); in tale ultimo caso si richiama quanto già osservato in merito all’adeguatezza delle misure organizzative volte a garantire la comunicazione con gli interessati, cui questi ulteriori casi si aggiungono come esempio delle conseguenze pregiudizievoli.

Si evidenzia in particolare che, con nota del 28 novembre 2019, indirizzata al Garante e al reclamante, la Società ha dichiarato che l’utenza di quest’ultimo è stata pubblicata negli elenchi ad opera del precedente gestore di appartenenza “pertanto l’istanza di cancellazione doveva essere inoltrata alla Società Italia on Line S.p.A.”. In realtà, come noto ormai da tempo (cfr. provvedimenti del Garante del 15 luglio 2004, doc web 1032381 e del 1° aprile 2010, doc web 1711492 in materia di pubblicazione dei dati personali negli elenchi pubblici), il gestore telefonico di appartenenza, in quanto titolare del trattamento, è l’unico soggetto cui gli utenti devono indirizzare le richieste di modifica della pubblicazione dei dati in elenco. Appare pertanto incomprensibile il riferimento fatto da Wind Tre alla necessità rivolgersi direttamente alla Società Italia on Line. Allo stesso tempo si rileva che, nonostante le assicurazioni fornite dalla Società nella medesima nota di riscontro, alla data del 16 marzo 2020 i dati del reclamante risultavano ancora presenti nel sito www.paginebianche.it.

Con riguardo al reclamo di cui al fascicolo 146363, con il quale è stato lamentato anche il mancato riscontro alla richiesta di cancellazione dagli elenchi, si rappresenta che, con nota del 12 marzo 2020, la Società ha dichiarato che “il dipartimento competente della Scrivente gestisce prontamente l’istanza tentando di attivare il processo di cancellazione, che però non andava a buon fine”. Non è stato tuttavia specificato per quale motivo la cancellazione non aveva avuto esito positivo, né veniva documentato se, contrariamente a quanto lamentato nel reclamo, fosse stato dato il relativo riscontro alla richiesta inoltrata dal cliente. Anche in tale nota la Società ha dichiarato che l’utenza era stata inserita dal precedente gestore e che il reclamante avrebbe dovuto rivolgersi a Italia on Line.

3. LA DIFESA DEL TITOLARE

A seguito delle comunicazioni di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori inviate dall’Ufficio ai sensi dell’art. 166, comma 5, del Codice (nota del 13 maggio 2020 – procedimento A e nota del 19 dicembre 2019 -procedimento B), il cui  contenuto deve qui intendersi integralmente riportato, la Società, con memorie del 15 giugno 2020 (procedimento A) e del 3 febbraio 2020 (procedimento B), ha fornito le proprie osservazioni, integrate in sede di audizione il 25 giugno 2020 (procedimento A) e il 25 maggio 2020 (procedimento B), di cui sono stati redatti rispettivi processi verbali. Anche le considerazioni difensive, a garanzia della parte, devono darsi qui per integralmente riprodotte.

Oltre a quanto riportato in relazione ai singoli punti in contestazione, Wind Tre ha fornito i seguenti ulteriori specifici elementi a giustificazione delle proprie condotte.

3.1. Attività promozionale non autorizzata dagli interessati

Riguardo alle attività contestate al punto 2.1., Wind Tre, in particolare, richiamando anche gli interventi già posti in essere, ha dichiarato che tutti i partner e gli agenti sono stati nominati responsabili del trattamento. Agli stessi è stato imposto il rispetto delle istruzioni veicolate mediante comunicazioni sul portale dedicato e con specifica attività formativa. Inoltre, i contratti monomandatari di agenzia, consumer, microbusiness e business sono stati integrati con la recente introduzione di un “decalogo” di regole sulla tutela dei dati personali (il cui mancato rispetto può essere valutato come presupposto per la risoluzione contrattuale). Una di tali regole imposte ai partner riguarda l’obbligo di presentare la linea chiamante in chiaro e di comunicare a Wind Tre, seguendo un’apposita procedura, tutte le numerazioni utilizzate; tale dichiarazione è essenziale per assegnare al partner un codice nel sistema aziendale.

La Società ha poi ricordato l’utilizzo del sistema di Campaign Management, già in uso e più volte menzionato nelle risposte fornite alle richieste di informazioni dell’Autorità; tale sistema ha la funzione di centralizzare la realizzazione delle singole campagne promozionali veicolando ai partner le istruzioni iniziali e le liste dei nominativi da contattare e recependo in input le eventuali revoche del consenso raccolte nel corso delle chiamate effettuate. A tal proposito, Wind Tre ha chiarito che le liste sono fornite in via prevalente dal titolare, che si occupa anche delle verifiche presso il Registro delle opposizioni, ma è possibile che i partner facciano anche uso di liste proprie: in tale ultimo caso, è richiesta la previa autorizzazione di Wind Tre all’uso della lista.

Inoltre, sempre con riguardo alle misure adottate per garantire un maggior controllo della filiera, la Società ha aggiunto di aver “…richiesto ai partner del canale fisico che intendano utilizzare liste di contatti per attività di mera presa appuntamento, di dare apposita evidenza e richiedere una previa autorizzazione, che sarà comunque successiva ed eventuale rispetto alle verifiche a campione poste in essere da parte della Scrivente Società. È stato inoltre richiesto ai partner del canale fisico di tenere un registro di tutti gli eventuali contatti (sia quelli andati a buon fine che quelli non andati a buon fine) con indicazione della fonte del contatto ed evidenza della presenza del consenso. Detto registro, su richiesta, dovrà essere a disposizione della Scrivente Società, in qualità di titolare del trattamento e esibito in caso di richiesta dell’Autorità competente. È stato altresì istituito internamente un processo in base al quale a seguito di attivazione contratti (in modalità outbound, canale fisico) venga verificata da parte della scrivente società tutta la filiera che ha dato seguito all’attivazione compresa quindi l’origine del contatto effettuato”. Tale registro è compilabile dal 4 febbraio 2020.

Infine, Wind Tre ha adottato una procedura interna per formalizzare i controlli da effettuare a seguito della sottoscrizione di proposte di abbonamento da parte dei clienti: tra questi è prevista una sezione dedicata alla raccolta dei dati personali e dei consensi.

A fronte delle misure sopra descritte che, nelle intenzioni della Società, dovrebbero consentire di ricondurre ogni chiamata al partner che l’ha effettuata, la stessa ha comunque aggiunto che, non disponendo di altri mezzi di indagine, non è in grado di identificare soggetti che invece effettuino chiamate senza rispettare tali accorgimenti.

La Società ha inoltre aggiunto che, come già fatto presente in precedenti interlocuzioni col Garante, tutti gli agenti hanno ricevuto specifiche istruzioni e sono soggetti a controlli periodici, effettuati tramite risposta a questionari e, a campione, tramite verifiche in loco.

