Garante della Privacy – Ordinanza ingiunzione nei confronti di Wind Tre S.p.A. – 9 luglio 2020 – 16.729.600 euro a titolo di sanzione amministrativa

Reading Time: 61 minutes

Registro dei provvedimenti
n. 143 del 9 luglio 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i reclami e le segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di Wind Tre S.p.A. (di seguito indicata anche come: “Wind Tre” o “la Società”);

VISTI gli esiti degli accertamenti ispettivi condotti nei confronti di Wind Tre e di alcuni partner commerciali della stessa;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con una pluralità di segnalazioni e reclami sono stati portati all’attenzione dell’Autorità diversi trattamenti di dati personali posti in essere da Wind Tre, prevalentemente (ma non esclusivamente) riconducibili a condotte finalizzate all’attività promozionale.

Tenuto conto che la Società è stata già destinataria di un provvedimento inibitorio e prescrittivo per trattamenti analoghi effettuati in vigenza del precedente quadro normativo (cfr. provv. 22 maggio 2018, n. 313, in www.garanteprivacy.it, doc. web n. 8995285), l’istruttoria condotta ha preso in considerazione solo le istanze pervenute dopo il 25 maggio 2018, che sono state oggetto di istruttoria cumulativa ai sensi dell’art. 10, comma 4, del regolamento interno del Garante n. 1/2019 (doc. web n. 9107633). Tale prima attività istruttoria verrà indicata nel corso del presente provvedimento anche come “procedimento A”.

Con diverso procedimento (cfr. fascicoli 139150, 139507, 139505, 140416, 141133) sono stati poi presi in considerazione altri aspetti dell’attività del titolare connessi a segnalazioni pervenute all’Autorità che informavano di attività promozionali, poste in essere per esso dalla filiera di subagenti di un fornitore accreditato, contattando i clienti di un altro operatore telefonico i cui dati personali venivano acquisiti con modalità illegittime.

Questo secondo procedimento verrà indicato di seguito anche come “procedimento B”.

All’esito di dette attività sono emerse diverse violazioni delle norme in materia di protezione dei dati personali.

2. ESITI DELL’ISTRUTTORIA

Le istruttorie condotte hanno comportato l’esame di oltre 100 fascicoli, oltre allo svolgimento di accertamenti ispettivi presso la stessa Wind Tre, presso alcuni partner e presso un altro operatore telefonico. Si deve inoltre considerare l’attualità della condotta o, comunque, dei suoi effetti, date le istanze, di analogo contenuto, pervenute all’Autorità anche successivamente alla formale contestazione inviata alla Società in data 13 maggio 2020, da intendersi qui integralmente richiamata e alla quale si rimanda per ogni elemento di dettaglio.

2.1. Attività promozionale mediante sms, e-mail, fax, telefonate e chiamate automatizzate

Nel periodo preso in esame, come accennato, sono pervenuti al Garante numerosi reclami e segnalazioni relativi alla ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate. In molti casi è stata lamentata la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione.

In risposta a specifiche richieste di informazioni, la Società,

1. in alcuni casi, ha documentato l’acquisizione di uno specifico consenso mediante esibizione dei contratti (proposte di acquisto – pda) sottoscritti dagli interessati;

2. in altri ha documentato l’acquisizione di un consenso che, alla luce degli accertamenti condotti, si è rivelato inidoneo;

3. nei rimanenti casi non è stata in grado di documentare l’avvenuta acquisizione del consenso.

2.1.1. Contatti effettuati senza consenso

La Società, in alcuni riscontri forniti, ha dichiarato che il contatto è avvenuto per errore (cfr. fascicoli 128119, 127661, 130539, 123638,134545, 142932, 121112); in altri casi, che la revoca non era stata tempestivamente recepita per problemi legati alla gestione della corrispondenza o all’identificazione dell’interessato, di cui si dirà meglio in seguito (cfr. fascicoli 141011, 134392, 130266,130344, 145996, 124985, 134434, 133063, 133372, 134997, 128000, 128805, 130356, 129952, 127784).

2.1.2. Contatti effettuati sulla base di un consenso da ritenersi non idoneo

In altri casi, la Società ha risposto alle specifiche richieste di informazioni documentando l’acquisizione di un consenso che, alla luce delle valutazioni compiute, si è rivelato inidoneo.

2.1.2.1.  Consensi risalenti e non conformi al nuovo quadro normativo introdotto dal Regolamento

In particolare, in tre casi (cfr. fascicoli 133088, 134927, 131464), il consenso è stato documentato allegando i contratti sottoscritti dai clienti. Questi, tuttavia, risalenti agli anni 1998/99 non risultano più idonei rispetto al quadro normativo vigente in quanto non consentono di documentare una volontà libera, specifica e informata dell’interessato essendo previsto un solo consenso per finalità di trattamento diverse (attività promozionale del titolare, di terzi, valutazione della soddisfazione della clientela, tutela del credito); a tal proposito si richiamano gli artt. 4, punto 11, e 7 nonché il contenuto del considerando n. 171 del Regolamento in base al quale «qualora il trattamento si basi sul consenso a norma della direttiva 95/46/CE, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento, affinché il titolare del trattamento possa proseguire il trattamento in questione dopo la data di applicazione del presente regolamento». Pertanto, è onere del titolare valutare se i consensi già acquisiti siano da considerarsi ancora conformi alle norme vigenti; tra queste, si richiamano anche le modifiche normative intervenute successivamente al 1999 volte a disciplinare, con disposizioni di carattere speciale, il trattamento posto in essere nell’ambito dei servizi di comunicazione elettronica (art. 130 del Codice e disposizioni in materia di Registro delle opposizioni) da considerarsi ormai note a tutti gli operatori del settore, anche alla luce delle numerose pronunce del Garante.

2.1.2.2.  Consensi acquisiti direttamente dai partner commerciali

In un caso (cfr. fascicolo 130729), la ricezione di un sms indesiderato è stata giustificata sostenendo che l’invio risultava effettuato direttamente dalla XX Srl, senza utilizzare liste di Wind Tre, sulla base di un consenso autonomamente acquisito per la promozione di servizi di terzi (peraltro non esibito unitamente alla risposta).

A tale proposito si rileva che la Società, con allegato 1 alla nota del 15 luglio 2019, ha fornito la copia di una comunicazione inviata ai propri partner commerciali per richiamarli al rispetto della normativa vigente in materia di marketing. Tra le prescrizioni presenti in tale comunicazione si evidenzia quanto indicato al punto I) dove la Società richiede di “verificare che, nell’eventualità attuiate attività di promozione di nostre offerte, siano contattate solo le numerazioni consensate per i contatti commerciali delle quali Wind Tre è titolare oppure legittimamente acquisite da Voi in proprio e delle quali siete legittimamente titolari, analogamente consensate ai contatti commerciali e alla comunicazione a Società di telecomunicazioni”.

Da tale comunicazione e sulla base di quanto dichiarato in merito alla segnalazione relativa al fascicolo 130729, si evince che la Società prevede, tra le modalità di effettuazione delle campagne promozionali, anche la possibilità di affidare tale trattamento a terzi in qualità di autonomi titolari senza tuttavia garantire che tali contatti non pregiudichino la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali.

2.1.2.3. Consensi acquisiti mediante le app MyWind e My3.

In altri casi, la Società ha documentato il consenso fornendo la schermata del sistema informativo interno da cui risulta prestato un consenso tramite “canali interattivi” o “SelfcareAppAndroid”.

Dall’esame della documentazione allegata si evince che i consensi sono stati forniti dagli interessati accedendo alla propria area personale tramite l’app MyWind o My3.

In particolare, in tre casi (cfr. fascicoli 134496, 138094 e 140940) il consenso, originariamente non presente, risulta acquisito a seguito di una registrazione informatica descritta come “variazione”, che, secondo quanto successivamente illustrato dalla Società, indicherebbe il fatto che l’interessato stesso, operando direttamente tramite i canali Selfcare (di cui le app sono uno strumento) avrebbe richiesto una modifica dello status dei consensi, conferendoli ove non presenti. In due di essi (fascicoli 134496 e 138094) tale variazione risulta effettuata nel mese di dicembre 2018, data in cui è stata implementata una modifica dell’app. Inoltre, in due circostanze (fascicoli 138094 e 140940), tale variazione risulta contestualmente prestata per tutte le tipologie di trattamento elencate nella pagina iniziale dell’app (marketing, profilazione, arricchimento dati, geolocalizzazione, trasferimento a terzi). A tale ultimo riguardo uno dei reclamanti (cfr. fascicolo 138094), in replica al riscontro della Wind Tre, ha ribadito le proprie perplessità in merito ai consensi che risultavano conferiti, evidenziando di non avere idea, per alcuni trattamenti, neanche del significato di quanto riportato (ad esempio per l’”arricchimento dei dati”) e ha altresì  osservato che non avrebbe avuto motivo di fornire all’operatore tutti i consensi in un momento in cui, a causa dei numerosi disservizi, non era più soddisfatto del servizio fornito.

A tal proposito, si osserva che il funzionamento delle app MyWind e My3, preposte alla gestione del profilo utente connesso al servizio telefonico, è stato portato all’attenzione del Garante con una pluralità di altre segnalazioni e reclami (fascicoli 116325, 133895, 133630, 132819, 132840, 132535, 134089, 135405). Tutte le istanze ricevute hanno lamentato, in maniera analoga e con allegazione dei relativi screenshot, che le app in questione obbligavano l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione) salvo poi consentire di revocarli trascorse 24 ore.

Con nota del 17 aprile 2019 la Società, nel dichiarare di aver apportato nell’ultimo trimestre 2018 alcune modifiche alle app in questione, ha allegato le schermate di accesso di entrambe, analoghe a quelle già presentate dai segnalanti, dalle quali è emerso quanto segue:

– veniva enunciata la volontà del titolare di effettuare i cinque trattamenti descritti;

– vi si leggeva che “se preferisci puoi scegliere […] quali consensi prestare su Gestione consensi. Premendo Accetto consenti a Wind Tre di raccogliere e utilizzare le informazioni sopra elencate e da te personalizzate. Dichiaro inoltre di accettare i termini e condizioni e di aver preso visione dell’informativa privacy”;

– premendo il tasto “Annulla”, non era possibile utilizzare l’app perché, a detta della Società, non risultavano accettati termini e condizioni e non risultava la presa visione dell’informativa.

Wind Tre, al riguardo, ha affermato che non v’era alcun vincolo a fornire i consensi poiché questi erano previamente gestibili dal link “Gestioni consensi” presente nel corpo del testo e “probabilmente alcuni utenti possono aver frainteso i contenuti della pagina”. Infatti, andando in Gestione consensi si potevano scegliere le singole preferenze; poi “effettuata tale scelta, il cliente tornando alla pagina precedente e premendo accetta conferma la scelta sui consensi appena effettuata e al contempo accetta termini e condizioni”.

In tali casi, pertanto, si evidenzia come la procedura seguita fosse complessa, inadeguata all’utilizzo rapido, tipico di una applicazione per smartphone e, per tali ragioni, idonea ad ingenerare errori da parte dell’interessato con dirette ricadute sulla legittima espressione del consenso. La Società, in ogni caso, nonostante le segnalazioni di volta in volta ricevute, non ha ritenuto di dover intervenire tempestivamente nella configurazione descritta.

Allo stesso modo, occorre considerare, in via generale, che le app del tipo di My3 e MyWind assolvono alla essenziale funzione di consentire all’utente di monitorare i consumi e le soglie di utilizzo dei servizi e, quindi, di controllare la complessiva spesa telefonica. L’impossibilità di tenere sotto controllo le spese correnti può aver rappresentato un ulteriore elemento negativo per l’interessato, nella sua veste di consumatore.

Inoltre, con reclamo dell’8 gennaio 2020 (fascicolo 145970), è stata documentata la conversazione tenuta in chat con operatori del servizio clienti che confermano che “…i consensi sono revocati. se li hai trovati temporaneamente concessi potrebbe essere stato a causa dell’ultimo aggiornamento dell’area clienti perché, per poter accedere, ti viene prima richiesto di prestare i consensi e poi possono nuovamente essere revocati”.

Con nota del 17 febbraio 2020 la Società, nel ribadire che l’espressione di specifici consensi era sempre possibile attraverso il link “Gestione consensi”, ha aggiunto che, al fine di rendere più snello l’utilizzo dell’app, premendo il tasto “Accetta” il cliente poteva confermare contestualmente l’accettazione di termini e condizioni ma anche dei consensi facoltativi non precedentemente espressi, salvo poi la possibilità di modificarli successivamente. La stessa ha, inoltre, aggiunto che “il signor … ha più volte modificato la sua volontà prestando e revocando i consensi precedentemente rilasciati”.

