Registro dei provvedimenti n. 224 del 12 novembre 2020
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;
RELATORE il dott. Agostino Ghiglia;
1. L’ATTIVITÀ ISTRUTTORIA SVOLTA
1.1. Premessa
Con atto n. 29210/20 del 31 luglio 2020 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Vodafone Italia S.p.A. (di seguito “Vodafone” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017.
Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di centinaia di segnalazioni e reclami inviati da interessati che lamentavano e ancora oggi lamentano continui contatti telefonici indesiderati effettuati da Vodafone e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.
Il fenomeno delle chiamate e dei contatti promozionali indesiderati è ben noto alla Società, la quale, nel corso degli ultimi 15 anni, è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve. In particolare meritano menzione i provvedimenti n. 140 dell’8 marzo 2018 (in www.gpdp.it, doc. web n. 8233539) e n. 412 del 5 luglio 2018 (in www.gpdp.it, doc. web n. 9025351), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms che Vodafone e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.
Nonostante l’ampia attività provvedimentale e l’interlocuzione costante fra Garante e compagnie telefoniche, dal dicembre 2018 al novembre 2019, Vodafone è stata destinataria di quattro richieste di informazioni cumulative (19 dicembre 2018, 7 marzo 2019, 27 giugno 2019 e 26 novembre 2019), che hanno preso in esame 328 segnalazioni, ciascuna delle quali lamentava la ricezione di una o più telefonate promozionali indesiderate, effettuate per conto della Società. Se si considerano anche i 40 reclami presentati ai sensi dell’art. 77 del Regolamento, che il Garante ha trattato, nella fase istruttoria, singolarmente e le segnalazioni pervenute dopo le ultime richieste di informazioni, l’Ufficio, dal dicembre 2018 al 17 giugno 2020 ha aperto 438 fascicoli nei confronti di Vodafone, in massima parte riguardanti le attività di telemarketing e di invio di messaggi promozionali da parte o per conto della Società. Nel periodo considerato l’interlocuzione con segnalanti e reclamanti, nonché con la stessa Vodafone ha determinato la registrazione al protocollo dell’Autorità di 758 missive in ingresso.
I dati di cui sopra evidenziano il considerevole impatto che le attività di Vodafone, in massima parte portate all’attenzione con riferimento al telemarketing e all’invio di messaggi promozionali, assumono nella complessiva attività dell’Ufficio: già soltanto dall’esame dei numeri sopra riportati non può non evidenziarsi che per una importante quota di utenti (la maggior parte dei quali, non si rivolge all’Autorità con segnalazioni e reclami) le attività promozionali così come impostate rappresentano un’intrusione nella sfera della propria riservatezza, allo stato difficilmente arginabile.
1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, del 7 febbraio 2020, e il riscontro fornito da Vodafone
L’Ufficio ha provveduto ad enucleare le criticità maggiormente ricorrenti e ha inviato il 7 febbraio 2020 a Vodafone una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, contenente alcuni quesiti relativi alle modalità di svolgimento delle attività di telemarketing.
Partendo dal dato, emerso dalle richieste cumulative, di un considerevole numero di chiamate promozionali (361 a fronte di 328 segnalazioni) che Vodafone ha dichiarato non essere state effettuate da numerazioni della propria rete di vendita, si è chiesto alla Società di far conoscere quali misure fossero state poste in essere al fine di escludere che da contatti provenienti da tali numerazioni fossero stati poi perfezionati contratti o attivate utenze Vodafone, e in base a quali procedure la Società aveva verificato che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, fosse avvenuta a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Vodafone.
È stato quindi richiesto alla Società di illustrare le procedure relative al contatto dei clienti effettuato per finalità di “gestione e revoca del consenso commerciale”, e, in particolare, quelle osservate nei numerosi contatti operati nei confronti di un reclamante, attività oggetto di specifico riscontro in data 18 gennaio 2019.
Con riferimento all’utilizzo di liste di anagrafiche per lo svolgimento di attività di contatto promozionale, provenienti dai fornitori o partner “Seisicuro.it”, “Ids.Sphk” (con cessione a Sales s.r.l.), “Nos”, “Problem solving” e, più in generale, da soggetti terzi, si è richiesto di conoscere le modalità in base alle quali Vodafone verificasse la corretta acquisizione, da parte dei predetti soggetti, del consenso degli interessati per finalità commerciali e per la comunicazione a terzi e la distribuzione delle responsabilità nell’ambito del correlato trattamento. Si è altresì richiesto di indicare il numero dei contatti promozionali operati, nel corso del 2019, mediante l’utilizzo di tali liste, nonché il numero dei contratti e delle attivazioni realizzate a seguito dei predetti contatti.
Nel riscontro fornito il 26 febbraio 2020, Vodafone ha, in primo luogo illustrato le procedure di controllo volte ad impedire l’ingresso nei sistemi Vodafone di attivazioni proposte da soggetti estranei alla propria rete di vendita. “Primo controllo: sono stati nuovamente inseriti tutti i numeri contattati dalle numerazioni chiamanti non Vodafone, di cui alle precedenti quattro richieste di informazione dell’Autorità, all’interno del sistema Vodafone Deduplica Liste (di seguito VDL) – sistema di Campaign Management per la distribuzione, gestione e monitoraggio delle attività oggetto dell’Accordo Quadro con i Partner Teleseller e Agenzie (di seguito Partner), […]. Il sistema VDL verifica preventivamente le liste di numerazioni potenzialmente contattabili, caricate nello stesso da Vodafone o dai Partner, ed esclude le numerazioni: presenti sul Registro delle Opposizioni; presenti sulla Black List Vodafone (ovvero la lista delle numerazioni rese non contattabili per via della revoca del consenso commerciali); già assegnate per lo stesso mese ad altri Partner, anche se per Campagne diverse. Da tale controllo è emerso che nessuno dei numeri contattati, oggetto delle quattro richieste di informazioni, faceva parte di liste precedentemente autorizzate da Vodafone. La procedura sopra descritta viene applicata automaticamente ed in modo sistematico per ogni Campagna. Secondo controllo: sono state nuovamente verificate le numerazioni chiamanti non riconducibili a Vodafone oggetto della richiesta, attraverso l’esame dei cosiddetti “cartellini di chiamata” (ovvero i Web form compilati dai Partner che riportano gli esiti di chiamata delle numerazioni contattate, precedentemente filtrate da VDL). Da tale nuovo controllo è emerso che tra le 1631 numerazioni chiamanti, tre numerazioni […] risultano utilizzate da un Partner Vodafone (NOS Srls) ed hanno generato diciotto “cartellini di chiamata” relativi a contatti su numerazioni comunque diverse da quelle dei segnalanti e che in ogni caso non hanno prodotto alcun contratto o attivazione di servizi Vodafone (Esiti identificati ad oggi nel sistema con il codice 200 – OK - VENDITA). Fatto salvo tutto quanto sopra, preme dare informazione del fatto che, in taluni casi, quando la Scrivente è venuta a conoscenza, tramite segnalazioni ricorrenti da parte degli utenti, di numerazioni chiamanti non riconducibili a Vodafone, ha provveduto a sporgere formale denuncia-querela presso le Autorità competenti […]. Da ultimo e sempre con riferimento alla descrizione delle misure poste in essere da Vodafone al fine di escludere che da contatti provenienti da numerazioni non riconducibili a Partner Vodafone siano stati poi perfezionati contratti, la Scrivente ha di recente implementato una cosiddetta “Black List dei numeri chiamanti”, in cui vengono inserite, a seguito di segnalazioni e/o reclami, le numerazioni chiamanti non riconducibili a Vodafone. Qualora una delle suddette numerazioni venisse dichiarata successivamente da un Partner come propria, in fase di caricamento in VDL delle numerazioni in uso allo stesso (cosiddette “certificazioni”), verrà immediatamente inviata una comunicazione ai responsabili della Direzione Vodafone preposta (Outbound & One to One), per tutte le opportune verifiche nonché l’immediato richiamo al Partner ad ottemperare alle numerose prescrizioni in vigore”.
Vodafone ha inoltre evidenziato che le “procedure aziendali con le quali la Società verifica che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, avvenga a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Vodafone”. Anche in questo caso Vodafone ha fatto integrale richiamo alle funzionalità del sistema VDL, rappresentando che “a seguito dell’attivazione di un’utenza o servizio viene effettuato il controllo verificando che il contatto che ha prodotto la vendita sia stato effettuato su una numerazione caricata su VDL in quanto presente in una lista fornita o autorizzata da Vodafone”. La Società ha quindi illustrato il complesso di regole aziendali che tutti i Partner che prestano la loro attività di call center, teleselling e agenzia devono accettare e sottoscrivere con riferimento all’utilizzo delle liste di soggetti da contattare (accordi quadro di appalto di “Servizi chiamate inbound e outbound” e di “Agenzia One to One”, Codice di condotta e Regole di contatto, documenti tecnici nei quali vengono definiti i contenuti delle singole attività oggetto di fornitura e vengono normati i processi, i volumi, le performance ed i termini economici delle singole campagne, disciplina delle penali) evidenziando inoltre che la violazione di quanto previsto nelle Regole di contatto, verificabile attraverso il controllo dei “cartellini di chiamata”, può determinare l’invio di apposite diffide al Partner di riferimento, con o senza applicazione di penali. In caso di violazioni reiterate è prevista la risoluzione contrattuale.
Con riferimento alla gestione dei consensi promozionali e commerciali, e alle eventuali revoche, Vodafone ha fatto presente che tale attività si divide in “[…] 1. Gestione Consensi da canali non assistiti […]; 2. Gestione Consensi da canali assistiti” esibendo un documento con il quale la Società fornisce agli operatori di call center (canale 190) e agli addetti alla gestione delle richieste pervenute via posta cartacea o via email le informazioni necessarie per gestire le richieste aventi ad oggetto i consensi privacy, tra cui la revoca del consenso commerciale. In tutti questi casi la procedura prevede la revoca diretta del consenso commerciale attraverso l’utilizzo dell’applicativo Omnitel Customer Administration, utilizzato dal personale Vodafone. Quanto ai teleseller il documento fornisce agli operatori che effettuano contatti commerciali le informazioni necessarie per gestire le richieste di revoca del consenso commerciale in fase di contatto. In questo caso, non essendo l’applicativo OCA direttamente a disposizione degli operatori, poiché esterni rispetto all’organizzazione aziendale, la procedura prevede che la richiesta di revoca del consenso venga evidenziata come esito del contatto commerciale, esito che si riversa successivamente nelle black list di Vodafone.
Con riferimento all’utilizzo di liste di anagrafiche provenienti da soggetti terzi per lo svolgimento di attività promozionali, Vodafone ha preliminarmente indicato le caratteristiche dei partner che sono stati individuati nella richiesta di informazioni: SeiSicuro.it è un list provider della società Innovairre s.r.l., che ha acquisito l’agenzia di fundraising IDMC, quest’ultima legata contrattualmente a Vodafone fino al 31 marzo 2019. Nos Srls, già Cooperativa Nuovi Orizzonti è un’agenzia partner di Vodafone che utilizza anagrafiche acquisite da Nova TLC Srls, e da KData Ltd. (società con sede in Londra). Fornisce altresì il servizio di caricamento delle anagrafiche appartenenti al DBU – Data Base Unico. IDS Sh.p.k, società di diritto albanese, è un teleseller partner di Vodafone che opera anche in qualità di list provider, cedendo anagrafiche a Sales Srl. Fino a giugno 2019 ha utilizzato solo liste fornite da Vodafone, mentre a partire da luglio 2019 ha iniziato a utilizzare liste di CheBuoni.it s.r.l. Problem Solving s.r.l. è un teleseller partner di Vodafone che si avvale del list provider AdOpera.