Al riguardo, si innestano le specifiche considerazioni difensive che la Società ha svolto in relazione al “procedimento B” (punto 2.1.2.5. precedente), relativamente al quale ha rappresentato che:

a) l’ambito delle attività della società Merlini s.r.l. per conto di Wind Tre non è il telemarketing o il teleselling ma è rappresentato dal c.d. “canale fisico”, che prevede la promozione di contratti di vendita dei servizi e dei prodotti di telecomunicazioni offerti da Wind Tre in una determinata area geografica, attraverso un colloquio diretto e quindi senza svolgimento di attività di vendita a distanza; la clientela a cui è dedicato tale canale è quella business, principalmente costituita da persone giuridiche, per le quali non dovrebbe trovare applicazione la disciplina normativa relativa alla protezione dei dati personali;

b) dal momento che l’attività svolta dalla Merlini Srl non avrebbe dovuto configurare attività di telemarketing finalizzato al teleselling, Wind Tre non ha mai fornito a Merlini s.r.l. liste di contatti di potenziali clienti, fatto salvo per i clienti e gli ex clienti che avevano fornito specifico consenso commerciale in fase di sottoscrizione del contratto e non lo avevano revocato, sui quali il Merlini doveva svolgere compiti di fidelizzazione; pertanto non può affermarsi che presso il call-center oggetto dell’ispezione fosse in corso un’attività promozionale dei servizi di telefonia della società Wind Tre;

c) Wind Tre ha provveduto in più occasioni a svolgere attività di formazione e sensibilizzazione in materia di protezione dei dati personali, sia con riferimento alla popolazione aziendale interna, sia con riferimento ai propri Partner ed Agenti; come risulta dall’ultima estrazione richiesta al dipartimento Risorse Umane, l’intervento formativo è stato completato da tutti gli Area Manager, i District Manager e Capi Canale abilitati al controllo delle Agenzie Business (tra le quali l’Agenzia gestita dal Sig. Merlini);

d) dal momento che il contratto concluso da Wind Tre con Merlini Srl non costituiva un contratto di agenzia diretto allo svolgimento di attività di telemarketing finalizzato al teleselling e, in ogni caso, avrebbe dovuto riguardare esclusivamente l’offerta di prodotti e servizi a persone giuridiche, la Società non ha avuto sospetti proprio perché, in base a quanto previsto dal contratto, non rilevavano né l’attività di teleselling né il trattamento di dati di persone fisiche.

Con specifico riguardo alla contestata inidoneità delle modalità di raccolta del consenso, formulata sulla base degli accertamenti condotti presso il partner XX (punto 2.1.2.4 precedente), la Società ha dichiarato che le condotte descritte non rientrano tra le procedure aziendali previste e non corrispondono alle istruzioni impartite ai propri dealer anche per mezzo degli Agenti di commercio competenti per territorio.

Pertanto “qualsiasi indicazione verbale o scritta da parte dell’Agente verso i punti vendita da questi gestiti e non esplicitamente riportati nelle procedure ufficiali, è da considerarsi un’iniziativa non riconducibile alla Scrivente Società”. La stessa ha inoltre aggiunto che i sistemi preposti alla stampa dei contratti hanno i consensi di default impostati a “blank” e che “in merito ai grafici inviati via mail dall’Agente al punto vendita si rileva che nulla dicono in merito alle procedure di acquisizione dei consensi, né appaiono contrari a tali procedure”. Inoltre, in merito all’accertata presenza di un unico consenso per la ricezione di messaggi promozionali di Wind Tre e di terzi, la Società ha chiarito che tale modalità di raccolta del consenso non comporta la comunicazione di dati a terzi ma offre all’interessato la possibilità di ricevere messaggi promozionali nei quali il contenuto veicolato può essere a beneficio di Wind Tre o di un terzo. Rimane pertanto unica la finalità del trattamento e cambia il contenuto dei messaggi che restano comunque veicolati da Wind Tre.

Con specifico riguardo alle contestate modalità di raccolta del consenso tramite le app MyWind e My3, (punto 2.1.2.3 precedente), la Società ha dichiarato di aver apportato delle modifiche alle stesse già in fase antecedente alla ricezione dell’avvio del procedimento da parte del Garante, provvedendo ad impostare la richiesta del consenso solo in fase di prima configurazione dell’app. Successivamente, in considerazione dell’intervenuta adozione del brand unico, le due app menzionate non sono più disponibili e sono state sostituite da un’unica app WINDTRE; questa non richiede più l’espressione dei consensi, neanche in fase di prima configurazione, ma si limita a riportare le volontà del cliente per come registrate e già presenti nei sistemi, consentendo comunque di modificarli dalla stessa app.

Più in generale, con riguardo all’entità delle violazioni accertate, la Società ha infine osservato che “considerando che le segnalazioni nel presente provvedimento sono circa 95 per gli anni 2018-2019, si evidenzia che le stesse rappresentano circa lo 0,026% delle gestioni totali effettuate dalla Scrivente Società” e pertanto i casi contestati, tenuto conto che la Società ha circa 32 milioni di clienti, possono ritenersi riconducibili ad un margine di errore fisiologico con esclusione di alcuni specifici casi che invece si ritengono riconducibili ad attività fraudolenta di terzi e sono già stati oggetto di apposite denunce presso l’Autorità giudiziaria.

3.2. Esercizio dei diritti da parte degli interessati

Con la nota del 15 giugno 2020 la Società ha fornito le proprie osservazioni anche in merito a quanto rappresentato al precedente punto 2.2. e, in particolare, alla disponibilità di idonei canali di contatto nonché alle procedure adottate per garantire l’esercizio dei diritti degli interessati.

La stessa ha preliminarmente ricordato che, con la nascita del brand unico, tutti i canali di contatto sono stati unificati e resi noti tramite la nuova informativa e mediante invio di comunicazioni individuali ai clienti; pertanto, ad oggi, è disponibile una casella postale, la pec del servizio clienti e il numero telefonico 159 (e per circa un anno saranno comunque mantenuti i precedenti canali di contatto).

Il servizio clienti è debitamente formato in materia di tutela dei dati personali, ma la Società ha assicurato che ogni richiesta pervenuta, anche ai canali non dedicati, viene gestita, pur dovendo evidenziare le difficoltà riscontrabili in una struttura complessa.

Con riguardo alle misure adottate per garantire l’esercizio dei diritti, la Società ha preliminarmente osservato che alcuni casi contestati dal Garante, che lamentavano la ricezione di contatti promozionali anche dopo la revoca del consenso, sono stati dovuti alle tempistiche di allineamento dei sistemi che, negli anni immediatamente successivi alla fusione aziendale, impiegavano un maggior tempo ad integrarsi. La Società ha comunque dichiarato che, ad oggi, “il consenso si aggiorna ogni 15 minuti e al più tardi in massimo 24 ore dall’inserimento sul sistema della revoca”.

Infine, rispetto alle procedure adottate per garantire l’esercizio del diritto di revoca, la Società ha ribadito che originariamente richiedeva di corredare necessariamente la richiesta con un documento di identità ma, già dai primi mesi del 2018, si è provveduto a semplificare tale procedura dando corso alla richiesta di revoca purché pervenuta da un indirizzo mail del cliente noto alla Società e rimandando la ricezione del documento anche ad un secondo momento.

