L’Autorità Garante per la protezione dei dati personali (il “Garante Privacy” o l’”Autorità”), nell’ambito dello svolgimento della sua attività di controllo e a seguito di numerose segnalazioni e reclami da parte degli interessati, con il provvedimento n. 143 del 9 luglio 2020 (il “Provvedimento”), ha irrogato nei confronti della società Wind Tre S.p.A. (la “Società” o “Wind Tre”) una sanzione pari a circa 17 milioni di Euro per trattamenti illeciti di dati personali posti in essere dalla stessa, legati prevalentemente, ma non esclusivamente, ad attività promozionali.

 

In aggiunta, il Provvedimento ha comportato la determinazione della sanzione nei confronti della Società anche alla luce di alcuni trattamenti illeciti effettuati da quest’ultima emersi a seguito di un secondo e parallelo procedimento istruttorio, avviato a seguito di segnalazioni pervenute all’Autorità, inerente alcuni aspetti delle attività promozionali poste in essere per conto della stessa dalla filiera di subagenti e partner commerciali della Società (il “Procedimento Parallelo”). Il Procedimento Parallelo ha determinato l’irrogazione di una sanzione pari a 200 mila Euro – nonché il conseguente divieto di utilizzo dei dati raccolti e trattati – nei confronti di uno dei partner di Wind Tre, il quale aveva sub-affidato intere fasi dei trattamenti effettuati ad alcuni callcenter che raccoglievano illecitamente i dati trattati, senza altresì provvedere a regolare il rapporto con questi ultimi attraverso la sottoscrizione di appositi atti giuridici.

Si segnala altresì che nel corso della stessa riunione tenutasi in data 9 luglio 2020, il Garante Privacy ha preso in esame anche le risultanze degli accertamenti disposti nei confronti di un altro gestore telefonico, Iliad Italia S.p.A., che è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico e che per tali ragioni è stato sanzionato con una sanzione pari a 800 mila Euro.

Tali provvedimenti si pongono in linea con l’attività di controllo svolta dall’Autorità, la quale ha da sempre prestato particolare attenzione all’attività di marketing posta in essere dai diversi operatori telefonici nonché alla tutela dei rispettivi interessati. In particolare, si ricorda la sanzione irrogata nei confronti di Tim S.p.A. pari a 27 milioni e 800 mila Euro (un commento in merito è disponibile qui).

Attività istruttoria condotta dal Garante Privacy

Con riferimento al Provvedimento emesso nei confronti di Wind Tre, lo stesso tiene in considerazione che, nel maggio 2018, la Società era già stata destinataria di un provvedimento inibitorio e prescrittivo ai sensi del D.lgs. 196/2003, normativa vigente prima dell’entrata in vigore del Regolamento UE 679/2016 (“GDPR”), pertanto, l’istruttoria condotta dal Garante Privacy ha riguardato le sole istanze pervenute dopo il 25 maggio 2018, data in cui il GDPR è divenuto pienamente applicabile.

Le indagini condotte dall’Autorità in merito all’attività posta in essere dalla Società sono scaturite da numerose segnalazioni e reclami aventi ad oggetto, inter alia, (i) trattamenti di dati personali posti in essere da Wind Tre, prevalentemente riconducibili a condotte illecite poste in essere per finalità promozionali tramite telefono, sms, e-mail, fax o chiamate automatizzate; (ii) le modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati e la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione; e (iii) la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è altresì emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Inoltre, come emerso dal Procedimento Parallelo, l’istruttoria ha riguardato le attività promozionali poste in essere per conto della Società dalla filiera dei subagenti di Wind Tre, effettuate contattando i clienti di un altro operatore telefonico i cui dati personali venivano acquisiti con modalità illegittime.