Quindi Vodafone ha rappresentato che la corretta acquisizione del consenso commerciale e per comunicazione a terzi ricade sotto la responsabilità dei list provider che hanno curato la raccolta dei dati personali, ed è contrattualmente in capo a questi ultimi.
La società ha inoltre illustrato il complesso di attività effettuate internamente dalla funzione Privacy & Information Security Governance e dalla funzione Outbound & One to One volte finalizzate a: la verifica delle procedure con cui il list provider raccoglie il consenso; la verifica dell’informativa privacy fornita dal medesimo; la verifica su specifiche numerazioni con richieste di esibizione della documentazione attestante la raccolta del consenso commerciale. Inoltre Vodafone ha avviato, a partire da novembre 2018, un piano pluriennale di vigilanza privacy sulle terze parti nominate responsabili del trattamento, al fine di rilevare il livello di conformità ai requisiti imposti dalla normativa vigente in materia di privacy. Tale programma di vigilanza ha interessato, ad oggi, 57 fornitori, tra cui 20 partner, sottoposti a procedure di audit che hanno coinvolto anche i partner IDS Sh.p.k., Nos S.r.l.s. e Problem Solving s.r.l. Nel corso degli audit svolti da soggetto terzo rispetto a Vodafone sono state verificate le misure di sicurezza per la composizione delle liste commerciali e gli obblighi relativi al trattamento dei dati per chiamate a scopi commerciali. Per tutti i soggetti le verifiche sul campo hanno indicato un alto livello di conformità anche con riferimento all’acquisizione del consenso e all’informativa resa.
Con riferimento al numero dei contatti operati e al numero dei contratti realizzati in base all’attività di soggetti terzi, nel corso dell’anno 2019, Vodafone ha esibito le tabelle che seguono:
riepilogo delle attività dei partner di cui alla richiesta di informazioni
Partner Numero contatti effettuati Numero contatti realizzati List provider del Partner
NOS SRLS 936201 6057 KDATA, NOVA TLC
PROBLEM SOLVING 2972365 12584 Data Base Unico, Adopera
SEISICURO 112732 239 Innovairre
IDS 647060 95 IDS
attività svolta con l’utilizzo di list provider legati contrattualmente ai teleseller
List Provider dei Partner Numero contatti effettuati
Numero contatti realizzati
Empowercall: Spin Up
Flipcall: Supermoney
Mediacom: ClickAdv
Eutel: Risparmia tu
Ids: CheBuoni
Numbers: Spin Up
Assist: Impiego 24
Problem Solving: Ad-Opera 3302056 12621
attività svolta con l’utilizzo di list provider legati contrattualmente a Vodafone
List Provider di Vodafone Numero contatti effettuati Numero contatti realizzati
Adsalsa, Egentic, SpinUp, Supermoney, Bakeca, Innovairre, CheBuoni 4309962 11703
1.3 I reclami istruiti singolarmente
Oltre alle questioni trattate mediante le richieste cumulative nel corso del 2019 e la richiesta di informazioni del 7 febbraio 2020, l’Ufficio ha curato l’istruttoria dei reclami presentati dagli interessati, con richieste di elementi e inviti a consentire l’esercizio dei diritti dei medesimi, ai sensi degli artt. 15-22 del Regolamento.
I reclami, che hanno poi formato oggetto di trattazione unitaria con il procedimento principale, in base a quanto previsto dagli artt. 10, comma 4, del regolamento dell’Ufficio del Garante n. 1/2019 e 8, comma 2, del regolamento n. 2/2019 possono suddividersi in base alle questioni e agli argomenti sollevati, in diversi gruppi.
Un primo gruppo è relativo a reclami aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Vodafone: fascicolo 139840, con riferimento ai contatti lamentati dal reclamante, Vodafone ha fornito riscontro rappresentando che tali contatti sono stati posti in essere dalla società di diritto albanese Promarketing Sh.p.k., proprio partner, per un “errore umano” causato da una cattiva gestione dei cd. “referenziati”, ovvero dei soggetti le cui anagrafiche sono state suggerite da altri utenti Vodafone; fascicolo 142897, il reclamante ha lamentato la ricezione di almeno 4/5 sms pubblicitari al mese dal 2018 da parte di Vodafone, nonostante lo stesso avesse provveduto a comunicare alla società il proprio diniego alla ricezione di messaggi pubblicitari. Relativamente alla richiesta di revoca del consenso che il segnalante fa risalire al 2018, Vodafone ha dichiarato di non avere evidenza della stessa ma di far risalire tale revoca alla data del 1° marzo 2019. Quest’ultima, “per un mero errore umano” non sarebbe stata registrata ragione per cui il reclamante avrebbe continuato a ricevere messaggi promozionali fino al gennaio 2020; fascicolo 146313, il reclamante ha lamentato la ricezione di numerosi messaggi promozionali su due utenze mobili, nonostante all’atto dell’attivazione delle stesse (avvenuta nel giugno 2019) lo stesso avesse espressamente negato il consenso ai trattamenti per finalità pubblicitarie. Vodafone ha confermato che in sede di attivazione delle utenze il reclamante ha espressamente negato il consenso alla ricezione di messaggi promozionali e che, “evidentemente per un errore di lettura del sistema”, tale diniego non è stato registrato; fascicolo 141251, il reclamante ha lamentato nel corso del tempo, numerosi contatti indesiderati per conto di Vodafone alle proprie utenze fisse e mobili, anche tramite sms. Il reclamante ha prodotto i numerosi riscontri forniti da Vodafone con i quali è stata garantita l’inclusione delle utenze del medesimo nelle black list della società. Tuttavia i contatti sono proseguiti Vodafone al riguardo ha rappresentato che le numerazioni richiamate non sono riconducibili alla società o a propri partner; fascicoli 146902, 147632, 142784, nei quali gli interessati hanno lamentato la ricezione di chiamate promozionali, sulle proprie utenze fisse o mobili, per conto di Vodafone. Al riguardo Vodafone ha rappresentato che le numerazioni citate nei reclami non sono riconducibili a Vodafone né utilizzate dalla stessa Vodafone e/o da propri partner per finalità commerciali.
Un secondo gruppo di reclami riguarda la gestione del patrimonio dei dati da parte di Vodafone. In tale ambito assume particolare rilevanza la casistica riguardante un fenomeno piuttosto diffuso, riferito da numerosi reclamanti i quali hanno lamentato di essere stati contattati, in genere a seguito della segnalazione di un guasto, da call-center facenti capo ad altre compagnie telefoniche oppure da soggetti che, a nome di Vodafone, richiedevano ai clienti di inviare la copia di un documento d’identità tramite messaggio Whatsapp: fascicolo 132730, il reclamante ha rappresentato di aver comunicato a Vodafone un malfunzionamento della rete dati e di aver successivamente ricevuto “un messaggio WhatsApp con logo Vodafone” da parte di un sedicente tecnico della società che, al fine di programmare un intervento presso l’abitazione richiedeva di inviare un documento d’identità. Successivamente il segnalante ha ricevuto una telefonata da un call center apparentemente riconducibile ad altra compagnia telefonica che ha proposto alla reclamante la migrazione della propria utenza; fascicolo 138384, il reclamante ha dichiarato: “venivo contattato dal numero […] il quale mi chiedeva se era stato risolto il guasto riferito alla linea […], alla mia risposta positiva la stessa operatrice mi diceva che Vodafone dalla prossima fattura applicava una modifica unilaterale del contratto con l'aumento di euro 13 al mese sulla linea in oggetto e si dava la possibilità di passare ad altro operatore […]”; fascicolo 140753, il reclamante ha riferito di aver contattato Vodafone per un malfunzionamento della linea fissa. A seguito di diverse chiamate, finalizzate a sollecitare la risoluzione del problema, lo stesso riceveva una telefonata sulla propria utenza mobile da parte di un sedicente “centro di assistenza Vodafone” che, dopo aver indicato gli esatti codici del ticket aperto, richiedeva l’invio tramite Whatsapp di un documento d’identità; fascicolo 143923, il reclamante ha rappresentato di avere avuto ricorrentemente disservizi sulla linea fissa Vodafone, segnalati al servizio clienti Vodafone, e di avere quindi ricevuto una chiamata da parte di un operatore che preannunciava l’accesso da parte di un tecnico di altra compagnia telefonica e per la acquisizione di copia del documento d’identità del reclamante; fascicoli 140991, 141181, 146055 e 148012 che hanno evidenziato medesime problematiche legate a indebite richieste di documenti tramite WhatsApp da parte di sedicenti operatori Vodafone a seguito di segnalazioni di malfunzionamenti da parte dei clienti o al completamento di richieste di portabilità.
Con riferimento al complessivo fenomeno, Vodafone ha rappresentato, in primis, che le procedure descritte non rientrano fra quelle standard adottate dalla Società per la gestione dei casi di malfunzionamento e che i contatti non sono risultati provenire da operatori incaricati da Vodafone, né da parte di proprie agenzie. Quindi ha evidenziato che già in altre occasioni, la Società ha ricevuto segnalazioni da parte della propria clientela per contatti da parte di soggetti vari che, durante la conversazione, proponevano il passaggio ad altri gestori, a causa di rincari sulle tariffe Vodafone o chiedevano documentazione personale necessaria per provvedere alla risoluzione delle problematiche tecniche. A seguito poi di approfondimenti, è emerso che i contatti di regola vengono effettuati da persone che dispongono di nome, cognome, utenza ed in alcuni casi anche della tipologia di guasto segnalato dal cliente stesso. La Società ha quindi provveduto a sporgere denunce presso diverse Procure, e ad effettuare verifiche sulle credenziali di accesso ai database aziendali utilizzati per fornire assistenza tecnica ai clienti. Tali verifiche sono state estese anche alle piattaforme in uso presso altri operatori telefonici, utilizzati dagli operatori Vodafone. Inoltre la Società sta adottando sui propri sistemi dedicati alla gestione delle pratiche di acquisizione, provisioning e assurance, ulteriori misure di sicurezza fra le quali l'introduzione della Two Factor Authentication (2FA), il monitoraggio sui log di accesso ad alcuni database e specifiche campagne di security awareness.
