Sanzione di 4.500.000,00 Euro nei confronti di Fastweb / Parte 3
Inviato: sab apr 03, 2021 1:56 pm
2.2.2. Con riferimento alla contestazione di cui al punto 2), all’esito dell’istruttoria è emerso che Fastweb ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta le avevano acquisite in qualità di autonomi titolari del trattamento e che le hanno riversate nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. Si conferma, pertanto, la contestata violazione che ha coinvolto almeno 7.542.000 interessati nell’anno 2019.
In base alla ricostruzione di Fastweb, le liste di anagrafiche possono essere acquisite, tra l’altro, da list editor diretti (Chebuoni, Impiego24, ClickAdv, Bakeca e eGentic, che a sua volta le acquisisce dalle società controllate Naturvel Pte Ltd. e Tooleado Gmbh), e dai propri partner che a loro volta le acquisiscono in autonomia dai propri fornitori e successivamente ottengono da Fastweb l’autorizzazione a utilizzarle.
Con riferimento alle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente dai list editor, complessivamente il modello seguito appare corretto. Si è notato che, nel suddetto caso, le società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime. Nell’ambito del processo di acquisizione delle anagrafiche, Fastweb richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa e che Fastweb sia indicata, nella correlata informativa, quale soggetto al quale i dati possono essere ceduti. Fastweb verifica che i dati acquisiti direttamente dai list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse. Pertanto, il modello prevede una comunicazione di dati da titolare (list editor) a titolare (Fastweb) sorretta da uno specifico e informato consenso, idoneo a consentire all’interessato di esercitare il pieno controllo sul destino dei dati che lo stesso ha conferito all’originario titolare: tale controllo è facilmente esercitabile anche attraverso le indicazioni che Fastweb fornisce in sede di contatto telefonico.
Anche con riferimento alle liste di anagrafiche che la Società acquisisce tramite la società eGentic, che a sua volta acquisisce i dati dalle società facenti parte del proprio gruppo imprenditoriale, Naturvel Pte Ltd. e Tooleado Gmbh, dalla documentazione prodotta dalla Società e dall’istruttoria svolta dall’Autorità è emerso che il trattamento dei dati è avvenuto correttamente.
Per quanto riguarda le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi autonomamente da un proprio fornitore, non è condivisibile la tesi della Società secondo cui le agenzie opererebbero quali responsabili del trattamento dei dati personali.
Si è notato infatti che tali liste vengono acquisite da parte delle agenzie “in autonomia”, ovvero “da sé” e utilizzate “previa richiesta e autorizzazione […] da parte del titolare Fastweb”. Nel riscontro alla richiesta di informazioni, la Società ha evidenziato che per poter utilizzare tali liste, l’agenzia è tenuta a richiedere un’autorizzazione a Fastweb fornendo una serie di elementi che saranno oggetto di verifica da parte di quest’ultima. Nel caso in cui le analisi svolte da Fastweb forniscano esito positivo, il partner è autorizzato a caricare le anagrafiche in suo possesso affinché siano utilizzate nella pianificazione del mese corrente.
Dall’istruttoria risulta che le agenzie acquisiscono le liste di anagrafiche “in autonomia”, potendole astrattamente utilizzare non solo per le campagne promozionali di Fastweb ma anche per altri soggetti. Ne deriva che, al momento dell’acquisizione delle liste di anagrafiche, esse operano non in qualità di responsabili del trattamento (come sostiene Fastweb), bensì quali autonomi titolari.
Emerge pertanto che, le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento, sono confluite nel circuito di trattamenti aventi finalità promozionali dei quali la Società è titolare, attraverso una cessione fra autonomi titolari. Tale cessione non può essere mascherata o elusa dalla successiva designazione dei partner medesimi quali responsabili del trattamento di Fastweb. I partner in questione hanno pertanto ceduto tali liste a Fastweb soltanto sulla base dell’originario consenso che gli interessati hanno reso ai list editor, consenso che però risulta inidoneo a permettere ulteriori comunicazioni di dati.
Come osservato in diversi recenti provvedimenti dell’Autorità (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365 e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi. Pertanto, il modello di business adottato per consentire ai partner di utilizzare proprie liste di anagrafiche per svolgere attività promozionale per conto di Fastweb risulta violare le disposizioni del Regolamento in materia di accountability e consenso (art. 5, parr. 1 e 2, art. 6, par. 1 e art. 7).
2.2.3. Con riferimento alla contestazione di cui al punto 3), si conferma la sussistenza violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”.
Si è notato che il servizio “Call me back” segue una procedura ben delineata che consente un ricontatto pianificato del cliente a seguito di una sua richiesta.
Tuttavia, dall’istruttoria svolta dall’Ufficio, è emerso che la Società non ha predisposto un’informativa ad hoc in relazione a tale servizio, in cui sia esplicato il suo funzionamento, le modalità di trattamento dei dati personali e di ricontatto dell’utente. Invero, l’avviso sintetico inserito in prossimità del tasto di attivazione del servizio, si limita ad avvisare l’utente che, attivandolo, egli presta il proprio “il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”.
Al riguardo, non appaiono condivisibili le argomentazioni difensive secondo cui “era sufficiente che gli interessati fossero informati delle ‘finalità di trattamento’, cosa che è avvenuta”, mentre “il numero di contatti potenzialmente effettuabili o cosa sarebbe successo nel caso di numerazione libera” sono “aspetti che non attengono alle finalità […] bensì alle modalità tecniche per il loro perseguimento”.