Infine, con reclamo del 5 febbraio 2020 (fascicolo 146873) è stata lamentata ancora una volta l’impossibilità di utilizzare l’app senza necessariamente cliccare sul tasto “Accetta” e senza che si potessero chiaramente comprendere gli effetti di tale manifestazione di volontà. La reclamante ha documentato che, una volta indicato “Accetta”, i consensi presenti nell’area personale risultavano tutti conferiti. La stessa ha inoltre allegato uno scambio di corrispondenza con la casella privacy@h3g.it dalla quale è emerso che la Società ha fornito riscontro indicando, in un primo momento che “una volta effettuato l’accesso all’App potrà modificare i consensi alla sezione Strumenti – Impostazioni – Gestione Consensi”. Alle successive osservazioni contrariate della cliente, la Società ha risposto che “Al solo fine di agevolare e rendere più snello il primo accesso all’App My3 da parte dei nostri Clienti, abbiamo previsto, nel caso in cui il Cliente non voglia andare nella sezione dedicata Gestione Consensi per evitare un ulteriore passaggio, operazione questa comunque effettuabile in qualsiasi momento, di prevedere un tasto Accetto sia per le Condizioni del Servizio sia per i Consensi non precedentemente manifestati. L’Accetto riferito invece all’informativa privacy è da intendersi non come un vincolo dei consensi per usufruire delle funzionalità ma piuttosto quale presa visione delle modalità e finalità del trattamento”.

Tali giustificazioni fornite dalla Società non sono state ritenute accoglibili ed è stata pertanto formulata una specifica contestazione ai sensi dell’art. 166, par. 5 del Regolamento. In base a quanto affermato da Wind Tre, infatti, l’intento della richiesta sarebbe stato quello di far accettare le condizioni contrattuali e dimostrare la presa visione dell’informativa. A ciò evidentemente doveva però aggiungersi anche l’intenzione di acquisire consensi in precedenza non manifestati.

In base a quanto dichiarato, dunque, queste tre diverse manifestazioni di volontà (all’apertura dell’app, con una sola domanda, veniva chiesto: 1) di accettare le condizioni contrattuali; 2) di accettare l’informativa; 3) di fornire – o “convalidare” tutti i consensi richiesti) si sarebbero dovute esprimere con un’unica azione, consistente nella selezione del pulsante “Accetta”. Se anche si volesse ammettere un’utilità di tale tipo di procedura, si dovrebbe rilevare il mancato rispetto di quanto contenuto nell’art. 7, par. 2 del Regolamento nonché nei considerando 42 e 43 in merito alla consapevolezza del soggetto che esprime un consenso nel contesto di una dichiarazione scritta che contempli anche altre questioni.

Inoltre, la proposizione delle menzionate richieste appare anche priva di senso logico dal momento che non è dato comprendere per quale motivo queste venissero reiterate ad ogni accesso all’app. In tal senso, anche avendo voluto considerare la richiesta solo come una conferma di presa visione dell’informativa, essa appare del tutto pretestuosa in mancanza di modifiche dell’informativa stessa che ne rendessero necessaria la riproposizione. Analoga considerazione può essere fatta in merito alle condizioni contrattuali, che si suppongono rese note al momento della sottoscrizione del contratto di servizio (e non modificate ad ogni singolo accesso).

Le numerose segnalazioni pervenute (tutte di analogo contenuto) portano a ritenere che, dietro la mancanza di chiarezza, si celi dunque una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti, regola che non è stata modificata neanche dopo la ricezione delle numerose segnalazioni.

La previsione di una modalità di scelta (asseritamente preventiva) tramite il link “Gestione Consensi”, oltre a dimostrarsi difficilmente comprensibile, appare anche giuridicamente insufficiente a garantire l’espressione di un valido consenso dal momento che, in mancanza di specificazioni in tal senso, si sarebbe sempre potuta considerare superata dalla manifestazione di volontà successivamente espressa premendo il tasto “Accetta”. E, soprattutto, non appare giustificata nella sua reiterazione.

Del tutto insufficiente è da considerarsi, infine, il rimedio consistente nella possibilità di revocare (peraltro non prima di 24 ore) i consensi espressi involontariamente, dal momento che, come noto, l’espressione della volontà deve essere libera e preventiva. La stessa Wind Tre ha dato atto che, in diversi casi, i consensi risultavano prestati e poi revocati più volte. Rimanendo da sottolineare il rischio di utilizzo dei dati nel corso delle predette 24 ore.

Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte non posso considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Con la memoria difensiva del 15 giugno 2020 la Società ha dichiarato che, ad oggi, le due app sono state sostituite dall’unica app WINDTRE, che non richiede più di manifestare il consenso all’accesso.

2.1.2.4.  Consensi prestati con modalità non legittime (manifestazione del consenso non libera).

Come evidenziato al punto 2.1., in numerosi casi la Società ha documentato l’acquisizione del consenso fornendo copia dei contratti sottoscritti dai clienti (cd. pda).

Fatte salve le specifiche anomalie già indicate sopra, si vogliono ora esaminare le modalità generali di raccolta del consenso all’atto della sottoscrizione di un contratto per l’acquisto di una utenza mobile o fissa. Ciò in quanto più volte negli anni è stata portata all’attenzione del Garante, la difficoltà di esprimere un consenso libero e specifico per tutte le finalità del trattamento, nonostante le dichiarazioni della Società in merito alle istruzioni impartite in tal senso ai propri partner.

Da ultimo si richiama una segnalazione del 13 marzo 2020 (cfr. fascicolo 148352) con la quale, con note inviate anche a Wind Tre, è stata lamentata l’impossibilità di esprimere un consenso libero per finalità promozionali, sia preventivamente che successivamente alla sottoscrizione del contratto attivato presso un rivenditore.

Si richiama, inoltre, il reclamo (cfr. fascicolo 136370) con il quale è stato rappresentato, in maniera molto puntuale, che l’operatore addetto alla vendita ha predisposto un contratto con tutte le caselle relative ai consensi già preselezionate e, dopo qualche resistenza opposta alle richieste del cliente, ha modificato solo le selezioni a sistema senza ristampare il contratto. La Società, interpellata in merito, ha risposto con nota del 17 luglio 2019 rappresentando che la volontà del cliente è stata probabilmente equivocata dall’operatore. Sulla base di tali elementi, l’Ufficio aveva disposto la chiusura dell’istruttoria in data 20 novembre 2019. Tuttavia, alla luce di alcuni fatti sopravvenuti, che di seguito si illustrano, deve essere considerato nuovamente quanto emerso anche dalla descritta istruttoria valutando diversamente la buona fede delle dichiarazioni a suo tempo fornite dalla Società

Infatti, con un reclamo del 17 giugno 2019 (cfr. fascicolo 139604) è stato lamentato che, per l’attivazione di una nuova utenza presso un dealer, sarebbe stato da questi predisposto per la firma un contratto contenente i consensi già selezionati senza aver previamente richiesto al cliente di manifestare una volontà in tal senso; date le dimensioni dei caratteri con cui era scritto il testo relativo alla manifestazione dei consensi, non sarebbe stato possibile accorgersi immediatamente di quanto veniva presentato per la firma; per ottenere la stampa di un nuovo contratto senza i consensi selezionati sarebbero state opposte molte resistenze da parte dell’addetto alla vendita.

In questo caso l’Ufficio ha richiesto un accertamento ispettivo presso il rivenditore XX S.r.l. di Merano, dove era stata attivata l’utenza in questione e che operava in qualità di responsabile del trattamento di Wind Tre. L’attività ispettiva, delegata al Nucleo speciale privacy, è stata effettuata nei giorni 11 e 12 dicembre 2019 e ne è emerso quanto segue:

la registrazione dei consensi viene effettuata utilizzando l’applicativo di Wind Tre denominato “Wind Station”;

in merito alle effettive modalità di raccolta della volontà del cliente, l’operatore ha dichiarato a verbale che “seguendo le indicazioni del capo area signor …, nel corso di ogni attivazione di sim card, l’operatore di riferimento deve flaggare d’iniziativa tutti i consensi ivi previsti. Tale operazione tra l’altro è agevolata da un apposito pulsante presente all’interno del gestionale […]. Solo qualora, in occasione della sottoscrizione del modello cartaceo stampato dal sistema e sottoposto all’attenzione dell’interessato per l’accettazione di presa visione dell’informativa e rilascio dei consensi, quest’ultimo dovesse manifestare perplessità sui consensi presenti nel modello di riferimento, l’operatore provvede a modificarli secondo le indicazioni fornite direttamente dall’interessato”; ne consegue che l’operatore, di default, valorizza tutti i consensi e stampa il contratto, così predisposto, per la firma del cliente;

i verbalizzanti hanno acquisito la copia del contratto sottoscritto dal reclamante il 21 maggio 2019 nel quale è presente, sul lato destro in alto, un riquadro denominato “resta in contatto con Wind” contenente una dichiarazione di presa visione dell’informativa e autorizzazione al trattamento dei dati personali per finalità di marketing da parte di Wind Tre e dei propri partner; profilazione; geolocalizzazione; comunicazione a terzi e arricchimento dei dati. Le dimensioni e la spaziatura del testo contenuto in tale riquadro sono notevolmente inferiori a quelle dei caratteri che compongono l’annesso contratto tanto da risultare oggettivamente di difficile lettura sia per quanto riguarda l’intero testo sia, soprattutto, per quanto riguarda la visualizzazione di un eventuale flag nelle caselle relative ai singoli consensi;

l’operatore ascoltato al riguardo, ha dichiarato di aver ricevuto istruzioni verbali in merito alla prassi operativa sopra descritta per l’acquisizione dei consensi e, al fine di documentare quanto asserito, ha consegnato copia di due e-mail ricevute dal responsabile di Wind Tre: in una di esse, del 25 maggio 2019, è presente un grafico che descrive le percentuali di acquisizione dei consensi raggiunte dal dealer con un invito “ancora una volta di arrivare al 100% su tutto”; con la seconda e-mail, del 5 giugno 2019, il rappresentante commerciale di Wind Tre inviava al dealer un resoconto delle prestazioni effettuate ai fini della valutazione del fornitore; nel testo si legge “attenzione ai dati di qualità inseriti, in particolare i flag devono essere al 100% su tutto”; a tale mail viene allegata una tabella dalla quale si evince chiaramente che l’ottenimento di alte percentuali di flag sui consensi è annoverato fra gli indicatori di qualità;

infine, esaminando il contenuto del gestionale fornito da Wind Tre al rivenditore, è stato fatto accesso alla comunicazione pubblicata da Wind Tre il 22 marzo 2019 dal titolo “Nuovi consensi da POS NG”. Con tale avviso si informavano i partner della variazione effettuata sulla lista dei consensi a partire dal 25 marzo 2019 che riguardava, in particolare, l’accorpamento dei primi due consensi in un’unica manifestazione di volontà, presentata al sottoscrittore con il seguente testo: “Comunicazioni commerciali Wind: acconsento al trattamento dei miei dati personali per la ricezione, da parte di Wind, di comunicazioni inerenti offerte speciali, sconti e promozioni relative a prodotti e servizi Wind e di partner selezionati da Wind”; veniva così richiesto un unico consenso per ricevere comunicazioni promozionali sia di Wind Tre che di terzi. Inoltre, in caso di “modifica Offerta per i già clienti acquisiti prima del 9 gennaio 2017 sono visualizzati i soli 2 consensi old valorizzati come espressi in fase di attivazione e i nuovi 4 consensi non valorizzati (blank). È possibile modificare i primi 2 e acquisire i 4 nuovi consensi […] ma qualora il rivenditore provi nell’acquisire solo alcuni dei 4 nuovi consensi o modificarne uno dei 2 old, verrà visualizzato il warning bloccante, dove appunto verrà indicato di valorizzare tutti e 6 consensi. […]. Per i clienti acquisiti dal 9 gennaio 2017, da Modifica Offerta, risultano già valorizzati tutti e 6 i consensi con la possibilità di modificarli insieme alla variazione commerciale dell’offerta”.

2.1.2.5. Consensi di clienti di altro gestore acquisiti con modalità illegali

Vengono qui in riferimento gli esiti degli accertamenti del cd. “procedimento B” richiamato in premessa e svolti dopo che l’Autorità ha appreso, da una segnalazione, dell’esistenza in Roma di un call-center che avrebbe svolto attività di contatto di potenziale clientela e offerta di servizi telefonici per conto della Società, mediante acquisizione di dati di clienti di altro operatore telefonico con modalità non lecite e comunque fuori dalla cornice normativa delineata dal Regolamento e dal Codice.

L’Ufficio, effettuate le necessarie verifiche relative alle informazioni anagrafiche dei soggetti indicati nella segnalazione, delegava alla Guardia di finanza, Nucleo speciale tutela privacy e frodi tecnologiche, lo svolgimento di accertamenti ispettivi presso detto call-center.

L’accertamento ispettivo ha consentito di rilevare che le attività ivi svolte facevano capo alla Alessandro Corbelli Sunrise s.r.l.s. e, nonostante le stesse, in sede di accesso, fossero state presentate come attività di formazione per l’avviamento di futuri operatori di call-center, le risultanze degli accessi alle postazioni di lavoro hanno evidenziato che – proprio al momento dell’accertamento – erano in corso attività di contatti telefonici promozionali dei servizi della società Wind Tre.

I contatti telefonici dei potenziali clienti, indirizzati all’area business, prevedevano la fissazione di appuntamenti per la compilazione delle proposte di contratto, appuntamenti che venivano “caricati” nelle agende elettroniche delle persone che si sarebbero dovuto recare presso i clienti.

Nel call-center veniva rinvenuta ingente modulistica contrattuale di Wind, predisposta per la clientela business, e numerose sim-card a marchio Wind.