Nell’ambito dell’istruttoria relativa al fascicolo 143923, Vodafone richiamava una più ampia relazione, inviata all’Autorità il 14 novembre 2019, con la quale si comunicavano “dettagli su quanto è emerso nell’ambito di un'attività di verifica e monitoraggio che è scaturita da una prima segnalazione, pervenuta il 4 giugno u.s. al Dipartimento di Security. In particolare, un account interno Vodafone, referente per il Call Center Almaviva di Catania, ha fornito nello stesso mese di giugno u.s. l'informazione relativa alla ricezione di reclami telefonici da parte di clienti già acquisiti mediante l'utilizzo del sistema denominato BTC - Business to Customer - che segnalavano di aver ricevuto chiamate da “operatori” che, presentandosi come addetti Vodafone, richiedevano l'invio, per la maggior parte via WhatsApp, di documenti d'identità al fine di “finalizzare la pratica”. A seguito della ricezione di ulteriori reclami, Vodafone ha avviato le indagini necessarie volte a capire se ci fossero dei collegamenti fra i predetti reclami e possibili accessi al portale BTC effettuati a fini fraudolenti. Le prime attività di verifica su log del sistema hanno evidenziato un collegamento diretto tra alcuni dei reclami telefonici pervenuti ed accessi effettuati sugli stessi numeri. […] L'analisi di dettaglio ha evidenziato che sino a fine di luglio u.s., 9 username hanno effettuato accessi “anomali” a BTC […]; 2 di questi riconducibili al fornitore Abramo, 7 riconducibili al fornitore Assist - Tirana (Albania). Il numero di pratiche visualizzate nelle modalità sopra descritte è risultato pari a 230, di cui 222 coincidente con reclami di clienti che hanno dichiarato di aver ricevuto un contatto come sopra riportato. […] Di questi 222 clienti: 79 hanno dichiarato di aver fornito un documento d'identità, in risposta alla chiamata di “presunti” call center; 43 di non aver fornito alcun documento d'identità; 100 clienti non hanno dichiarato nulla in proposito. […] Sono state prontamente messe in campo alcune azioni volte a contrastare le pratiche emerse, tra cui: irrobustimento delle credenziali di accesso tramite modalità di autenticazione Two Factor Authentication (2FA); Monitoraggio automatico su operazioni di lettura e scrittura sulle pratiche. […]Vodafone desidera però precisare che il fenomeno, descritto nella presente lettera, potrebbe verosimilmente avere una portata molto più ampia, coinvolgendo anche altre piattaforme di gestione non esclusivamente gestite dalla propria organizzazione”. Deve tuttavia evidenziarsi che, sempre in relazione al fascicolo 143923, con e-mail del 5 giugno 2020 inviata anche a Vodafone, il reclamante ha rappresentato di essere stato contattato da una numerazione non riconducibile alla Società, e ciò dopo aver segnalato il malfunzionamento della propria rete Internet
Un ulteriore insieme di reclami afferisce alla corretta gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento:
fascicolo 144980, il reclamante ha lamentato un contatto, nell’ottobre 2019, sulla propria utenza telefonica fissa iscritta nel Registro pubblico delle opposizioni e il mancato riscontro da parte di Vodafone alle richieste di esercizio dei diritti ai sensi degli artt. 15-22 del GDPR. In merito a tale reclamo, Vodafone ha fornito le proprie osservazioni evidenziando, anche in questo caso, che la chiamata promozionale è stata effettuata da utenza non riconducibile alla società o a propri partner e, quanto al mancato riscontro, ha rappresentato che ciò è avvenuto perché la richiesta non è confluita correttamente nei sistemi societari; fascicolo 140688, il reclamante ha lamentato l’associazione del contratto dallo stesso sottoscritto in rappresentanza della sua azienda ad una diversa anagrafica, e l’invio da parte di Vodafone di comunicazioni amministrative a soggetti estranei al reale intestatario dell’utenza, anche successivamente alla correzione dell’associazione anagrafica. Al riguardo Vodafone ha rappresentato, anche a seguito di specifica richiesta ex art. 157 dell’Autorità, atteso l’iniziale generico riscontro della Società al reclamante e al Garante, che il sistema di registrazione dei contratti IT Siebel in uso presso Vodafone effettua in automatico l’abbinamento di diverse anagrafiche in base al numero di partita IVA “non potendo comunque coesistere due anagrafiche con la stessa Partita Iva”. Tale associazione dovrebbe essere confermata da una procedura denominata “digital check call” che, nel caso in argomento, non è stata effettuata per un disguido. Alla richiesta dell’Autorità circa le misure messe in atto da Vodafone per evitare disguidi della medesima specie, la società ha risposto “la scrivente ritiene che sia raro che si verifichino le medesime circostanze e che, pertanto, tale evento rimanga confinato nella casualità ed esiguità di casi determinati da situazioni simili alla presente” attribuendo anche al reclamante parte delle responsabilità per non aver evidenziato l’esistenza di un pregresso rapporto contrattuale con la Società. Sono rimaste prive di un compiuto riscontro le richieste di fornire spiegazioni in ordine ad ulteriori erronei contatti operati da Vodafone anche a seguito della correzione delle anagrafiche; fascicolo 146374, il ricorrente ha lamentato l’indebito utilizzo da parte di Vodafone dei dati di una propria carta di credito per il pagamento degli addebiti mensili relativi ad una utenza telefonica fissa per la quale il reclamante aveva indicato, quale mezzo di pagamento, il bollettino postale. Nel riscontro, Vodafone ha rappresentato che “oltre alla linea fissa sopra riportata, il cliente era, in precedenza, titolare di differenti servizi con associati altrettanto differenti metodi di pagamento ivi incluso il metodo di pagamento con carta di credito indicata nel reclamo. Erroneamente, erano stati generati da sistema due distinti codici cliente con diversi metodi di pagamento e, in fase di normalizzazione (i.e. unificazione di codici clienti e metodi di pagamento rispetto al codice fiscale intestato al cliente) veniva associato all’utenza fissa in questione il metodo di pagamento (carta di credito) utilizzato per altre utenze”. Nelle repliche, il reclamante ha evidenziato che “all’epoca (anno 2020) in cui il “metodo di pagamento Carta di credito” (autorizzato per la sola utenza mobile) è stato esteso all’utenza fissa (per la quale l’unica modalità di pagamento autorizzata è quella del bollettino postale), l’utenza mobile non esisteva più già da quattro anni, in quanto disattivata in data 10.2.2016”; fascicolo 147775, il reclamante ha lamentato il ritardato riscontro da parte di Vodafone ad una richiesta di esercizio dei diritti (accesso ai dati personali) ai sensi dell’art. 15, par. 1, del Regolamento. Al riguardo la società ha rappresentato che “il cliente inviava a Vodafone il 16.01.2020 una richiesta di accesso ai propri dati personali alla quale la Scrivente società faceva seguito in data 24.02.2020 informando che non sarebbe stato possibile evadere la richiesta in quanto carente dei documenti di identità in corso di validità e di una firma leggibile. […]. Ad ogni buon conto, si precisa che la suddetta richiesta di accesso è stata gestita in data 24 giugno 2020”;
1.4 La chiusura dell’istruttoria e l’avvio del procedimento per l’adozione dei provvedimenti correttivi
Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato a Vodafone le seguenti violazioni:
a) violazione degli artt. 5, parr. 1 e 2, e 25, par. 1, del Regolamento, poiché la Società non ha provveduto, anche alla luce del rilevante numero di segnalazioni e reclami nonché di contatti promozionali in ordine ai quali ha disconosciuto la provenienza, a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Vodafone. La violazione coinvolge l’intera base clienti della società;
b) violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service - IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso Vodafone è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019;
c) violazione degli artt. 5, 6 e 7 e 21 del Regolamento, anche in relazione all’art. 130, commi 1, 2, 3 e 3-bis del Codice, con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, che Vodafone ha attribuito a generici errori umani o non documentati disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione (fascicoli nn. 139840, 142897 e 146313);
d) violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, per assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 132730, 138384, 140753, 143923, 140991, 141181, 146055 e 148012);
e) violazione dell’art. 33, par. 1, del Regolamento, per aver omesso di presentare al Garante la notificazione di una violazione di dati personali, con riferimento alle circostanze riportate nella nota del 14 novembre 2019;
f) violazione degli artt. 15, par. 1, e 16 del Regolamento, per aver omesso di dare piena attuazione a richieste di esercizio dei diritti degli interessati (fascicoli 144980, 140688, 146374 e 147775).
Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle osservazioni che di seguito si riassumono.
Con riferimento alla contestazione di cui al capo a), nell’atto di avvio del procedimento è stato evidenziato che la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei ad “escludere che da contatti provenienti da tali numerazioni [sconosciute] siano stati poi perfezionati contratti o attivate utenze Vodafone”. I controlli descritti dalla Società in sede di riscontro alle richieste di informazioni (effettuati sulle numerazioni e sui cartellini di chiamata compilati dai partner), non appaiono infatti idonei a fornire le garanzie che potrebbero invece essere assicurate se, al momento dell’attivazione dei servizi, venissero, ad esempio, indicati: il partner che ha operato il primo e i successivi contatti; le numerazioni telefoniche di contatto (debitamente censite nel ROC – Registro degli Operatori di Comunicazione); la lista di target utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto); lo script di chiamata e l’informativa letti dall’operatore di call center.
Inoltre, si è ritenuto che le conseguenze connesse alla mancata valorizzazione delle informazioni di cui sopra, e delle altre che, univocamente, consentirebbero di ricondurre i contatti promozionali e le relative attivazioni di servizi ad una corretta attività di telemarketing, non possono limitarsi a meri richiami dei partner inadempienti, ma devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti.
E’ stato osservato che l’assenza di iniziative come sopra delineate, in particolare in presenza di un numero così rilevante di chiamate disconosciute, fa emergere una grave falla nell’accountability di Vodafone S.p.A., nonché in alcuni elementi cardine del criterio di privacy by design (quali la prevenzione, la funzionalità, la sicurezza, la trasparenza del trattamento e la centralità dell’interessato), che può essere sapientemente sfruttata dai procacciatori “non ufficiali” per occupare spazi di mercato generando un indotto privo di garanzie per gli utenti e idoneo a determinare ulteriori conseguenze illecite, ad esempio per quanto concerne gli aspetti lavorativi e fiscali del settore.
È stato inoltre osservato che, dalle procedure descritte per la gestione delle campagne promozionali e delle correlate attivazioni, non si evince che il sistema VDL (deputato alla gestione delle campagne promozionali) possa “dialogare” in automatico con i sistemi preposti all’attivazione dei servizi e alla registrazione dei contratti. Al contrario, dai documenti prodotti emerge che la fase di gestione delle liste (governata da VDL) sia logicamente separata da quella di attivazione dell’offerta, che avviene in seguito alla registrazione di un vocal order formalmente corretto e del caricamento delle anagrafiche del nuovo cliente nei sistemi della società: una falla che potrebbe consentire di regolarizzare contatti di potenziali clienti programmati e realizzati senza osservare le disposizioni in materia di informativa, consenso, tutela della riservatezza e sicurezza che dovrebbero governare l’intero ciclo di trattamento, partendo dall’acquisizione delle liste di target, per passare al primo contatto promozionale, per concludersi con l’attivazione dei servizi, passaggi tutti che ricadono nella responsabilità del titolare del trattamento, quand’anche realizzati in autonomia da soggetti diversi.