Si deve osservare che, quando le “modalità tecniche” sono particolarmente invasive come nel caso di specie, in cui l’utente potrebbe essere potenzialmente “richiamato […] 4 volte in un’ora a distanza di 15 minuti ciascuno per un totale di 20 tentativi […] nell’arco della giornata” prima che “il contatto [sia] chiuso”, queste diventano parte integrante ossia una caratteristica stessa del trattamento, di cui l’utente deve essere previamente informato prima di rilasciare il suo consenso, proprio in ragione della loro particolare pervasività. Si pensi, ad esempio, alle segnalazioni degli utenti che hanno lamentato “una persecuzione telefonica” a seguito dell’attivazione del servizio.
Anche la nuova informativa predisposta da Fastweb, sebbene espliciti il funzionamento del servizio lasciando intendere all’utente che a seguito dell’attivazione del medesimo seguiranno “successivi tentativi” di chiamata, appare generica laddove si limita ad affermare che “in caso di contatto non riuscito proveremo a richiamarti nei giorni successivi fino alla scadenza dei tentativi utili che variano a seconda dell’impedimento riscontrato (linea occupata, mancata risposta) e degli operatori disponibili. In ogni caso i successivi tentativi per dare seguito alla tua richiesta saranno eseguiti nel rispetto della fascia oraria scelta originariamente”.
Si rileva, altresì, la carenza di un sistema che consenta agevolmente all’utente di disattivare il servizio con la medesima semplicità con cui è possibile attivarlo. Al riguardo, non appaiono avere pregio le argomentazioni di Fastweb secondo cui, per la disattivazione del servizio, basterebbe che gli interessati “rispos[ndessero] alla chiamata di ricontatto richiesta”. Invero, oggetto della contestazione è proprio l’assenza di un sistema che consenta agevolmente all’interessato di interrompere il flusso di chiamate qualora egli sia impossibilitato (o semplicemente non più intenzionato) a rispondere alle chiamate. Né tantomeno, la procedura di disattivazione del servizio “per il tramite del semplice invio di una mail” appare una misura proporzionata rispetto alla procedura di attivazione che richiede un semplice “clic”. Se è vero che “non è condizione per la validità del consenso che vi siano modalità di revoca esattamente speculari a quelle per il rilascio”, è altrettanto vero che è obbligo del titolare del trattamento “prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al […] Regolamento” (Art. 12 del Regolamento e considerando 59).
I casi segnalati, se ricondotti a sistema attraverso le indicazioni fornite da Fastweb, evidenziano come la mancanza di un’adeguata informativa e la carenza di procedure adeguate per la revoca del consenso abbiano impedito agli interessati (i) di prestare un consenso libero, specifico e informato, attraverso una azione positiva inequivocabile; (ii) di interrompere il flusso di chiamate, ostacolandoli nell’esercizio dei propri diritti.
La circostanza che Fastweb non abbia adottato un sistema che “agevol l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione nonché l’inosservanza delle disposizioni in materia di informativa costituisce una violazione delle correlate disposizioni del Regolamento, contenute negli artt. 5, 6, 7, 12, 13 e 21.
2.2.4. Con riferimento alle contestazioni di cui ai punti 4) e 5), risulta accertata la violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati personali (tra cui, dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento), per aver omesso di porre in essere misure di proporzionata efficacia al fine di: garantire (ed essere in grado di dimostrare), che il trattamento è effettuato conformemente al Regolamento; assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento; e testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138). Risulta altresì accertata la violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui sopra.
È pacifico che la Società abbia avuto contezza fin dal luglio del 2019 del fenomeno che ha coinvolto centinaia di clienti Fastweb, i quali sono stati destinatari di contatti illeciti da parte di ignoti soggetti che, spacciandosi per operatori di Fastweb, richiedevano di inviare tramite Whatsapp copia dei propri documenti di identità, cosa che un consistente numero di utenti ha effettivamente fatto. Come affermato dalla stessa Società, il fenomeno ha dimensioni più ampie e ciò può essere desunto anche dall’elevato numero di segnalazioni pervenute a Fastweb che hanno formato oggetto di denuncia da parte della Società alle Autorità competenti, anche originati da segnalazioni di guasti tecnici alle proposte articolazioni della Società.
Al riguardo le misure adottate dalla Società tra cui il processo di denuncia contro ignoti alla Polizia Postale, l’attività di sensibilizzazione ed informazione nei confronti e a tutela dei propri clienti e del mercato, ovvero le attività compiute sulla sicurezza dei sistemi, non si ritengono efficaci ed adeguate rispetto al fine di tutelare i dati dei clienti e verificare, anche attraverso analisi dei file di log, la sussistenza di accessi illeciti.
A fronte di un numero consistente di episodi portati all’attenzione della Società, gli interventi effettuati non sembrano aver costituito un serio contrasto ai tentativi di esfiltrazione dei dati dai database aziendali considerato che tali episodi si sono verificati anche in periodi recentissimi.
A tale proposito, il Garante nel richiamato provvedimento del 12 novembre 2020 n. 224 ha osservato che, “mentre nell’ambito del previgente quadro normativo, la sicurezza in ambito privacy poteva ritenersi formalmente assicurata con l’applicazione delle misure minime di sicurezza indicate negli artt. 33 e ss. del Codice, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, e delle regole di cui al connesso disciplinare tecnico, indipendentemente dalla configurazione funzionale e dimensionale dei sistemi, rimanendo il giudizio di adeguatezza delle predette misure confinato alla valutazione sulla responsabilità civile del titolare in caso di evento di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, con l’attuale assetto dettato dal Regolamento sono proprio gli eventi sopra descritti a determinare, in ragione dei rischi per i diritti e le libertà delle persone fisiche, un primo e qualificante giudizio di adeguatezza sulle misure di sicurezza adottate. Ciò in particolare, come indicato nel considerando 75 del Regolamento, con riferimento ai trattamenti ‘suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione […] o qualsiasi altro danno economico o sociale significativo; […] se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati’”.