Le attività di contatto venivano svolte in sette postazioni di lavoro mediante l’utilizzo di personal computer e telefoni cellulari. Nella cronologia dei predetti telefoni è stata rinvenuta traccia di centinaia di telefonate effettuate nei tre giorni antecedenti l’intervento ispettivo. Dagli accessi ai computer in uso agli operatori è stato possibile acquisire numerosi file in formato excel contenenti elenchi costituiti da informazioni anagrafiche e di contatto telefonico di aziende e persone fisiche. Tutti gli operatori interpellati hanno dichiarato che tali file venivano quotidianamente caricati sul desktop dei pc da parte del referente e che gli stessi contenevano i nominativi e i numeri di telefono dei soggetti da contattare. Nel pc del referente e in un’altra postazione di lavoro venivano rinvenuti file excel contenenti dati personali (nome, cognome, ragione sociale, codice fiscale, numero di telefono fisso e numero di telefono mobile) di oltre 500.000 utenti. Venivano anche   rinvenute tracce informatiche di accessi tramite virtual machine al database di un’altra compagnia telefonica.

Con riferimento all’origine dei dati personali rinvenuti nelle diverse postazioni di lavoro del call-center, uno specifico accertamento ispettivo effettuato presso la sede dell’operatore telefonico da cui – secondo la segnalazione sopra richiamata – questi sarebbero stati trafugati, non consentiva di acquisire piena prova in tal senso, mentre il referente presente nel call-center al momento dell’accertamento dichiarava che “l’attività in una giornata tipo di questo call center prevede che io distribuisca agli operatori le liste di soggetti da contattare che sono presenti nel mio PC delle quali non so definirne l’origine […]; con riferimento alle SIM presenti nel call center e alla documentazione contrattuale e alle brochure rappresento che tutto questo materiale proviene da agenzie di Wind di cui io non conosco la denominazione e la ragione sociale e sono destinate, presumibilmente, agli agenti […] che però io non conosco personalmente”.

Tali dichiarazioni del referente, paradossali, inattendibili e rese in spregio ai doveri di collaborazione nei confronti dell’Autorità, non erano in grado di comprovare che l’acquisizione dei dati anagrafici dei potenziali clienti fosse avvenuta nel rispetto delle disposizioni del Regolamento e del Codice, con particolare riferimento alla disciplina del consenso, e, in ogni caso, evidenziavano che le attività di call-center si svolgevano al di fuori delle procedure implementate da Wind Tre per disciplinare le attività di telemarketing e teleselling. Inoltre, le modalità di contatto dei potenziali clienti avvenivano senza fornire la necessaria informativa prevista dall’art. 14 del Regolamento come evidenziato dall’assenza di informazioni sul trattamento dei dati personali nello script di chiamata acquisito durante l’accertamento, con ciò corroborando la considerazione che il consenso eventualmente raccolto non può comunque considerarsi valido per mancanza delle necessarie preventive informazioni.

In buona sostanza, l’attività del call-center si presentava come del tutto abusiva, in violazione non soltanto delle disposizioni in materia di protezione dei dati personali ma anche di quelle in ambito fiscale, tributario e lavorativo per le quali il nucleo privacy procedeva ad interessare le competenti articolazioni della Guardia di finanza. Risultava inoltre condotta da una società non presente nel Registro degli operatori di comunicazione, utilizzando numerazioni non censite nel medesimo registro, in un quadro estremamente preoccupante di disinteresse per i diritti degli interessati e per le necessarie garanzie di sicurezza che avrebbero dovuto presiedere ogni operazione di trattamento.

Nel corso dell’accertamento effettuato presso detto call-center venivano acquisiti riscontri documentali di un significativo legame operativo fra esso e l’agenzia Merlini s.r.l. che svolge attività di commercializzazione dei prodotti della società Wind Tre presso la propria sede operativa di Ponsacco (PI).

L’Ufficio delegava quindi alla Guardia di finanza l’effettuazione un accertamento ispettivo nei confronti della predetta agenzia, dal quale emergeva che Merlini s.r.l. opera esclusivamente per conto di Wind Tre, in forza di un contratto di agenzia che prevede anche la sua designazione quale responsabile del trattamento. Merlini s.r.l. svolge la sua attività per il tramite di collaboratori presenti sul territorio nazionale, denominati “procacciatori”. Fra i procacciatori che collaborano con tale società risultava anche la società Alessandro Corbelli Sunrise s.r.l.s. e, con riferimento ad essa, Merlini s.r.l. produceva alcune fatture, elenchi di contratti acquisiti ed e-mail contenenti copie dei documenti dei clienti.

Circa l’attività dei procacciatori, Merlini s.r.l. esibiva copia di alcune lettere d’incarico nelle quali è riportato testualmente: “la sua attività dovrà essere svolta in piena autonomia seguendo unicamente le indicazioni e disposizioni che le saranno impartite circa i nostri prodotti, le condizioni di vendita ed altre disposizioni commerciali. L’attività. potrà comunque essere svolta in collaborazione con addetti alla produzione e/o commercializzazione, con agenti propri”. Merlini s.r.l. dichiarava di non aver individuato i procacciatori quali responsabili del trattamento o autorizzati a svolgere operazioni di trattamento in quanto essi “operano autonomamente” e “ogni procacciatore è libero e, quindi, autonomo nella ricerca dei soggetti verso i quali indirizzare le proposte commerciali”.

Con nota del 25 ottobre 2019 l’Ufficio richiedeva a Merlini s.r.l. di esibire copia della lettera di incarico conferito alla società Alessandro Corbelli Sunrise s.r.l.s., e di ogni altro negozio giuridico stipulato con la medesima. Merlini s.r.l. forniva riscontro con e-mail del 4 novembre 2019, rappresentando “di non avere ulteriore documentazione ed in particolare copia di altri mandati. Come già esposto durante l’accertamento del 9 luglio, con molti collaboratori (tra cui Corbelli) sono ed erano in corso accordi verbali e il rapporto si è concretizzato con l’invio di proposte di contratto Wind da parte dei collaboratori e il puntuale pagamento degli affari procacciati da parte della nostra società” e aggiungendo altresì “che al momento di avviare nuove collaborazioni ai procacciatori il mandato scritto è l’ultima cosa che interessa […]”.

Con specifico riferimento alla vicenda di cui sopra, l’Ufficio delegava alla Guardia di finanza anche due accertamenti ispettivi che si svolgevano presso la sede di Wind Tre, in Roma.

Relativamente ai rapporti con Merlini s.r.l., Wind Tre produceva il contratto di agenzia stipulato fra le due aziende e un prospetto riepilogativo della documentazione acquisita e del processo svolto per affiliare gli agenti di vendita alla rete di Wind Tre. Tale processo di affiliazione prevede, fra l’altro, l’acquisizione di visure camerali, questionari di due diligence e scoping, documentazione bancaria, fiscale e curriculum dei rappresentanti legali.

Fra la documentazione, veniva esibito un questionario sottoposto all’agente di vendita in ordine agli adempimenti in materia di protezione dei dati personali. Fra le risposte fornite da Merlini s.r.l., emergevano numerosi elementi idonei a ingenerare dubbi in ordine al corretto trattamento dei dati personali e alla efficace gestione dei collaboratori. Ad esempio:

– alla domanda (presente nella sezione 6 “Composizione liste contatti commerciali” del questionario) “il partner acquisisce le liste di soggetti da contattare telefonicamente attraverso canali differenti da Wind Tre?”, Merlini s.r.l. rispondeva affermativamente senza indicare i canali di acquisizione delle predette liste;

– alla domanda “il partner garantisce il corretto utilizzo delle liste di contatti nell’ambito della loro validità temporale preventivamente comunicata da Wind Tre e le cancella, decorso il termine, da qualsiasi sistema/supporto di memoria?”, Merlini s.r.l. rispondeva negativamente;

– a tutte le domande relative agli “obblighi relativi al trattamento dati per chiamate commerciali” e al “codice di condotta per attività di telemarketing” Merlini s.r.l. rispondeva che esse non erano conferenti rispetto alla propria attività, nonostante le stesse riguardassero le regole deontologiche e le istruzioni operative presenti nelle sezioni I e L del contratto di agenzia sottoscritto dalla stessa Merlini s.r.l.

Nessuna verifica risulta essere stata posta in essere da Wind Tre, alla luce dei riscontri forniti da Merlini s.r.l., in ordine alla rete dei collaboratori di quest’ultima società e, in particolare, se tali collaboratori fossero stati individuati sulla base dei medesimi requisiti richiesti da Wind Tre, nonché avviati alle attività promozionali sulla base delle stesse modalità operative individuate nel contratto di agenzia stipulato tra Wind Tre e Merlini s.r.l..

2.1.3. Contatti effettuati senza che sia stata documentata l’acquisizione di un idoneo consenso

La Società, in diverse circostanze, non è stata in grado di documentare l’avvenuta acquisizione del consenso, affermando, a seconda dei casi:

a) che le numerazioni chiamanti indicate dai segnalanti non risultavano riconducibili a quelle in possesso dei partner o,

b) che l’utenza chiamata non risultava presente nelle liste da contattare per finalità promozionali (cfr. fascicoli 128220, 127687, 132667, 132114, 131606, 131684, 135017, 136153, 136903, 137035, 136371, 136650, 137157, 137392, 137186, 138316, 138667, 139253, 140782, 139839, 140716, 140463, 140391, 142109, 144236, 146789) ovvero ancora,

c) che le modalità utilizzate per effettuare la campagna promozionale non erano riconosciute come rispondenti alle policy di comunicazione aziendali (cfr. fascicoli 134997, 130266, 145996, 123638, 130729, 113495, 133984, 134569, 132667, 133372, 134927, 132256, 132114, 131606, 131897, 131464, 135017, 136903, 136945, 137003, 137392, 139253, 140782, 139839, 140343, 140391, 144236, 146789);

ovvero:

d) non fornendo alcun elemento (informativo o documentale) atto a comprovare il possesso di un idoneo consenso limitandosi ad assicurare di aver inserito la numerazione dell’interessato in black list (cfr. fascicoli 134569, 132256,133372, 131897, 136945, 137035, 139126, 142352, 139839);

e) documentando il consenso mediante allegazione di copie di contratti illeggibili o comprovanti unicamente le volontà contrattuali e non anche le scelte in merito ai dati personali (cfr. fascicoli 128208, 130787, 113495, 131896).

2.2. Modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati

In molti casi è stato lamentato il mancato riscontro alle richieste di esercizio dei diritti avanzate dagli interessati, anche in maniera reiterata, con particolare riguardo all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca.

La Società, con le note inviate in risposta alle diverse richieste di informazioni formulate dall’Autorità, ha rappresentato che alcune istanze non sono state riscontrate o non sono state tempestivamente riscontrate perché:

a) pervenute ad un indirizzo non preposto alla gestione di tale tipologia di richieste (cfr. fascicoli 130344, 133911, 142614, 145996, 124985, 134434, 133063, 133372, 137580);

b) in ottemperanza ad una procedura aziendale, poi superata, veniva richiesto di identificarsi mediante l’invio di un documento (cfr. fascicoli n, 130344, 128000, 128805, 130356, 129952, 127784, 128208);

c) si sono registrati errori o problemi di ricezione della posta cartacea o elettronica (cfr. fascicoli n. 141011, 134392, 130266, 130539).

2.2.1. Istanze pervenute a recapiti non corretti

Con riguardo a quanto rappresentato al punto a), in particolare, la Società ha fatto presente che le comunicazioni che non hanno avuto un adeguato riscontro sono pervenute ad indirizzi mail o pec non presidiati da personale idoneo a gestire istanze relative alla protezione dei dati personali. La stessa ha, altresì, evidenziato che in una struttura complessa, quale è quella di Wind Tre, non è possibile assicurare la corretta gestione delle richieste se non pervengono ai corretti recapiti, come indicato nelle informative presenti sui siti web dei brand Wind e Tre.

L’ufficio ha pertanto verificato, in data 26 febbraio 2020, la pubblicazione di detti recapiti sui siti web della Società, riscontrando quanto segue:

a) relativamente ai riferimenti per il brand Wind,

– nel sito www.wind.it al link “privacy” era presente un elenco di diverse informative seguite dalla “cookie policy” in calce alla quale è riportato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) o chiamando il 155”. Infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. Privacy CC Casella Postale 14155, Ufficio Postale Milano 65 20152 Milano (MI) e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

pertanto, per i clienti Wind veniva messo a disposizione unicamente il recapito fisico di una casella postale o, in alternativa, si invitava a chiamare il servizio clienti;

b) relativamente ai riferimenti per il brand Tre,

– nel sito www.tre.it al link “privacy” era presente un elenco di diverse informative seguite da un documento denominato “Privacy policy” all’interno del quale era specificato che “Le eventuali istanze ai sensi degli artt. da 15 a 22 del Regolamento Europeo, dovranno essere indirizzate a Wind Tre S.p.A. – Rif. Privacy CC, Casella Postale 14155- Ufficio Postale Milano 65, 20152 Milano (MI)”;

– se invece si seguiva il link relativo alla “Nuova Informativa Privacy art. 13 e 14 del GDPR quale modifica delle informative già fornite ai sensi dell’art. 13 D.lgs. 196/03, c.d. Codice Privacy” veniva riportato che, per diverse finalità di trattamento, il consenso prestato “potrà essere revocato in qualsiasi momento, scrivendo a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it o chiamando il 133”;

– infine, nella medesima informativa, era indicato che le richieste relative all’esercizio dei diritti degli interessati “potranno essere indirizzate a Wind Tre Spa – Rif. CC Privacy – Via Alessandro Severo 246, 00145 Roma, oppure scrivendo all’indirizzo privacy@tre.it. e fornendo, in allegato alla richiesta, un documento di identità al fine di consentire a WIND TRE di verificare la provenienza della richiesta”;

Per i clienti Tre, dunque, veniva messo a disposizione un recapito fisico che faceva riferimento prima ad una casella postale e, successivamente, all’indirizzo Via Alessandro Severo 246, Roma, senza chiarire quale fosse il corretto recapito da utilizzare; inoltre, veniva fornito un indirizzo di posta elettronica ordinaria o, in alternativa, si invitava a chiamare il servizio clienti.