Nell’atto di contestazione si è infine osservato che, senza un collegamento diretto e funzionale fra sistemi che organizzano le campagne promozionali e sistemi che acquisiscono i dati dei nuovi clienti e provvedono all’attivazione dei servizi, il titolare del trattamento non è nelle condizioni di garantire che i dati di tutti i clienti siano stati trattati, in ogni fase, nel rispetto delle disposizioni in materia di protezione dei dati personali. E ciò, specialmente in presenza del rilevante numero di chiamate disconosciute dal titolare e anche delle segnalazioni di numerosi utenti circa comportamenti degli operatori di call center non in linea con le regole deontologiche (atteggiamenti aggressivi e offensivi, false prospettazioni di condizioni economiche, mancata indicazione del soggetto che effettua la chiamata e dell’origine dei dati utilizzati per il contatto) che deve presumersi non avvengano nell’ambito della rete di vendita “ufficiale” del titolare.
Con riferimento alla contestazione di cui al capo b), con l’atto di avvio del procedimento si è proceduto, in primo luogo ad una ricognizione dei presupposti contrattuali e operativi che legano i diversi partner commerciali a Vodafone. In relazione alla posizione della società SeiSicuro.it è emerso che la stessa è partner di Innovairre s.r.l., già IDMC s.r.l. Queste due ultime società sono state legate a Vodafone da un contratto di licenza temporanea di database contenenti dati personali, nei quali non risulta riportata l’eventuale designazione delle stesse quali responsabili del trattamento ma, anzi, si specifica che “IDMC, ai fini del presente contratto, è titolare del trattamento delle anagrafiche, avendo acquisito, in qualità di concessionaria, i diritti di commercializzazione dei database costituiti da dati personali raccolti e gestiti in ottemperanza alla normativa privacy italiana ed europea. Tali database sono stati raccolti in qualità di titolare del trattamento dati dalle società RCS Mediagroup S.p.A., Proretail S.r.l., 6Sicuro S.p.A. e Impiego24.it S.r.l. e sono nella piena disponibilità giuridica della IDMC al fine della loro commercializzazione e comunicazione a terzi delle anagrafiche per finalità di marketing mezzo telefono con operatore (cd. Telemarketing)”. Anche per SeiSicuro.it, non è stata prodotta la designazione quale responsabile del trattamento. Le tre società, come si desume dalla documentazione inviata in sede di riscontro alla richiesta di informazioni ex art. 157 del Codice, non sono state coinvolte nel processo di audit effettuato da soggetto esterno al fine, tra l’altro, di verificare la corretta acquisizione del consenso.
Quanto a Nos s.r.l.s., la stessa risulta operare per conto di Vodafone (in qualità di teleseller e quindi per promuovere la conclusione di contratti relativi alla fornitura di servizi di telecomunicazioni) in virtù di una cessione di contratto stipulata con la cooperativa Nuovi Orizzonti. A tale cessione di contratto non ha fatto seguito, dalla documentazione prodotta, la designazione quale responsabile del trattamento da parte di Vodafone nei confronti del cessionario Nos s.r.l.s. Con riferimento al trattamento dei dati personali connessi alle attività di agenzia, non risulta nel contratto a suo tempo stipulato con Cooperativa Nuovi Orizzonti alcun riferimento a liste di anagrafiche acquisite da Nova Tlc Srls, e da Kdata ovvero ad attività di acquisizione di dati personali per conto di Vodafone. In base a tali risultanze (confermate anche dalle previsioni contrattuali che stabiliscono che “nel caso in cui l’agenzia intenda contattare telefonicamente potenziali clienti al fine di fissare appuntamenti o incontri per finalità promozionali, l’agenzia dovrà preventivamente chiedere a [Vodafone] di fornire una lista di utenti contattabili” e che “Vodafone provvederà all’applicazione di una penale per ogni vendita effettuata che determini un reclamo/contestazione presentata dal Cliente a Vodafone nel caso di trattamento illecito dei dati personali” nonché dagli script di chiamata che non fanno menzione delle due aziende) l’Ufficio ha ritenuto che Cooperativa Nuovi Orizzonti/Nos s.r.l.s. abbiano acquisito le liste di anagrafiche provenienti da Nova Tlc e Kdata in qualità di autonomi titolari, realizzando, nei confronti di Vodafone, una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).
Le medesime considerazioni sono state svolte con riferimento alle liste di anagrafiche acquisite tramite la società di diritto albanese Intercom Data Service - IDS Sh.p.k., giacché l’accordo quadro che regola le attività del teleseller per conto di Vodafone, che ha per oggetto l’esecuzione di servizi di gestione di chiamate outbound e inbound per la promozione di campagne commerciali, non fa menzione di attività di acquisizione di liste di anagrafiche per conto di Vodafone né della società Chebuoni.it s.r.l. (anche se, in questo caso, negli script di chiamata è presente un riferimento a quest’ultima società). Il contratto specifica peraltro che IDS può realizzare contatti utilizzando liste diverse da quelle fornite da Vodafone, ma in questo caso svolge tale attività in qualità di titolare del trattamento. Analogamente a quanto rilevato con riferimento alla società Nos, anche in questo caso si è ritenuto che IDS abbia acquisito le liste provenienti da Chebuoni.it in qualità di autonomo titolare, realizzando, nei confronti di Vodafone, una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).
Il medesimo accordo quadro di cui sopra regola anche i rapporti fra Vodafone e Problem Solving s.r.l., ragione per cui anche in questo caso, si è osservato che le liste fornite da AdOpera (delle quali non si fa menzione negli script di chiamata) risultano acquisite da Problem Solving in qualità di autonomo titolare e successivamente riversate nei sistemi Vodafone realizzando una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).
Con riferimento alla contestazione di cui al capo c), si è osservato che la generica indicazione di un “errore umano” o di un non documentato errore di sistema alla base di un indebito contatto, non è idonea a far venire meno la responsabilità della società, posto che un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi, in base a quanto stabilito, in termini generali, dall’art. 25 del Regolamento e, più nello specifico, dall’art. 12, paragrafo 1, in tema di trasparenza, dovrebbe portare a escludere la ricorrenza di siffatta tipologia di errori.
Con riferimento alle contestazioni di cui ai capi d) e e), nell’atto di avvio del procedimento si osserva, in relazione alla complessiva vicenda relativa ai contatti della clientela Vodafone volti a acquisire documenti di riconoscimento ovvero a proporre migrazioni delle utenze telefoniche, che nel corso del 2019 sono pervenute da Vodafone diverse notificazioni di “data breach” ma nessuna di esse appare riconducibile alla specifica violazione che ha interessato 222 clienti, portata all’attenzione dell’Autorità con la nota del 14 novembre 2019. Peraltro, l’esame delle diverse notificazioni ha evidenziato che accessi non consentiti ai database di Vodafone sono avvenuti non soltanto ad opera di personale di Abramo Albacall Tirana e Assist Tirana, ma anche di Comdata Service Lecce, Comdata Ivrea, Almaviva Service Romania, Assist Napoli, Comdata Roma e Almaviva Catania. Le violazioni hanno sempre avuto per oggetto il database CRM di Vodafone e hanno interessato dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento.
La vulnerabilità generale dei sistemi Vodafone alla luce delle dichiarazioni dei reclamanti e anche di quanto riferito dalla stessa Società, sembra non essere stata affrontata “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” così come prevede l’art. 32, par. 1, del Regolamento. In particolare, non risultano essere state poste in essere misure di proporzionata efficacia con riferimento alla capacità di assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento (art. 32, par. 1, lett. b) ma, soprattutto, alle procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. d) in considerazione dei molteplici accessi di personale dei partner commerciali ai database societari. Inoltre, con riferimento alle circostanze indicate nella relazione del 14 novembre 2019, dalle ricerche effettuate presso il protocollo dell’Ufficio, non risulta pervenuta all’Autorità la notificazione prevista dall’art. 33, par. 1, del Regolamento.
Con riferimento alla contestazione di cui al capo f), è stato osservato che le istruttorie relative ai fascicoli 144980, 140688, 146374 e 147775 hanno evidenziato, in un caso (fascicolo 149880), che Vodafone non ha fornito riscontro alle richieste del reclamante rappresentando che lo stesso avrebbe indirizzato le sue missive ad un indirizzo di posta elettronica certificata non corretto. Tuttavia, è stato evidenziato che l’indirizzo PEC vodafoneomnitel@pocert.vodafone.it, utilizzato per veicolare la richiesta del reclamante, corrisponde ad una utenza di posta elettronica certificata della Società (ancorché deputata alla gestione dei recessi contrattuali) e pertanto è stato considerato del tutto ingiustificato il mancato riscontro ad una missiva regolarmente pervenuta tramite mail certificata nei sistemi societari. Peraltro, si è osservato che l’indirizzo di posta certificata di cui sopra risulta essere stato utilizzato da altro reclamante (fascicolo 146313) al quale Vodafone ha fornito, in prima battuta, un regolare riscontro; nel secondo caso (fascicolo 140688), è emerso che Vodafone non ha provveduto alla tempestiva correzione delle informazioni anagrafiche relative al cliente, determinando il mancato pieno esercizio dei diritti dei diritti di cui all’art. 16 del Regolamento da parte dell’interessato; nel terzo caso (fascicolo 146374) si è osservato che i riscontri forniti da Vodafone in ordine alle ragioni dell’utilizzo della carta di credito di un cliente con riferimento a utenze e servizi per i quali era previsto un diverso metodo di pagamento, sono stati contraddetti dalle dichiarazioni del cliente stesso, in ordine alle quali Vodafone non ha fornito ulteriori elementi, impedendo un pieno esercizio dei diritti conoscitivi dell’interessato; nell’ultimo caso (fascicolo 147775 – esercizio dei diritti non consentito perché la richiesta non risultava sottoscritta graficamente e ad essa non risultava allegato un documento d’identità), appurato che la richiesta di esercizio dei diritti era stata sottoscritta digitalmente dal reclamante ma che il sistema non era ancora in grado di recepire documenti muniti di firma digitale, si è ribadito che la sottoscrizione digitale dei documenti ha il medesimo, se non superiore, valore della sottoscrizione “fisica”, quanto all’individuazione del sottoscrittore, e che quindi non può giustificarsi la configurazione di un sistema che “scarti” proprio i documenti firmati digitalmente impedendo di fatto un agevole esercizio dei propri diritti.
2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ
2.1 La memoria difensiva e l’audizione di Vodafone
In data 30 settembre 2020 Vodafone ha inviato all’Autorità la memoria difensiva prevista dall’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 20 ottobre 2020 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale, Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti.