È evidente che, data la gravità degli eventi segnalati dai reclamanti, e il potenziale pregiudizio che ne deriva per i diritti e le libertà degli interessati, la Società sarebbe dovuta intervenire prontamente con misure drastiche e idonee a scongiurare il sopraggiungere di episodi analoghi. Ciò non è accaduto. Al contrario, dalla documentazione agli atti risulta che, nonostante le prime segnalazioni fossero state ricevute dalla Società già a metà del 2019, ancora nell’ottobre del 2020 gli utenti segnalavano di essere stati contattati da ignoti soggetti che si presentavano come operatori Fastweb e facevano ad essi richiesta di copia dei propri documenti d’identità.
Né escluderebbe la responsabilità la circostanza per cui “la fuoriuscita dei dati [si collocherebbe] al di fuori dei sistemi di propria pertinenza”. Quand’anche le supposizioni di Fastweb fossero dimostrate, è incontestato che oggetto di contatti illeciti fossero tutti clienti di Fastweb, sicché l’eventuale “presenza di una distinta titolarità nei trattamenti”, non esonerebbe la Società dall’onere di tutelare la sicurezza dei dati personali dei propri clienti (per cui è indubbio che la Società sia titolare del trattamento), ovvero dall’onere di comunicazione di data breach ai sensi degli artt. 33 e 34 del Regolamento, in relazione alla violazione dei dati personali relativi ai propri clienti.
2.2.5. Con riferimento alla contestazione di cui al punto 6), le osservazioni espresse da Fastweb nell’ambito dell’esercizio del diritto di difesa confermano la sussistenza della responsabilità della Società in ordine all’inosservanza del principio di esattezza dei dati (violazione dell’artt. 5, par. 1, lett. d) in relazione agli artt. 15-22 del Regolamento, poiché in diverse istanze di esercizio dei diritti proposte dagli interessati, sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155).
Sulle predette segnalazioni e reclami deve evidenziarsi che la generica indicazione di un “errore manuale” e/o di un non documentato errore di sistema, non è idonea a far venire meno la responsabilità della Società circa gli indebiti contatti e/o l’inadeguata gestione delle richieste di esercizio dei diritti, poiché, anche in base ai principi stabiliti dall’art. 3 della legge n. 689/1981 in tema di buona fede, l’errore sulla liceità del fatto può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall’interessato con l’ordinaria diligenza. Tale elemento non è stato fornito dalla Società. Inoltre, in base a quanto stabilito in termini generali dall’art. 25 del Regolamento e, più nello specifico, dall’art. 12, par. 1, in tema di trasparenza, un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi dovrebbe portare a escludere la ricorrenza di siffatta tipologia di errori.
Aggiungasi che, come già rilevato in sede di contestazione, in alcuni dei suddetti casi, sono trascorsi anche anni per la risoluzione delle problematiche sollevate.
Nei casi come sopra individuati, si conferma pertanto la sussistenza della violazione delle disposizioni di cui agli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento.
In merito al numero dei casi oggetto di contestazione che rappresenterebbero una percentuale modesta rispetto alla mole di richieste di esercizio dei diritti che Fastweb evade mensilmente, si ribadisce che: i) il numero si riferisce solo ai casi portati all’attenzione dell’Autorità, non escludendo chiaramente che ve ne siano molti altri; ii) le segnalazioni sono esemplificative di una problematica rilevata nel sistema di riscontro di Fastweb, che potrebbe potenzialmente coinvolgere centinaia di migliaia di utenti; iii) in ogni caso, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria.
Neppure è condivisibile la tesi di Fastweb secondo cui “essendo cambiato il meccanismo di sanzionatorio” non si “ragion[erebbe] più in termini di ‘microsanzioni’” fondate “su singoli ‘microadempimenti’” bensì “di sanzioni calcolate sul fatturato complessivo dell’impresa” fondate “sulla visione complessiva dell’accountability”. Contrariamente a quanto sostenuto da Fastweb, il nuovo sistema sanzionatorio non vieta affatto (tantomeno lo vietava in passato) di ragionare per singola violazione, e nel contempo, per violazione dei sistemi. Esiste uno strumento, l’art. 83 par. 3 che consente di unificare le violazioni, facendo sì che le singole condotte possano rilevare per la valutazione complessiva della sanzione.
2.2.6. Con riferimento alla contestazione di cui al punto 7), risulta accertata la violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).
Per quanto concerne le osservazioni difensive di Fastweb, si condivide quanto rappresentato in ordine al fatto che “il consenso per i trattamenti commerciali […] riguarda proposte individuate nelle categorie merceologiche [...] che [...] non devono essere collegate ai servizi già offerti al cliente” e che “potrebbero anche prescindere dall’esistenza di un rapporto contrattuale in corso”; diversamente, i contatti basati sul legittimo interesse possono riguardare solo proposte commerciali legate a servizi già offerti al cliente, e non possono prescindere dall’esistenza di un rapporto contrattuale in corso.