Con riferimento ai profili sopra menzionati inerenti ai trattamenti illeciti per finalità promozionali e la relativa raccolta del consenso, in risposta a specifiche richieste di informazioni formulate dall’Autorità, la Società:

  • in alcuni casi, ha documentato l’acquisizione di uno specifico consenso mediante esibizione dei contratti, in particolare le proposte di acquisto, sottoscritti dagli interessati;
  • in altri, ha documentato l’acquisizione di un consenso che, alla luce degli accertamenti condotti, si è rivelato inidoneo in quanto (i) risalente e non conforme al nuovo quadro normativo introdotto dal GDPR, (ii) acquisito direttamente dai partner commerciali senza idonee garanzie volte a non pregiudicare la volontà degli interessati; (iii) prestato con modalità non legittime e non libere, in particolare attraverso l’utilizzo delle app MyWind e My3; (iv) fornito ad altro gestore e acquisito con modalità illegali (vengono qui in rilievo gli accertamenti condotti nel Procedimento Parallelo);
  • nei rimanenti casi, non è stata in grado di documentare l’avvenuta acquisizione del consenso.

In relazione ai reclami e alle segnalazioni inerenti le modalità di riscontro alle richieste di esercizio dei diritti da parte degli interessati, anche in maniera reiterata, con particolare riguardo all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca, la Società ha rappresentato che alcune istanze non erano state riscontrate o non erano state tempestivamente riscontrate poiché:

  • pervenute ad un indirizzo non preposto alla gestione di tale tipologia di richieste;
  • in ottemperanza ad una procedura aziendale, poi superata, veniva richiesto di identificarsi mediante l’invio di un documento, quale la carta d’identità;
  • si erano registrati errori o problemi di ricezione della posta cartacea o elettronica.

Infine, in relazione ai reclami e alle segnalazioni pervenute relative alla pubblicazione non autorizzata di dati personali negli elenchi telefonici nonché la possibilità di ottenerne la cancellazione, le spiegazioni fornite dalla Società si erano limitate ad asserire presunti errori materiali/disallineamenti o difficoltà comunicative con l’interessato.

All’esito dell’attività istruttoria e nonostante le osservazioni fornite dalla Società, il Garante Privacy ha tuttavia rinvenuto diverse violazioni delle norme in materia di protezione dei dati personali.

In particolare, le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla Società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante Privacy.

Valutazioni di ordine giuridico

Il Garante Privacy ha ritenuto che le condotte descritte, con particolare riguardo alle impostazioni delle app e alle risultanze dell’accertamento condotto nei confronti del partner commerciale, avessero messo in luce una modalità operativa fortemente orientata ad incentivare la raccolta del consenso per finalità promozionali attraverso modalità tali da consentire di aggirare la volontà degli utenti, a fronte di procedure per l’opposizione rese invece più farraginose e non idonee a consentire agli interessati di esercitare i loro diritti in modo agevolato.

In tal senso, l’Autorità ha affermato che “le numerose segnalazioni pervenute (tutte di analogo contenuto) fanno ritenere che, dietro la mancanza di chiarezza, si celasse una regola di raccolta dei consensi preordinata a forzare la volontà degli utenti. Un tale trattamento, dunque, non può considerarsi lecito e i consensi raccolti con le modalità descritte, prima delle intervenute modifiche, non possono considerarsi idonei a comprovare una manifestazione di volontà libera e specifica degli interessati”. È stata pertanto rilevata una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’art. 5, par. 1, lett a) del GDPR mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati nonché elusiva dei principi dei principi di accountability e privacy by design, enunciati dagli artt. 5, par. 2, 24, par. 1 e 25, par. 1 del GDPR.