Con riferimento al capo a), la Società ha in primo luogo ripercorso le varie attività svolte in ossequio ai principi di accountability e privacy by design (aggiornamento del registro dei trattamenti; verifica della corretta designazione dei soggetti del trattamento; effettuazione di oltre 70 DPIA individuando i trattamenti con finalità di telemarketing fra quelli ad alto rischio e necessitanti di attenti controlli anche delle terze parti; svolgimento di audit ai soggetti esterni nominati responsabili del trattamento, implementazioni del sistema VDL per la verifica delle numerazioni chiamanti e per l’acquisizione dei cartellini di chiamata; inasprimento delle penali e introduzione di un sistema automatico di penalizzazione pari a circa euro 250 per ogni singola vendita fuori lista; effettuazione di controlli a campione sulle modalità d raccolta dei consensi delle liste che vengono acquisite da partner esterni; introduzione della firma digitale tramite OTP per la sottoscrizione dei contratti; introduzione dell’obbligo, sin dal 2018 da parte di ciascun call center, di raccogliere e gestire in tempo reale l’eventuale opposizione al trattamento per finalità commerciali espressa dai soggetti contattati alimentando anche la black list; sensibilizzazione degli utenti per evitare che gli stessi accettino proposte commerciali da soggetti che non si presentino con le modalità e le garanzie per l’interessato indicate dalla società). Ha quindi rappresentato che con riferimento alla mole dei contatti indesiderati, i reclami ricevuti da codesta Autorità nell’arco temporale di un anno e mezzo (da dicembre 2018 a giugno 2020) corrispondono ad una percentuale esigua rispetto alle decine di milioni di chiamate promozionali effettuate.
La Società ha inoltre osservato che quanto prospettato dal Garante (secondo cui le conseguenze connesse alla mancata valorizzazione di informazioni idonee a garantire la corretta filiera del trattamento devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti) a parere di Vodafone contrasta con la normativa nazionale e regolamentare vigente nonché configura un inadempimento contrattuale rispetto ad un valido contratto perfezionatosi tra il cliente e la stessa Vodafone. Infatti ai sensi degli artt. 1321 e ss. del codice civile, anche nel caso in cui il contatto sia avvenuto su una numerazione non autorizzata da Vodafone, è stata comunque perfezionata la manifestazione di una volontà autonoma, libera da ogni condizionamento ed espressa di concludere un contratto che presenta tutti i requisiti di validità di cui all’art. 1325 c.c. nonché alla stregua della disciplina prevista dal codice del consumo. La mancata attivazione dei servizi esporrebbe Vodafone agli effetti civilistici dell’inadempimento contrattuale. Anche con riferimento al Codice del Consumo, Vodafone ha osservato che l’art. 59 attribuisce solamente al consumatore il diritto unilaterale, gratuito ed irrinunciabile di recedere dai contratti stipulati fuori dai locali commerciali o a distanza. A questo deve aggiungersi che, qualora Vodafone non procedesse all’attivazione dei servizi nei tempi contrattualmente previsti, il consumatore potrebbe anche far valere i propri diritti.
Quanto alla necessità di un collegamento diretto tra il sistema VDL e quello adibito all’attivazione dei contratti, Vodafone ha evidenziato che questa soluzione non appare idonea alla risoluzione del problema del cd. “sottobosco” di operatori di telemarketing abusivi che operano parallelamente alla rete di vendita ufficiale della Società, per i seguenti motivi: in caso di numerazioni chiamanti non registrate al ROC e non appartenenti ad alcun Partner, un siffatto controllo non potrebbe comunque impedire questo tipo di chiamate nel caso non vi fosse attivazione di servizi Vodafone in quanto tali contatti avverrebbero al di fuori dei sistemi direttamente collegati. Inoltre, il controllo, effettuato necessariamente ex post, non potrebbe impedire l’attivazione dei servizi, in base alle considerazioni di cui al precedente capoverso. Vodafone ha anche evidenziato che nemmeno l’introduzione di un sistema accentrato di gestione delle chiamate, operazione estremamente onerosa sotto il profilo costi/benefici e potenzialmente rischiosa per l’ampio periodo di latenza dei presidi attualmente introdotti a tutela degli utenti, potrebbe portare alla risoluzione del problema dei contatti non autorizzati poiché “è stato dimostrato ed è comprovato anche da codesta Autorità come tale opzione non permetta affatto di arginare il fenomeno. Al riguardo si riporta infatti quanto precisato da codesta Autorità nell’ordinanza di ingiunzione Wind Tre S.p.A. – 9 luglio 2020, doc. web n. 9435753, paragrafo 4.5, secondo cui “il sistema centralizzato di Campaign Management […] non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico”.
A parere di Vodafone, il fenomeno delle chiamate indesiderate potrà essere arginato operando sulla remunerazione delle vendite generate da contatti non autorizzati, “poiché la finalità di tali attività illecite è ottenere dalle società la remunerazione delle stesse”. A tale riguardo Vodafone ha indicato nel miglioramento in termini di pervasività, completezza e frequenza delle informazioni disponibili su VDL, nell’ulteriore irrigidimento dell’impianto sanzionatorio e nell’introduzione di un nuovo e più efficace processo di “detect” di prossima implementazione, i passaggi che porteranno nel prossimo futuro ad un “sensibile calo del fenomeno delle chiamate indesiderate da parte dei Partner di Vodafone in quanto, con le numerose misure previste dalla Scrivente, diventerà per tali soggetti particolarmente penalizzante concludere contratti attraverso contatti non autorizzati”.
Con riferimento alla contestazione di cui al capo b), Vodafone ha, in primo luogo, illustrato le principali caratteristiche in termini di ruoli, attività ed implicazioni, dei due principali modelli di business utilizzati nell’ambito delle attività di vendita a distanza.
Il primo modello prevede che il soggetto che effettua la promozione (teleseller) utilizzi liste proprie o acquistate da un soggetto terzo (list provider) in qualità di autonomo titolare del trattamento. Tale soggetto, che comunque viene designato da Vodafone quale responsabile per la successiva parte di contrattualizzazione, fornisce alla Società le liste esclusivamente per la scrematura delle anagrafiche presenti nel registro delle opposizioni e nelle black-list di Vodafone. Tale modello di business consente di mantenere inalterato, per le aziende che effettuano i contatti promozionali, il valore delle liste di cui dispongono, valore che verrebbe di fatto svuotato se per tali liste fosse necessario un doppio passaggio di consenso per poter essere lecitamente utilizzate con riferimento alle campagne promozionali dei soggetti committenti. In questo modello, Vodafone ha il dovere di verificare la qualità delle liste acquisite dal teleseller , verificare l’informativa fornita agli interessati, effettuare la deduplica sopra richiamata rispetto al Registro delle opposizioni e alle proprie black-list, verificare che ciascuna attivazione di utenza o servizio avvenga a seguito di un contatto operato sulla lista autorizzate.
Il secondo modello prevede l’acquisizione da parte di Vodafone delle liste in qualità di autonomo titolare, poiché nel consenso espresso dall’interessato anche per la comunicazione a terzi dei dati, è indicata la Società ovvero il settore commerciale di riferimento. In questo caso naturalmente Vodafone effettua tutti i controlli che il titolare è tenuto ad operare, con riferimento al consenso e alle modalità di acquisizione.
Quindi la società ha illustrato le singole posizioni emerse nel corso dell'istruttoria e nell'atto di avvio del procedimento, con riferimento ai diversi attori che intervengono nell’acquisizione di liste di anagrafiche.
Con riferimento a Seisicuro.it, Vodafone ha rappresentato che la stessa è un list provider di Innovairre s.r.l. società con la quale Vodafone aveva stipulato un contratto di licenza temporanea di database: in virtù di tale contratto Innovairre cedeva temporaneamente anagrafiche di cui era titolare a Vodafone. Non essendovi alcun rapporto contrattuale fra Vodafone e Seisicuro.it non vi era alcuna ragione di provvedere alla nomina di quest'ultima quale responsabile del trattamento. A maggior ragione non sussisteva alcun obbligo in capo a Vodafone di effettuare audit nei confronti di Seisicuro.it. Inoltre Vodafone ha contestato la circostanza che nell'ambito del contratto di licenza temporanea stipulato con Innovairre si sia realizzata un’ulteriore cessione di dati senza il consenso dell' interessato in quanto, seppur l'origine di tali dati fosse da attribuire a Seisicuro.it, il consenso rilasciato dagli interessati prevedeva la cessione dei dati a terzi tra cui Vodafone: l’interessato era pertanto pienamente consapevole che i propri dati sarebbero stati utilizzati per comunicazioni aventi ad oggetto offerte e servizi di Vodafone.
Quanto a Nos s.r.l.s., Vodafone ha osservato che la stessa è un'agenzia che opera per conto della Società ed è cessionaria del contratto originariamente in capo a Cooperativa Nuovi Orizzonti. A partire da novembre 2018 Nos è subentrata a Cooperativa Nuovi Orizzonti in tutti i rapporti attivi e passivi che erano in capo alla cedente compresa la nomina a responsabile del trattamento. A riguardo Vodafone ha rappresentato che l'istituto della cessione del contratto comporta quale effetto la sostituzione di un nuovo soggetto cessionario nella posizione giuridica attiva e passiva del cedente e il contraente ceduto (in tale caso Vodafone) può porre al cessionario tutte le eccezioni derivanti dal contratto. A riprova di ciò Vodafone ha rappresentato di aver condotto un audit su Nos s.r.l.s. Quest’ultima, inoltre, era autorizzata esclusivamente all'utilizzo di numerazioni estratte dal DBU sebbene abbia anche utilizzato numerazione raccolte da Kdata e Nova Tlc.
Con riferimento a Nos, Problem Solving e Ids Sh.p.k., Vodafone ha specificato che la fornitura di liste di anagrafiche da parte di queste società si realizza in base al primo modello di business illustrato nei riscontri alla richiesta di informazioni e nella memoria difensiva. In base a tale modello Vodafone può autorizzare l'utilizzo di liste che essi stessi hanno acquisito da list provider. In questo contesto i partner si qualificano quali titolari autonomi del trattamento delle liste di anagrafiche acquisite e possono utilizzarle per tutti i propri committenti in vari settori merceologici. Secondo tale impostazione, che sarebbe utilizzata anche da tutte le altre società che si avvalgono di teleseller e agenzie, Vodafone essendo estranea al rapporto principale di acquisto delle liste, diviene titolare di anagrafiche solo ed esclusivamente in caso di successiva contrattualizzazione dell'utente finale mentre non si ravvisa nella fase prodromica alla sottoscrizione contrattuale alcuna cessione senza consenso fra il partner e Vodafone. Al riguardo Vodafone ha fatto menzione di un parere acquisito da uno studio legale esterno il quale nel caso di liste di proprietà di partner o dagli stessi acquistate individua “una situazione di fatto complessa in cui per le operazioni di contatto di già-clienti Vodafone, o comunque di prospect non procacciati dal partner, quest'ultimo sembrerebbe sempre responsabile del trattamento della Società, per la quale agisce in virtù di un mandato con rappresentanza (“in nome e per conto di”) […]mentre per le operazioni di autonoma raccolta da parte del partner – a seguito di acquisto di una lista da un List Provider – deduplica tramite VDL e contatto dei prospect presenti in lista, il Partner sembrerebbe configurarsi quale titolare autonomo rispetto alla Società”. Vodafone ha inoltre osservato che quanto indicato nell'atto di contestazione circa la necessità di uno specifico consenso per la ulteriore cessione di dati nel caso del primo modello di business non sia in alcun modo fondata: da un esame svolto sia sulle relazioni annuali dell’Autorità che sugli ultimi provvedimenti, l'unica contestazione apparentemente simile a quella mossa a Vodafone può essere rinvenuta all'interno del provvedimento correttivo e sanzionatorio n. 232 dell' 11 dicembre 2019 (in www.gpdp.it, doc. web n. 9244365). Tale fattispecie tuttavia si differenzierebbe da quella contestata a Vodafone perché in quel caso si sarebbe verificata una doppia cessione da un list editor ad un list broker e da questi alla società sanzionata, mentre nel caso contestato a Vodafone non esisterebbe un secondo contratto di cessione: i partner, infatti, utilizzerebbero le liste che acquisiscono in virtù della propria autonomia imprenditoriale, secondo le proprie informative e i propri script di presentazione, richiedendo a Vodafone la sola autorizzazione all'utilizzo di tali liste poiché tale pratica rappresenta una deroga al contratto sottoscritto con la Società.