Occorre, tuttavia, notare che le numerose istanze pervenute hanno lamentato tutte, in maniera analoga, il mancato riscontro a richieste inviate quasi sempre ai medesimi indirizzi: windtrespa@pec.windtre.it, servizioclienti155@pec.windtre.it e windtreitaliaspa@pec.windtre.it.

L’utilizzo così ricorrente dei medesimi recapiti da parte di numerosi segnalanti, in luogo di quelli riportati nelle informative, può considerarsi indicativo del fatto che, innanzitutto, essi siano stati in qualche modo resi noti ai clienti (verosimilmente nella documentazione contrattuale o, come riferito in alcune segnalazioni, forniti telefonicamente dallo stesso servizio clienti). La stessa Wind Tre, con il riscontro fornito il 26 novembre 2019, nel contestare l’utilizzo di un indirizzo pec inesistente, ha affermato che “l’indirizzo corretto è servizioclienti155@pec.windtre.it così come riportato nelle Condizioni Generali di contratto”.

Inoltre, tenuto conto della tecnologia allo stato disponibile, non si può considerare sufficiente – e in tali termini è stato contestato alla Società – la predisposizione del solo canale fisico per l’invio delle istanze, obbligando gli interessati ad inviare una lettera o una raccomandata (eventualmente anche con ricevuta di ritorno, per avere conferma della ricezione), sopportandone i relativi costi.

L’alternativa del contatto telefonico con il servizio clienti o l’indirizzo di posta elettronica ordinaria (peraltro fornito solo per il brand Tre e non per Wind) non soddisfano le esigenze di chi voglia comprovare l’invio di un’istanza.

Si richiama, a tal proposito, quanto disposto dall’art. 12, par. 2 del Regolamento in base al quale il titolare del trattamento agevola l’esercizio dei diritti dell’interessato, nonché quanto previsto dall’art. 7, par. 3 in base al quale il consenso è revocato con la stessa facilità con cui è accordato.

Infine, pur ritenendo comprensibili le esigenze rappresentate dalla Società di far confluire verso un unico “canale” le richieste relative alla protezione dei dati personali, la numerosità delle doglianze pervenute ha reso evidente che i soggetti interessati non sempre sono in grado di ricondurre autonomamente le proprie istanze a problematiche connesse alla disciplina della protezione dati.

Come si evince dalle numerose segnalazioni rimesse a codesta Società, non solo l’utente medio ma anche diversi professionisti (ingegneri, avvocati, ecc.), si sono avvalsi dei recapiti pec sopra menzionati ritenendoli corretti e solo in pochissimi casi è stato utilizzato il contatto del dpo (per lo più dopo precedenti tentativi infruttuosi). Analogamente si richiamano le difficoltà rappresentate da quanti, pur non essendo mai stati clienti o non essendolo più, sono stati oggetto di campagne promozionali senza avere avuto, tuttavia, la possibilità di individuare un corretto recapito cui indirizzare il proprio diniego al trattamento (dato che anche in questi casi il primo tentativo è stato fatto utilizzando il canale del servizio clienti).

Ne consegue che il servizio clienti, che di fatto rappresenta un interlocutore primario per gli interessati, non è risultato sufficientemente istruito per la corretta gestione delle istanze pervenute (almeno ad un primo livello di ricezione e smistamento), con la conseguenza che numerose richieste sono rimaste inevase o sono state trattate impropriamente.

Si dà atto, tuttavia, di quanto comunicato dalla Società con nota del 6 marzo 2020 in merito alla predisposizione di una nuova informativa, introdotta a seguito dell’istituzione del brand unico Wind Tre, nella quale sono indicati, quali canali di comunicazione con il titolare, un indirizzo fisico, una pec e un numero telefonico. La stessa Wind Tre ha inteso evidenziare, nella propria memoria difensiva, che tale misura correttiva è stata posta in essere in data antecedente alla ricezione della comunicazione di avvio del procedimento da parte del Garante, ricevuta il 13 maggio 2020.

2.2.2. Istanze non corredate da documenti di riconoscimento.

La Società in altri casi, come sopra accennato, ha poi dichiarato di non aver prontamente riscontrato le richieste degli interessati perché non corredate del documento di identità. In particolare, nelle diverse note di risposta pervenute, la stessa ha più volte dichiarato che inizialmente le procedure aziendali prevedevano l’obbligo di presentazione del documento di identità. Successivamente, anche a seguito delle numerose segnalazioni inoltrate dal Garante, si è provveduto ad operare una semplificazione garantendo comunque la revoca del consenso per finalità di marketing anche in assenza del documento, purché la stessa provenisse da un indirizzo e-mail riconducibile al cliente, “demandando in un secondo momento l’identificazione dell’interessato”.

Nel quadro normativo vigente, l’identificazione dell’interessato che esercita i propri diritti si configura come presupposto necessario per il corretto riscontro delle richieste. È, infatti, di tutta evidenza che il titolare del trattamento, nel fornire risposta alle istanze degli interessati, debba garantirli da eventuali pregiudizi, compreso l’accesso a terzi non autorizzati. Pertanto, l’art. 12, par. 6 del Regolamento consente al titolare del trattamento di richiedere ulteriori informazioni che si rendano necessarie per confermare l’identità dell’interessato, ma solo qualora nutra ragionevoli dubbi circa l’identità di chi presenta la richiesta. Tale parametro della ragionevolezza è richiamato anche dal considerando 64 che suggerisce l’adozione di “misure ragionevoli” per verificare l’identità. Ciò al fine di evitare richieste sovrabbondanti volte a scoraggiare l’esercizio dei diritti ma anche al fine di evitare la raccolta e la conservazione di dati non necessari. L’individuazione di misure ragionevoli, pertanto, dovrebbe essere guidata dal rispetto dei principi di proporzionalità, necessità e adeguatezza.

Alla luce di tali principi, la ragionevolezza delle misure adottate, può essere valutata tenendo conto del contesto e dei potenziali rischi ma anche dell’utilità a conseguire lo scopo (di pervenire alla corretta identificazione).

Nel caso in questione, è possibile operare una diversa quantificazione del rischio connesso alla revoca del consenso per finalità commerciali rispetto a quello derivante dall’esercizio di altri diritti (come, ad esempio, rettifica, cancellazione, portabilità, accesso). Ciò innanzitutto in considerazione delle scarse conseguenze che la revoca del consenso per finalità commerciali può avere nella sfera giuridica dell’interessato rispetto a quelle, ben più pregiudizievoli, derivanti dall’esercizio di altri diritti, laddove fosse un terzo malintenzionato ad esercitarli. Inoltre, una richiesta di revoca del consenso o di opposizione per finalità di marketing può verosimilmente ritenersi riconducibile al soggetto che la propone, non potendo ipotizzarsi altri soggetti che potrebbero avere un interesse in tal senso (a differenza di quanto invece potrebbe accadere con l’esercizio di altri diritti).

Infine, le misure adottate devono, come detto, limitare l’acquisizione e la conservazione di dati non necessari. Tale eventualità potrebbe invece verificarsi nel caso di soggetti che, pur non essendo clienti di Wind Tre, ma essendo stati contattati (correttamente o meno) per una campagna di quest’ultima, vogliano presentare uno specifico diniego alla ricezione di messaggi promozionali: la richiesta rivolta anche a questi soggetti di fornire un documento di identità appare ancor più sproporzionata e può comportare l’acquisizione di dati personali che non sono già nella disponibilità del titolare e che dunque non sono necessari.

In conclusione, dalle risposte della Società è emerso un quadro incerto e contraddittorio nella descrizione delle misure tecniche e organizzative adottate per identificare gli interessati in maniera ragionevole, rappresentativo di una insufficiente valutazione dei differenti interessi in gioco.

L’iniziale richiesta di copia del documento di identità per tutti i soggetti, clienti e non clienti, e per qualsiasi tipologia di richiesta, secondo quanto dichiarato, è stata successivamente rivista prevedendo un immediato riscontro all’esercizio di revoca del consenso; non si comprende, tuttavia, quale sia la necessità, una volta accolta la richiesta dell’interessato, di richiedere comunque, ancorché in una fase successiva, l’invio del documento di identità.

2.2.3. Istanze non riscontrate per errori o problemi di ricezione della posta cartacea o elettronica

In un rimanente numero di casi Wind Tre ha giustificato il mancato riscontro alle istanze inviate dagli interessati prospettando la registrazione di episodi in cui la corrispondenza è risultata dispersa o non pervenuta ai corretti destinatari per errori o problemi di ricezione.

Tali eventi vanno valutati alla luce delle osservazioni sin qui fatte in merito all’idoneità delle misure organizzative adottate dalla Società.

2.3. Informazioni agli interessati

Richiamando quanto riportato al punto precedente, si rileva che, prima dell’intervento correttivo effettuato con l’introduzione del brand unico, le informative rese disponibili sui siti web di Wind e Tre indicavano dati di contatto non univoci e diversi dagli indirizzi del servizio clienti, pure comunicati dalla Società e utilizzati più frequentemente dagli interessati. Ciò ha comportato, a detta della Società, difficoltà e ritardi nella gestione delle istanze.

Con riguardo alla conformità alle disposizioni in materia di trasparenza, di cui all’art. 12 del Regolamento, si deve aggiungere anche quanto emerso dall’attività istruttoria avviata a seguito di un reclamo (cfr. fascicolo 143394) in merito all’esercizio del diritto di accesso ai dati di traffico conservati per finalità di controllo della fatturazione.

Con nota del 26 novembre 2019 la Società ha motivato il mancato riscontro alle richieste inoltrate dal reclamante rappresentando che le stesse erano state inviate ad indirizzi inesistenti e, pertanto, essendo ormai trascorsi più di sei mesi, l’accesso a tali dati non era più possibile. Prescindendo dal fatto specifico, verosimilmente originato dall’errore del cliente, deve tuttavia rilevarsi che, come contestato anche nello stesso reclamo, l’informativa resa agli interessati ai sensi dell’art. 13 del Regolamento non indicava il periodo di conservazione dei dati previsto dall’art. 123 del Codice. Ciò ha comportato, nel caso di specie, l’erroneo affidamento nel ben più ampio termine di conservazione dei dati indicato dalla Società per l’esecuzione del contratto (10 anni e sei mesi).

Si deve, infatti, considerare quanto prescritto dall’art. 123, comma 4 del Codice in merito all’obbligo del fornitore del servizio di includere, nelle informazioni rese ai sensi degli artt. 13 e 14 del Regolamento, anche le informazioni in merito alla conservazione dei dati di traffico.

In tale contesto, dunque, non si può semplicemente opporre all’utente la non conoscenza delle norme, dal momento che lo scopo della disposizione violata – l’art. 123, comma 4 – è proprio quello di bilanciare l’asimmetria informativa nei confronti degli utenti.

2.4. Pubblicazione e aggiornamento dei dati negli elenchi telefonici

Sono poi pervenuti all’Autorità numerosi reclami con i quali è stata lamentata la pubblicazione, mai autorizzata, di dati personali negli elenchi telefonici, nonché l’impossibilità di ottenerne da Wind Tre la cancellazione. In risposta a specifiche richieste di informazioni la Società ha fornito le seguenti motivazioni:

a) la pubblicazione è avvenuta per errore materiale o disallineamento (cfr. fascicoli 137276, 128170, 128336, 133645, 146363);

b) la richiesta di cancellazione non è stata tempestivamente accolta per difficoltà di comunicazione con il cliente (cfr. fascicoli 134918, 142978); in tale ultimo caso si richiama quanto già osservato in merito all’adeguatezza delle misure organizzative volte a garantire la comunicazione con gli interessati, cui questi ulteriori casi si aggiungono come esempio delle conseguenze pregiudizievoli.

