::: PORTALECONSULENZE.IT :::

RICERCA NEI NOSTRI DATABASE

RICERCA AVANZATA

Categoria
primo termine
secondo termine
terzo termine
 
LA CONSULENZA PER TE

LEGGE SULLA PRIVACY
(D.LGS. 196/03)

  • CONSULENZA: COME OPERIAMO
  • DURP - DPS
  • DATA PROTECTION IMPACT ASSESSMENT
  • RESPONSABILE PRIVACY
  • DATA PROTECTION OFFICER

LEGGE ANTI USURA
(l.108/96)

  • CONSULENZA: COME OPERIAMO

LEGGE ANTI RICICLAGGIO
(d.lgs.231/07)

  • CONSULENZA: COME OPERIAMO

LEGGE SULLA SICUREZZA NEI LUOGHI DI LAVORO
(d.lgs.81/08)

  • CONSULENZA: COME OPERIAMO

RESPONSABILITA' AMMINISTRATIVA ENTI
(d.lgs.231/01)

  • CONSULENZA: COME OPERIAMO
TESTI DELLA NORMATIVA

REGOLAMENTO EUROPEO 2017/679

  • TESTO NORMATIVA

LEGGE SULLA PRIVACY
(D.LGS. 196/03)

  • TESTO NORMATIVA
  • ALLEGATO B
  • CIRCOLARI GARANTE
  • DOCUMENTI ATTINENTI
  • DEFINIZIONI

LEGGE ANTI USURA
(l.108/96)

  • TESTO NORMATIVA
  • SENTENZE

LEGGE ANTI RICICLAGGIO
(d.lgs.231/07)

  • TESTO NORMATIVA

LEGGE SULLA SICUREZZA NEI LUOGHI DI LAVORO
(d.lgs.81/08)

  • TESTO NORMATIVA

RESPONSABILITA' AMMINISTRATIVA ENTI
(d.lgs.231/01)

  • TESTO NORMATIVA
     

 

Italiano

apri versione stampabile documento aggiornato il 14/09/2018 16:40:41

ORDINANZA INGIUNZIONE NEI CONFRONTI DI FASTWEB S.P.A. - 26 LUGLIO 2018

 

Registro dei provvedimenti
n. 441 del 26 luglio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati; 

RILEVATO che l’Ufficio del Garante, con atto n. 13913/120543 dell’11 maggio 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Fastweb S.p.A. (di seguito “Fastweb” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Caracciolo n. 51, C.F. 12878470157, le violazioni previste dagli artt. 13, 23, 37, 130, 161, 162, comma 2-bis, 163 e 164-bis, comma 2, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue: 

- il Garante ha adottato, in data 18 aprile 2018, il provvedimento n. 235 (in www.gpdp.it, doc. web n. 9358243), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di Fastweb;

- il procedimento ha tratto origine da numerose segnalazioni che lamentavano la ricezione di telefonate con operatore a contenuto promozionale nell’interesse di Fastweb;

- dal richiamato provvedimento del 18 aprile 2018 è emersa “in primo luogo, […] la presenza, nell'arco temporale considerato dalle verifiche, di un numero considerevole di contatti effettuati dai partner relativi a numerazioni non inserite nelle liste di contattabilità trasmesse dalla Società (cd. "fuori lista"); complessivamente detti contatti, anche ripetuti rispetto alla medesima utenza, sono risultati pari a oltre 1.000.000 con riguardo al sistema attualmente in uso ed oltre 7.200.000 con il sistema preesistente (cui corrisponderebbero circa 2,7 milioni di anagrafiche)”;

- “Sempre all'esito di una preliminare valutazione da parte dell'Ufficio degli elementi acquisiti nel corso degli accertamenti svolti nel mese di settembre 2017, è stato altresì possibile appurare la presenza sul sistema, nel campo "Esito" valorizzato dai partner al seguito di un contatto telefonico (effettuato o tentato), di alcuni codici numerici cui corrispondono le valorizzazioni "Persona anziana" (per oltre 1.000.000 di utenze), "Cliente a basso spendente" (per oltre 139.000 utenti) e "Cliente a costi elevati" (per oltre 38.000 utenze). Rispetto a tali annotazioni è stato precisato che, «in base allo script di vendita, gli operatori pongono alla persona contattata alcune domande volte ad individuare se rappresenta un potenziale target di vendita, in base alle quali il campo "Esito" può essere valorizzato. L'informazione riportata in tale campo può essere utilizzata dal partner per evitare ricontatti nella stessa campagna e dalla Società per valutare l'opportunità di eventuali ricontatti in successive campagne. Per quanto riguarda la suddivisione fra "basso spendente" e "alto spendente", la parte ha precisato che vengono considerati "alto spendenti" i prospect che spendono per le tariffe telefoniche somme superiori rispetto [ad una soglia predeterminata], al di sotto della quale vengono considerati "basso spendenti". Tali informazioni potranno essere utilizzate in futuro per modulare le proposte in occasione di futuri contatti»”;