Tuttavia, la ricostruzione prospettata dalla Società appare smentita dalle fattispecie in esame. In tali casi, le attività promozionali sono effettuate in partnership con un altro soggetto per cui le stesse non possono essere ricomprese né fra quelle compatibili con l’originario scopo della raccolta (l’esecuzione di un contratto di cui l’interessato è parte), né fra quelle per le quali può essere utilizzata la base giuridica del legittimo interesse. Gli operatori, infatti, non si limitano a presentare proposte commerciali legate a servizi già offerti al cliente, bensì a promuovere iniziative commerciali addirittura per altri soggetti. Le predette attività sono pertanto lecite solo in presenza di un espresso consenso dell’interessato al trattamento dei propri dati per finalità di marketing che, nei casi evidenziati, non risulta essere stato rilasciato. Si aggiunga che, gli interessati, proprio per aver negato espressamente il consenso ai trattamenti finalizzati ai contatti promozionali, non potevano avere alcuna “legittima aspettativa” di essere oggetto di contatti promozionali per giunta riferiti a prodotti e/o servizi di soggetti diversi. A tale riguardo la prospettazione di uno sconto nei servizi già sottoscritti con Fastweb appare essere un mero espediente commerciale che non può in alcun modo determinare il mutamento della base giuridica dei trattamenti di cui sopra.
Quanto all’informativa (compresa quella trasmessa a tutti i clienti dal Febbraio 2019), pur non essendo stata oggetto di specifiche contestazioni da parte dell’Autorità, per completezza di trattazione si evidenzia che la stessa non appare, in riferimento all’indicazione della base giuridica del legittimo interesse e delle modalità di opposizione, sufficientemente chiara e direttamente comprensibile all’interessato in conformità a principi di correttezza e trasparenza dei dati personali individuati negli artt. 5, par. 1, lett. a, e 12 del Regolamento.
In aggiunta, anche nel contenuto, l’informativa indica trattamenti la cui base giuridica risiederebbe nel legittimo interesse e che non sembrano potersi ricondurre, per le suesposte ragioni, a tale istituto (ad es., l’utilizzo di dati di contatto per “per informarti di […] promozioni nostre o di nostri partner che ti consentono di avere sconti e altri vantaggi sui servizi già attivi”) posto che il mero riconoscimento di uno sconto riferito ai servizi già attivi non costituisce un legame pertinente per consentire di vincolare le nuove promozioni al complessivo profilo del cliente tantomeno in caso di promozioni relative a soggetti terzi.
3. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Fastweb in ordine alle seguenti violazioni:
1. violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, poiché Fastweb S.p.A. non ha provveduto a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Fastweb. La violazione coinvolge l’intera base clienti della società e i reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231;
2. violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché Fastweb S.p.A. ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta li avevano acquisiti in qualità di autonomi titolari del trattamento e che li hanno riversati nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto almeno 7.542.000 interessati nell’anno 2019;
3. violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”;
4. violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138);
5. violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui al punto che precede;
6. violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento, in relazione alle diverse istanze di esercizio dei diritti proposte dagli interessati per le quali sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155);
7. violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).
Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;
- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a Euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).
Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Fastweb S.p.A., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in Euro 90.037.367,00;
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;
Nel caso in esame, assumono rilevanza:
1. la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) con riferimento alle contestazioni di cui ai punti 1), 2), 4), 5), e 7) in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza); del livello di danno effettivamente subito dagli interessati, che con riferimento alle violazioni di cui al punto 1) sono stati esposti a chiamate di disturbo; delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno; della molteplicità delle condotte poste in essere da Fastweb S.p.A. in violazione di più disposizioni del Regolamento e del Codice; degli episodi di illecita acquisizione dei dati dei contraenti, con rifermento alle violazioni di cui al punto 4), che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi;
2. quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere permanente e ancora in essere delle violazioni di cui ai punti 1), 2), 3), e 7) nonché della durata superiore a sei mesi delle violazioni di cui ai punti 4), 5) e 6);
3. quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui al punto 1) deve tenere conto dell’intera base clienti di Fastweb S.p.A. e per la violazione di cui al punto 2) annovera gli oltre 7 milioni di interessati presenti nelle liste acquisite da soggetti terzi;
4. quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che avrebbero dovuto costituire un valido supporto nelle scelte organizzative della Società ma che invece, in particolare con riferimento alle violazioni di cui ai punti 1), 2) e 7) sono risultati in massima parte disattesi. Carattere significativamente negligente assumono anche le violazioni di cui ai punti 4) e 5) in ragione delle gravi vulnerabilità riscontrate nei database aziendali, allo stato non ancora del tutto risolte, e del grave ritardo nella notificazione di un importante “data breach”;
5. quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Regolamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori con riferimento a trattamenti della stessa specie (art. 83, par. 2, lett. i) del Regolamento);
6. quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare alle attività di controllo e di contenimento delle anomalie nei contatti promozionali operati dalla rete di vendita; all’implementazione di nuove piattaforme per adeguare i trattamenti con finalità promozionali alla normativa e alla indicazione dell’Autorità; alla progressiva dismissione delle attività di telemarketing che non presentano requisiti di affidabilità; al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali; e all’adeguamento delle informative e delle procedure di riscontro agli interessati;
7. quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare;
8. quale fattore attenuante, la partecipazione a tavoli di lavoro per il contrasto a fenomeni riconducibili alle attività di marketing selvaggio (art. 83, par. 2, lett. j) del Regolamento) nel corso dell’istruttoria preliminare;
9. quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la significativa posizione di mercato di Fastweb S.p.A. nel settore delle telecomunicazioni e il valore economico complessivo della Società.
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Fastweb S.p.A. la sanzione amministrativa del pagamento di una somma di Euro 4.501.868,00 pari al 5 % della sanzione massima edittale, in linea con i recenti provvedimenti adottati dall’Autorità in materia di telemarketing.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel termine di 30 giorni dalla notifica del presente provvedimento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
b) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;
c) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
d) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;
e) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;
f) ingiunge a Fastweb S.p.A., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.