Si evidenzia in particolare che, con nota del 28 novembre 2019, indirizzata al Garante e al reclamante, la Società ha dichiarato che l’utenza di quest’ultimo è stata pubblicata negli elenchi ad opera del precedente gestore di appartenenza “pertanto l’istanza di cancellazione doveva essere inoltrata alla Società Italia on Line S.p.A.”. In realtà, come noto ormai da tempo (cfr. provvedimenti del Garante del 15 luglio 2004, doc web 1032381 e del 1° aprile 2010, doc web 1711492 in materia di pubblicazione dei dati personali negli elenchi pubblici), il gestore telefonico di appartenenza, in quanto titolare del trattamento, è l’unico soggetto cui gli utenti devono indirizzare le richieste di modifica della pubblicazione dei dati in elenco. Appare pertanto incomprensibile il riferimento fatto da Wind Tre alla necessità rivolgersi direttamente alla Società Italia on Line. Allo stesso tempo si rileva che, nonostante le assicurazioni fornite dalla Società nella medesima nota di riscontro, alla data del 16 marzo 2020 i dati del reclamante risultavano ancora presenti nel sito www.paginebianche.it.

Con riguardo al reclamo di cui al fascicolo 146363, con il quale è stato lamentato anche il mancato riscontro alla richiesta di cancellazione dagli elenchi, si rappresenta che, con nota del 12 marzo 2020, la Società ha dichiarato che “il dipartimento competente della Scrivente gestisce prontamente l’istanza tentando di attivare il processo di cancellazione, che però non andava a buon fine”. Non è stato tuttavia specificato per quale motivo la cancellazione non aveva avuto esito positivo, né veniva documentato se, contrariamente a quanto lamentato nel reclamo, fosse stato dato il relativo riscontro alla richiesta inoltrata dal cliente. Anche in tale nota la Società ha dichiarato che l’utenza era stata inserita dal precedente gestore e che il reclamante avrebbe dovuto rivolgersi a Italia on Line.

3. LA DIFESA DEL TITOLARE

A seguito delle comunicazioni di avvio del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori inviate dall’Ufficio ai sensi dell’art. 166, comma 5, del Codice (nota del 13 maggio 2020 – procedimento A e nota del 19 dicembre 2019 -procedimento B), il cui  contenuto deve qui intendersi integralmente riportato, la Società, con memorie del 15 giugno 2020 (procedimento A) e del 3 febbraio 2020 (procedimento B), ha fornito le proprie osservazioni, integrate in sede di audizione il 25 giugno 2020 (procedimento A) e il 25 maggio 2020 (procedimento B), di cui sono stati redatti rispettivi processi verbali. Anche le considerazioni difensive, a garanzia della parte, devono darsi qui per integralmente riprodotte.

Oltre a quanto riportato in relazione ai singoli punti in contestazione, Wind Tre ha fornito i seguenti ulteriori specifici elementi a giustificazione delle proprie condotte.

3.1. Attività promozionale non autorizzata dagli interessati

Riguardo alle attività contestate al punto 2.1., Wind Tre, in particolare, richiamando anche gli interventi già posti in essere, ha dichiarato che tutti i partner e gli agenti sono stati nominati responsabili del trattamento. Agli stessi è stato imposto il rispetto delle istruzioni veicolate mediante comunicazioni sul portale dedicato e con specifica attività formativa. Inoltre, i contratti monomandatari di agenzia, consumer, microbusiness e business sono stati integrati con la recente introduzione di un “decalogo” di regole sulla tutela dei dati personali (il cui mancato rispetto può essere valutato come presupposto per la risoluzione contrattuale). Una di tali regole imposte ai partner riguarda l’obbligo di presentare la linea chiamante in chiaro e di comunicare a Wind Tre, seguendo un’apposita procedura, tutte le numerazioni utilizzate; tale dichiarazione è essenziale per assegnare al partner un codice nel sistema aziendale.

La Società ha poi ricordato l’utilizzo del sistema di Campaign Management, già in uso e più volte menzionato nelle risposte fornite alle richieste di informazioni dell’Autorità; tale sistema ha la funzione di centralizzare la realizzazione delle singole campagne promozionali veicolando ai partner le istruzioni iniziali e le liste dei nominativi da contattare e recependo in input le eventuali revoche del consenso raccolte nel corso delle chiamate effettuate. A tal proposito, Wind Tre ha chiarito che le liste sono fornite in via prevalente dal titolare, che si occupa anche delle verifiche presso il Registro delle opposizioni, ma è possibile che i partner facciano anche uso di liste proprie: in tale ultimo caso, è richiesta la previa autorizzazione di Wind Tre all’uso della lista.

Inoltre, sempre con riguardo alle misure adottate per garantire un maggior controllo della filiera, la Società ha aggiunto di aver “…richiesto ai partner del canale fisico che intendano utilizzare liste di contatti per attività di mera presa appuntamento, di dare apposita evidenza e richiedere una previa autorizzazione, che sarà comunque successiva ed eventuale rispetto alle verifiche a campione poste in essere da parte della Scrivente Società. È stato inoltre richiesto ai partner del canale fisico di tenere un registro di tutti gli eventuali contatti (sia quelli andati a buon fine che quelli non andati a buon fine) con indicazione della fonte del contatto ed evidenza della presenza del consenso. Detto registro, su richiesta, dovrà essere a disposizione della Scrivente Società, in qualità di titolare del trattamento e esibito in caso di richiesta dell’Autorità competente. È stato altresì istituito internamente un processo in base al quale a seguito di attivazione contratti (in modalità outbound, canale fisico) venga verificata da parte della scrivente società tutta la filiera che ha dato seguito all’attivazione compresa quindi l’origine del contatto effettuato”. Tale registro è compilabile dal 4 febbraio 2020.

Infine, Wind Tre ha adottato una procedura interna per formalizzare i controlli da effettuare a seguito della sottoscrizione di proposte di abbonamento da parte dei clienti: tra questi è prevista una sezione dedicata alla raccolta dei dati personali e dei consensi.

A fronte delle misure sopra descritte che, nelle intenzioni della Società, dovrebbero consentire di ricondurre ogni chiamata al partner che l’ha effettuata, la stessa ha comunque aggiunto che, non disponendo di altri mezzi di indagine, non è in grado di identificare soggetti che invece effettuino chiamate senza rispettare tali accorgimenti.

La Società ha inoltre aggiunto che, come già fatto presente in precedenti interlocuzioni col Garante, tutti gli agenti hanno ricevuto specifiche istruzioni e sono soggetti a controlli periodici, effettuati tramite risposta a questionari e, a campione, tramite verifiche in loco.

Al riguardo, si innestano le specifiche considerazioni difensive che la Società ha svolto in relazione al “procedimento B” (punto 2.1.2.5. precedente), relativamente al quale ha rappresentato che:

a) l’ambito delle attività della società Merlini s.r.l. per conto di Wind Tre non è il telemarketing o il teleselling ma è rappresentato dal c.d. “canale fisico”, che prevede la promozione di contratti di vendita dei servizi e dei prodotti di telecomunicazioni offerti da Wind Tre in una determinata area geografica, attraverso un colloquio diretto e quindi senza svolgimento di attività di vendita a distanza; la clientela a cui è dedicato tale canale è quella business, principalmente costituita da persone giuridiche, per le quali non dovrebbe trovare applicazione la disciplina normativa relativa alla protezione dei dati personali;

b) dal momento che l’attività svolta dalla Merlini Srl non avrebbe dovuto configurare attività di telemarketing finalizzato al teleselling, Wind Tre non ha mai fornito a Merlini s.r.l. liste di contatti di potenziali clienti, fatto salvo per i clienti e gli ex clienti che avevano fornito specifico consenso commerciale in fase di sottoscrizione del contratto e non lo avevano revocato, sui quali il Merlini doveva svolgere compiti di fidelizzazione; pertanto non può affermarsi che presso il call-center oggetto dell’ispezione fosse in corso un’attività promozionale dei servizi di telefonia della società Wind Tre;

c) Wind Tre ha provveduto in più occasioni a svolgere attività di formazione e sensibilizzazione in materia di protezione dei dati personali, sia con riferimento alla popolazione aziendale interna, sia con riferimento ai propri Partner ed Agenti; come risulta dall’ultima estrazione richiesta al dipartimento Risorse Umane, l’intervento formativo è stato completato da tutti gli Area Manager, i District Manager e Capi Canale abilitati al controllo delle Agenzie Business (tra le quali l’Agenzia gestita dal Sig. Merlini);

d) dal momento che il contratto concluso da Wind Tre con Merlini Srl non costituiva un contratto di agenzia diretto allo svolgimento di attività di telemarketing finalizzato al teleselling e, in ogni caso, avrebbe dovuto riguardare esclusivamente l’offerta di prodotti e servizi a persone giuridiche, la Società non ha avuto sospetti proprio perché, in base a quanto previsto dal contratto, non rilevavano né l’attività di teleselling né il trattamento di dati di persone fisiche.

Con specifico riguardo alla contestata inidoneità delle modalità di raccolta del consenso, formulata sulla base degli accertamenti condotti presso il partner XX (punto 2.1.2.4 precedente), la Società ha dichiarato che le condotte descritte non rientrano tra le procedure aziendali previste e non corrispondono alle istruzioni impartite ai propri dealer anche per mezzo degli Agenti di commercio competenti per territorio.

Pertanto “qualsiasi indicazione verbale o scritta da parte dell’Agente verso i punti vendita da questi gestiti e non esplicitamente riportati nelle procedure ufficiali, è da considerarsi un’iniziativa non riconducibile alla Scrivente Società”. La stessa ha inoltre aggiunto che i sistemi preposti alla stampa dei contratti hanno i consensi di default impostati a “blank” e che “in merito ai grafici inviati via mail dall’Agente al punto vendita si rileva che nulla dicono in merito alle procedure di acquisizione dei consensi, né appaiono contrari a tali procedure”. Inoltre, in merito all’accertata presenza di un unico consenso per la ricezione di messaggi promozionali di Wind Tre e di terzi, la Società ha chiarito che tale modalità di raccolta del consenso non comporta la comunicazione di dati a terzi ma offre all’interessato la possibilità di ricevere messaggi promozionali nei quali il contenuto veicolato può essere a beneficio di Wind Tre o di un terzo. Rimane pertanto unica la finalità del trattamento e cambia il contenuto dei messaggi che restano comunque veicolati da Wind Tre.

Con specifico riguardo alle contestate modalità di raccolta del consenso tramite le app MyWind e My3, (punto 2.1.2.3 precedente), la Società ha dichiarato di aver apportato delle modifiche alle stesse già in fase antecedente alla ricezione dell’avvio del procedimento da parte del Garante, provvedendo ad impostare la richiesta del consenso solo in fase di prima configurazione dell’app. Successivamente, in considerazione dell’intervenuta adozione del brand unico, le due app menzionate non sono più disponibili e sono state sostituite da un’unica app WINDTRE; questa non richiede più l’espressione dei consensi, neanche in fase di prima configurazione, ma si limita a riportare le volontà del cliente per come registrate e già presenti nei sistemi, consentendo comunque di modificarli dalla stessa app.

Più in generale, con riguardo all’entità delle violazioni accertate, la Società ha infine osservato che “considerando che le segnalazioni nel presente provvedimento sono circa 95 per gli anni 2018-2019, si evidenzia che le stesse rappresentano circa lo 0,026% delle gestioni totali effettuate dalla Scrivente Società” e pertanto i casi contestati, tenuto conto che la Società ha circa 32 milioni di clienti, possono ritenersi riconducibili ad un margine di errore fisiologico con esclusione di alcuni specifici casi che invece si ritengono riconducibili ad attività fraudolenta di terzi e sono già stati oggetto di apposite denunce presso l’Autorità giudiziaria.

3.2. Esercizio dei diritti da parte degli interessati

Con la nota del 15 giugno 2020 la Società ha fornito le proprie osservazioni anche in merito a quanto rappresentato al precedente punto 2.2. e, in particolare, alla disponibilità di idonei canali di contatto nonché alle procedure adottate per garantire l’esercizio dei diritti degli interessati.

La stessa ha preliminarmente ricordato che, con la nascita del brand unico, tutti i canali di contatto sono stati unificati e resi noti tramite la nuova informativa e mediante invio di comunicazioni individuali ai clienti; pertanto, ad oggi, è disponibile una casella postale, la pec del servizio clienti e il numero telefonico 159 (e per circa un anno saranno comunque mantenuti i precedenti canali di contatto).

Il servizio clienti è debitamente formato in materia di tutela dei dati personali, ma la Società ha assicurato che ogni richiesta pervenuta, anche ai canali non dedicati, viene gestita, pur dovendo evidenziare le difficoltà riscontrabili in una struttura complessa.

Con riguardo alle misure adottate per garantire l’esercizio dei diritti, la Società ha preliminarmente osservato che alcuni casi contestati dal Garante, che lamentavano la ricezione di contatti promozionali anche dopo la revoca del consenso, sono stati dovuti alle tempistiche di allineamento dei sistemi che, negli anni immediatamente successivi alla fusione aziendale, impiegavano un maggior tempo ad integrarsi. La Società ha comunque dichiarato che, ad oggi, “il consenso si aggiorna ogni 15 minuti e al più tardi in massimo 24 ore dall’inserimento sul sistema della revoca”.

Infine, rispetto alle procedure adottate per garantire l’esercizio del diritto di revoca, la Società ha ribadito che originariamente richiedeva di corredare necessariamente la richiesta con un documento di identità ma, già dai primi mesi del 2018, si è provveduto a semplificare tale procedura dando corso alla richiesta di revoca purché pervenuta da un indirizzo mail del cliente noto alla Società e rimandando la ricezione del documento anche ad un secondo momento.