Con riferimento agli script di chiamata Vodafone rappresentato che quelli di propria competenza relativi al secondo modello di business sono stati revisionati nel Marzo 2020 con le corrette indicazioni della titolarità del trattamento e delle modalità per l'esercizio dei diritti. Quelli invece relativi al primo modello, per le ragioni sopra esposte, restano nella competenza dei partner.
Quanto ai numeri riportati nel riscontro alla richiesta di informazioni ex art. 157 del Codice, nello scorso febbraio, deve rappresentarsi che i 4.500.000 contatti si riferivano anche a interessati e contraenti presenti nel DBU. Di questi, solo 2,4 milioni di contatti sono originati da liste acquisite da terzi, 760 mila dei quali da liste provenienti da Sei Sicuro e Che Buoni (con Vodafone titolare e presente all’interno delle informative utilizzate per la raccolta dei consensi), e circa 1.6500.000 realizzati in base alla prima modalità di acquisizione delle liste.
Con riferimento alla contestazione di cui al capo c), Vodafone ha nuovamente ricostruito le vicende alla base dei reclami di cui ai fascicoli nn. 139840, 142897 e 146313, confermando che nei casi in argomento le problematiche insorte con la clientela sono scaturite da errori umani. Al riguardo la Società ha inteso porre l’accento sul numero definito “fisiologico” degli eventi causati da errori umani: tali errori, stante la realtà organizzativa di ampie dimensioni, rappresentano quindi un numero che non può ritenersi significativo di una errata gestione generalizzata dei diritti degli utenti/clienti.
Con riferimento alle vicende che hanno determinato le contestazioni di cui ai capi d) ed e), la Società ha osservato che tali contestazioni non appaiono fondate e ha rappresentato che da quando Vodafone ha appreso del fenomeno dei contatti della propria clientela derivanti da probabili accessi non autorizzati ai sistemi societari, ha segnalato più volte gli episodi all’Autorità Giudiziaria sia a tutela dei propri clienti che della propria reputazione. Vodafone inoltre ha contestato gli addebiti in ordine alla vulnerabilità dei propri sistemi CRM e all’inerzia nell’ applicazione di misure di proporzionata efficacia, e ha ribadito che gli interventi sostenuti nel tempo hanno consentito la riduzione delle segnalazioni dei clienti per contatti indesiderati. In particolare, gli interventi hanno interessato dapprima la riduzione delle credenziali per l’accesso al sistema Wholesale e poi la restrizione degli account e l’inibizione di accessi ai numeri di ricontatto (tramite mascheramento dei dati) dei sistemi Remedy e Arte. La Società ha inoltre rappresentato di aver condotto, fra il 2018 e il 2019, degli specifici audit, sui fornitori di contact center Comdata, Abramo, Transcom, Ennova, Sielte ed Albacall Con riferimento alla mancata segnalazione del data breach relativo a 222 utenti, Vodafone ha dichiarato che, sebbene non sia stato compilato il relativo form in quanto i clienti coinvolti erano già a conoscenza dell’utilizzo non corretto dei loro dati (nome, cognome, numero di ricontatto) la segnalazione è stata comunque inviata all’Autorità con relativa descrizione del fenomeno e delle azioni messe in campo per mitigare il rischio.
Con riferimento alla contestazione di cui al capo f), la società ha ribadito quanto già evidenziato nei riscontri singolarmente inviati e ha rappresentato quanto segue: fascicolo 140688 - il reclamante risulta essere socio di una società a responsabilità limitata, cliente di Vodafone, non rientrante pertanto nel perimetro relativo alla protezione dei dati personali. Il caso portato all’attenzione dell’Autorità faceva riferimento alla effettuazione, da parte del call center Whitestar Albania, di due contatti cui non è seguita risposta da parte del contattato, per cui il caso non può essere preso in considerazione per palesare una pratica scorretta e ricorrente. Inoltre, Vodafone ha fatto presente che la società Whitestar Albania, in ottemperanza a quanto disposto dall’art. 28, comma 3, del Regolamento, è stata oggetto, nelle date del 19 e 20/03/2019, di Privacy & Security Audit; fascicolo 139686 – Vodafone ha rappresentato che i contatti effettuati per finalità di recupero crediti sono stati realizzati dalla società Ge. Ri. s.r.l., società sottoposta ad attività di audit, già nelle date del 27 e 28 novembre 2018, presso la sede di Milano nell’ambito del mandato per i servizi di Credit Collection. L’audit è stato effettuato sui processi operativi e sui sistemi utilizzati da Ge.Ri. S.r.l.
In linea generale la Società ha comunque rappresentato che per la portata della propria customer base di diversi milioni di clienti, i pochi singoli casi in cui Vodafone non avrebbe facilitato un pieno esercizio dei diritti degli interessati sono da considerarsi un numero assolutamente irrisorio, specialmente se si considera che la Società ha messo a disposizione dei clienti un ampio numero di strumenti per esercitare i propri diritti, in particolare quelli di opposizione ai trattamenti per finalità commerciali e promozionali. Inoltre Vodafone ha evidenziato che le articolazioni societarie preposte all’evasione delle richieste di accesso sono giunte al risultato di evadere il 100% delle richieste nell’arco di trenta giorni. I singoli casi, in numero estremamente contenuto rispetto alle 2000 richieste mensili che vengono lavorate, sono da attribuirsi a sporadici errori umani.
2.2 Considerazioni in fatto e in diritto
Le sopra riassunte argomentazioni difensive non consentono di escludere la responsabilità di Vodafone in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione:
in linea generale deve premettersi che le condotte sopra illustrate in materia di telemarketing rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate indesiderate con finalità promozionali. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia, adottati prima dell’entrata in vigore del Regolamento, sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato un sensibile miglioramento del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimo;
con riferimento alla contestazione di cui al capo a) – la richiesta di informazioni e le osservazioni contenute nell’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi, muovono dalla considerazione che, dalle segnalazioni e dai reclami pervenuti all’Autorità, e dai correlati primi riscontri forniti da Vodafone, emerge un dato estremamente rilevante di contatti telefonici promozionali effettuati da parte di soggetti che utilizzano numerazioni non facenti capo alla rete di vendita di Vodafone. Tali numerazioni, in quasi tutte le circostanze, non risultano iscritte al ROC – Registro degli Operatori di Comunicazione, spesso presentano un prefisso estero e, in diversi casi in ordine ai quali l’Autorità ha effettuato approfondimenti, non corrispondono neanche ad utenze attive riconducibili a identificati contraenti. I contatti promozionali effettuati attraverso tali numerazioni, stando alle segnalazioni e ai reclami, superano di gran lunga quelli effettuati attraverso la rete di vendita ufficiale di Vodafone, cosicché gli stessi si risolvono sempre più spesso in una mera presa d’atto da parte della compagnia telefonica circa la non riconducibilità della telefonata alla propria sfera di controllo e regolamentazione.
Il risultato di una tale situazione è che le segnalazioni e i reclami aumentano esponenzialmente all’aumentare della consapevolezza, da parte di coloro che effettuano i contatti promozionali con tali modalità, di una sostanziale impunità. Impunità che ha visto, parallelamente al telemarketing selvaggio, aumentare in Italia anche le chiamate effettuate con intenti fraudolenti, a riprova che un approccio non incisivo per la risoluzione del complessivo problema può determinare il consolidamento di pratiche non soltanto invasive e dannose per gli utenti, ma anche idonee a alimentare ulteriori sacche di illegalità.
Alla luce di tali considerazioni, proprio procedendo nel solco di quanto rappresentato da Vodafone nella memoria difensiva, e cioè che il fenomeno può essere scardinato agendo con decisione sui rilevanti ritorni economici (illeciti) che lo stesso produce, nell’atto di contestazione si evidenzia che le misure poste in essere dalla Società non sono idonee a realizzare tale obiettivo, poiché agiscono in via esclusiva sul sulla rete di vendita “ufficiale” e non sono in grado di incidere in alcun modo su quello che è stato più volte definito come il “sottobosco” del telemarketing, che trova la sua ragione di essere solo nel momento in cui può individuare una porta di accesso ai sistemi informatici deputati all’attivazione delle offerte e dei servizi, attraverso la quale veicolare il risultato delle proprie attività.
Appare pertanto necessario che tali sistemi siano configurati in modo da poter bloccare le procedure di attivazione di offerte o servizi quando esse non siano certamente riconducibili ad attività promozionali svolte nel rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto. Perché ciò possa realizzarsi, è necessario che i sistemi informatici che gestiscono e disciplinano le campagne promozionali siano in grado di fornire informazioni ai sistemi che consentono l’attivazione delle offerte e dei servizi, individuando un corretto percorso in termini di adeguatezza alle disposizioni del Regolamento e del Codice, che possa essere certificato e verificato in ogni sua fase, dal primo contatto fino all’attivazione.
Alla creazione di un sistema integrato come sopra descritto non osta né la normativa generale in tema di contratti né la disciplina di settore di cui al Codice del Consumo: in particolare non vi è alcun conflitto con l’art. 1321 c.c. che, secondo Vodafone, imporrebbe alla Società di attivare offerte o servizi anche se veicolati da soggetti non autorizzati dalla medesima, proprio perché in tali casi deve escludersi che si sia formata una volontà libera e autonoma di una delle parti (la stessa Vodafone) a perfezionare il contratto, difettando il soggetto non autorizzato dei requisiti essenziali per poterla rappresentare. Ragionando a contrario, qualunque soggetto che venisse in possesso della modulistica aziendale che Vodafone predispone per veicolare offerte e servizi, potrebbe svolgere attività promozionale per conto della Società e obbligarla a dare seguito ai contratti dallo stesso conclusi, perché rilevatori della “volontà autonoma, libera da ogni condizionamento ed espressa di concludere un contratto che presenta tutti i requisiti di validità di cui all’art. 1325 c.c.”. Analoghe considerazioni possono svolgersi con riferimento alla normativa di settore citata e agli eventuali obblighi derivanti, tenuto sempre conto dell’illegittimità del contratto sottostante.