- “deve ritenersi che Fastweb, nel periodo considerato dagli accertamenti ‒ e al di là delle singole segnalazioni pervenute all'Autorità nell'arco temporale considerato dalle verifiche (talune delle quali hanno formato oggetto di approfondimento in occasione degli accertamenti in loco) ‒, abbia violato la disciplina di protezione dei dati personali, avendo posto in essere una pluralità di operazioni di trattamento per finalità di marketing ‒ e, tra queste, l'estrazione dei dati riferiti agli interessati dai propri sistemi, l'inserimento degli stessi nelle liste di contattabilità e la loro successiva trasmissione ai propri partner con l'effettuazione, infine, dei contatti commerciali ‒ in assenza di un valido consenso (ab origine o a seguito della revoca dello stesso o dell'opposizione al trattamento dei propri dati personali per finalità di marketing) degli interessati […] ed abbia altresì omesso di svolgere i dovuti controlli sull'operato dei propri partner”;

- “Le rilevate violazioni hanno avuto luogo sia con riferimento ai dati personali dei segnalanti dei quali, […], non è risultato comprovato un valido consenso […], sia con riferimento al trattamento dei dati personali riferiti ai prospect che sono stati contattati nell'interesse della Società nell'ambito di campagne realizzate mediante il canale telefonico (telemarketing/teleselling) in assenza di un consenso validamente manifestato dagli stessi a tale trattamento, o, comunque, in presenza di un consenso revocato o, ancora, in tempi successivi all'opposizione di cui all'art. 7, comma 4, lett. b), del Codice; circostanze, queste, tutte risultanti dai sistemi della Società e dagli elementi dalla stessa forniti”;

- “dai raffronti, è emerso un numero considerevole di contatti posti in essere in violazione di legge per il tramite del sistema precedentemente in uso alla Società, attesa la presenza delle numerazioni oggetto di contatto in black list in corrispondenza delle campagne promozionali effettuate; in particolare, sono risultati complessivamente poco più di 267.000 contatti indesiderati con riguardo alle campagne teleselling rivolte alla prospect base”;

- “Deve peraltro rilevarsi che nel corso degli accertamenti hanno altresì formato oggetto di verifica alcune numerazioni cd. referenziate individuate a campione, talune delle quali […], dall'analisi di sistemi della Società, sono risultate contattate dai partner di Fastweb in violazione di legge, nonostante risultassero precedentemente inserite in black list […]”. 

- “Con riguardo al trattamento dei dati riferiti ai cd. "fuori lista" […] deve in anteparte rilevarsi la dimensione, in valori assoluti assai rilevante, di contatti (pari ad oltre 8 milioni) e di utenze coinvolte (in base a quanto dichiarato dalla Società, riferite ad almeno 2,7 milioni di individui). Tali valori si pongono in netto contrasto con le istruzioni impartite dalla Società ai propri partner nel ricordato Manuale ‒ nelle quali, come si è detto, si ammette esclusivamente in via eccezionale e a certe condizioni tale tipo di contatto”