La scelta di tale modalità traeva origine dal fatto che, per l’attivazione di ogni utenza, la Società era tenuta ad acquisire copia di un documento e pertanto riteneva coerente identificare gli interessati utilizzando lo stesso mezzo. Inoltre, la stessa ha aggiunto che la richiesta di identificazione a mezzo documento si era resa necessaria in passato a seguito di numerose richieste di revoca del consenso pervenute da parte di terzi in nome e per conto di diversi interessati.

Ad oggi, conferma comunque di aver modificato la procedura ammettendo la richiesta anche senza l’allegazione del documento purché proveniente da un indirizzo mail riconducibile al cliente.

3.3. Informazioni agli interessati

Con riferimento a quanto rappresentato al precedente punto 2.3., la Società, a seguito della contestazione ricevuta, ha assicurato di aver già provveduto ad integrare l’informativa con la specifica menzione richiesta dall’art. 123, comma 4, del Codice e ha comunque osservato che il dettaglio del traffico telefonico effettuato è comunque consultabile in autonomia attraverso l’app o l’Area Clienti.

3.4. Aggiornamento dei dati degli interessati negli elenchi telefonici

Infine, in merito a quanto contestato al precedente punto 2.4. la Società ha articolato la propria difesa rappresentando che i casi portati all’attenzione del Garante rappresentano singoli eventi per i quali il processo di cancellazione non era andato a buon fine.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui si risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

4.1. Sulle modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali

Le condotte descritte, con particolare riguardo alle impostazioni delle app e alle risultanze dell’accertamento condotto presso il dealer XX, hanno messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione rese invece più farraginose.

Se è pur vero che la Società ha dichiarato di aver posto in essere specifici interventi correttivi, della cui efficacia si dirà in seguito, la valutazione in merito alla illiceità delle condotte pregresse resta comunque imprescindibile, soprattutto con riguardo alla possibilità di continuare ad utilizzare tali dati per finalità promozionali.

Si deve inoltre tenere presente che, con specifico riguardo al caso XX, la Società non ha ritenuto di dover intervenire a livello di procedura ma si è limitata a disconoscere l’accaduto, qualificandolo come iniziativa autonoma dell’Agente, nei confronti del quale non risulta sia stata tuttavia posta in essere alcuna attività di “richiamo”.

Si osserva, inoltre, che nella stessa memoria difensiva, la Wind Tre ha descritto con dovizia di dettagli le numerose attività poste in essere per formare e controllare i soggetti incaricati di operare per suo conto, fino a dichiarare di non avere “motivi di porre in dubbio la legittimità delle attività svolte da Partner-Agenti stante gli strumenti di formazione, sensibilizzazione e controllo posti in essere”.

Pertanto, se le istruzioni date al dealer dall’agente di commercio sono frutto di un’autonoma iniziativa di quest’ultimo, ne consegue che le misure di formazione e controllo si sarebbero rivelate, in tal caso, del tutto infruttuose. Se, invece, più verosimilmente, si ammette che l’agente non avrebbe avuto alcun vantaggio personale a richiedere al dealer di raccogliere il massimo dei consensi, si deve ritenere che l’interesse ad incentivare tale pratica sia generalmente condiviso a livello aziendale. E tale interesse è facilmente individuabile nel beneficio economico conseguente alla veicolazione di campagne promozionali di terzi, resa possibile grazie alla richiesta, sopra descritta, di un unico consenso complessivo per le finalità promozionali. Ciò spiegherebbe anche le diverse doglianze pervenute nel tempo al Garante con le quali è stato rappresentato, in maniera analoga, che i contratti erano stati presentati per la firma con le caselle dei consensi già preselezionate opponendo resistenza alle richieste di modifica. Casi derubricati dalla Società come “equivoci”, che tuttavia hanno lasciato intatti gli interrogativi in merito alle motivazioni sottese al descritto comportamento dei diversi dealer e al relativo interesse personale a forzare le volontà dei clienti. Le istruttorie condotte in merito a tali doglianze, data la presenza di istruzioni e sistemi formalmente corretti, non avevano sinora consentito di accertare tali elementi. Nel caso in esame, infatti, sono emerse solo grazie all’acquisizione di documentazione generata dall’attività aziendale ma non oggetto di specifiche procedure.

Peraltro, contrariamente a quanto asserito da Wind Tre, i grafici allegati alle e-mail dell’agente sono estremamente esplicativi in merito al fatto che sia richiesto al dealer di ottenere il massimo dei consensi; questi, infatti, contengono inequivocabili riferimenti alle percentuali dei flag ottenuti sul trattamento dei dati personali, suddivisi in base al consenso espresso con il primo flag (finalità promozionali di Wind Tre e di terzi) e con tutti gli altri flag, e sono addirittura annoverati tra gli indicatori di qualità del dealer.

Ciò detto, è evidente come non sia di alcun rilievo sottolineare la correttezza delle istruzioni impartite e dell’impostazione dei sistemi, dal momento che la volontà dell’interessato risulta comunque facilmente aggirabile se il soggetto che deve raccoglierla è incentivato in tal senso.

A ciò si deve aggiungere che il modello di pda acquisito agli atti presentava un’impostazione del carattere di stampa di dimensioni così ridotte rispetto al resto del testo, tali da rendere molto difficile la verifica da parte dell’interessato dei consensi espressi. Su tale ultimo punto, Wind Tre non ha fornito specifiche osservazioni, ma ha allegato una copia del nuovo modello di pda (cfr. allegato 7 alla memoria del 15 giugno 2020) nel quale sono utilizzati caratteri di uguale dimensione per tutto il testo.

Anche le descritte istruttorie in merito al funzionamento delle app, hanno mostrato una condotta fortemente orientata ad aggirare la volontà degli utenti. Le numerose segnalazioni pervenute (tutte di analogo contenuto) fanno ritenere che, dietro la mancanza di chiarezza, si celasse una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti. Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità sopra descritte, prima delle intervenute modifiche, non possono considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati.

Inoltre, sempre con riguardo all’effettuazione di attività promozionale in assenza di consenso, si deve richiamare quanto descritto al punto 2.1. in merito all’affidamento a terzi che, utilizzando proprie liste, agiscono in qualità di titolari del trattamento. Pur se considerata attività residuale, la Società si è avvalsa di tali servizi senza tuttavia garantire che i contatti effettuati non pregiudicassero la volontà, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere contatti promozionali. L’acquisizione da parte del partner di un generico consenso per attività promozionale di terzi non può ritenersi, infatti, sufficiente ad eludere la volontà di non essere (più) contattati, specificamente manifestata nei confronti di Wind Tre. È pertanto onere di quest’ultima verificare che i soggetti che hanno revocato il consenso o hanno espresso uno specifico diniego non siano più oggetto di attività promozionale per conto di Wind Tre. Una prescrizione in tal senso era stata già impartita alla Società con il provvedimento del 22 maggio 2018, n. 313.

Allo stesso tempo si devono considerare le osservazioni fatte in merito alle modalità offerte per recepire l’opposizione o il diritto di revoca. Infatti, numerose istanze pervenute hanno lamentato la ricezione di contatti promozionali anche dopo aver espresso uno specifico diniego al trattamento e, dalle risultanze istruttorie, è emerso che le procedure adottate dalla Società non si sono rivelate idonee a recepire correttamente le richieste degli interessati o hanno inutilmente aggravato la presentazione delle richieste imponendo l’allegazione di un documento di identità.

A tale ultimo riguardo, ferma restando la necessità di adottare, all’occorrenza, misure per identificare gli interessati, si ribadisce quanto già osservato al punto 2.2.2 in merito al rispetto della proporzionalità di tali misure al diritto tutelato, potendo ritenersi sufficiente per l’esercizio della revoca del consenso anche solo l’invio di una mail da un indirizzo riconoscibile. Peraltro, la richiesta del documento d’identità risulta ultronea nel caso di soggetti che non abbiano in essere un rapporto contrattuale con la Società ma che, contattati per finalità promozionali, vogliano comunque opporre il proprio diniego.

Pertanto, le condotte descritte danno atto della mancanza di misure tecniche ed organizzative adeguate a consentire agli interessati di esercitare i propri diritti, in violazione dell’art. 24 del Regolamento, con la conseguenza di aggravare immotivatamente la revoca del consenso o l’opposizione al trattamento per finalità promozionali e, in molti casi, di vanificarne del tutto gli effetti.

Inoltre, la Società ha trattato i dati personali dei segnalanti in assenza di un idoneo consenso, in violazione dell’articolo 130 del Codice nonché degli artt. 6, par. 1, lett. a) e 7 del Regolamento. Tali trattamenti, sistematici e non occasionali, devono considerarsi anche potenzialmente effettuati nei confronti di un numero molto elevato di interessati (clienti e non clienti).

Allo stesso tempo, le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione dell’art. 24 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a suo vantaggio.

Inoltre, le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i dealer configurano una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’art. 5, par. 1, lett. a) del Regolamento, mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati. A tal proposito deve inoltre ritenersi violato anche l’art. 25, par. 1 del Regolamento, con riguardo alla definizione delle procedure imposte ai dealer, mediante meccanismi fortemente incentivanti, di acquisizione dei consensi. E, ancora, si deve valutare tale condotta, nonché l’intera modalità di gestione dei consensi, alla luce dell’ingente beneficio economico derivante alla Società dall’acquisizione del maggior numero di consensi per finalità promozionale dal momento che, avendo la stessa predisposto la casella con la richiesta di un unico consenso per sé e per terzi, ha tutto l’interesse ad ampliare il bacino di soggetti cui veicolare i messaggi promozionali.

Infine, con specifico riferimento agli esiti del “procedimento B”, deve considerarsi che l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso.

Sotto questo profilo, anche l’implementazione di rigorose procedure che governano le attività di telemarketing e di teleselling, non possono costituire un valido argine alle diffusissime pratiche di contatti indebiti degli utenti dei servizi di telefonia se ad esse non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni, da perfezionare solamente nel caso in cui sia comprovata la legittimità dei trattamenti, fin dal primo contatto.

Nel caso in argomento, anche le misure recentemente implementate, quali l’adozione del registro dei contatti, quando non consentono un collegamento automatico e selettivo fra attività di promozione delle offerte e procedure di attivazione dei servizi, non sono idonee ad impedire che da contatti operati mediante trattamenti di dati illeciti vengano poi perfezionati contratti e attivazioni, alimentando quel “sottobosco” di procacciatori abusivi che agiscono, come accertato, oltre che in spregio di rilevanti disposizioni in materia di lavoro e previdenziale, anche in violazione delle disposizioni in materia di protezione dei dati personali indicate negli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento e 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice. Di tali ultime violazioni deve rispondere anche il titolare del trattamento in ragione della debolezza delle procedure di controllo di cui sopra.

Peraltro, sempre con specifico riferimento al procedimento B, deve evidenziarsi che a nulla rileva la considerazione che i trattamenti di cui sopra fossero indirizzati all’area business e quindi, in massima parte, a persone giuridiche, posto che l’art. 130, commi 3 e 3-bis, del Codice estende anche a tali soggetti le disposizioni in materia di consenso e di opposizione al trattamento ivi previste per le persone fisiche.

Ciò premesso, accertata l’illiceità dei trattamenti nei termini sopra descritti, si ritiene:

• di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), il trattamento dei dati personali per finalità promozionali raccolti mediante le app MyWind e My3 prima delle intervenute modifiche, nonché dei dati personali dei soggetti di cui non si possa dimostrare l’acquisizione e la vigenza di un consenso conferito liberamente;

• di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare, salvi i correttivi già introdotti, idonee procedure per verificare la correttezza delle procedure di acquisizione dei consensi da parte della propria rete di vendita e che i soggetti che abbiano già manifestato opposizione al trattamento nei confronti di Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

• di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

4.2.  Sul controllo della filiera

Le risultanze dell’attività istruttoria sopra ricostruita con riguardo ai numerosi contatti promozionali lamentati che, anche in considerazione della numerosità delle segnalazioni, appaiono assistiti da ragionevole presunzione di fondatezza, sono riconducibili ad una comune condotta, l’effettuazione di contatti promozionali nell’interesse di Wind Tre, per la quale la Società non è stata in grado di fornire una base giuridica e si è limitata a disconoscere la paternità di tali contatti. Peraltro, nel caso di sms, fax e chiamate automatizzate, l’indicazione testuale del contenuto comprova che l’attività promozionale è stata svolta senza dubbio a vantaggio di Wind Tre pur con modalità che la Società stessa afferma di non aver autorizzato: ne consegue che un’attività promozionale è stata di fatto svolta a vantaggio della Wind Tre ma, non essendo da questa riconosciuta, risulta comunque posta in essere in assenza del necessario controllo della filiera.

Nonostante le assicurazioni fornite e tutti gli interventi correttivi posti in essere, permane una situazione in cui, a fronte della predisposizione di procedure in taluni casi anche formalmente corrette, si realizzano nella pratica condotte non conformi al dettato normativo, poste in essere da soggetti che, anche laddove rimangano sconosciuti a Wind Tre, operano nell’interesse di quest’ultima.