La scelta di tale modalità traeva origine dal fatto che, per l’attivazione di ogni utenza, la Società era tenuta ad acquisire copia di un documento e pertanto riteneva coerente identificare gli interessati utilizzando lo stesso mezzo. Inoltre, la stessa ha aggiunto che la richiesta di identificazione a mezzo documento si era resa necessaria in passato a seguito di numerose richieste di revoca del consenso pervenute da parte di terzi in nome e per conto di diversi interessati.

Ad oggi, conferma comunque di aver modificato la procedura ammettendo la richiesta anche senza l’allegazione del documento purché proveniente da un indirizzo mail riconducibile al cliente.

3.3. Informazioni agli interessati

Con riferimento a quanto rappresentato al precedente punto 2.3., la Società, a seguito della contestazione ricevuta, ha assicurato di aver già provveduto ad integrare l’informativa con la specifica menzione richiesta dall’art. 123, comma 4, del Codice e ha comunque osservato che il dettaglio del traffico telefonico effettuato è comunque consultabile in autonomia attraverso l’app o l’Area Clienti.

3.4. Aggiornamento dei dati degli interessati negli elenchi telefonici

Infine, in merito a quanto contestato al precedente punto 2.4. la Società ha articolato la propria difesa rappresentando che i casi portati all’attenzione del Garante rappresentano singoli eventi per i quali il processo di cancellazione non era andato a buon fine.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1. Sulle modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali

Le condotte descritte, con particolare riguardo alle impostazioni delle app e alle risultanze dell’accertamento condotto presso il dealer XX, hanno messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione rese invece più farraginose.

Se è pur vero che la Società ha dichiarato di aver posto in essere specifici interventi correttivi, della cui efficacia si dirà in seguito, la valutazione in merito alla illiceità delle condotte pregresse resta comunque imprescindibile, soprattutto con riguardo alla possibilità di continuare ad utilizzare tali dati per finalità promozionali.

Si deve inoltre tenere presente che, con specifico riguardo al caso XX, la Società non ha ritenuto di dover intervenire a livello di procedura ma si è limitata a disconoscere l’accaduto, qualificandolo come iniziativa autonoma dell’Agente, nei confronti del quale non risulta sia stata tuttavia posta in essere alcuna attività di “richiamo”.

Si osserva, inoltre, che nella stessa memoria difensiva, la Wind Tre ha descritto con dovizia di dettagli le numerose attività poste in essere per formare e controllare i soggetti incaricati di operare per suo conto, fino a dichiarare di non avere “motivi di porre in dubbio la legittimità delle attività svolte da Partner-Agenti stante gli strumenti di formazione, sensibilizzazione e controllo posti in essere”.

Pertanto, se le istruzioni date al dealer dall’agente di commercio sono frutto di un’autonoma iniziativa di quest’ultimo, ne consegue che le misure di formazione e controllo si sarebbero rivelate, in tal caso, del tutto infruttuose. Se, invece, più verosimilmente, si ammette che l’agente non avrebbe avuto alcun vantaggio personale a richiedere al dealer di raccogliere il massimo dei consensi, si deve ritenere che l’interesse ad incentivare tale pratica sia generalmente condiviso a livello aziendale. E tale interesse è facilmente individuabile nel beneficio economico conseguente alla veicolazione di campagne promozionali di terzi, resa possibile grazie alla richiesta, sopra descritta, di un unico consenso complessivo per le finalità promozionali. Ciò spiegherebbe anche le diverse doglianze pervenute nel tempo al Garante con le quali è stato rappresentato, in maniera analoga, che i contratti erano stati presentati per la firma con le caselle dei consensi già preselezionate opponendo resistenza alle richieste di modifica. Casi derubricati dalla Società come “equivoci”, che tuttavia hanno lasciato intatti gli interrogativi in merito alle motivazioni sottese al descritto comportamento dei diversi dealer e al relativo interesse personale a forzare le volontà dei clienti. Le istruttorie condotte in merito a tali doglianze, data la presenza di istruzioni e sistemi formalmente corretti, non avevano sinora consentito di accertare tali elementi. Nel caso in esame, infatti, sono emerse solo grazie all’acquisizione di documentazione generata dall’attività aziendale ma non oggetto di specifiche procedure.

Peraltro, contrariamente a quanto asserito da Wind Tre, i grafici allegati alle e-mail dell’agente sono estremamente esplicativi in merito al fatto che sia richiesto al dealer di ottenere il massimo dei consensi; questi, infatti, contengono inequivocabili riferimenti alle percentuali dei flag ottenuti sul trattamento dei dati personali, suddivisi in base al consenso espresso con il primo flag (finalità promozionali di Wind Tre e di terzi) e con tutti gli altri flag, e sono addirittura annoverati tra gli indicatori di qualità del dealer.

Ciò detto, è evidente come non sia di alcun rilievo sottolineare la correttezza delle istruzioni impartite e dell’impostazione dei sistemi, dal momento che la volontà dell’interessato risulta comunque facilmente aggirabile se il soggetto che deve raccoglierla è incentivato in tal senso.

A ciò si deve aggiungere che il modello di pda acquisito agli atti presentava un’impostazione del carattere di stampa di dimensioni così ridotte rispetto al resto del testo, tali da rendere molto difficile la verifica da parte dell’interessato dei consensi espressi. Su tale ultimo punto, Wind Tre non ha fornito specifiche osservazioni, ma ha allegato una copia del nuovo modello di pda (cfr. allegato 7 alla memoria del 15 giugno 2020) nel quale sono utilizzati caratteri di uguale dimensione per tutto il testo.

Anche le descritte istruttorie in merito al funzionamento delle app, hanno mostrato una condotta fortemente orientata ad aggirare la volontà degli utenti. Le numerose segnalazioni pervenute (tutte di analogo contenuto) fanno ritenere che, dietro la mancanza di chiarezza, si celasse una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti. Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte, prima delle intervenute modifiche, non possono considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Inoltre, sempre con riguardo all’effettuazione di attività promozionale in assenza di consenso, si deve richiamare quanto descritto al punto 2.1. in merito all’affidamento a terzi che, utilizzando proprie liste, agiscono in qualità di titolari del trattamento. Pur se considerata attività residuale, la Società si è avvalsa di tali servizi senza tuttavia garantire che i contatti effettuati non pregiudicassero la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali. L’acquisizione da parte del partner di un generico consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di Wind Tre. È pertanto onere di quest’ultima verificare che i soggetti che hanno revocato il consenso o hanno espresso uno specifico diniego non siano più oggetto di attività promozionale per conto di Wind Tre. Una prescrizione in tal senso era stata già impartita alla Società con il provvedimento del 22 maggio 2018, n. 313.

Allo stesso tempo si devono considerare le osservazioni fatte in merito alle modalità offerte per recepire l’opposizione o il diritto di revoca. Infatti, numerose istanze pervenute hanno lamentato la ricezione di contatti promozionali anche dopo aver espresso uno specifico diniego al trattamento e, dalle risultanze istruttorie, è emerso che le procedure adottate dalla Società non si sono rivelate idonee a recepire correttamente le richieste degli interessati o hanno inutilmente aggravato la presentazione delle richieste imponendo l’allegazione di un documento di identità.