RILEVATO che con il citato atto del 11 maggio 2018 sono state contestate a Fastweb S.p.A.:

a) ai sensi dell’art. 162, comma 2-bis, le violazioni degli artt. 23 e 130, c. 3, del Codice, in relazione “[…] all'accertata mancanza del consenso degli interessati (prospect ed ex-clienti) rispetto al trattamento dei dati personali per finalità di marketing nell'ambito delle campagne oggetto di verifica […]”;

b) ai sensi dell’art. 161, la violazione dell’art. 13 del Codice, in quanto “[…] L’informativa resa in occasione del perfezionamento della proposta d'acquisto, che peraltro riguarda solo una parte della platea considerata, non contiene infatti informazioni che consentono di risalire chiaramente alla profilazione [persona anziana, basso spendente o alto spendente] così effettuata […]”;

c) ai sensi dell’art. 162, comma 2-bis, la violazione dell’art. 23 del Codice, in quanto “[…] Rispetto a tale segmentazione della clientela [persona anziana, basso spendente o alto spendente] in base alle menzionate qualità, […] non consta, all'esito degli accertamenti, […] che sia stato al riguardo acquisito un distinto consenso degli interessati (art. 23 del Codice) […]”;

d) ai sensi dell’art. 163, la violazione dell’art. 37 del Codice, in relazione ai dati “[…] oggetto di profilazione […] in ragione dell’incompleta notificazione al Garante […], come richiamato in premessa;

e) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte di cui sopra in relazione a banche dati di particolare rilevanza e dimensioni;

DATO ATTO che, per le violazioni di cui ai punti a), b) c) e d) è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, effettuato il 6 luglio 2018; rilevato altresì che per la violazione di cui al punto e) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta;  

LETTI gli scritti difensivi presentati da Fastweb l’11 giugno 2018, che devono intendersi integralmente riportati, nei quali si rappresenta:

- “il provvedimento del 27 aprile 2018 esamina, senza distinzioni particolari in merito all'imputabilità soggettiva, sia condotte poste in essere da Fastweb sia condotte riferibili ad azioni autonome delle sue agenzie. Ciò è comprensibile in un provvedimento volto all'accertamento e, se del caso, a/l'inibizione di condotte non conformi alla disciplina dei trattamenti. L'atto di contestazione […], per parte sua, sembra considerare a fini sanzionatori: i) i singoli contatti relativi alle specifiche segnalazioni ricevute dal Garante e divenute oggetto delle ispezioni […]; ii) la sussistenza di contatti verso numerazioni che risultavano inserite in blacklist […]; iii) i contatti c.d. fuori lista […]”;

- “quanto alle segnalazioni specifiche, le stesse informazioni fornite da Fastweb indicano che i contatti accertati sono stati il frutto d'iniziative autonome delle agenzie. Le condotte sarebbero state difficilmente intercettabili in via preventiva perché, quale che sia il sistema tecnico di canalizzazione delle chiamate outbound, non è possibile escludere in assoluto condotte eccentriche da parte di singole agenzie. Per questi casi, si potrebbe al più porre il tema della responsabilità solidale di Fastweb, non di quella diretta, con tutto ciò che ne consegue sul piano del procedimento di contestazione e dei criteri di quantificazione”;

- “La scrivente rileva poi che, per una parte delle specifiche segnalazioni, non è stato possibile verificare in modo univoco le circostanze lamentate. Questi casi non possono darsi per accertati sulla base delle sole segnalazioni. Senza voler mettere in discussione la buona fede dei segnalanti, vi possono essere errori di memoria e sovrapposizioni nelle denominazioni degli operatori che non consentono di confidare sulle sole segnalazioni. Si può citare al riguardo uno dei casi considerati dal provvedimento del 27 aprile 2018 […]. Le successive comunicazioni del segnalante, una volta venuto a conoscenza dell'avvio dell'attività istruttoria, evidenziavano per l'appunto un'incertezza sul coinvolgimento iniziale di Fastweb, anziché di altri operatori”;

- “Fastweb, peraltro, in spirito di leale collaborazione ha indicato a codesto Garante contatti risultanti dai suoi sistemi distinti da quelli segnalati e che non sono stati confermati dalle verifiche sui sistemi. Se per questi ultimi la prova si può considerare raggiunta, per i primi la soglia di dubbio permane troppo elevata anche nell'ambito di un accertamento amministrativo. Né si può immaginare un'inversione de/l'onere della prova, giacché, a fronte di una dichiarazione del segnalante eventualmente errata, l'operatore non avrebbe modo per dare la prova negativa del contrario, non essendo - in ipotesi - sufficiente neppure che il contatto non risulti dai suoi sistemi e che il numero chiamante non corrisponda a quelli noti di una propria agenzia”;

- “In relazione ai contatti verso numerazioni inserite in blacklist, anche qui occorrerebbe distinguere il fenomeno riconducibile a disallineamenti nei sistemi di Fastweb da quello derivante da condotte autonome delle agenzie. I processi che Fastweb applica sulle liste da fornire alle agenzie prevedono, tra le altre cose, l'esclusione delle numerazioni inserite in blacklist. Il provvedimento del 27 aprile 2018 ha rilevato che, con l'uso di Reitek, i contatti "indesiderati" sono stati circa 267.000. Questo numero si riduce però a soli 278 casi con il sistema lnvoice, una percentuale sostanzialmente infinitesimale sul complesso delle chiamate. Il che, rende a maggior ragione necessario distinguere la componente di chiamate indesiderate imputabile ai sistemi di Fastweb da quella frutto di azioni autonome delle agenzie”;

- “Quanto ai contatti "fuori lista", la contestazione sembrerebbe ipotizzare l’«omesso controllo» da parte di Fastweb come ragione per l'imputazione diretta delle violazioni […]. Il provvedimento riconosce che il fenomeno si sia svolto in contrasto con le istruzioni impartite da Fastweb ma fonda il proprio assunto sulla "dimensione in valori assoluti" dei contatti e delle utenze coinvolte, ritenuta indicativa per l'appunto dell'omesso controllo”;

- “Le violazioni relative alla profilazione riguardano l'annotazione da parte degli operatori di Fastweb, sul sistema Reitek, delle dizioni "persona anziana", "alto" o "basso spendente" in relazione agli esiti dei contatti. Tali annotazioni erano "inferite" direttamente dall'operatore durante il colloquio. La contestazione assume che tali trattamenti configurassero "profilazioni", in mancanza del consenso, dell'informativa e di una notifica completa del trattamento a codesto Garante. Fermo restando l'adempimento già compiuto alle prescrizioni inibitorie di codesto Garante, la scrivente ritiene anzitutto che le operazioni sopra descritte non possano essere considerate "profilazioni" ai sensi della disciplina della riservatezza. Un elemento essenziale della nozione è che le "inferenze" siano il frutto di forme automatizzate di trattamento […]. Un ulteriore elemento della nozione di profilazione è la sua finalizzazione alla valutazione di aspetti della persona o la previsione di comportamenti futuri. La semplice indicazione di un carattere anagrafico, per di più approssimato, quale l'anzianità non implica alcuna valutazione sulla persona […] né una previsione su specifici comportamenti. Altrimenti, si dovrebbe ritenere profilazione ogni annotazione ad esempio sull'essere l'interessato sotto o sopra una data soglia di età, eventualmente rilevante per potere accedere o meno a tariffe, agevolazioni ecc. Anche l'indicazione delle soglie di spesa non era compiuta per valutare o giudicare la capacità economica bensì solo per la pertinenza delle specifiche offerte da proporre […]”;

- “Anche a volere assumere che i trattamenti costituissero profilazioni, la scrivente ritiene non condivisibile la contestazione sull'incompletezza della notifica a codesto Garante. Quest'ultima avviene con una modulistica che prevede descrizioni schematiche, gioco forza sommarie rispetto alle innumerevoli possibili varianti in concreto dei trattamenti. Nella specie, la notifica di Fastweb individua i destinatari -clienti o utenti anche potenziali - le finalità commerciali o di marketing diretto, il procedere mediante «Raccolta di dati presso l'interessato» e «raccolta di dati tramite schede, coupon e questionari», in quest'ultimo caso senza limitazione alla forma scritta. Dal che, dalla lettura combinata del provvedimento del 27 aprile 2018 e della contestazione non emergono elementi per identificare per quali profili la notificazione fosse incompleta”;