Si richiamano, a tal proposito, le considerazioni espresse in via generale dal Garante con il provvedimento del 15 giugno 2011 (in www.garanteprivacy.it, doc. web n. 1821257), in base al quale i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento. E tale qualificazione in ordine ai rapporti giuridici fra le parti si può ritenere esistente anche nel caso in cui il soggetto che materialmente effettua il contatto, pur rimanendo ignoto al titolare del trattamento, realizza di fatto un rapporto contrattuale analogo a quello in essere con i partner contrattualizzati direttamente. Anche l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l’effettuazione delle chiamate telefoniche”.

Peraltro, la Società, in diverse note di riscontro, ha rappresentato che i soggetti che effettuano per proprio conto un’attività promozionale sono stati nominati responsabili del trattamento e sono “sottoposti a vigilanza, tramite questionario, riportando un buon livello di conformità”. In merito all’idoneità di tale procedura di controllo mediante questionari si deve fare espresso riferimento al “procedimento B” che ha dimostrato l’inefficacia di strumenti basati in massima parte sullo scambio epistolare. Nel caso in questione, vi erano molti elementi che avrebbero dovuto indurre Wind Tre a effettuare controlli supplementari quali:

a. la provenienza delle attivazioni non soltanto dalla area operativa territoriale di Merlini s.r.l.;

b. le risposte ai questionari di verifica nelle quali si dava atto di attività svolte da soggetti esterni con l’utilizzo di liste non acquisite da Wind Tre e senza poter garantire il rispetto delle disposizioni in materia di privacy;

c. l’assenza di qualunque forma di comunicazione relativa all’operato di collaboratori esterni, anche a fronte di una rilevante attività contrattuale che ragionevolmente non poteva essere sostenuta da una società di modeste dimensioni.

A fronte di tali elementi, Wind Tre avrebbe dovuto svolgere controlli più stringenti, che avessero ad oggetto la rete dei procacciatori organizzata da Merlini s.r.l., che doveva essere correttamente inquadrata nell’ambito del trattamento dei dati personali, in base alle disposizioni sui responsabili e sub-responsabili previste dagli artt. 28 e 29 del Regolamento.

Quanto poi alle attività formative e di sensibilizzazione in ordine al complessivo mutamento del quadro giuridico in materia di protezione dei dati personali, le argomentazioni difensive sono risultate contraddette dalle dichiarazioni rese da Merlini s.r.l. che ha rappresentato che “Wind Tre S.p.A. non ha provveduto a realizzare corsi o convention in materia di protezione dei dati personali per gli agenti, neanche in concomitanza con l’entrata in vigore del Regolamento UE 679/2016”.

Da ultimo, non può non evidenziarsi che, come confermato da Wind Tre in sede di audizione, la società, a seguito delle gravissime vicende relative alla Alessandro Corbelli Sunrise s.r.l.s., ha provveduto a indirizzare a Merlini s.r.l. un semplice richiamo per una più attenta applicazione delle norme e delle disposizioni previste nel contratto di agenzia, anziché intraprendere azioni di maggiore incisività.

Le condotte descritte danno atto della mancanza di adeguate misure tecniche e organizzative, in violazione degli artt. 24 e 25 del Regolamento, con particolare riguardo all’incapacità di controllare efficacemente la filiera dei partner che effettuano attività promozionale a vantaggio della Società.

Ciò premesso, pertanto, accertata l’illiceità della condotta sopra delineata, si ritiene

di dover vietare a Wind Tre, ai sensi dell’art. 58, par. 2, lett. f), anche in relazione alle risultanze del “procedimento B”, il trattamento dei dati personali dei soggetti per i quali non possa dimostrare di aver acquisito un idoneo consenso;

di dover ingiungere alla stessa, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a garantire un effettivo controllo della filiera del trattamento;

di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83 del Regolamento.

4.3. Sull’informativa agli interessati

Come descritto al punto 2.2, le informative presenti sui siti web aziendali fornivano dati di contatto non univoci mentre, nella pratica, gli interessati hanno fatto maggiormente uso dei canali del servizio clienti, veicolati dalla stessa Società e indicati quale corretto canale anche in una delle risposte fornite al Garante. Tale approccio, confuso e pletorico, ha comportato alcune difficoltà e ritardi nel riscontro delle richieste degli interessati. A ciò si deve aggiungere la presenza di una procedura di identificazione dell’interessato che, come detto, si è mostrata sproporzionata con riguardo all’esercizio di revoca del consenso e di opposizione al trattamento.

Si dà atto, comunque, che la Società, con l’introduzione del brand unico, ha modificato le informazioni agli interessati unificandole in una sola informativa e identificando nel solo servizio clienti il punto di contatto con gli interessati. La stessa, inoltre, ha semplificato la procedura di identificazione e riscontro delle istanze.

Inoltre, come descritto al punto 2.3, è stato accertato che l’informativa predisposta dalla Società era priva della indicazione relativa ai termini di conservazione dei dati di traffico ed è stata correttamente integrata solo a seguito della ricezione della comunicazione di avvio del procedimento.

Deve pertanto rilevarsi comunque la violazione dell’art. 12, parr. 1 e 2 del Regolamento e dell’art. 123, comma 4 del Codice con riguardo alle informazioni pubblicate sul sito web prima dell’intervenuta modifica, nonché alle modalità, eccessivamente onerose, di esercizio dei diritti.

Accertata l’illiceità delle condotte sopra riassunte, tuttavia, preso atto degli interventi correttivi già posti in essere, su tale punto non si ritiene di dover ulteriormente intervenire.

Si rende invece necessario adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dagli art. 83, parr.4 e 5, del Regolamento e 166, comma 1 del Codice.

4.4. Sulla pubblicazione dei dati in elenco

Sulla base delle istanze pervenute al Garante e dei riscontri di volta in volta forniti da Wind Tre, si rileva che in alcuni casi i dati dei clienti sono risultati presenti negli elenchi telefonici nonostante la richiesta, a volte reiterata, di cancellazione.

Ciò sarebbe avvenuto, a detta della Società, per errore o per problemi di comunicazione con il richiedente. In tale contesto risulta anche inappropriato il suggerimento, rivolto da Wind Tre ad alcuni reclamanti, di fare richiesta direttamente al gestore degli elenchi dato che, come ormai noto, questi si limita a pubblicare quanto comunicato dagli operatori telefonici e non è in grado di soddisfare direttamente le richieste degli utenti. Sono, invece, gli operatori telefonici ad essere responsabili dell’aggiornamento dei dati contenuti nella base dati unica(1).

Pertanto, richiamando quanto esposto al punto 2.4, si deve riconoscere la mancata adozione di procedure idonee a consentire la rettifica e la cancellazione dei dati dagli elenchi telefonici pubblici, in violazione dell’art. 5, par. 1, lett. d) del Regolamento, nonché la pubblicazione di dati personali in assenza di consenso, in violazione dell’art. 6, par. 1, lett. a) del Regolamento.

Accertata quindi l’illiceità della condotta nei termini appena delineati, si ritiene:

di dover ingiungere a Wind Tre, ai sensi dell’art. 58, par. 2, lett. d), di adottare misure correttive idonee a risolvere i ripetuti disallineamenti dei sistemi;

di dover adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 5, del Regolamento.

4.5. Sul rispetto dei principi di accountability e privacy by design

Oltre a quanto già in dettaglio contestato nei punti precedenti, occorre evidenziare, anche in via più generale, una condotta dimostratasi complessivamente elusiva dei principi di accountability e privacy by design, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Infatti, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche” la Società disponeva di idonei strumenti e di sufficienti conoscenze, veicolate anche dalle consolidate pronunce del Garante (direttamente rivolte anche alla Wind Tre), per valutare i rischi connessi al trattamento e per predisporre, di conseguenza, procedure tecniche e organizzative adeguate.

Al contrario, le risultanze istruttorie hanno mostrato un quadro complessivamente inidoneo al soddisfacimento di tale requisito di adeguatezza, dal momento che più volte è stata rilevata la mancanza di idonee misure tecniche e organizzative, dovendosi in alcuni casi aggiungere l’aggravante della preordinazione della condotta (nei casi relativi alla raccolta del consenso tramite app e tramite sottoscrizione del contratto presso i dealer) e dovendo altresì rilevare come, in più occasioni, la Società non sia stata in grado di dimostrare la conformità alle norme dei trattamenti posti in essere e l’efficacia delle misure adottate, come invece prescritto dall’art. 5, par. 2 del Regolamento.

D’altro canto, nel dare atto delle misure correttive apportate, in parte già prima della notifica dell’avvio del procedimento da parte del Garante, si intravedono delle potenziali soluzioni per rafforzare le garanzie. Ci si riferisce in particolare alla centralizzazione dell’attività promozionale nel sistema di Campaign management o alla previsione del registro dei contatti da tenere – per il momento solo – a cura degli agenti del canale fisico. Tali misure, tuttavia, potranno sviluppare un potenziale, che al momento può definirsi embrionale, solo nel momento in cui saranno sostenute con maggiori conseguenze sul piano contrattuale per i responsabili che non si attengano scrupolosamente a tali istruzioni.

Ad esempio, il sistema centralizzato di Campaign management, già da tempo in uso presso la Società, non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la Società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico. Una così fervida attività promozionale non può essere semplicemente disconosciuta e rubricata come iniziativa autonoma di soggetti non autorizzati, dato che l’interesse ad agire non pare certo essere unicamente di questi ultimi. E tale interesse, evidentemente, non viene meno finché tale attività, seppur non autorizzata, viene comunque remunerata. Ma anche la previsione di un registro dei contatti, che per ora è rivolta solo agli agenti del canale fisico e non a tutti i partner, pur funzionale nel suo intento di risalire la filiera, pare tuttavia debole se lasciata interamente all’arbitraria compilazione dell’agente. Ciò anche tenuto conto che la Società non ha al momento prospettato conseguenze dirette in caso di contatto non documentato, riservandosi solo di avvalersi della clausola risolutiva posta nel contratto. In altre parole, nonostante le paventate (ma del tutto eventuali) conseguenze sul piano contrattuale, l’attivazione di un contratto è comunque sempre possibile e le condotte illecite non sono, di conseguenza, scoraggiate.

Anche la stessa possibilità di recepire immediatamente la revoca, al momento della chiamata, pur se apprezzabile nelle intenzioni, risulta di fatto poco proficua essendo affidata unicamente all’intervento dell’operatore di call center che effettua il contatto. Difatti, a fronte delle costanti doglianze che pervengono al Garante in merito al fastidio di ricevere continue chiamate promozionali e alle proteste più volte asseritamente mosse dai segnalanti già nei confronti del chiamante, la Società ha dichiarato che, nel primo semestre 2020, solo lo 0,3% delle persone contattate ha richiesto la revoca del consenso durante la telefonata (cfr. tabella allegata al verbale di audizione del 25 giugno 2020). Anche in questo caso, analogamente a quanto osservato per le procedure di attivazione dei contratti presso i dealer, a poco serve aver predisposto un sistema formalmente corretto se l’incaricato che deve utilizzarlo è incentivato ad acquisire (o a mantenere) i consensi.

Richiamando anche l’istruttoria condotta nel “procedimento B”, si ha evidenza del fatto che la Società aveva adottato misure di controllo sui fornitori ed aveva impostato misure di controllo (solo) sull’attività svolta dal partner direttamente contrattualizzato (Merlini S.r.l.). Tali misure tuttavia non hanno impedito a tale agente di avvalersi di altri soggetti che, con condotte illegittime, hanno procacciato contratti di cui ha beneficiato economicamente anche la stessa Wind Tre, nonostante l’asserita inconsapevolezza.

Peraltro, sempre nel richiamato “procedimento B”, è emerso che le misure formalmente previste, segnatamente il controllo dei fornitori tramite questionari, si erano poi dimostrate inutili dal momento che le risposte fornite dal partner, pur discutibili, non avevano dato luogo ad alcuna conseguenza e ad alcun controllo.

Difatti, accertate le violazioni e le criticità in tema di consenso e di corretta individuazione della catena di responsabilità nell’ambito del trattamento, emerge con chiarezza che il consolidarsi di tali anomale condotte è stato favorito:

a) dalla mancata predisposizione di procedure e controlli efficaci per garantire il rispetto, da parte del responsabile del trattamento Merlini s.r.l. e della società Alessandro Corbelli Sunrise s.r.l.s., dei principi indicati all’art. 5, par. 1, del Regolamento;

b) dalla mancata verifica che i dati confluiti nei propri database a seguito dell’attività promozionale svolta da Merlini s.r.l. e da Alessandro Corbelli Sunrise s.r.l.s., fossero stati acquisiti legittimamente;

c) dalla sottovalutazione della necessità di garantire la “filiera” del trattamento fin dalla fase di acquisizione dei dati personali per svolgere campagne di marketing. Tali circostanze fanno emergere una non compiuta assimilazione e applicazione, da parte di Wind Tre, del principio di privacy by design a garanzia dei diritti degli interessati.

Si ritiene, pertanto, che le misure descritte dalla Società debbano essere corredate di maggiore effettività sul piano pratico per potersi ritenere sufficienti ad arginare un fenomeno, quello relativo ai contatti promozionali, che genera costante e diffuso allarme sociale oltre a favorire, avvalendosi proprio della tolleranza degli operatori, condotte illegittime quali quella descritta nel caso Merlini.