ORDINA
a Fastweb S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti 1, C.F. e P. IVA: 12878470157, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata
INGIUNGE
alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981
DISPONE
l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 25 marzo 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei
In base alla ricostruzione di Fastweb, le liste di anagrafiche possono essere acquisite, tra l’altro, da list editor diretti (Chebuoni, Impiego24, ClickAdv, Bakeca e eGentic, che a sua volta le acquisisce dalle società controllate Naturvel Pte Ltd. e Tooleado Gmbh), e dai propri partner che a loro volta le acquisiscono in autonomia dai propri fornitori e successivamente ottengono da Fastweb l’autorizzazione a utilizzarle.
Con riferimento alle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente dai list editor, complessivamente il modello seguito appare corretto. Si è notato che, nel suddetto caso, le società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime. Nell’ambito del processo di acquisizione delle anagrafiche, Fastweb richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa e che Fastweb sia indicata, nella correlata informativa, quale soggetto al quale i dati possono essere ceduti. Fastweb verifica che i dati acquisiti direttamente dai list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse. Pertanto, il modello prevede una comunicazione di dati da titolare (list editor) a titolare (Fastweb) sorretta da uno specifico e informato consenso, idoneo a consentire all’interessato di esercitare il pieno controllo sul destino dei dati che lo stesso ha conferito all’originario titolare: tale controllo è facilmente esercitabile anche attraverso le indicazioni che Fastweb fornisce in sede di contatto telefonico.
Anche con riferimento alle liste di anagrafiche che la Società acquisisce tramite la società eGentic, che a sua volta acquisisce i dati dalle società facenti parte del proprio gruppo imprenditoriale, Naturvel Pte Ltd. e Tooleado Gmbh, dalla documentazione prodotta dalla Società e dall’istruttoria svolta dall’Autorità è emerso che il trattamento dei dati è avvenuto correttamente.
Per quanto riguarda le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi autonomamente da un proprio fornitore, non è condivisibile la tesi della Società secondo cui le agenzie opererebbero quali responsabili del trattamento dei dati personali.
Si è notato infatti che tali liste vengono acquisite da parte delle agenzie “in autonomia”, ovvero “da sé” e utilizzate “previa richiesta e autorizzazione […] da parte del titolare Fastweb”. Nel riscontro alla richiesta di informazioni, la Società ha evidenziato che per poter utilizzare tali liste, l’agenzia è tenuta a richiedere un’autorizzazione a Fastweb fornendo una serie di elementi che saranno oggetto di verifica da parte di quest’ultima. Nel caso in cui le analisi svolte da Fastweb forniscano esito positivo, il partner è autorizzato a caricare le anagrafiche in suo possesso affinché siano utilizzate nella pianificazione del mese corrente.
Dall’istruttoria risulta che le agenzie acquisiscono le liste di anagrafiche “in autonomia”, potendole astrattamente utilizzare non solo per le campagne promozionali di Fastweb ma anche per altri soggetti. Ne deriva che, al momento dell’acquisizione delle liste di anagrafiche, esse operano non in qualità di responsabili del trattamento (come sostiene Fastweb), bensì quali autonomi titolari.
Emerge pertanto che, le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento, sono confluite nel circuito di trattamenti aventi finalità promozionali dei quali la Società è titolare, attraverso una cessione fra autonomi titolari. Tale cessione non può essere mascherata o elusa dalla successiva designazione dei partner medesimi quali responsabili del trattamento di Fastweb. I partner in questione hanno pertanto ceduto tali liste a Fastweb soltanto sulla base dell’originario consenso che gli interessati hanno reso ai list editor, consenso che però risulta inidoneo a permettere ulteriori comunicazioni di dati.
Come osservato in diversi recenti provvedimenti dell’Autorità (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365 e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi. Pertanto, il modello di business adottato per consentire ai partner di utilizzare proprie liste di anagrafiche per svolgere attività promozionale per conto di Fastweb risulta violare le disposizioni del Regolamento in materia di accountability e consenso (art. 5, parr. 1 e 2, art. 6, par. 1 e art. 7).
2.2.3. Con riferimento alla contestazione di cui al punto 3), si conferma la sussistenza violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”.
Si è notato che il servizio “Call me back” segue una procedura ben delineata che consente un ricontatto pianificato del cliente a seguito di una sua richiesta.
Tuttavia, dall’istruttoria svolta dall’Ufficio, è emerso che la Società non ha predisposto un’informativa ad hoc in relazione a tale servizio, in cui sia esplicato il suo funzionamento, le modalità di trattamento dei dati personali e di ricontatto dell’utente. Invero, l’avviso sintetico inserito in prossimità del tasto di attivazione del servizio, si limita ad avvisare l’utente che, attivandolo, egli presta il proprio “il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”.
Al riguardo, non appaiono condivisibili le argomentazioni difensive secondo cui “era sufficiente che gli interessati fossero informati delle ‘finalità di trattamento’, cosa che è avvenuta”, mentre “il numero di contatti potenzialmente effettuabili o cosa sarebbe successo nel caso di numerazione libera” sono “aspetti che non attengono alle finalità […] bensì alle modalità tecniche per il loro perseguimento”.
Si deve osservare che, quando le “modalità tecniche” sono particolarmente invasive come nel caso di specie, in cui l’utente potrebbe essere potenzialmente “richiamato […] 4 volte in un’ora a distanza di 15 minuti ciascuno per un totale di 20 tentativi […] nell’arco della giornata” prima che “il contatto [sia] chiuso”, queste diventano parte integrante ossia una caratteristica stessa del trattamento, di cui l’utente deve essere previamente informato prima di rilasciare il suo consenso, proprio in ragione della loro particolare pervasività. Si pensi, ad esempio, alle segnalazioni degli utenti che hanno lamentato “una persecuzione telefonica” a seguito dell’attivazione del servizio.