- “[…] la scrivente osserva che la contestazione ex art. 164-bis, comma 2, fa riferimento al fenomeno dei contatti "fuori lista" […]. Le violazioni rilevanti per la norma sono quelle «in relazione a banche di dati di particolare rilevanza o dimensioni». I contatti "fuori lista”, tuttavia, sono avvenuti per definizione al di fuori delle banche dati create da Fastweb e messe a disposizione delle agenzie. Per quanto noto, nei singoli casi tali contatti potrebbero essere avvenuti con contatti estemporanei, sulla base di informazioni non sistematizzate in una banca dati. Gli esiti dei contatti venivano esportati sul sistema di Fastweb solo dopo essere avvenuti, sicché la condotta in ipotesi illecita precede la sua rappresentazione in una banca dati. Per un'ipotesi del genere, si potrebbe semmai porre il tema del "coinvolgimento di numerosi interessati", che è considerato dall'art. 164-bis, comma 3, in alternativa rispetto all'ipotesi di cui al comma 2. I maggiori limiti edittali di cui al comma 3, ad ogni modo, non costituiscono una fattispecie autonoma di illecito. Se pure si ritenesse l'art. 164-bis, comma 2, applicabile, i dati coinvolti andrebbero ridimensionati secondo quanto detto in precedenza, con quanto ne consegue sull'imputabilità diretta della condotta a Fastweb […]. Non vi sarebbe dunque spazio per applicare a Fastweb la fattispecie in questione”;

RITENUTO che le argomentazioni addotte da Fastweb non consentono di escludere la responsabilità della Società in ordine alla violazione contestata, per le seguenti ragioni:

- deve in primo luogo tenersi in considerazione che il provvedimento n. 235 del 18 aprile 2018 e, prima ancora, gli esiti dell’istruttoria e degli accertamenti ispettivi svolti dall’Ufficio del Garante, hanno portato alla luce una situazione particolarmente allarmante con riferimento alla complessiva realizzazione delle campagne promozionali da parte e nell’interesse di Fastweb;

- le attività di accertamento svolte dall’Ufficio e le complessive valutazioni espresse nel provvedimento del 18 aprile 2018 consentono di analizzare le condotte oggetto di contestazione non attraverso una parcellizzazione delle singole operazioni e dei soggetti del trattamento coinvolti, inidonea a delineare il complessivo impatto che tali condotte hanno avuto sulla sfera dei diritti degli interessati, ma in un’ottica di “sistema” che deve essere costantemente tenuta in considerazione dal titolare nel momento in cui procede a trattamenti di una rilevante quantità di dati personali, in particolare nel pervasivo ambito delle attività promo-pubblicitarie;

- tale ottica impone all’Autorità di adottare determinazioni e promuovere interventi idonei ad incidere sul complesso delle attività svolte e indirizzarle in primis nei confronti dell’unico soggetto in grado di imprimere significativi cambiamenti alla generalità delle operazioni di trattamento, e cioè il titolare;

- tale impostazione è stata chiaramente esplicitata nel provvedimento a carattere generale del 15 giugno 2011 avente ad oggetto la “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”, pubblicato nella G.U. n. 153 del 4 luglio 2011 (in www.gpdp.it, doc web n. 1821257), nel quale, fra l’altro si evidenzia che “le agenzie in outsourcing che effettuano il trattamento di dati personali […] non possono essere considerate quali titolari autonomi, dal momento che all´asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l´esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto: assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi; impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile; svolgere funzioni di controllo rispetto all´operato degli outsourcer medesimi”;

- nei casi esaminati con il provvedimento del 18 aprile 2018 non può che ricondursi alla responsabilità di Fastweb il complesso delle anomalie accertate, sia quelle direttamente collegate alle attività della società, sia quelle connesse ad operazioni svolte dalle agenzie e dai partner commerciali della medesima, posto che Fastweb era nelle condizioni di avvedersi dell’enorme numero di contatti di soggetti non inseriti nelle liste fornite ai call-center, del mancato incrocio delle numerazioni con la black-list della società e con il registro delle opposizioni e della rilevante quantità di segnalazioni di interessati che lamentavano contatti indesiderati per conto della stessa Fastweb;

- per quanto riguarda gli aspetti connessi alla omessa notificazione al Garante delle attività di profilazione, deve confermarsi la sussistenza di tale profilo di violazione, posto che Fastweb ha notificato all’Autorità i soli trattamenti di “profilazione aggregata in base al provv. Garante del 21/01/2010” (annotazione riportata nel documento di notificazione presente nel registro dei trattamenti) e non quelli di profilazione volta a individualizzare le offerte commerciali, rilevati dal provvedimento del 18 aprile 2018. Deve altresì evidenziarsi che, dall’esame del punto 4, lett. a), b) e c) della deliberazione del Garante n. 1 del 31 marzo 2004, relativa ai casi da sottrarre all’obbligo di notificazione (in www.gpdp.it, doc. web n. 852561), i trattamenti di profilazione descritti nel provvedimento del 18 aprile 2018, non rientrano nei casi di esclusione dell’obbligo di notificazione previsto dall’art. 37 del Codice;

