Garante della Privacy: 600.000 euro di sanzione a Wind per telemarketing indesiderato

Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 29 novembre 2018

Registro dei provvedimenti
n. 493 del 29 novembre 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati; 

RILEVATO che l’Ufficio del Garante, con atto n. 21916/114323 del 20 luglio 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Wind Tre S.p.A, in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, le violazioni previste dagli artt. 23, 130, 162, comma 2-bis, 164-bis, comma 2, e 167 del Codice in materia di protezione dei dati personali (d. lg. 196/2003, di seguito denominato “Codice”) nella formulazione antecedente alle modifiche introdotte dal d. lg. 101/2018;

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

– il Garante ha adottato, in data 22 maggio 2018, il provvedimento n. 313 (in www.gpdp.it, doc. web n. 8995285), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di H3G S.p.A. e quindi, a seguito dell’intervenuta fusione di Wind Telecomunicazioni S.p.A. e H3G S.p.A. in Wind Tre S.p.A.;

– il procedimento ha tratto origine da numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale nell´interesse di H3G;

– l’istruttoria svolta dall’Ufficio anche mediante verifiche ispettive ha consentito di appurare che “anzitutto in relazione ai segnalanti, la Società abbia violato gli artt. 23 e 130 del Codice, essendo stati gli stessi contattati, direttamente o tramite la propria rete di vendita […], telefonicamente o via sms, nonostante si fossero opposti ai trattamenti per finalità commerciali […]. E tale illiceità, come già si è rappresentato, trova causa anzitutto nella menzionata assenza di idonee misure preventive apprestate dalla Società per escludere i contatti commerciali indesiderati (o quantomeno minimizzare il rischio del loro verificarsi), mediante opportuni incroci con proprie liste di esclusione nelle quali i segnalanti tutti avrebbero trovato collocazione […]. Deve peraltro rilevarsi che anche i controlli ex post che la Società è comunque tenuta a porre in essere ‒ come dichiarato, al tempo delle verifiche effettuati per lo più nella forma dell’invio di formulari ai partner […] o dei richiami generalizzati […] e finanche nelle comunicazioni individualizzate nelle quali la Società si limita a ricordare i vigenti obblighi di legge […] ‒ non si sono rivelati efficaci, atteso che non di rado più di uno dei segnalanti ha potuto lamentare reiterati contatti effettuati da utenze facenti capo ad un medesimo operatore, risultato partner della Società, senza che l’intervento di quest’ultima abbia sortito alcun effetto” e che “la Società consente l’accesso ai propri sistemi ‒ e quindi alla base dati di rilevanti dimensioni riferita agli utenti dei propri servizi di comunicazione elettronica, come risulta dalle dichiarazioni rese in atti […] ‒ ad una platea assai ampia di partner contrattuali […] senza aver provveduto a designare la parte assolutamente predominante degli stessi ‒ come si è visto, il 93% […] ‒ quali “responsabili del trattamento” ‒, qualificandoli anzi espressamente, nella documentazione in atti, quali “titolari del trattamento”. […] In considerazione dell’omessa designazione di tali soggetti quali “responsabili del trattamento”, deve ritenersi che nel caso di specie ricorrano gli estremi per una sistematica oltre che prolungata nel tempo comunicazione illecita dei dati riferiti alla clientela a terzi, i partner contrattuali per i quali non si è provveduto alla designazione quali “responsabili del trattamento”, che vanno ben al di là dei casi a campione individuati nel corso delle verifiche […], riguardando, come detto, il 93% degli operatori economici che vanno a comporre la rete commerciale della Società. In ragione dell’accesso accordato a tale classe di soggetti al sistema gestionale della Società in assenza di alcuna designazione degli stessi quali “responsabili del trattamento” e non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso informato degli interessati (artt. 13 e 23 del Codice) ‒ anche in ragione del fatto che tale tipologia di soggetti non è menzionata nell’informativa resa alla clientela: […] ‒, né risultando comprovato altro presupposto equipollente ai sensi dell’art. 24 del Codice, tale trattamento ‒ seriale e sistematico, anzitutto in relazione a quanti presso tali operatori hanno attivato un contratto o hanno richiesto assistenza ‒ deve pertanto ritenersi illecito”;

RILEVATO che con il citato atto del 20 luglio 2018 sono state contestate a Wind Tre S.p.A.:

a) la violazione delle disposizioni di cui agli artt. 23 e 130, comma 3, e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, con riferimento alla mancata acquisizione del consenso per l’effettuazione di chiamate promozionali;

b) la violazione delle disposizioni di cui agli artt. 23 e 167 del Codice, sanzionata dall’art. 162, comma 2-bis, in relazione alla mancata acquisizione del consenso per la comunicazione di dati a soggetti terzi (partner commerciali)

c) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte di cui sopra in relazione a banche dati di particolare dimensioni (la base di dati riferita al brand “Tre” è costituita da circa 10.000.000 di utenze facenti capo a circa 6.600.000 clienti oltre a circa ulteriori 3.000.000 di utenze relative a clienti cessati);