Anche la nuova informativa predisposta da Fastweb, sebbene espliciti il funzionamento del servizio lasciando intendere all’utente che a seguito dell’attivazione del medesimo seguiranno “successivi tentativi” di chiamata, appare generica laddove si limita ad affermare che “in caso di contatto non riuscito proveremo a richiamarti nei giorni successivi fino alla scadenza dei tentativi utili che variano a seconda dell’impedimento riscontrato (linea occupata, mancata risposta) e degli operatori disponibili. In ogni caso i successivi tentativi per dare seguito alla tua richiesta saranno eseguiti nel rispetto della fascia oraria scelta originariamente”.
Si rileva, altresì, la carenza di un sistema che consenta agevolmente all’utente di disattivare il servizio con la medesima semplicità con cui è possibile attivarlo. Al riguardo, non appaiono avere pregio le argomentazioni di Fastweb secondo cui, per la disattivazione del servizio, basterebbe che gli interessati “rispos[ndessero] alla chiamata di ricontatto richiesta”. Invero, oggetto della contestazione è proprio l’assenza di un sistema che consenta agevolmente all’interessato di interrompere il flusso di chiamate qualora egli sia impossibilitato (o semplicemente non più intenzionato) a rispondere alle chiamate. Né tantomeno, la procedura di disattivazione del servizio “per il tramite del semplice invio di una mail” appare una misura proporzionata rispetto alla procedura di attivazione che richiede un semplice “clic”. Se è vero che “non è condizione per la validità del consenso che vi siano modalità di revoca esattamente speculari a quelle per il rilascio”, è altrettanto vero che è obbligo del titolare del trattamento “prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al […] Regolamento” (Art. 12 del Regolamento e considerando 59).
I casi segnalati, se ricondotti a sistema attraverso le indicazioni fornite da Fastweb, evidenziano come la mancanza di un’adeguata informativa e la carenza di procedure adeguate per la revoca del consenso abbiano impedito agli interessati (i) di prestare un consenso libero, specifico e informato, attraverso una azione positiva inequivocabile; (ii) di interrompere il flusso di chiamate, ostacolandoli nell’esercizio dei propri diritti.
La circostanza che Fastweb non abbia adottato un sistema che “agevol l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione nonché l’inosservanza delle disposizioni in materia di informativa costituisce una violazione delle correlate disposizioni del Regolamento, contenute negli artt. 5, 6, 7, 12, 13 e 21.
2.2.4. Con riferimento alle contestazioni di cui ai punti 4) e 5), risulta accertata la violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati personali (tra cui, dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento), per aver omesso di porre in essere misure di proporzionata efficacia al fine di: garantire (ed essere in grado di dimostrare), che il trattamento è effettuato conformemente al Regolamento; assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento; e testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138). Risulta altresì accertata la violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui sopra.
È pacifico che la Società abbia avuto contezza fin dal luglio del 2019 del fenomeno che ha coinvolto centinaia di clienti Fastweb, i quali sono stati destinatari di contatti illeciti da parte di ignoti soggetti che, spacciandosi per operatori di Fastweb, richiedevano di inviare tramite Whatsapp copia dei propri documenti di identità, cosa che un consistente numero di utenti ha effettivamente fatto. Come affermato dalla stessa Società, il fenomeno ha dimensioni più ampie e ciò può essere desunto anche dall’elevato numero di segnalazioni pervenute a Fastweb che hanno formato oggetto di denuncia da parte della Società alle Autorità competenti, anche originati da segnalazioni di guasti tecnici alle proposte articolazioni della Società.
Al riguardo le misure adottate dalla Società tra cui il processo di denuncia contro ignoti alla Polizia Postale, l’attività di sensibilizzazione ed informazione nei confronti e a tutela dei propri clienti e del mercato, ovvero le attività compiute sulla sicurezza dei sistemi, non si ritengono efficaci ed adeguate rispetto al fine di tutelare i dati dei clienti e verificare, anche attraverso analisi dei file di log, la sussistenza di accessi illeciti.
A fronte di un numero consistente di episodi portati all’attenzione della Società, gli interventi effettuati non sembrano aver costituito un serio contrasto ai tentativi di esfiltrazione dei dati dai database aziendali considerato che tali episodi si sono verificati anche in periodi recentissimi.
A tale proposito, il Garante nel richiamato provvedimento del 12 novembre 2020 n. 224 ha osservato che, “mentre nell’ambito del previgente quadro normativo, la sicurezza in ambito privacy poteva ritenersi formalmente assicurata con l’applicazione delle misure minime di sicurezza indicate negli artt. 33 e ss. del Codice, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, e delle regole di cui al connesso disciplinare tecnico, indipendentemente dalla configurazione funzionale e dimensionale dei sistemi, rimanendo il giudizio di adeguatezza delle predette misure confinato alla valutazione sulla responsabilità civile del titolare in caso di evento di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, con l’attuale assetto dettato dal Regolamento sono proprio gli eventi sopra descritti a determinare, in ragione dei rischi per i diritti e le libertà delle persone fisiche, un primo e qualificante giudizio di adeguatezza sulle misure di sicurezza adottate. Ciò in particolare, come indicato nel considerando 75 del Regolamento, con riferimento ai trattamenti ‘suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione […] o qualsiasi altro danno economico o sociale significativo; […] se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati’”.