Con riferimento alle attività promozionali affidate a terzi, i quali, utilizzando proprie liste, vengono tuttavia qualificati quali autonomi titolari del trattamento, l’Autorità ha segnalato la mancata adozione da parte della Società di idonee misure volte a garantire che i contatti effettuati non pregiudicassero la volontà degli interessati, specificamente espressa dagli interessati nei confronti di Wind Tre, di non ricevere comunicazioni e/o telefonate per fini promozionali. In particolare, viene sottolineato che era onere della stessa Società verificare che i soggetti che avevano revocato il consenso o avevano espresso specifico diniego non fossero più soggetti ad attività promozionale per conto di Wind Tre (precisazione che era già stata impartita alla Società con il provvedimento del maggio 2018).

In aggiunta, anche le modalità offerte per recepire l’opposizione o il diritto di revoca da parte degli interessati non si sono rivelate idonee a recepire correttamente le richieste degli interessati o hanno inutilmente aggravato la presentazione delle richieste non consentendo il rispetto della proporzionalità tra le misure e il diritto tutelato. In particolare, tali modalità hanno determinato una violazione dell’art. 12, par. 2 del GDPR, in base al quale “il titolare del trattamento agevola l’esercizio dei diritti dell’interessato”, nonché quanto previsto dall’art. 7, par. 3 del GDPR in base al quale “il consenso è revocato con la stessa facilità con cui è accordato”.

Infine, l’Autorità ha evidenziato e riconosciuto la mancata adozione di procedure idonee a consentire la rettifica e la cancellazione dei dati dagli elenchi telefonici pubblici, in violazione dell’art. 5, par. 1 del GDPR, nonché la pubblicazione di dati personali in assenza di consenso, in violazione dell’art. 6, par. 1, lett a) del GDPR.

Le condotte sopra descritte hanno così determinato diverse violazioni della normativa in materia di protezione dei dati personali e hanno dato atto della mancanza di adeguate misure tecniche e organizzative nei trattamenti effettuati dalla Società in qualità di titolare del trattamento nonché nei trattamenti effettuati dalla filiera dei subagenti e dei partner coinvolti nelle attività promozionali.

Sanzione

Alla luce di quanto sopra e viste le numerose violazioni in materia di trattamento di dati personali, il Garante Privacy ha irrogato una sanzione ex art. 83 del GDPR il cui importo complessivo è pari a circa 17 milioni di Euro.

Il quantum della sanzione, è stato calcolato tenendo in considerazione soprattutto il numero elevato di interessati, l’ampia portata dei trattamenti, la gravità delle violazioni e la durata significativa delle stesse, nonché il carattere doloso e gravemente negligente delle condotte poste in essere da Wind Tre, in contrasto con il principio di accountability. Inoltre, il Garante Privacy ha considerato, quale elemento significativo per la commisurazione della sanzione, il provvedimento, già adottato nei confronti della Società, di tipo inibitorio e prescrittivo, nonché il vantaggio economico ottenuto da Wind Tre derivante dalle attività illecite di trattamento dei dati personali.

In aggiunta, l’Autorità ha vietato a Wind Tre il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti a seguito dell’esercizio dei diritti di revoca e opposizione.

Considerazioni finali

I provvedimenti richiamati e le sanzioni irrogate dall’Autorità confermano la costante attività di controllo svolta dalla stessa con riferimento sia agli operatori telefonici sia alle attività per fini promozionali dagli stessi poste in essere al fine di assicurare il pieno rispetto della normativa nazionale ed europea in materia di protezione dei dati personali. Nell’ambito del contesto normativo introdotto dal GDPR, si riconosce come la diffusione di nuovi canali di promozione commerciale e l’importanza delle attività di marketing per la crescita e lo sviluppo delle realtà imprenditoriali assumano un ruolo centrale. Tuttavia, lo svolgimento di tali attività nel rispetto dei principi generali sanciti dalla normativa in materia di protezione di dati può risultare più efficace e consentire ai diversi titolari, tra cui gli operatori telefonici, di progettare le proprie strategie di marketing secondo le modalità ritenute più idonee, evitando così di incorrere in sanzioni (il cui ammontare, alla luce di quanto sopra discusso, può risultare particolarmente elevato e oneroso).