Quella di non procedere all’attivazione di offerte o servizi nel momento in cui non vi sia prova che gli stessi siano stati correttamente proposti all’utente in base alle disposizioni che regolano le modalità di svolgimento dei contatti promozionali, non costituisce una mera facoltà del titolare del trattamento ma un preciso obbligo dettato dal combinato disposto degli artt. 5, comma 2, 6 e 7 del Regolamento e degli artt. 2-decies e 130 del Codice. In base alle norme del Regolamento, infatti, il titolare è tenuto a comprovare che i trattamenti dallo stesso svolti, anche tramite responsabili, siano conformi ai principi di liceità, trasparenza e correttezza (in particolare con riferimento al consenso), principi che, nell’ambito dei contatti promozionali sono declinati dall’art. 130 del Codice, e qualora ciò non sia possibile, il primo effetto che ne deriva è costituito dall’inutilizzabilità dei dati trattati (art. 2-decies, del Codice) e quindi dalla loro estromissione dal patrimonio informativo e operativo della Società.
Quanto contestato a Vodafone rientra pienamente nella linea interpretativa dell’Autorità già espressa, ad esempio, nel provvedimento correttivo e sanzionatorio n. 143 del 9 luglio 2020 (in www.gpdp.it, doc. web n. 9435753) laddove si evidenzia che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso”.
Quanto alle ulteriori argomentazioni difensive espresse da Vodafone sull’argomento, non appaiono avere pregio quelle relative al numero limitato di segnalazioni e reclami, a fronte dell’ingente numero di contatti promozionali effettuati dalla Società. Oltre alla considerazione che la protezione dei dati personali e della riservatezza si estrinseca come esercizio individuale di un diritto della persona, e come tale assume rilevanza e connotazione di specifica gravità anche una singola violazione, deve in ogni caso rilevarsi che i numeri relativi a segnalazioni e reclami e alle relative interlocuzioni avviate con l’Autorità, già evidenziati nelle premesse del presente provvedimento e nell’atto di contestazione, sono di assoluto rilievo anche se rapportati ad altri titolari di trattamento sia in ambito pubblico che privato. L’universo di riferimento, come ben si può comprendere, non può essere quello delle complessive chiamate promozionali di Vodafone, posto che la quota di interessati che percepiscono di essere oggetto di attività non conformi alle regole rappresenta una minima parte del totale e ancor meno sono le persone che si assumono l’onere di portare all’attenzione dell’Autorità le proprie vicende. Ciò che assume rilevanza, oltre al numero dei casi segnalati in rapporto con quelli di altri titolari del medesimo settore commerciale, è il grado di efficacia delle risposte che segnalazioni e reclami possono trovare, al fine di ripristinare il quadro dei diritti degli interessati. Ebbene, se nel caso di Vodafone, a fronte di 328 segnalazioni, la Società ha disconosciuto la provenienza di ben 361 telefonate, fornendo pertanto agli interessati un riscontro del tutto inefficace rispetto alle loro richieste, deve concludersi che anche dal punto di vista numerico, la problematica portata all’attenzione dell’Autorità assume rilievi di estrema gravità.
Allo stesso modo, una volta evidenziato che l’attuale gestione delle campagne promozionali non è idonea ad assicurare e comprovare che le attivazioni effettuate derivino esclusivamente da attività poste in essere da soggetti appartenenti alla rete di vendita di Vodafone, non sembrano assumere pregio le considerazioni in ordine al complesso di attività poste in essere dalla Società per consolidare tale modalità di gestione, senza consentire tuttavia un’integrazione e un dialogo fra i sistemi deputati a tale attività e quelli che si occupano delle attivazioni, in termini di verifica e selezione dei contratti acquisiti;
con riferimento alla contestazione di cui al capo b) – risulta accertato, dall’istruttoria svolta dall’Ufficio, che Vodafone, per le proprie attività promozionali si avvale anche di liste di anagrafiche raccolte da soggetti terzi. È stato riferito che tali liste possono entrare nel circuito promozionale della Società in base a due diversi modelli di business, il primo dei quali prevede che le stesse siano acquisite e utilizzate dai partner (teleseller) che, per tale attività, assumerebbero la veste giuridica dei titolari autonomi del trattamento. In tale caso le liste di anagrafiche resterebbero nella esclusiva disponibilità dei partner che, nel corso delle telefonate, declinerebbero agli utenti contattati una propria informativa e un proprio script di chiamata. Le uniche operazioni di trattamento svolte da Vodafone con riferimento a tali liste sarebbero costituite dalle cd. “dedupliche”, finalizzate alla eliminazione dei nominativi dei soggetti presenti nel Registro pubblico delle opposizioni e nelle black list della Società. Il secondo modello di business prevede che Vodafone acquisisca direttamente le liste di anagrafiche e svolga le attività sopra descritte quale titolare, fornendo agli interessati una propria informativa e un proprio script di chiamata. Sulla base delle informazioni fornite da Vodafone sia in sede di riscontro alla richiesta di informazioni, sia in sede di memoria difensiva e di audizione, le liste di anagrafiche provenienti da IDMC/Innovairre s.r.l. sarebbero state acquisite in base al secondo modello sopra descritto, mentre quelle utilizzate dalle società partner Nos s.r.l.s, Problem Solving s.r.l. e Ids Sh.p.k. rientrerebbero nel primo modello.
Deve essere preliminarmente chiarito che, se dal punto di vista commerciale la comunicazione di dati personali può essere ricondotta ai modelli operativi che ciascuna azienda ritiene di delineare nell’ambito della propria libertà imprenditoriale, sotto il profilo della protezione dei dati personali l’unico modello compatibile con l’attuale quadro normativo prevede che ciascun passaggio di dati da un titolare ad un altro sia supportato da uno specifico e informato consenso reso dagli interessati al soggetto cedente affinché possa comunicare i dati al cessionario.
Nella comunicazione dei dati da IDMC/Innovairre a Vodafone ciò certamente non è avvenuto, poiché, come risulta dai contratti esibiti, la prima società ha acquisito, in qualità di autonomo titolare, le liste di anagrafiche da RCS Mediagroup S.p.A., Proretail s.r.l., 6Sicuro S.p.A. e Impiego24.it, e in tale passaggio si sono dispiegati ed esauriti gli effetti giuridici previsti nelle informative rese da queste ultime società agli interessati e nei correlati consensi alla cessione dei dati a terzi. Il successivo passaggio di dati da IDMC/Innovairre a Vodafone non risulta previsto da alcuna informativa resa da IDMC/Innovairre, in qualità di titolare, agli interessati né da un consenso acquisito dai medesimi.
Quanto alle liste di anagrafiche utilizzate da Nos, Problem Solving e Ids, non vi è dubbio che tali liste, come confermato anche da Vodafone, siano state acquisite dalle predette società nella loro qualità di autonomi titolari del trattamento. Tuttavia, le operazioni svolte dalle stesse nell’ambito dell’attività di telemarketing, sono state condotte in qualità di responsabili esterni di Vodafone, così come previsto nel punto 2.6 dell’accordo sottoscritto da Nuovi Orizzonti/Nos (“l’agenzia prende atto ed accetta che […] in relazione alle attività di telemarketing effettuate ai sensi del presente Contratto essa agirà in qualità di responsabile esterno del trattamento dei dati”) e nell’allegato 1 del accordo quadro sottoscritto da Ids e Problem Solving, cosicché tali dati sono entrati, sin dalla fase dei contatti promozionali, nella sfera della titolarità di Vodafone. Anche in questi casi, pertanto, si è realizzata una doppia comunicazione di dati, la prima, dal soggetto che ha formato le liste di anagrafiche alle agenzie partner di Vodafone, la seconda dalle predette agenzie a Vodafone stessa, nell’ambito dell’attività di telemarketing della quale la Società ha assunto la piena titolarità.
Appare pertanto non confermato l’assunto difensivo in base al quale, nei contatti realizzati dalle predette agenzie utilizzando proprie liste di anagrafiche, le stesse avrebbero operato quali titolari del trattamento per poi trasformarsi in responsabili in occasione del caricamento dei dati nei sistemi di Vodafone deputati all’attivazione delle offerte e dei servizi. Al riguardo deve osservarsi che, come correttamente osservato anche nella legal opinion acquisita da Vodafone, non hanno rilevanza le previsioni contrattuali che stabiliscono diversamente (come nel caso dell’accordo quadro che prevede che i trattamenti di dati effettuati dalle agenzie utilizzando proprie liste di anagrafiche sono svolti in qualità di titolari autonomi) poiché, come più volte affermato dal Garante, la veste giuridica del titolare del trattamento si assume non in base ad individuazioni formali ma alla situazione di fatto che si realizza nell’ambito del trattamento (cosi ad es. provv. n. 300 del 18 ottobre 2012, in www.gpdp.it, doc. web n. 2368171 – “ la qualità di titolare del trattamento discende direttamente dalla verifica dei presupposti indicati dalla legge (art. 4, comma 1, lett. f), del Codice) e non sussistono dubbi che, nel caso di specie, tutte le decisioni in ordine al trattamento dei dati personali risultano univocamente assunte da […], rendendo così irrilevante la diversa qualificazione giuridica attribuitasi dalle due società nell’ambito dei nuovi accordi contrattuali”). Orbene, nel caso in esame, la piena titolarità di Vodafone, anche con riferimento ai trattamenti finalizzati alla promozione dei servizi e delle offerte da parte delle Agenzie, è stata confermata anche in sede di istruttoria, di memoria difensiva e di audizione nell’ambito delle quali si è fatto riferimento alla potestà in capo a Vodafone di svolgere audit su modalità e qualità dei servizi resi e di raccogliere i cd. cartellini di chiamata anche attraverso apposite funzioni automatizzate, alla necessità di richiedere espressa autorizzazione per l’utilizzo delle anagrafiche acquisite da soggetti terzi, alle attività di deduplica svolte utilizzando le funzionalità dei sistemi Vodafone, all’obbligo delle agenzie esterne di riversare nelle black list di Vodafone le richieste di revoca del consenso formulate dagli interessati in occasione dei contatti promozionali, comunicando gli esiti dei contatti medesimi in un’apposita funzionalità informatica.