È evidente che, data la gravità degli eventi segnalati dai reclamanti, e il potenziale pregiudizio che ne deriva per i diritti e le libertà degli interessati, la Società sarebbe dovuta intervenire prontamente con misure drastiche e idonee a scongiurare il sopraggiungere di episodi analoghi. Ciò non è accaduto. Al contrario, dalla documentazione agli atti risulta che, nonostante le prime segnalazioni fossero state ricevute dalla Società già a metà del 2019, ancora nell’ottobre del 2020 gli utenti segnalavano di essere stati contattati da ignoti soggetti che si presentavano come operatori Fastweb e facevano ad essi richiesta di copia dei propri documenti d’identità.
Né escluderebbe la responsabilità la circostanza per cui “la fuoriuscita dei dati [si collocherebbe] al di fuori dei sistemi di propria pertinenza”. Quand’anche le supposizioni di Fastweb fossero dimostrate, è incontestato che oggetto di contatti illeciti fossero tutti clienti di Fastweb, sicché l’eventuale “presenza di una distinta titolarità nei trattamenti”, non esonerebbe la Società dall’onere di tutelare la sicurezza dei dati personali dei propri clienti (per cui è indubbio che la Società sia titolare del trattamento), ovvero dall’onere di comunicazione di data breach ai sensi degli artt. 33 e 34 del Regolamento, in relazione alla violazione dei dati personali relativi ai propri clienti.
2.2.5. Con riferimento alla contestazione di cui al punto 6), le osservazioni espresse da Fastweb nell’ambito dell’esercizio del diritto di difesa confermano la sussistenza della responsabilità della Società in ordine all’inosservanza del principio di esattezza dei dati (violazione dell’artt. 5, par. 1, lett. d) in relazione agli artt. 15-22 del Regolamento, poiché in diverse istanze di esercizio dei diritti proposte dagli interessati, sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155).
Sulle predette segnalazioni e reclami deve evidenziarsi che la generica indicazione di un “errore manuale” e/o di un non documentato errore di sistema, non è idonea a far venire meno la responsabilità della Società circa gli indebiti contatti e/o l’inadeguata gestione delle richieste di esercizio dei diritti, poiché, anche in base ai principi stabiliti dall’art. 3 della legge n. 689/1981 in tema di buona fede, l’errore sulla liceità del fatto può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall’interessato con l’ordinaria diligenza. Tale elemento non è stato fornito dalla Società. Inoltre, in base a quanto stabilito in termini generali dall’art. 25 del Regolamento e, più nello specifico, dall’art. 12, par. 1, in tema di trasparenza, un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi dovrebbe portare a escludere la ricorrenza di siffatta tipologia di errori.
Aggiungasi che, come già rilevato in sede di contestazione, in alcuni dei suddetti casi, sono trascorsi anche anni per la risoluzione delle problematiche sollevate.
Nei casi come sopra individuati, si conferma pertanto la sussistenza della violazione delle disposizioni di cui agli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento.
In merito al numero dei casi oggetto di contestazione che rappresenterebbero una percentuale modesta rispetto alla mole di richieste di esercizio dei diritti che Fastweb evade mensilmente, si ribadisce che: i) il numero si riferisce solo ai casi portati all’attenzione dell’Autorità, non escludendo chiaramente che ve ne siano molti altri; ii) le segnalazioni sono esemplificative di una problematica rilevata nel sistema di riscontro di Fastweb, che potrebbe potenzialmente coinvolgere centinaia di migliaia di utenti; iii) in ogni caso, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria.
Neppure è condivisibile la tesi di Fastweb secondo cui “essendo cambiato il meccanismo di sanzionatorio” non si “ragion[erebbe] più in termini di ‘microsanzioni’” fondate “su singoli ‘microadempimenti’” bensì “di sanzioni calcolate sul fatturato complessivo dell’impresa” fondate “sulla visione complessiva dell’accountability”. Contrariamente a quanto sostenuto da Fastweb, il nuovo sistema sanzionatorio non vieta affatto (tantomeno lo vietava in passato) di ragionare per singola violazione, e nel contempo, per violazione dei sistemi. Esiste uno strumento, l’art. 83 par. 3 che consente di unificare le violazioni, facendo sì che le singole condotte possano rilevare per la valutazione complessiva della sanzione.
2.2.6. Con riferimento alla contestazione di cui al punto 7), risulta accertata la violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).
Per quanto concerne le osservazioni difensive di Fastweb, si condivide quanto rappresentato in ordine al fatto che “il consenso per i trattamenti commerciali […] riguarda proposte individuate nelle categorie merceologiche [...] che [...] non devono essere collegate ai servizi già offerti al cliente” e che “potrebbero anche prescindere dall’esistenza di un rapporto contrattuale in corso”; diversamente, i contatti basati sul legittimo interesse possono riguardare solo proposte commerciali legate a servizi già offerti al cliente, e non possono prescindere dall’esistenza di un rapporto contrattuale in corso.
Tuttavia, la ricostruzione prospettata dalla Società appare smentita dalle fattispecie in esame. In tali casi, le attività promozionali sono effettuate in partnership con un altro soggetto per cui le stesse non possono essere ricomprese né fra quelle compatibili con l’originario scopo della raccolta (l’esecuzione di un contratto di cui l’interessato è parte), né fra quelle per le quali può essere utilizzata la base giuridica del legittimo interesse. Gli operatori, infatti, non si limitano a presentare proposte commerciali legate a servizi già offerti al cliente, bensì a promuovere iniziative commerciali addirittura per altri soggetti. Le predette attività sono pertanto lecite solo in presenza di un espresso consenso dell’interessato al trattamento dei propri dati per finalità di marketing che, nei casi evidenziati, non risulta essere stato rilasciato. Si aggiunga che, gli interessati, proprio per aver negato espressamente il consenso ai trattamenti finalizzati ai contatti promozionali, non potevano avere alcuna “legittima aspettativa” di essere oggetto di contatti promozionali per giunta riferiti a prodotti e/o servizi di soggetti diversi. A tale riguardo la prospettazione di uno sconto nei servizi già sottoscritti con Fastweb appare essere un mero espediente commerciale che non può in alcun modo determinare il mutamento della base giuridica dei trattamenti di cui sopra.