A tale ultimo riguardo, ferma restando la necessità di adottare, all’occorrenza, misure per identificare gli interessati, si ribadisce quanto già osservato al punto 2.2.2 in merito al rispetto della proporzionalità di tali misure al diritto tutelato, potendo ritenersi sufficiente per l’esercizio della revoca del consenso anche solo l’invio di una mail da un indirizzo riconoscibile. Peraltro, la richiesta del documento d’identità risulta ultronea nel caso di soggetti che non abbiano in essere un rapporto contrattuale con la Società ma che, contattati per finalità promozionali, vogliano comunque opporre il proprio diniego.

Pertanto, le condotte descritte danno atto della mancanza di misure tecniche ed organizzative adeguate a consentire agli interessati di esercitare i propri diritti, in violazione dell’art. 24 del Regolamento, con la conseguenza di aggravare immotivatamente la revoca del consenso o l’opposizione al trattamento per finalità promozionali e, in molti casi, di vanificarne del tutto gli effetti.

Inoltre, la Società ha trattato i dati personali dei segnalanti in assenza di un idoneo consenso, in violazione dell’articolo 130 del Codice nonché degli artt. 6, par. 1, lett. a) e 7 del Regolamento. Tali trattamenti, sistematici e non occasionali, devono considerarsi anche potenzialmente effettuati nei confronti di un numero molto elevato di interessati (clienti e non clienti).

Allo stesso tempo, le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione dell’art. 24 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a suo vantaggio.

Inoltre, le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i dealer configurano una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’art. 5, par. 1, lett. a) del Regolamento, mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati. A tal proposito deve inoltre ritenersi violato anche l’art. 25, par. 1 del Regolamento, con riguardo alla definizione delle procedure imposte ai dealer, mediante meccanismi fortemente incentivanti, di acquisizione dei consensi. E, ancora, si deve valutare tale condotta, nonché l’intera modalità di gestione dei consensi, alla luce dell’ingente beneficio economico derivante alla Società dall’acquisizione del maggior numero di consensi per finalità promozionale dal momento che, avendo la stessa predisposto la casella con la richiesta di un unico consenso per sé e per terzi, ha tutto l’interesse ad ampliare il bacino di soggetti cui veicolare i messaggi promozionali.

Infine, con specifico riferimento agli esiti del “procedimento B”, deve considerarsi che l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso.

Sotto questo profilo, anche l’implementazione di rigorose procedure che governano le attività di telemarketing e di teleselling, non possono costituire un valido argine alle diffusissime pratiche di contatti indebiti degli utenti dei servizi di telefonia se ad esse non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni, da perfezionare solamente nel caso in cui sia comprovata la legittimità dei trattamenti, fin dal primo contatto.

Nel caso in argomento, anche le misure recentemente implementate, quali l’adozione del registro dei contatti, quando non consentono un collegamento automatico e selettivo fra attività di promozione delle offerte e procedure di attivazione dei servizi, non sono idonee ad impedire che da contatti operati mediante trattamenti di dati illeciti vengano poi perfezionati contratti e attivazioni, alimentando quel “sottobosco” di procacciatori abusivi che agiscono, come accertato, oltre che in spregio di rilevanti disposizioni in materia di lavoro e previdenziale, anche in violazione delle disposizioni in materia di protezione dei dati personali indicate negli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento e 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice. Di tali ultime violazioni deve rispondere anche il titolare del trattamento in ragione della debolezza delle procedure di controllo di cui sopra.

Peraltro, sempre con specifico riferimento al procedimento B, deve evidenziarsi che a nulla rileva la considerazione che i trattamenti di cui sopra fossero indirizzati all’area business e quindi, in massima parte, a persone giuridiche, posto che l’art. 130, commi 3 e 3-bis, del Codice estende anche a tali soggetti le disposizioni in materia di consenso e di opposizione al trattamento ivi previste per le persone fisiche.

Ciò premesso, accertata l’illiceità dei trattamenti nei termini sopra descritti, si ritiene:

• di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), il trattamento dei dati personali per finalità promozionali raccolti mediante le app MyWind e My3 prima delle intervenute modifiche, nonché dei dati personali dei soggetti di cui non si possa dimostrare l’acquisizione e la vigenza di un consenso conferito liberamente;

• di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare, salvi i correttivi già introdotti, idonee procedure per verificare la correttezza delle procedure di acquisizione dei consensi da parte della propria rete di vendita e che i soggetti che abbiano già manifestato opposizione al trattamento nei confronti di Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

• di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

4.2.  Sul controllo della filiera

Le risultanze dell’attività istruttoria sopra ricostruita con riguardo ai numerosi contatti promozionali lamentati che, anche in considerazione della numerosità delle segnalazioni, appaiono assistiti da ragionevole presunzione di fondatezza, sono riconducibili ad una comune condotta, l’effettuazione di contatti promozionali nell’interesse di Wind Tre, per la quale la Società non è stata in grado di fornire una base giuridica e si è limitata a disconoscere la paternità di tali contatti. Peraltro, nel caso di sms, fax e chiamate automatizzate, l’indicazione testuale del contenuto comprova che l’attività promozionale è stata svolta senza dubbio a vantaggio di Wind Tre pur con modalità che la Società stessa afferma di non aver autorizzato: ne consegue che un’attività promozionale è stata di fatto svolta a vantaggio della Wind Tre ma, non essendo da questa riconosciuta, risulta comunque posta in essere in assenza del necessario controllo della filiera.

Nonostante le assicurazioni fornite e tutti gli interventi correttivi posti in essere, permane una situazione in cui, a fronte della predisposizione di procedure in taluni casi anche formalmente corrette, si realizzano nella pratica condotte non conformi al dettato normativo, poste in essere da soggetti che, anche laddove rimangano sconosciuti a Wind Tre, operano nell’interesse di quest’ultima.

Si richiamano, a tal proposito, le considerazioni espresse in via generale dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257), in base al quale i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento. E tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente. Anche l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche”.

Peraltro, la Società, in diverse note di riscontro, ha rappresentato che i soggetti che effettuano per proprio conto un’attività promozionale sono stati nominati responsabili del trattamento e sono “sottoposti a vigilanza, tramite questionario, riportando un buon livello di conformità”. In merito all’idoneità di tale procedura di controllo mediante questionari si deve fare espresso riferimento al “procedimento B” che ha dimostrato l’inefficacia di strumenti basati in massima parte sullo scambio epistolare. Nel caso in questione, vi erano molti elementi che avrebbero dovuto indurre Wind Tre a effettuare controlli supplementari quali:

a. la provenienza delle attivazioni non soltanto dalla area operativa territoriale di Merlini s.r.l.;

b. le risposte ai questionari di verifica nelle quali si dava atto di attività svolte da soggetti esterni con l’utilizzo di liste non acquisite da Wind Tre e senza poter garantire il rispetto delle disposizioni in materia di privacy;

c. l’assenza di qualunque forma di comunicazione relativa all’operato di collaboratori esterni, anche a fronte di una rilevante attività contrattuale che ragionevolmente non poteva essere sostenuta da una società di modeste dimensioni.

A fronte di tali elementi, Wind Tre avrebbe dovuto svolgere controlli più stringenti, che avessero ad oggetto la rete dei procacciatori organizzata da Merlini s.r.l., che doveva essere correttamente inquadrata nell’ambito del trattamento dei dati personali, in base alle disposizioni sui responsabili e sub-responsabili previste dagli artt. 28 e 29 del Regolamento.

Quanto poi alle attività formative e di sensibilizzazione in ordine al complessivo mutamento del quadro giuridico in materia di protezione dei dati personali, le argomentazioni difensive sono risultate contraddette dalle dichiarazioni rese da Merlini s.r.l. che ha rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”.

Da ultimo, non può non evidenziarsi che, come confermato da Wind Tre in sede di audizione, la società, a seguito delle gravissime vicende relative alla Alessandro Corbelli Sunrise s.r.l.s., ha provveduto a indirizzare a Merlini s.r.l. un semplice richiamo per una più attenta applicazione delle norme e delle disposizioni previste nel contratto di agenzia, anziché intraprendere azioni di maggiore incisività.

Le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione degli artt. 24 e 25 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a vantaggio della Società.

Ciò premesso, pertanto, accertata l’illiceità della condotta sopra delineata, si ritiene

di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), anche in relazione alle risultanze del “procedimento B”, il trattamento dei dati personali dei soggetti per i quali non possa dimostrare di aver acquisito un idoneo consenso;

di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire un effettivo controllo della filiera del trattamento;

di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 del Regolamento.

4.3. Sull’informativa agli interessati

Come descritto al punto 2.2, le informative presenti sui siti web aziendali fornivano dati di contatto non univoci mentre, nella pratica, gli interessati hanno fatto maggiormente uso dei canali del servizio clienti, veicolati dalla stessa Società e indicati quale corretto canale anche in una delle risposte fornite al Garante. Tale approccio, confuso e pletorico, ha comportato alcune difficoltà e ritardi nel riscontro delle richieste degli interessati. A ciò si deve aggiungere la presenza di una procedura di identificazione dell’interessato che, come detto, si è mostrata sproporzionata con riguardo all’esercizio di revoca del consenso e di opposizione al trattamento.

Si dà atto, comunque, che la Società, con l’introduzione del brand unico, ha modificato le informazioni agli interessati unificandole in una sola informativa e identificando nel solo servizio clienti il punto di contatto con gli interessati. La stessa, inoltre, ha semplificato la procedura di identificazione e riscontro delle istanze.

Inoltre, come descritto al punto 2.3, è stato accertato che l’informativa predisposta dalla Società era priva della indicazione relativa ai termini di conservazione dei dati di traffico ed è stata correttamente integrata solo a seguito della ricezione della comunicazione di avvio del procedimento.

Deve pertanto rilevarsi comunque la violazione dell’art. 12, parr. 1 e 2 del Regolamento e dell’art. 123, comma 4 del Codice con riguardo alle informazioni pubblicate sul sito web prima dell’intervenuta modifica, nonché alle modalità, eccessivamente onerose, di esercizio dei diritti.

Accertata l’illiceità delle condotte sopra riassunte, tuttavia, preso atto degli interventi correttivi già posti in essere, su tale punto non si ritiene di dover ulteriormente intervenire.

Si rende invece necessario adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli art. 83, parr.4 e 5, del Regolamento e 166, comma 1 del Codice.

4.4. Sulla pubblicazione dei dati in elenco

Sulla base delle istanze pervenute al Garante e dei riscontri di volta in volta forniti da Wind Tre, si rileva che in alcuni casi i dati dei clienti sono risultati presenti negli elenchi telefonici nonostante la richiesta, a volte reiterata, di cancellazione.

Ciò sarebbe avvenuto, a detta della Società, per errore o per problemi di comunicazione con il richiedente. In tale contesto risulta anche inappropriato il suggerimento, rivolto da Wind Tre ad alcuni reclamanti, di fare richiesta direttamente al gestore degli elenchi dato che, come ormai noto, questi si limita a pubblicare quanto comunicato dagli operatori telefonici e non è in grado di soddisfare direttamente le richieste degli utenti. Sono, invece, gli operatori telefonici ad essere responsabili dell’aggiornamento dei dati contenuti nella base dati unica(1).

Pertanto, richiamando quanto esposto al punto 2.4, si deve riconoscere la mancata adozione di procedure idonee a consentire la rettifica e la cancellazione dei dati dagli elenchi telefonici pubblici, in violazione dell’art. 5, par. 1, lett. d) del Regolamento, nonché la pubblicazione di dati personali in assenza di consenso, in violazione dell’art. 6, par. 1, lett. a) del Regolamento.

Accertata quindi l’illiceità della condotta nei termini appena delineati, si ritiene:

di dover ingiungere a Wind Tre, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a risolvere i ripetuti disallineamenti dei sistemi;

di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, del Regolamento.

4.5. Sul rispetto dei principi di accountability e privacy by design

Oltre a quanto già in dettaglio contestato nei punti precedenti, occorre evidenziare, anche in via più generale, una condotta dimostratasi complessivamente elusiva dei principi di accountability e privacy by design, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Infatti, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” la Società disponeva di idonei strumenti e di sufficienti conoscenze, veicolate anche dalle consolidate pronunce del Garante (direttamente rivolte anche alla Wind Tre), per valutare i rischi connessi al trattamento e per predisporre, di conseguenza, procedure tecniche e organizzative adeguate.

Al contrario, le risultanze istruttorie hanno mostrato un quadro complessivamente inidoneo al soddisfacimento di tale requisito di adeguatezza, dal momento che più volte è stata rilevata la mancanza di idonee misure tecniche e organizzative, dovendosi in alcuni casi aggiungere l’aggravante della preordinazione della condotta (nei casi relativi alla raccolta del consenso tramite app e tramite sottoscrizione del contratto presso i dealer) e dovendo altresì rilevare come, in più occasioni, la Società non sia stata in grado di dimostrare la conformità alle norme dei trattamenti posti in essere e l’efficacia delle misure adottate, come invece prescritto dall’art. 5, par. 2 del Regolamento.

D’altro canto, nel dare atto delle misure correttive apportate, in parte già prima della notifica dell’avvio del procedimento da parte del Garante, si intravedono delle potenziali soluzioni per rafforzare le garanzie. Ci si riferisce in particolare alla centralizzazione dell’attività promozionale nel sistema di Campaign management o alla previsione del registro dei contatti da tenere – per il momento solo – a cura degli agenti del canale fisico. Tali misure, tuttavia, potranno sviluppare un potenziale, che al momento può definirsi embrionale, solo nel momento in cui saranno sostenute con maggiori conseguenze sul piano contrattuale per i responsabili che non si attengano scrupolosamente a tali istruzioni.

Ad esempio, il sistema centralizzato di Campaign management, già da tempo in uso presso la Società, non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la Società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico. Una così fervida attività promozionale non può essere semplicemente disconosciuta e rubricata come iniziativa autonoma di soggetti non autorizzati, dato che l’interesse ad agire non pare certo essere unicamente di questi ultimi. E tale interesse, evidentemente, non viene meno finché tale attività, seppur non autorizzata, viene comunque remunerata. Ma anche la previsione di un registro dei contatti, che per ora è rivolta solo agli agenti del canale fisico e non a tutti i partner, pur funzionale nel suo intento di risalire la filiera, pare tuttavia debole se lasciata interamente all’arbitraria compilazione dell’agente. Ciò anche tenuto conto che la Società non ha al momento prospettato conseguenze dirette in caso di contatto non documentato, riservandosi solo di avvalersi della clausola risolutiva posta nel contratto. In altre parole, nonostante le paventate (ma del tutto eventuali) conseguenze sul piano contrattuale, l’attivazione di un contratto è comunque sempre possibile e le condotte illecite non sono, di conseguenza, scoraggiate.

Anche la stessa possibilità di recepire immediatamente la revoca, al momento della chiamata, pur se apprezzabile nelle intenzioni, risulta di fatto poco proficua essendo affidata unicamente all’intervento dell’operatore di call center che effettua il contatto. Difatti, a fronte delle costanti doglianze che pervengono al Garante in merito al fastidio di ricevere continue chiamate promozionali e alle proteste più volte asseritamente mosse dai segnalanti già nei confronti del chiamante, la Società ha dichiarato che, nel primo semestre 2020, solo lo 0,3% delle persone contattate ha richiesto la revoca del consenso durante la telefonata (cfr. tabella allegata al verbale di audizione del 25 giugno 2020). Anche in questo caso, analogamente a quanto osservato per le procedure di attivazione dei contratti presso i dealer, a poco serve aver predisposto un sistema formalmente corretto se l’incaricato che deve utilizzarlo è incentivato ad acquisire (o a mantenere) i consensi.

Richiamando anche l’istruttoria condotta nel “procedimento B”, si ha evidenza del fatto che la Società aveva adottato misure di controllo sui fornitori ed aveva impostato misure di controllo (solo) sull’attività svolta dal partner direttamente contrattualizzato (Merlini S.r.l.). Tali misure tuttavia non hanno impedito a tale agente di avvalersi di altri soggetti che, con condotte illegittime, hanno procacciato contratti di cui ha beneficiato economicamente anche la stessa Wind Tre, nonostante l’asserita inconsapevolezza.

Peraltro, sempre nel richiamato “procedimento B”, è emerso che le misure formalmente previste, segnatamente il controllo dei fornitori tramite questionari, si erano poi dimostrate inutili dal momento che le risposte fornite dal partner, pur discutibili, non avevano dato luogo ad alcuna conseguenza e ad alcun controllo.

Difatti, accertate le violazioni e le criticità in tema di consenso e di corretta individuazione della catena di responsabilità nell’ambito del trattamento, emerge con chiarezza che il consolidarsi di tali anomale condotte è stato favorito:

a) dalla mancata predisposizione di procedure e controlli efficaci per garantire il rispetto, da parte del responsabile del trattamento Merlini s.r.l. e della società Alessandro Corbelli Sunrise s.r.l.s., dei principi indicati all’art. 5, par. 1, del Regolamento;

b) dalla mancata verifica che i dati confluiti nei propri database a seguito dell’attività promozionale svolta da Merlini s.r.l. e da Alessandro Corbelli Sunrise s.r.l.s., fossero stati acquisiti legittimamente;

c) dalla sottovalutazione della necessità di garantire la “filiera” del trattamento fin dalla fase di acquisizione dei dati personali per svolgere campagne di marketing. Tali circostanze fanno emergere una non compiuta assimilazione e applicazione, da parte di Wind Tre, del principio di privacy by design a garanzia dei diritti degli interessati.

Si ritiene, pertanto, che le misure descritte dalla Società debbano essere corredate di maggiore effettività sul piano pratico per potersi ritenere sufficienti ad arginare un fenomeno, quello relativo ai contatti promozionali, che genera costante e diffuso allarme sociale oltre a favorire, avvalendosi proprio della tolleranza degli operatori, condotte illegittime quali quella descritta nel caso Merlini.

Non può infatti non rilevarsi con forza che il mancato controllo della filiera coinvolge la Società in un “mercato dei dati personali”, già oggetto di specifica informativa del Garante alla Procura della Repubblica presso il Tribunale di Roma, in cui, accanto alla violazione delle disposizioni in materia di trattamento delle informazioni delle persone, emergono gravi profili di violazione di norme giuslavoristiche, tributarie e probabilmente di carattere penale, alimentando un “sottobosco” che in alcuni casi potrebbe anche costituire oggetto di attenzione da parte della criminalità.

Sulla base degli elementi sopra esposti, rilevata la violazione degli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento, si ritiene necessario:

ingiungere a Wind Tre ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare pratiche illegali e l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso;

adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste degli artt. 83, par. 4, lett. a) e 83, par. 5, del Regolamento.

Riguardo alle prescrizioni indicate nella presente sezione, si ricorda che in caso di inosservanza, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Con riguardo alle condotte ascrivibili a Merlini s.r.l. e ad Alessandro Corbelli Sunrise s.r.l.s., l’Autorità procederà con un autonomo procedimento prescrittivo e sanzionatorio.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

5.1. Modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali.

Le condotte accertate al punto 4.1 integrano le seguenti violazioni: art. 5, par. 1 e 2 del Regolamento; artt. 6, par. 1, lett. a) e 7 del Regolamento; artt. 24 e 25 del Regolamento; art. 130 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

5.2. Controllo della filiera

Le condotte accertate al punto 4.2 integrano la violazione dell’art. 24 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83 del Regolamento.

5.3. Informativa agli interessati.

Le condotte accertate al punto 4.3 integrano le seguenti violazioni: art. 12, parr. 1 e 2 del Regolamento e art. 123, comma 4 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 1, del Codice.

5.4. Pubblicazione dei dati in elenco.

Le condotte accertate al punto 4.4 integrano le seguenti violazioni: art. 5, par. 1, lett. d) del Regolamento e art. 6, par. 1, lett. a) del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento.

5.5. Rispetto dei principi di accountability e privacy by design.

Le condotte accertate al punto 4.5 integrano le seguenti violazioni: artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, par. 4, lett. a) e 83, par. 5, lett. a) del Regolamento.

5.6. Quantificazione della sanzione amministrativa pecuniaria.

Le violazioni riscontrate nei procedimenti sin qui descritti vanno valutate alla luce del fatto che la medesima Società, con riguardo solo al periodo successivo all’intervenuta fusione aziendale tra Wind S.p.A. e H3G S.p.A., è stata destinataria di un provvedimento inibitorio e prescrittivo con riguardo a tipologie di violazioni analoghe (cfr. provv. del 22 maggio 2018, doc web n. 8995285), cui ha fatto seguito un’ordinanza ingiunzione adottata con provv. del 29 novembre 2018 (doc web n.9079005). A seguito di tali provvedimenti la stessa ha implementato alcune misure correttive richiamate anche nella presente decisione.

Si è rilevata tuttavia la persistenza di numerose segnalazioni e reclami, pervenuti al Garante; ad esito dell’analisi della documentazione complessivamente acquisita in atti, in considerazione di tutti gli elementi emersi, questa Autorità – valutate anche le misure già implementate dalla Società – ritiene necessario un intervento ad ampio spettro (inibitorio, prescrittivo e sanzionatorio), al fine di garantire la conformità alla normativa vigente dei trattamenti oggetto del presente provvedimento.

Le sopra indicate violazioni accertate nei confronti di Wind Tre, infatti, rappresentano la riprova, da un lato, di scelte aziendali finalizzate a piegare le norme alle esigenze di mercato; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato una sensibile contrazione del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, come accennato, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

La Società ha sollevato un’eccezione in merito al numero dei casi segnalati al Garante che, a suo avviso, non si può considerare significativo a fronte di circa 32 milioni di utenze attivate ritenendo pertanto che la relativa portata debba essere ridimensionata e inquadrata in un fisiologico margine di errore.

A tale riguardo si deve tuttavia osservare che: a) per ragioni varie (carattere, disponibilità di tempo, strumenti, ecc.), notoriamente segnalazioni e reclami sono posti in essere da un numero significativamente assai ridotto di persone rispetto a coloro che ritengono di essere stati oggetto di un trattamento illecito; b) per evidenti ragioni di economicità procedimentale, diverse segnalazioni (dell’ordine di circa un centinaio) essendosi rivelate ripetitive o meno dettagliate, non sono state trasmesse dall’Autorità alla Società; c) anche successivamente alla formale contestazione delle violazioni sono continuate a pervenire analoghe doglianze da parte di diversi utenti.

Infine, al di là della quantificazione numerica, si è tenuto conto soprattutto delle rilevanze sul piano dei contenuti e degli effetti. Del resto, come visto, sono stati sufficienti due singoli casi (i citati XX e Merlini) per far emergere delle condotte che per caratteristiche, mancanza di controlli e di azioni repressive da parte della Società, si possono senz’altro ritenere avere una portata più generale.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al par. 4 del presente provvedimento, si ritiene di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice, e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Risultano infatti violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nel caso di specie, assumono rilevanza sotto i seguenti profili:

1. l’ampia portata dei trattamenti, riguardanti la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, anche non clienti, che sono stati destinatari di contatti promozionali indesiderati (art. 83, par. 2, lett. a, del Regolamento);

2. la gravità delle violazioni rilevate, in ragione:

a) dei contatti illegittimi effettuati nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, del diritto alla tranquillità individuale e del diritto alla riservatezza);

b) di procedure di raccolta dei dati, come quelle previste per le App MyWind e My3 o come quella riscontrata presso il dealer oggetto di attività ispettiva tali, di fatto, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e quindi anche da minare il fondamentale diritto all’autodeterminazione degli interessati;

c) delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato, anche considerata l’inadeguata gestione del diritto di opposizione;

d) della molteplicità e varietà delle condotte riferibili a Wind Tre in violazione di più disposizioni del Regolamento e del Codice;

e) delle riscontrate gravi carenze organizzative che hanno determinato:

– un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability;

– della violazione dei fondamentali principi di esattezza dei dati con riguardo alla pubblicazione di dati personali negli elenchi telefonici (art. 83, par. 2, lett. a, del Regolamento);

– la realizzazione di una filiera parallela di raccolta dei dati dei possibili clienti in spregio alla normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;

3. la durata significativa delle violazioni, iniziate perlomeno dal 25 maggio 2018, data della piena operatività del Regolamento e non ancora compiutamente disciplinate o tuttora oggetto delle doglianze che pervengono al Garante (art. 83, par. 2, lett. a, del Regolamento);

4. il carattere doloso delle seguenti condotte, con particolare riguardo alla loro ideazione e attuazione, in relazione ai seguenti profili: le scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette app e le modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione; le modalità di raccolta del consenso, non libero, mediante la sottoscrizione di pda presso i dealer (art. 83, par. 2, lett. b, del Regolamento);

5. il carattere gravemente negligente di altri trattamenti, come: la non adeguata attuazione dei fondamentali principi di privacy by design, di privacy by default e di accountability, comprovate dalle evidenti difficoltà nel comprovare la titolarità delle attività promozionali effettuate nel suo interesse; la mancata condivisione delle black list con i fornitori di servizi di marketing che operano quali autonomi titolari; la non adeguata attività di controllo dell’operato dei propri partner nonostante evidenti elementi di allarme (art. 83, par. 2, lett. b, del Regolamento);

6. l’esistenza di un precedente provvedimento – adottato da questa Autorità nei confronti di Wind Tre – inibitorio, prescrittivo e sanzionatorio, relativo a condotte pertinenti a quelle oggetto della presente decisione (art. 83, par. 2, lett. e, del Regolamento);

7. la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti dalle attività promozionali, tenuto conto anche che la scelta di avvalersi di un unico consenso per promozioni proprie e di terzi comporta, qualora si raggiunga il massimo numero di consensi, un rilevante beneficio in termini di offerta sul mercato di servizi di comunicazione commerciale (art. 83, par. 2, lett. k, del Regolamento);

8. quale parziale attenuante, l’adozione – ritenuta comunque insufficiente – di misure tecniche e organizzative per ricondurre il trattamento a maggior controllo da parte del titolare (art. 83, par. 2, lett. c, del Regolamento);

9. quale attenuante, parzialmente compromessa dalle risposte a suo tempo fornite in merito alle segnalate procedure di acquisizione per default di tutti i consensi possibili da parte dei dealer, la cooperazione fornita nell’ambito degli accertamenti in loco e nel corso successivo dell’istruttoria, pur dimostrando, nel complesso, evidenti difficoltà nel rendere conto all’Autorità delle effettive attività di trattamento svolte da terzi per proprio conto (art. 83, par. 2, lett. f, del Regolamento);

10. quale attenuante – nonostante l’invasività delle violazioni riscontrate – la tipologia di dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, ossia dati identificativi e di contatto (utenze telefoniche) degli interessati coinvolti nelle attività di marketing (art. 83, par. 2, lett. g, del Regolamento);

11. le condizioni economiche del contravventore, tenuto conto del valore della produzione con riferimento al bilancio d’esercizio per l’anno 2019 (art. 83, par. 2, lett. k, del Regolamento).

Peraltro, in applicazione dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), si rende ulteriormente necessario prendere in considerazione i seguenti ulteriori elementi:

– l’ampio margine temporale concesso a tutti gli operatori del settore al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; adeguamento che Wind non risulta aver ultimato in maniera idonea;

– che la citata attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing possono ragionevolmente far ritenere raggiunta da tutti gli operatori, una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate;

– la non adeguata dissuasività delle sanzioni sinora contestate a Wind Tre, tenuto conto anche del fatto che il fenomeno delle chiamate indesiderate nell’ambito del telemarketing è stato oggetto di costante e puntuale attenzione da parte del legislatore (v., da ultimo, l. n. 5/2018) e del Garante, nonché di doglianze da parte degli utenti;

– l’attuale persistenza di segnalazioni e reclami, pervenuti all’Autorità in tempi successivi alla data degli accertamenti effettuati presso la Società fino alla data odierna, analoghi a quelli oggetto del presente provvedimento.

Tuttavia, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati e tenuto in particolare conto – anche rispetto ad analoghe verifiche effettuate presso altri operatori – la gravità e gli effetti delle condotte riscontrate a seguito degli accertamenti ispettivi, a fronte della sanzione edittale massima (209.120.000,00 euro, pari al 4% del fatturato di Wind Tre SpA, ossia 5.228.000.000,00 euro) – debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma di euro 16.729.600, pari all’8% della suindicata sanzione edittale massima.

In tale quadro, si ritiene altresì – anche in considerazione dell’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; dell’elevato numero degli stessi, anche potenzialmente, coinvolti; dei disallineamenti rilevati nei sistemi informativi della Società; dell’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, della scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima – che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ritiene infine che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati da Wind Tre S.p.A., con sede legale in largo Metropolitana, 5, Rho (MI), C.F. 02517580920:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone l’immediato divieto di trattamento:

i) dei dati personali relativi ai soggetti per i quali risulta conferito un consenso tramite le app MyWind e My3;

ii) per finalità di marketing, dei dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società, entro 180 giorni dal ricevimento del presente ricevimento, di:

i) adottare idonee procedure per assicurare che i soggetti che abbiano manifestato un’opposizione al trattamento dei propri dati a Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

ii) adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso nonché al fine di essere in grado di documentare i contatti avvenuti;

iii) adottare misure correttive idonee a risolvere i disallineamenti dei sistemi al fine di scongiurare la pubblicazione non autorizzata di dati personali negli elenchi telefonici pubblici;

c) ai sensi dell’art. 157 del Codice, richiede a Wind Tre S.p.A. di comunicare, entro 30 giorni dalla ricezione del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto ivi prescritto e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Wind Tre S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Garante della Privacy: altre osservazioni sull’uso del registro elettronico

Reading Time: < 1 minute

“Con specifico riferimento ai minori, abbiamo posto all’attenzione del ministro dell’Istruzione l’esigenza di una svolta nel ricorso alle piattaforme in generale. Dicendo che intanto forse è più prudente utilizzare il registro elettronico, che pure non è privo di problemi: fra il registro elettronico e la piattaforma di una multinazionale di cui non si sa nulla è meglio nel presente dare indicazioni perché le scuole ricorrano tutte le volte che è possibile al primo”

“è stata una questione che abbiamo avuto modo di  sollevare all’inizio di quest’anno proprio per la velocissima crescita esponenziale di adesioni in tutto il mondo e che vede come utenti in  larga prevalenza i minori nell’ordine di centinaia di milioni in  Europa, di miliardi nel mondo. L’idea che questa piattaforma non solo  per la sua proprietà in Cina, un Paese estraneo alle regole di tutela  dei dati personali vigenti in Europa, ma anche per la scarsa abitudine all’utilizzo a uno strumento così sofisticato, offre la possibilità di violazioni anche molto pesanti”.

“bisogna, ad ogni modo, accendere i riflettori tutte le volte che è  possibile su un mondo largamente inesplorato in cui c’è una certa  facilità nel ricorso all’utilizzo di un social che tende a diventare  consueto nella vita dei ragazzi con scarsa vigilanza”

“Per molto tempo, nessuno si è posto il problema di quale  fossero il rischi di una vita priva di filtri e protezione nella quale minori ma anche adulti si infilano con grande facilità. Nella  dimensione online dobbiamo far valere i diritti che  valgono offline: è il principio di fondo. E dentro questo principio dobbiamo costruire un sistema di regole e di filtri che consentano di  avere presidi virtuali”.

Registro elettronico: lettera del Presidente del Garante per la protezione dei dati personali, Antonello Soro, al Ministro dell’istruzione, Lucia Azzolina

Reading Time: 2 minutes

Illustre Signora Ministro,
On. Lucia Azzolina
Ministro dell’istruzione

Illustre Signora Ministro,

Le scrivo in relazione a una questione, quale quella della disciplina dell’utilizzo del registro elettronico, di notevole rilevanza per la gestione “ordinaria” dell’attività scolastica, ma ancor più determinante nel contesto emergenziale che stiamo vivendo.

Il registro elettronico costituisce, infatti, un prezioso strumento di comunicazione tra i docenti e le famiglie, tanto più nel momento attuale, caratterizzato dalla sostituzione dell’attività didattica “in presenza” con quella “a distanza”, che necessita, come tale, di una più stretta interazione tra insegnanti, studenti e loro genitori, alla quale il registro on-line è sicuramente funzionale. L’inclusione, nel registro, di un novero assai rilevante – in termini quantitativi e qualitativi – di dati personali, anche di minorenni, esige tuttavia l’adozione di tutte le cautele idonee a evitare o, quantomeno, minimizzare, i rischi di esfiltrazione, trattamento illecito, anche solo alterazione dei dati stessi.

A tal fine, sarebbe anzitutto necessario provvedere al perfezionamento della disciplina di settore, adottando segnatamente il “Piano per la dematerializzazione delle procedure amministrative in materia di istruzione, università e ricerca e dei rapporti con le comunità dei docenti, del personale, studenti e famiglie”, che avrebbe dovuto essere predisposto entro sessanta giorni dalla data di entrata in vigore della legge n. 135 del 2012, alla quale si deve l’introduzione di tali forme innovative di rendicontazione dell’attività didattica e di comunicazione tra scuole e famiglie.

In assenza di direttive specifiche, gli istituti scolastici hanno sinora provveduto ricorrendo a soluzioni tecnologiche, offerte da vari fornitori, non sempre caratterizzate da garanzie adeguate in termini di protezione dei dati personali e talora notevolmente vulnerabili.

La crescente rilevanza assunta, nell’attuale fase emergenziale, dagli strumenti volti a consentire lo svolgimento dell’attività didattica a distanza impone, tuttavia, di riservare maggiore attenzione alle questioni inerenti la sicurezza e la protezione dei dati personali affidati a tali piattaforme. Pertanto – come già rappresentato nell’ambito del provvedimento del 26 marzo sulla didattica a distanza – tra i criteri da seguire nella scelta degli strumenti tecnologici mediante cui svolgere l’attività formativa da remoto, devono assumersi anche quelli inerenti le garanzie offerte in termini di protezione dati.

In questo senso, il registro elettronico – fornito da soggetti già designati responsabili del trattamento – potrebbe rappresentare lo strumento elettivo mediante cui realizzare (almeno) una parte significativa dell’attività didattica, riducendo proporzionalmente il ricorso a piattaforme altre, che oltretutto non sempre si limitano all’erogazione di servizi funzionali all’attività formativa.

Il Garante vigilerà – come annunciato nel citato provvedimento del 26 marzo – sulla legittimità del trattamento dei dati personali svolto mediante le varie piattaforme utilizzate per la didattica a distanza, ma al fine di elevare le garanzie di riservatezza accordate in tale contesto è determinante la funzione di orientamento che il Suo Dicastero può svolgere, rispetto alle scelte dei singoli istituti scolastici.

Prioritario, in tale contesto, appare dunque il completamento della disciplina dell’utilizzo del registro elettronico, di cui è auspicabile valorizzare la centralità nell’ambito degli strumenti volti a favorire la dematerializzazione di parte dell’attività didattica.

L’Autorità manifesta, sin d’ora, la piena disponibilità a ogni contributo ritenuto utile ai fini dell’adozione delle misure di garanzia dei dati personali trattati in quest’ambito.

RingraziandoLa per l’attenzione che vorrà riservare a questa mia nota, Le porgo i miei più cordiali saluti,

Il Presidente
Antonello Soro