DATO ATTO che, per le violazione di cui ai punto a) e b), è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, effettuato l’11 settembre 2018; rilevato altresì che per la violazione di cui al punto c) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta;  

DATO ATTO che Wind Tre S.p.A. ha inviato, il 24 luglio 2018, una istanza di revisione in autotutela del provvedimento di contestazione di violazione amministrativa nella quale ha rappresentato che: 

– la società, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, aveva posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria;

– tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al Regolamento (UE) 2016/679 (General Data Protection Regulation, di seguito “GDPR”);

– per il comportamento proattivo della Società con riferimento al complessivo procedimento amministrativo instaurato nei suoi confronti dal Garante può giungersi all’archiviazione delle sanzioni ovvero alla riduzione sostanziale dell’importo delle medesime anche in relazione alla circostanza che il provvedimento legislativo di adeguamento delle disposizioni del GDPR prevede una modalità di estinzione dei procedimenti sanzionatori  mediante il pagamento di una somma in misura ridotta (pari a due quinti del minimo edittale), facoltà che appare equo estendere anche al caso in argomento;

RILEVATO che la richiesta di annullamento in autotutela della contestazione di violazione amministrativa non può trovare accoglimento poiché non si ravvisano nel predetto atto gli elementi di nullità indicati nell’art. 21-septies della legge n. 241/1990, tuttavia le argomentazioni in essa contenute possono essere prese in considerazione alla stregua di scritti difensivi prodotti dalla parte ai sensi dell’art. 18 della legge n. 689/1981. Tali argomentazioni non riguardano le condotte oggetto di contestazione ma i comportamenti successivi della Società, la quale, si evidenzia, avrebbe intrapreso, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, un percorso di eliminazione delle criticità riscontrate e di adeguamento alle novità introdotte dal GDPR, tale da consentire di valutare con favore, in termini di quantificazione della sanzione, l’azione svolta dalla società. Al riguardo, si rinvia ogni considerazione alla sezione della presente ordinanza-ingiunzione nella quale si prendono in esame gli elementi per giungere all’importo finale della sanzione. In questa sede deve confermarsi la responsabilità di Wind Tre S.p.A. in ordine alle violazioni contestate, non essendo stati portati all’attenzione del Garante elementi nuovi e idonei ad escluderla. Inoltre, per quanto riguarda l’applicabilità nel caso in argomento dell’istituto della definizione agevolata introdotto dall’art. 18 del d. lg. n. 101/2018, deve evidenziarsi che tale istituto, per espressa indicazione del legislatore, riguarda soltanto i procedimenti sanzionatori in essere (cioè avviati con contestazione di violazione amministrativa) e non definiti alla data di applicazione del GDPR (25 maggio 2018). Poiché, nel caso in argomento, l’instaurazione del procedimento sanzionatorio è avvenuta in epoca successiva (con la notifica in data 20 luglio 2018 dell’atto di contestazione di violazione amministrativa), tale procedimento risulta escluso dalla possibilità di definizione agevolata.

RILEVATO, quindi, che Wind Tre S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai punti a) e b) dell’atto di contestazione n. 21916/114323 del 20 luglio 2018, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui ai punti a) e b) in relazione a banche dati di particolare rilevanza e dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che punisce le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162,  comma  2, 162-bis  e  164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di rilevante gravità tenuto conto che, nel caso in argomento, sono stati impiegati differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Wind Tre S.p.A. abbia, prima ancora dell’adozione del provvedimento n. 313 del 22 maggio 2018, posto in essere autonome iniziative sul brand “Tre” al fine di eliminare le criticità riscontrate in sede istruttoria; tali iniziative sono state rafforzate a seguito dell’adozione del richiamato provvedimento e anche al fine di giungere ad una piena armonizzazione delle procedure in essere presso i brand oggetto di fusione nonché al necessario adeguamento dei trattamenti al GDPR;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione (l’ultima ordinanza-ingiunzione è stata adottata il 22 maggio 2018, in www.gpdp.it, doc. web n. 9018431);

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio ordinario d’esercizio per l’anno 2017 e i bilanci consolidati al 31 marzo 2018 e 30 giugno 2018; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 150.000 (centocinquantamila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare alla circostanza che Wind Tre S.p.A. è il primo operatore di telefonia mobile in Italia (con una customer base di 28.600.000 di sim card) e detiene anche una rilevante quota di mercato nel settore della telefonia fissa (2.700.000 linee), la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 150.000 a € 600.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Wind Tre S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Rho (MI), largo Metropolitana n. 5, C.F. 02517580920, di pagare la somma di euro 600.000 (seicentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 600.000,00 (seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 29 novembre 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia

40 Views

Commenti

commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.