Quanto all’informativa (compresa quella trasmessa a tutti i clienti dal Febbraio 2019), pur non essendo stata oggetto di specifiche contestazioni da parte dell’Autorità, per completezza di trattazione si evidenzia che la stessa non appare, in riferimento all’indicazione della base giuridica del legittimo interesse e delle modalità di opposizione, sufficientemente chiara e direttamente comprensibile all’interessato in conformità a principi di correttezza e trasparenza dei dati personali individuati negli artt. 5, par. 1, lett. a, e 12 del Regolamento.
In aggiunta, anche nel contenuto, l’informativa indica trattamenti la cui base giuridica risiederebbe nel legittimo interesse e che non sembrano potersi ricondurre, per le suesposte ragioni, a tale istituto (ad es., l’utilizzo di dati di contatto per “per informarti di […] promozioni nostre o di nostri partner che ti consentono di avere sconti e altri vantaggi sui servizi già attivi”) posto che il mero riconoscimento di uno sconto riferito ai servizi già attivi non costituisce un legame pertinente per consentire di vincolare le nuove promozioni al complessivo profilo del cliente tantomeno in caso di promozioni relative a soggetti terzi.
3. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Fastweb in ordine alle seguenti violazioni:
1. violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, poiché Fastweb S.p.A. non ha provveduto a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Fastweb. La violazione coinvolge l’intera base clienti della società e i reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231;
2. violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché Fastweb S.p.A. ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta li avevano acquisiti in qualità di autonomi titolari del trattamento e che li hanno riversati nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto almeno 7.542.000 interessati nell’anno 2019;
3. violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”;
4. violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138);
5. violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui al punto che precede;
6. violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento, in relazione alle diverse istanze di esercizio dei diritti proposte dagli interessati per le quali sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155);
7. violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).
Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;
- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;
- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;
- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.
4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a Euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).
Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Fastweb S.p.A., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in Euro 90.037.367,00;
Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;
Nel caso in esame, assumono rilevanza:
1. la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) con riferimento alle contestazioni di cui ai punti 1), 2), 4), 5), e 7) in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza); del livello di danno effettivamente subito dagli interessati, che con riferimento alle violazioni di cui al punto 1) sono stati esposti a chiamate di disturbo; delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno; della molteplicità delle condotte poste in essere da Fastweb S.p.A. in violazione di più disposizioni del Regolamento e del Codice; degli episodi di illecita acquisizione dei dati dei contraenti, con rifermento alle violazioni di cui al punto 4), che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi;
2. quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere permanente e ancora in essere delle violazioni di cui ai punti 1), 2), 3), e 7) nonché della durata superiore a sei mesi delle violazioni di cui ai punti 4), 5) e 6);
3. quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui al punto 1) deve tenere conto dell’intera base clienti di Fastweb S.p.A. e per la violazione di cui al punto 2) annovera gli oltre 7 milioni di interessati presenti nelle liste acquisite da soggetti terzi;
4. quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che avrebbero dovuto costituire un valido supporto nelle scelte organizzative della Società ma che invece, in particolare con riferimento alle violazioni di cui ai punti 1), 2) e 7) sono risultati in massima parte disattesi. Carattere significativamente negligente assumono anche le violazioni di cui ai punti 4) e 5) in ragione delle gravi vulnerabilità riscontrate nei database aziendali, allo stato non ancora del tutto risolte, e del grave ritardo nella notificazione di un importante “data breach”;
5. quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Regolamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori con riferimento a trattamenti della stessa specie (art. 83, par. 2, lett. i) del Regolamento);
6. quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare alle attività di controllo e di contenimento delle anomalie nei contatti promozionali operati dalla rete di vendita; all’implementazione di nuove piattaforme per adeguare i trattamenti con finalità promozionali alla normativa e alla indicazione dell’Autorità; alla progressiva dismissione delle attività di telemarketing che non presentano requisiti di affidabilità; al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali; e all’adeguamento delle informative e delle procedure di riscontro agli interessati;
7. quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare;
8. quale fattore attenuante, la partecipazione a tavoli di lavoro per il contrasto a fenomeni riconducibili alle attività di marketing selvaggio (art. 83, par. 2, lett. j) del Regolamento) nel corso dell’istruttoria preliminare;
9. quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la significativa posizione di mercato di Fastweb S.p.A. nel settore delle telecomunicazioni e il valore economico complessivo della Società.
In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Fastweb S.p.A. la sanzione amministrativa del pagamento di una somma di Euro 4.501.868,00 pari al 5 % della sanzione massima edittale, in linea con i recenti provvedimenti adottati dall’Autorità in materia di telemarketing.
Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;
Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
TUTTO CIO’ PREMESSO IL GARANTE
a) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel termine di 30 giorni dalla notifica del presente provvedimento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;
b) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;
c) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
d) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;
e) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;
f) ingiunge a Fastweb S.p.A., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.
ORDINA
a Fastweb S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti 1, C.F. e P. IVA: 12878470157, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata
INGIUNGE
alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981
DISPONE
l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.
Roma, 25 marzo 2021
IL PRESIDENTE
Stanzione
IL RELATORE
Ghiglia
IL SEGRETARIO GENERALE
Mattei