Non può infatti non rilevarsi con forza che il mancato controllo della filiera coinvolge la Società in un “mercato dei dati personali”, già oggetto di specifica informativa del Garante alla Procura della Repubblica presso il Tribunale di Roma, in cui, accanto alla violazione delle disposizioni in materia di trattamento delle informazioni delle persone, emergono gravi profili di violazione di norme giuslavoristiche, tributarie e probabilmente di carattere penale, alimentando un “sottobosco” che in alcuni casi potrebbe anche costituire oggetto di attenzione da parte della criminalità.

Sulla base degli elementi sopra esposti, rilevata la violazione degli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento, si ritiene necessario:

ingiungere a Wind Tre ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare pratiche illegali e l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso;

adottare nei confronti della stessa Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione delle sanzioni amministrative pecuniarie previste degli artt. 83, par. 4, lett. a) e 83, par. 5, del Regolamento.

Riguardo alle prescrizioni indicate nella presente sezione, si ricorda che in caso di inosservanza, è applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Con riguardo alle condotte ascrivibili a Merlini s.r.l. e ad Alessandro Corbelli Sunrise s.r.l.s., l’Autorità procederà con un autonomo procedimento prescrittivo e sanzionatorio.

5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

5.1. Modalità di raccolta e revoca del consenso e opposizione al trattamento per finalità promozionali.

Le condotte accertate al punto 4.1 integrano le seguenti violazioni: art. 5, par. 1 e 2 del Regolamento; artt. 6, par. 1, lett. a) e 7 del Regolamento; artt. 24 e 25 del Regolamento; art. 130 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 2 del Codice.

5.2. Controllo della filiera

Le condotte accertate al punto 4.2 integrano la violazione dell’art. 24 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83 del Regolamento.

5.3. Informativa agli interessati.

Le condotte accertate al punto 4.3 integrano le seguenti violazioni: art. 12, parr. 1 e 2 del Regolamento e art. 123, comma 4 del Codice.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, parr. 4 e 5, del Regolamento e 166, comma 1, del Codice.

5.4. Pubblicazione dei dati in elenco.

Le condotte accertate al punto 4.4 integrano le seguenti violazioni: art. 5, par. 1, lett. d) del Regolamento e art. 6, par. 1, lett. a) del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui all’art. 83, par. 5, del Regolamento.

5.5. Rispetto dei principi di accountability e privacy by design.

Le condotte accertate al punto 4.5 integrano le seguenti violazioni: artt. 5, par. 2, 24, par. 1 e 25, par. 1 del Regolamento.

Pertanto si ritiene applicabile la sanzione amministrativa pecuniaria di cui agli artt. 83, par. 4, lett. a) e 83, par. 5, lett. a) del Regolamento.

5.6. Quantificazione della sanzione amministrativa pecuniaria.

Le violazioni riscontrate nei procedimenti sin qui descritti vanno valutate alla luce del fatto che la medesima Società, con riguardo solo al periodo successivo all’intervenuta fusione aziendale tra Wind S.p.A. e H3G S.p.A., è stata destinataria di un provvedimento inibitorio e prescrittivo con riguardo a tipologie di violazioni analoghe (cfr. provv. del 22 maggio 2018, doc web n. 8995285), cui ha fatto seguito un’ordinanza ingiunzione adottata con provv. del 29 novembre 2018 (doc web n.9079005). A seguito di tali provvedimenti la stessa ha implementato alcune misure correttive richiamate anche nella presente decisione.

Si è rilevata tuttavia la persistenza di numerose segnalazioni e reclami, pervenuti al Garante; ad esito dell’analisi della documentazione complessivamente acquisita in atti, in considerazione di tutti gli elementi emersi, questa Autorità – valutate anche le misure già implementate dalla Società – ritiene necessario un intervento ad ampio spettro (inibitorio, prescrittivo e sanzionatorio), al fine di garantire la conformità alla normativa vigente dei trattamenti oggetto del presente provvedimento.

Le sopra indicate violazioni accertate nei confronti di Wind Tre, infatti, rappresentano la riprova, da un lato, di scelte aziendali finalizzate a piegare le norme alle esigenze di mercato; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato una sensibile contrazione del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, come accennato, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

La Società ha sollevato un’eccezione in merito al numero dei casi segnalati al Garante che, a suo avviso, non si può considerare significativo a fronte di circa 32 milioni di utenze attivate ritenendo pertanto che la relativa portata debba essere ridimensionata e inquadrata in un fisiologico margine di errore.

A tale riguardo si deve tuttavia osservare che: a) per ragioni varie (carattere, disponibilità di tempo, strumenti, ecc.), notoriamente segnalazioni e reclami sono posti in essere da un numero significativamente assai ridotto di persone rispetto a coloro che ritengono di essere stati oggetto di un trattamento illecito; b) per evidenti ragioni di economicità procedimentale, diverse segnalazioni (dell’ordine di circa un centinaio) essendosi rivelate ripetitive o meno dettagliate, non sono state trasmesse dall’Autorità alla Società; c) anche successivamente alla formale contestazione delle violazioni sono continuate a pervenire analoghe doglianze da parte di diversi utenti.

Infine, al di là della quantificazione numerica, si è tenuto conto soprattutto delle rilevanze sul piano dei contenuti e degli effetti. Del resto, come visto, sono stati sufficienti due singoli casi (i citati XX e Merlini) per far emergere delle condotte che per caratteristiche, mancanza di controlli e di azioni repressive da parte della Società, si possono senz’altro ritenere avere una portata più generale.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al par. 4 del presente provvedimento, si ritiene di dover adottare nei confronti di Wind Tre un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice, e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Risultano infatti violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nel caso di specie, assumono rilevanza sotto i seguenti profili:

1. l’ampia portata dei trattamenti, riguardanti la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, anche non clienti, che sono stati destinatari di contatti promozionali indesiderati (art. 83, par. 2, lett. a, del Regolamento);

2. la gravità delle violazioni rilevate, in ragione:

a) dei contatti illegittimi effettuati nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, del diritto alla tranquillità individuale e del diritto alla riservatezza);

b) di procedure di raccolta dei dati, come quelle previste per le App MyWind e My3 o come quella riscontrata presso il dealer oggetto di attività ispettiva tali, di fatto, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e quindi anche da minare il fondamentale diritto all’autodeterminazione degli interessati;

c) delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato, anche considerata l’inadeguata gestione del diritto di opposizione;

d) della molteplicità e varietà delle condotte riferibili a Wind Tre in violazione di più disposizioni del Regolamento e del Codice;

e) delle riscontrate gravi carenze organizzative che hanno determinato:

– un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability;

– della violazione dei fondamentali principi di esattezza dei dati con riguardo alla pubblicazione di dati personali negli elenchi telefonici (art. 83, par. 2, lett. a, del Regolamento);

– la realizzazione di una filiera parallela di raccolta dei dati dei possibili clienti in spregio alla normativa in materia di protezione dei dati personali e di altre disposizioni rilevanti, anche probabilmente di carattere penale, con l’alimentazione di un “sottobosco” illegale e potenzialmente idoneo a favorire forme di criminalità diffusa nel Paese;

3. la durata significativa delle violazioni, iniziate perlomeno dal 25 maggio 2018, data della piena operatività del Regolamento e non ancora compiutamente disciplinate o tuttora oggetto delle doglianze che pervengono al Garante (art. 83, par. 2, lett. a, del Regolamento);

4. il carattere doloso delle seguenti condotte, con particolare riguardo alla loro ideazione e attuazione, in relazione ai seguenti profili: le scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette app e le modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione; le modalità di raccolta del consenso, non libero, mediante la sottoscrizione di pda presso i dealer (art. 83, par. 2, lett. b, del Regolamento);

5. il carattere gravemente negligente di altri trattamenti, come: la non adeguata attuazione dei fondamentali principi di privacy by design, di privacy by default e di accountability, comprovate dalle evidenti difficoltà nel comprovare la titolarità delle attività promozionali effettuate nel suo interesse; la mancata condivisione delle black list con i fornitori di servizi di marketing che operano quali autonomi titolari; la non adeguata attività di controllo dell’operato dei propri partner nonostante evidenti elementi di allarme (art. 83, par. 2, lett. b, del Regolamento);

6. l’esistenza di un precedente provvedimento – adottato da questa Autorità nei confronti di Wind Tre – inibitorio, prescrittivo e sanzionatorio, relativo a condotte pertinenti a quelle oggetto della presente decisione (art. 83, par. 2, lett. e, del Regolamento);

7. la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti dalle attività promozionali, tenuto conto anche che la scelta di avvalersi di un unico consenso per promozioni proprie e di terzi comporta, qualora si raggiunga il massimo numero di consensi, un rilevante beneficio in termini di offerta sul mercato di servizi di comunicazione commerciale (art. 83, par. 2, lett. k, del Regolamento);

8. quale parziale attenuante, l’adozione – ritenuta comunque insufficiente – di misure tecniche e organizzative per ricondurre il trattamento a maggior controllo da parte del titolare (art. 83, par. 2, lett. c, del Regolamento);

9. quale attenuante, parzialmente compromessa dalle risposte a suo tempo fornite in merito alle segnalate procedure di acquisizione per default di tutti i consensi possibili da parte dei dealer, la cooperazione fornita nell’ambito degli accertamenti in loco e nel corso successivo dell’istruttoria, pur dimostrando, nel complesso, evidenti difficoltà nel rendere conto all’Autorità delle effettive attività di trattamento svolte da terzi per proprio conto (art. 83, par. 2, lett. f, del Regolamento);

10. quale attenuante – nonostante l’invasività delle violazioni riscontrate – la tipologia di dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, ossia dati identificativi e di contatto (utenze telefoniche) degli interessati coinvolti nelle attività di marketing (art. 83, par. 2, lett. g, del Regolamento);

11. le condizioni economiche del contravventore, tenuto conto del valore della produzione con riferimento al bilancio d’esercizio per l’anno 2019 (art. 83, par. 2, lett. k, del Regolamento).

Peraltro, in applicazione dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), si rende ulteriormente necessario prendere in considerazione i seguenti ulteriori elementi:

– l’ampio margine temporale concesso a tutti gli operatori del settore al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; adeguamento che Wind non risulta aver ultimato in maniera idonea;

– che la citata attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing possono ragionevolmente far ritenere raggiunta da tutti gli operatori, una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate;

– la non adeguata dissuasività delle sanzioni sinora contestate a Wind Tre, tenuto conto anche del fatto che il fenomeno delle chiamate indesiderate nell’ambito del telemarketing è stato oggetto di costante e puntuale attenzione da parte del legislatore (v., da ultimo, l. n. 5/2018) e del Garante, nonché di doglianze da parte degli utenti;

– l’attuale persistenza di segnalazioni e reclami, pervenuti all’Autorità in tempi successivi alla data degli accertamenti effettuati presso la Società fino alla data odierna, analoghi a quelli oggetto del presente provvedimento.

Tuttavia, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che – in base al complesso degli elementi sopra indicati e tenuto in particolare conto – anche rispetto ad analoghe verifiche effettuate presso altri operatori – la gravità e gli effetti delle condotte riscontrate a seguito degli accertamenti ispettivi, a fronte della sanzione edittale massima (209.120.000,00 euro, pari al 4% del fatturato di Wind Tre SpA, ossia 5.228.000.000,00 euro) – debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma di euro 16.729.600, pari all’8% della suindicata sanzione edittale massima.

In tale quadro, si ritiene altresì – anche in considerazione dell’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; dell’elevato numero degli stessi, anche potenzialmente, coinvolti; dei disallineamenti rilevati nei sistemi informativi della Società; dell’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, della scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima – che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ritiene infine che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

TUTTO CIÒ PREMESSO IL GARANTE

rilevata l’illiceità dei trattamenti di dati personali, nei termini di cui in motivazione, effettuati da Wind Tre S.p.A., con sede legale in largo Metropolitana, 5, Rho (MI), C.F. 02517580920:

a) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone l’immediato divieto di trattamento:

i) dei dati personali relativi ai soggetti per i quali risulta conferito un consenso tramite le app MyWind e My3;

ii) per finalità di marketing, dei dati personali riferiti a soggetti di cui non sia in grado di documentare la raccolta di un idoneo consenso;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società, entro 180 giorni dal ricevimento del presente ricevimento, di:

i) adottare idonee procedure per assicurare che i soggetti che abbiano manifestato un’opposizione al trattamento dei propri dati a Wind Tre non vengano contattati da terzi che operano in qualità di titolari autonomi;

ii) adottare misure tecniche e organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento al fine di scongiurare l’effettuazione di contatti promozionali nei confronti di soggetti che non abbiano fornito un idoneo consenso nonché al fine di essere in grado di documentare i contatti avvenuti;

iii) adottare misure correttive idonee a risolvere i disallineamenti dei sistemi al fine di scongiurare la pubblicazione non autorizzata di dati personali negli elenchi telefonici pubblici;

c) ai sensi dell’art. 157 del Codice, richiede a Wind Tre S.p.A. di comunicare, entro 30 giorni dalla ricezione del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto ivi prescritto e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta Wind Tre S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 16.729.600 (sedicimilionisettecentoventinovemilaseicento), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e si ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 luglio 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.