- con riferimento, infine, alla contestata violazione di cui all’art. 164-bis, comma 2, deve evidenziarsi che i dati acquisiti nel corso delle attività di profilazione sono andati ad arricchire i database societari e hanno riguardato più di un milione di utenze. Quanto ai dati trattati nell’ambito delle attività promozionali, gli stessi si riferiscono a oltre otto milioni di contatti e anche tali dati sono confluiti nei database di Fastweb, giacché proprio attraverso l’analisi delle banche di dati della Società è stato possibile ricostruire le modalità di svolgimento delle campagne di marketing. Con riferimento ai dati cd. “fuori lista”, deve in ogni caso rappresentarsi che gli stessi, pur se non facenti parte ab origine del patrimonio di anagrafiche nella disponibilità di Fastweb, costituiscono un insieme organico di particolare rilevanza e dimensione di dati personali tutti sottoposti alle medesime procedure operative, utilizzato per conseguire l’obiettivo commerciale della Società. Per l’utilizzo di tale insieme di dati devono essere pertanto applicate le cautele e le tutele rafforzate che l’ordinamento ha inteso introdurre attraverso il comma 2 dell’art. 164-bis, del Codice;

RILEVATO, quindi, che Fastweb S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai punti a), b), c) e d) dell’atto di contestazione n. 13913/120543 dell’11 maggio 2018, per le quali è intervenuta la definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui ai punti a), b), c) e d) in relazione a banche dati di particolare rilevanza e dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che punisce le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162, comma 2,162-bis e 164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di rilevante gravità tenuto conto della molteplicità delle condotte illecite poste in essere nell’arco temporale oggetto di esame, della numerosità dei soggetti del trattamento che hanno contribuito a determinare il complessivo quadro di violazioni, nonché della mancata adozione, da parte di Fastweb, di stringenti forme di controllo nei confronti dei propri partner commerciali al fine di scoraggiare le pratiche non conformi alle disposizioni in materia di protezione dei dati personali;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Fastweb, come evidenziato anche nel provvedimento del 18 aprile 2018, abbia “introdotto in via autonoma primi accorgimenti […] confluiti in alcune misure volte a rafforzare il controllo sulla corretta esecuzione delle campagne commerciali” e abbia “comunicato i primi risultati frutto della messa a punto di un più rigoroso sistema di monitoraggio (mediante apposita reportistica), dell'operato della propria rete di vendita (mettendo a parte l'Autorità di alcune delle misure "sanzionatorie" adottate nei confronti di partner rispetto ai quali ha riscontrato la violazione delle condizioni contrattualmente stabilite), sia con riguardo al fenomeno dei cd. "fuori lista" […], sia in relazione all'effettuazione di contatti commerciali da parte dei partner in tempi successivi a quelli stabiliti per la validità delle liste ("Fuori range") e, ancora, in relazione al fenomeno delle cd. referenze”. 

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione, anche nella veste di responsabile solidale del pagamento della sanzione amministrativa;

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio ordinario d’esercizio per l’anno 2017; 

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 150.000 (centocinquantamila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare ai dati relativi al patrimonio netto, all’utile complessivo dell’esercizio, al valore della produzione e al margine operativo lordo (EBITDA), nonché alla circostanza che Fastweb S.p.A. risulta detenere una rilevante quota di mercato nel settore delle telecomunicazioni in Italia (circa 1.160.000 linee mobili totali e circa 2.451.000 linee residenziali) la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 150.000 a € 600.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

ORDINA

a Fastweb S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Caracciolo n. 51, C.F. 12878470157, di pagare la somma di euro 600.000 (seicentomila) a titolo di sanzione amministrativa pecuniaria per la violazione indicata in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 600.000 (seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero. 

Roma, 26 luglio 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia 

 
leggi limitazioni copyright - leggi il disclimer
 
 
       
     
TESTI NORMATIVI SERVIZI NEWS SHOP/DOWNLOAD CONTATTI
 
 
DISCLIMER
leggi il disclimer
 
COPYRIGHT
leggi limitazioni copyright
 
CREDITS
Credits