Non appaiono infine condivisibili le considerazioni difensive in base alle quali la configurazione della titolarità del trattamento individuata nell’atto di contestazione non avrebbe precedenti nella giurisprudenza del Garante: in primo luogo, il provvedimento citato proprio nella memoria difensiva (n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365) riporta i concetti qui espressi evidenziando peraltro che “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mira a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso. Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato”. Allo stesso modo il controllo dell’interessato verrebbe meno in ogni caso in cui il complesso delle disposizioni sopra richiamato potesse essere eluso da arbitrarie scelte in ordine alla veste giuridica che, di volta in volta, i soggetti del trattamento concordassero di assumere al fine di mascherare proprio quegli effetti a catena difficilmente riconducibili all’iniziale manifestazione di volontà dell’interessato. Tale impostazione è conforme a quanto anche in precedenza stabilito dal Garante, ad esempio nel provvedimento n. 291 del 13 giugno 2013 (in www.gpdp.it, doc. web n. 2616804 e nella correlata sentenza confermativa della Corte di Cassazione, sez. II civ., n. 18619 del 27 luglio 2017) ma anche alle generali disposizioni sulla titolarità nei trattamenti in materia di telemarketing contenute nel provvedimento n. 230 del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257) richiamato recentemente anche dal provvedimento n. 143 del 9 luglio 2020 (in www.gpdp.it, doc. web n. 9435753 – “i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento”);
con riferimento alla contestazione di cui al capo c) – le osservazioni espresse da Vodafone nell’ambito dell’esercizio del diritto di difesa confermano la sussistenza della responsabilità della Società in ordine agli indebiti contatti indicati nei reclami di cui a fascicoli nn. 139840, 142897 e 146313. La riconducibilità di tali contatti a generici errori umani, peraltro non analiticamente documentati e in ordine ai quali Vodafone non ha dimostrato l’inevitabilità, non consente di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fede. Parimenti, la considerazione che tali errori umani costituiscano una espressione statistica irrilevante rapportata alla grande quantità di contatti gestiti da Vodafone non appare conferente posto che, dalle segnalazioni e reclami pervenuti al Garante, emergerebbe un numero di cd. “errori umani” niente affatto trascurabile, soprattutto se rapportato alla percentuale di casi portati all’attenzione del Garante. E, in ogni caso, la considerazione difensiva in ordine al numero limitato dei casi non fa venir meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria;
con riferimento alle contestazioni di cui ai capi d) e e) – risulta pacificamente accertato che Vodafone abbia avuto contezza fin dal giugno 2019 di molteplici accessi considerati “anomali” al sistema denominato BTC a fronte dei quali, in ben 222 casi, gli utenti sono stati fatti oggetto di contatti illeciti da parte di ignoti soggetti che, spacciandosi per operatori di Vodafone, richiedevano di inviare tramite Whatsapp copia dei propri documenti di identità, cosa che un consistente numero di utenti ha effettivamente fatto. Come affermato dalla stessa Società, il fenomeno ha origini già dall’inizio del 2018 e dimensioni più ampie e ciò può essere desunto anche dall’elevato numero di segnalazioni e reclami pervenuti all’Autorità che hanno denunciato episodi della medesima specie, anche originati da segnalazioni di guasti tecnici alle proposte articolazioni della Società.
Al riguardo deve prendersi atto della non irrilevante quantità di iniziative in tema di sicurezza che Vodafone ha messo in campo al fine di contrastare il fenomeno, a cominciare con la collaborazione col la Polizia di Stato nell’ambito dell’operazione “Data Room”, per proseguire con gli interventi sugli account per l’accesso a diversi sistemi, sia aziendali che esterni a Vodafone, l’irrobustimento delle password con l’introduzione dell’autenticazione a due fattori e il mascheramento dei numeri di ricontatto forniti dai clienti in fase di segnalazione del guasto di rete. Tuttavia tali interventi non sembrano aver costituito un serio contrasto ai tentativi di esfiltrazione dei dati dai database aziendali se è vero che gli episodi di illecito contatto degli utenti a seguito di segnalazione di un guasto di rete si sono verificati anche in periodi recentissimi, come riportato da un reclamante nel giugno 2020 e come segnalato da altri nel corso del medesimo corrente anno.
A tale proposito deve tuttavia osservarsi che, mentre nell’ambito del previgente quadro normativo, la sicurezza in ambito privacy poteva ritenersi formalmente assicurata con l’applicazione delle misure minime di sicurezza indicate negli artt. 33 e ss. del Codice, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, e delle regole di cui al connesso disciplinare tecnico, indipendentemente dalla configurazione funzionale e dimensionale dei sistemi, rimanendo il giudizio di adeguatezza delle predette misure confinato alla valutazione sulla responsabilità civile del titolare in caso di evento di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, con l’attuale assetto dettato dal Regolamento sono proprio gli eventi sopra descritti a determinare, in ragione dei rischi per i diritti e le libertà delle persone fisiche, un primo e qualificante giudizio di adeguatezza sulle misure di sicurezza adottate. Ciò in particolare, come indicato nel considerando 75 del Regolamento, con riferimento ai trattamenti “suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione […] o qualsiasi altro danno economico o sociale significativo; […] se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
È di tutta evidenza che gli eventi segnalati dai reclamanti e dalla relazione di Vodafone del 14 novembre 2019 presentino tutte le caratteristiche di gravità con riferimento al potenziale pregiudizio per i diritti e le libertà delle persone fisiche e come tali avrebbero dovuto formare oggetto di immediata risoluzione o comunque di iniziative idonee a determinare un rapido abbattimento degli episodi. È invece avvenuto il contrario, dal momento che, nonostante le prime avvisaglie del problema fossero state percepite da Vodafone all’inizio del 2018, ancora a giugno del 2019 si rilevava l’accesso indebito ai dati di 230 contraenti, 222 venivano contattati da ignoti soggetti che si presentavano come operatori Vodafone e facevano ad essi richiesta di copia dei propri documenti d’identità, documenti poi inviati da ben 79 utenti. Con la relazione del 14 novembre 2019, inviata anche a seguito delle numerose richieste dell’Autorità, con le quali si invitava la Società a fornire informazioni in ordine alle azioni intraprese per “prevenire e contrastare le possibili attività illecite poste in essere con l’utilizzo dei dati personali trattati”, Vodafone precisava che “il fenomeno descritto nella presente lettera, potrebbe verosimilmente avere una portata molto più ampia, coinvolgendo anche altre piattaforme di gestione non esclusivamente gestite dalla propria organizzazione. Per tale motivo, a fronte delle segnalazioni di questo tipo, ha parallelamente avviato le opportune verifiche, non solo al proprio interno, ma anche all’esterno della propria struttura”.
Con riferimento, infine, all’episodio sopra richiamato dell’accesso abusivo ai dati di 222 utenti, noto a Vodafone fin dal 4 giugno 2019, non appaiono condivisibili le argomentazioni difensive circa l’assolvimento da parte della Società degli obblighi di notificazione del “data breach” ai sensi dell’art. 33 del Regolamento mediante l’invio della relazione del 14 novembre 2019, sia per l’inidoneità dello strumento di notifica, sia per l’ampio lasso di tempo intercorso prima dell’invio della comunicazione;
con riferimento alla contestazione di cui al capo f – in primo luogo, relativamente al fascicolo 140688, si deve osservare che, contrariamente a quanto rappresentato dalla Società, il perimetro relativo alla protezione dei dati personali si estende, con riferimento ai trattamenti relativi ai servizi di comunicazione elettroniche, anche alle persone giuridiche, laddove qualificate come “contraenti”, in base a quanto indicato dagli artt. 121 e ss. del Codice.
In linea generale, preso atto di quanto affermato dalla Società in ordine alla mole di richieste di esercizio dei diritti che vengono mensilmente evase dalla medesima, si deve comunque ribadire quanto osservato in relazione al capo a) e al capo c) della rubrica, e cioè che sebbene i rappresentati disallineamenti rispetto alle ordinarie modalità operative in tema di esercizio dei diritti costituiscano una espressione statistica irrilevante rapportata alla grande quantità di contatti gestiti da Vodafone, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria.
3 CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Vodafone in ordine alle seguenti violazioni:
3.1 violazione degli artt. 5, parr. 1 e 2, e 25, par. 1, del Regolamento, poiché la Società non ha provveduto, anche alla luce del rilevante numero di segnalazioni e reclami nonché di contatti promozionali in ordine ai quali ha disconosciuto la provenienza, a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Vodafone. La violazione coinvolge l’intera base clienti della società;
3.2 violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service - IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso Vodafone è avvenuto in carenza del prescritto consenso, libero specifico e informato, per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019;
3.3 violazione degli artt. 5, 6 e 7 e 21 del Regolamento, anche in relazione all’art. 130, commi 1, 2, 3 e 3-bis del Codice, con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, che Vodafone ha attribuito a generici errori umani o non documentati disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione (fascicoli nn. 139840, 142897 e 146313);
3.4 violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, per assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 132730, 138384, 140753, 143923, 140991, 141181, 146055 e 148012);
3.5 violazione dell’art. 33, par. 1, del Regolamento, per aver omesso di presentare al Garante la notificazione di una violazione di dati personali, con riferimento alle circostanze riportate nella nota del 14 novembre 2019;
3.6 violazione degli artt. 15, par. 1, e 16 del Regolamento, per aver omesso di dare piena attuazione a richieste di esercizio dei diritti degli interessati (fascicoli 144980, 140688, 146374 e 147775).
Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- ingiungere a Vodafone, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, di dare completo riscontro alle richieste dei reclamanti con riferimento ai fascicoli 144980, 140688, 146374 e 147775;
- prescrivere a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
- prescrivere a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Vodafone il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Vodafone;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
4 ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);
Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Vodafone Italia S.p.A., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in euro 245.032.024;
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;
Nel caso in esame, assumono rilevanza:
1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui ai capi a), b), d) e e) in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza), del livello di danno effettivamente subito dagli interessati, che con riferimento alle violazioni di cui al capo a) sono stati incessantemente esposti a chiamate di disturbo, delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno, della molteplicità delle condotte poste in essere da Vodafone in violazione di più disposizioni del Regolamento e del Codice, degli episodi di illecita acquisizione dei dati dei contraenti, con rifermento alle violazioni di cui al capo d), che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi ;
2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere permanente e ancora in essere delle violazioni di cui ai capi a), b) e d); della durata superiore a sei mesi delle violazioni di cui al capo c) e f); della durata di circa 5 mesi della violazione di cui al capo e);
3) quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui al capo a) deve tenere conto dell’intera base clienti di Vodafone e per la violazione di cui al capo b) annovera gli oltre 4 milioni di interessati presenti nelle liste acquisite da soggetti terzi;
4) quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che avrebbero dovuto costituire un valido supporto nelle scelte organizzative della Società ma che invece, in particolare con riferimento alle violazioni di cui ai capi a) e b), sono risultati in massima parte disattesi. Carattere significativamente negligente assumono anche le violazioni di cui ai capi d) e e) in ragione delle gravi vulnerabilità riscontrate nei database aziendali, allo stato non ancora del tutto risolte, e del grave ritardo nella notificazione di un importante “data breach”;
5) quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Regolamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori con riferimento a trattamenti della stessa specie (art. 83, par. 2, lett. i) del Regolamento);
6) quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare allo svolgimento delle procedure di audit dei partner della rete di vendita, all’implementazione di strumenti di controllo nelle piattaforme per la gestione delle campagne promozionali e al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali;
7) quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare;
8) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la primaria posizione di mercato di Vodafone nel settore delle telecomunicazioni e il valore economico complessivo della Società.
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Vodafone la sanzione amministrativa del pagamento di una somma di euro 12.251.601, pari al 5 % della sanzione massima edittale, in linea con i recenti provvedimenti adottati dall’Autorità in materia di telemarketing.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) ingiunge a Vodafone, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, entro trenta giorni dalla notifica del presente provvedimento, di dare completo riscontro alle richieste dei reclamanti con riferimento ai fascicoli 144980, 140688, 146374 e 147775;
b) prescrive a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
c) prescrive a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
d) impone a Vodafone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Vodafone;
e) ingiunge a Vodafone, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati, nonché alle richieste dei reclamanti; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento
ORDINA
a Vodafone Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017, di pagare la somma di euro 12.251.601 (12 milioni, duecentocinquantunomila,601) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.251.601 (12 milioni, duecentocinquantunomila,601), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.
DISPONE
L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 12 novembre 2020
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei