Telemarketing selvaggio: Garante privacy sanziona Iren per 3 mln di euro / Parte 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Telemarketing selvaggio: Garante privacy sanziona Iren per 3 mln di euro / Parte 2

Messaggio da Giancarlo Favero »

2.2 Considerazioni in fatto e in diritto

Con riferimento agli aspetti anche fattuali sopra evidenziati e tenuto conto delle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, nonché dell’ulteriore documentazione prodotta, si formulano le seguenti valutazioni circa i profili riguardanti la disciplina in materia di protezione dei dati personali.

2.2.1 Sull’acquisizione dei dati degli interessati coinvolti nell’attività di telemarketing.

Le argomentazioni formulate dalla Società nella propria memoria difensiva rispetto a quanto contestato dall’Autorità si sono appuntante essenzialmente su due aspetti.

Il primo riguardante la conformità del proprio comportamento al dettato normativo rispetto ai presupposti di liceità del consenso rilasciato dagli interessati per la comunicazione dei relativi dati per finalità promozionali di terze parti, considerando “innovativa” l’interpretazione dell’Autorità adottata nel richiamato provvedimento rivolto ad Eni. Ciò tenuto conto anche delle richiamate Linee-guida in materia di spam, del provvedimento Supermoney e del Parere reso dal WP 29 (WP249).

Il secondo, con specifico riguardo alla posizione rivestita dalla società cedente Nethex, sul suo ruolo di broker di informazioni rispetto all’acquisizione ed al successivo trasferimento ad Iren Mercato dei dati forniti dagli interessati sui siti web, gestiti dal Gruppo Walldata e da ClickADV, in virtù di un consenso alla comunicazione a terzi per lo svolgimento di loro attività di marketing. In particolare, rispetto al portale promoemail.org, sulla base sia di un consenso alla comunicazione per finalità promozionali di terzi sia di un consenso alla cessione a terzi (cfr. all. da 1.1. a 1.5 alla memoria).

Orbene, con riguardo al primo aspetto, la ricostruzione formulata dalla Società risulta priva di fondamento.

Il dettato normativo, richiamato sia con riferimento al previgente Codice privacy (artt. 13 e 23) sia con riferimento al nuovo Regolamento (artt .6, 7 e 13) non consente un’interpretazione per cui, con riguardo ad un trattamento riferibile ad attività promozionali di terzi, il richiamo a detti terzi dovrebbe intendersi riferibile ad “indefinite categorie di destinatari” (cfr. pag. 9 della memoria difensiva), legittimando la comunicazione dei dati tra autonomi titolari in ragione dello specifico consenso informato, inizialmente prestato al soggetto che ha raccolto i dati.

Una siffatta interpretazione non trova appigli neanche nelle menzionate Linee-guida in materia di spam e nel provvedimento Supermoney del Garante, né può dirsi che la posizione espressa dall’Autorità nel menzionato provvedimento Eni sia innovativa, ponendosi piuttosto in linea di continuità con quanto già in precedenza rilevato sul punto, ad esempio nell’ordinanza ingiunzione n. 291 del 13 giugno 2013 (4), che ha trovato conforto anche in una decisione della Suprema Corte di Cassazione del 2017 (5).

In particolare, la sentenza del Supremo Collegio, originata dal ricorso proposto dal Garante avverso una decisione del Tribunale di Milano (6), di parziale accoglimento dell’opposizione alla predetta ordinanza, emessa dall’Autorità per la violazione degli artt. 13 e 23 del previgente Codice ha dato conto, come già il tribunale, dei profili di criticità emersi rispetto al corretto trattamento dei dati personali proprio in relazione a successive comunicazioni di dati tra autonomi titolari. Nel caso specifico, che si richiama in questa sede per ragioni di analogia, la cessione dei dati da parte di una società, che ne era a propria volta cessionaria, ad altra società non risultava infatti confortata né dalla preventiva informativa agli interessati né dell’acquisizione del loro preventivo e specifico consenso proprio per la successiva comunicazione effettuata da un titolare all’altro.

Di tale evidenza l’Autorità ha peraltro dato atto anche nel recente provvedimento del 12 novembre 2020 rivolto a Vodafone Italia Sp.A. (7), confermando come l’impostazione del precedente provvedimento Eni sia stata conforme “…a quanto anche in precedenza stabilito dal Garante, ad esempio nel provvedimento n. 291 del 13 giugno 2013 (…) e nella correlata sentenza confermativa della Corte di Cassazione, sez. II civ., n. 18619 del 27 luglio 2017)”.

Quanto al richiamo sia alle menzionate Linee-guida in materia di spam sia al provvedimento Supermoney, deve ribadirsi come in nessuno dei passaggi peraltro espressamente riportati nella memoria di parte, circa la conclamata necessità di un consenso specifico dell’interessato per la comunicazione e/o cessione a soggetti terzi dei dati personali per loro finalità di marketing, emerga che una tale comunicazione a detti terzi, richiamati secondo una consueta formula, renda lecite successive cessioni ad altri autonomi titolari senza un’idonea base giuridica quale il consenso dell’interessato.

Ciò contrasterebbe, infatti, con la stessa ratio sottesa alla previsione di uno specifico consenso con riguardo al trattamento di comunicazione, ovvero l’esercizio di quell’autodeterminazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso.

Peraltro, nel provvedimento Supermoney, l’intervento dell’Autorità si è in particolare appuntato sul diverso profilo della necessità di uno specifico consenso degli interessati per finalità di comunicazione dei relativi dati personali a terzi per le relative attività di marketing, rispetto al distinto consenso richiesto invece per le finalità di marketing proprie della società.

Neppure il riferimento all’Opinion WP249 può dirsi di conforto alla ricostruzione di Iren Mercato. Il richiamo a “terze parti” nell’ambito del trasferimento a terzi di dati personali per attività di marketing di questi ultimi non offre alcun supporto alla tesi che la Società tenta di sostenere, rilevando che un consenso reso nei termini sopra richiamati, stante la natura indefinita di detti terzi, potrebbe legittimare successive comunicazioni tra autonomi titolari senza la necessaria acquisizione di un consenso specifico oltre che informato (ovvero basato sulle informazioni rese dal titolare che svolge il trattamento) dell’interessato.

Pertanto, nel caso di specie, l’acquisizione di liste di dati personali da un autonomo titolare, a sua volta cessionario di dette liste sulla base di un consenso rilasciato all’iniziale titolare del trattamento per la comunicazione di dati a terzi, non poteva rendere sufficiente per la Società la previsione contrattuale della garanzia circa la sussistenza del consenso inizialmente rilasciato dagli interessati al primo, essendo invece necessario verificare che anche detto intermediario avesse raccolto l’ulteriore consenso alla successiva comunicazione.

Né rileva l’osservazione della Società per cui la stessa “ha acquistato e disposto in buona fede dei dati personali ceduti da Nethex, non potendo avere oggettiva contezza se quest’ultimo fosse inquadrabile “a monte” della catena delle comunicazioni a terzi, o ancora, in una posizione mediana”, proprio in ragione del tenore del menzionato contratto stipulato con Aten@ e poi da quest’ultima ceduto a Nethex, allegato alla memoria e richiamato puntualmente nella stessa (cfr. pag. 16 della memoria).

Dal relativo contenuto (in particolare l’art. 10 riportato anche a pag. 17 della memoria), è difatti emerso che oggetto di cessione fossero anche “liste di anagrafiche mobile che il fornitore abbia acquisito in virtù di precedenti contratti”, con ciò dandosi conto proprio di quel passaggio di dati, inizialmente raccolti con il consenso degli interessati per le dichiarate finalità di marketing di terzi, da un titolare all’altro che si censura in questa sede.

Del resto, proprio nel rispetto del richiamato principio di accountability, la Società avrebbe dovuto verificare ed avere contezza dell’origine dei dati acquisiti e della loro legittima comunicazione.

Peraltro il suddetto contratto regolamentava, come si evince dal relativo art. 2 “la fornitura di liste di 6 MLN di anagrafiche mobile”. Un dato, quest’ultimo che non può non rilevare a fronte della prospettazione della Società circa l’”esiguità delle contestazioni pervenute (n. 10 fascicoli di cui esclusivamente n. 6 relativi a contesta assenza del presupposto di liceità per attività promozionale da parte di terzi)” (cfr. pag. 64 della memoria).

Nel quadro di una più articolata valutazione deve essere infatti rilevato, come l’Autorità ha già avuto modo di chiarire nel menzionato provvedimento rivolto a Vodafone, che “oltre alla considerazione che la protezione dei dati personali e della riservatezza si estrinseca come esercizio individuale di un diritto della persona, e come tale assume rilevanza e connotazione di specifica gravità anche una singola violazione (…) “l’universo di riferimento (…) non può essere quello delle complessive chiamate promozionali (…)” del titolare “posto che la quota di interessati che percepiscono di essere oggetto di attività non conformi alle regole rappresenta una minima parte del totale e ancor meno sono le persone che si assumono l’onere di portare all’attenzione dell’Autorità le proprie vicende,”.

Alla luce del quadro sopra evidenziato, anche il rilievo attribuito al richiamato “doppio” consenso rilasciato dagli interessati in sede di iscrizione al portale gestito da Walldata, (“consenso per la ricezione di comunicazioni commerciali proprie o di terzi” e “consenso alla cessione dei dati a terzi”) non può ritenersi dirimente, posto che in nessun caso il consenso espresso ad un primo titolare in sede di raccolta dei dati, seppure per autorizzarne la comunicazione a terzi per le relative finalità di marketing, avrebbe potuto autorizzare, dopo una prima comunicazione, anche successivi trasferimenti ad altri autonomi titolari, ovvero, nel caso di specie, ad Iren Mercato da parte di Nethex . La sua richiamata operatività è dunque assente in radice.

Ma sul punto vale anche la pena sottolineare come un consenso formulato nei termini summenzionati, ovvero come consenso per la ricezione di comunicazioni proprie o di terzi avrebbe comunque potuto legittimare solo un’attività promozionale propria del gestore (su propri prodotti e servizi e per conto di terzi), non potendosi estendere anche ad un’autonoma attività promozionale di terzi, dovendosi semmai dare rilievo allo specifico consenso prestato proprio per la cessione dei dati a terzi.

Anche il tentativo di Iren Mercato di legittimare il proprio operato richiamando il ruolo di Nethex quale mero broker di informazioni, non svolgendo quest’ultima alcuna autonoma attività di sfruttamento per finalità promozionali sui (…) dati”, e “non determinando quella potenziale perdita di controllo che avrebbe messo a rischio i diritti degli interessati”, può indurre a configurare un diverso scenario (cfr. pagg. 12 e 13 della memoria).

In primo luogo, stante quanto emerso nel primo riscontro fornito nella nota del 28 maggio 2020, in cui si evidenziava che “in relazione alle attività di trattamento dei dati personali oggetto di comunicazione da parte di Nethex Digital Merketing S.r.l. ad IREN Mercato S.p.A., le parti contrattuali statuivano che, per l’esecuzione delle operazioni di trattamento, ciascuna di esse si qualificasse quale autonomo titolare del trattamento”.

Ma soprattutto in quanto l’affermazione per cui Nethex, non avesse la discrezionalità propria del titolare, avendo solo organizzato, razionalizzato e reso fruibili le anagrafiche degli interessati in ragione delle finalità di marketing per le quali i dati sono stati raccolti e ceduti ad Iren Mercato, non contraddice, nella sostanza, il predetto ruolo di autonomo titolare.

Ciò che emerge infatti, proprio in linea con la funzione del cd. list broker, o list provider, tenuto conto della specificità della relativa attività di impresa, che esula da quella tipica del committente, è proprio un’autonomia gestionale e di scelta circa modalità e mezzi per raccogliere, gestire e trasmettere i dati alle società clienti per le relative finalità di marketing.

Del resto, a fronte della richiamata veste di broker di informazioni, asseritamente associata alla Nethex, ovvero all’identificazione di “mero fornitore di business process outsourcing”, manca, nella ricostruzione della Società, il riferimento alla specifica e diversa qualifica, sotto il profilo dei ruoli privacy, che la stessa avrebbe dovuto assumere nel trattare i dati degli interessati.

Le valutazioni sopra evidenziate sono state, peraltro, puntualmente richiamate anche nel citato provvedimento Vodafone ed in quello di cui è stata successivamente destinataria Fastweb S.p.A. il 25 marzo 2021 (8).

In particolare, nel provvedimento del 12 novembre 2020, il Garante non solo ha avuto modo di richiamare, ancora una volta, il provvedimento n. 232/2019 emesso nei confronti di Eni, ma anche di sottolineare come, nel contesto di successivi trattamenti di comunicazione dei dati degli interessati da un titolare all’altro, “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mira a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso…”, rilevando come tale controllo “…verrebbe meno in ogni caso in cui il complesso delle disposizioni sopra richiamato potesse essere eluso da arbitrarie scelte in ordine alla veste giuridica che, di volta in volta, i soggetti del trattamento concordassero di assumere al fine di mascherare proprio quegli effetti a catena difficilmente riconducibili all’iniziale manifestazione di volontà dell’interessato”.

L’Autorità non ha poi mancato di evidenziare come la suddetta impostazione risulti in linea con quanto precedentemente stabilito rispetto “alle generali disposizioni sulla titolarità nei trattamenti in materia di telemarketing contenute nel provvedimento n. 230 del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257)”.

Analogamente, nel sopracitato provvedimento Fastweb, è stata nuovamente evidenziata, rispetto alla cessione alla società di liste di anagrafiche da parte di partner a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento sulla sola base dell’originario consenso reso dagli interessati ai cd. list editor, l’inidoneità di detto consenso rispetto ad ulteriori comunicazioni di dati. Rilevandosi, anche in tal caso, la violazione della normativa , stante la carenza del previsto consenso per la comunicazione di dati personali tra titolari autonomi del trattamento.

Né dirimente può considerarsi il richiamo a precedenti interlocuzioni della Società con il Garante in merito alle modalità di acquisizione delle anagrafiche, posto che in tali interlocuzioni non sono mai emerse, e non sarebbero mai potute emergere, interpretazioni della normativa al momento vigente, tese in qualche misura a superare gli aspetti di specificità del consenso che opera per ciascun trattamento e per ciascun titolare.

In ragione di quanto sopra evidenziato e per i rilevati profili si ritengono pertanto integrate le violazioni degli artt. 6, par.1, lett. a) e 7, par.1 del Regolamento, nonché dell’art. 5, par. 1, lett. a) e par. 2 del Regolamento e si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5 , lett.a) del Regolamento.

2.2.2 Sul legittimo interesse della Società quale idonea base giuridica dei trattamenti effettuati.

Neanche il successivo richiamo, in sede di memoria difensiva e di audizione, ad una diversa base giuridica dei trattamenti posti in essere dalla Società rispetto al consenso degli interessati, ovvero il suo legittimo interesse per finalità di marketing, stante il combinato disposto di cui all’art. 6, lett. f) e al Considerando 47 del Regolamento, risulta sostenuto da un serio supporto argomentativo e probatorio.

Sulla base delle argomentazioni formulate dalla Società e della prospettazione dei fatti fornita all’Autorità tale legittimo interesse sarebbe stato difatti supportato dalla valutazione per cui gli interessati, coinvolti nei trattamenti svolti, avrebbero potuto, all’atto della registrazione ad un portale promozionale generalista (in particolare promoemail.org), attendersi ragionevolmente che i propri dati sarebbero stati ceduti a terzi e comunque utilizzati per trattamenti ulteriori per finalità promozionali di terzi quali, nel caso di specie, Iren Mercato.

Orbene, occorre ricordare che il legittimo interesse del titolare del trattamento, proprio sulla base del richiamato Considerando 47 e, prima ancora, della specifica Opinion resa dal WP29, n. 6/2014 (WP217), deve essere accompagnato da un attento bilanciamento, peraltro adeguatamente documentato, tra i diritti degli interessati e le aspettative circa il trattamento dei relativi dati personali e l’interesse del titolare stesso.

Nella fattispecie in esame mancano entrambi i presupposti.

In primo luogo perché appare difficile ipotizzare una ragionevole aspettativa degli interessati, iscrittisi ai menzionati portali web, che i relativi dati potessero essere oggetto per finalità di marketing di terzi di successive ed incontrollate cessioni da un titolare “terzo” ad un altro.

In secondo luogo perché non vi è alcuna prova dell’attenta valutazione e comparazione che la Società, in ragione del suo legittimo interesse a trattare i dati, avrebbe effettuato, ai fini della prevalenza del suo legittimo interesse al trattamento, nell’ambito del necessario bilanciamento tra tale interesse e i diritti, gli interessi e le libertà fondamentali degli interessati proprio in relazione alla menzionata, ragionevole aspettativa di questi ultimi.

In tal senso serve anche richiamare le considerazioni già formulate da questa Autorità con il provv. n. 7 del 15 gennaio 2020 (9), ovvero che “… il legittimo interesse, di cui all'art. 6, par. 1, lett. f), del Regolamento - già previsto sia dall'abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) - non può surrogare - in via generale - il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) - lo ammette solo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”

Inoltre, sempre in base a quanto già chiarito nel citato provvedimento: “l'applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall'Autorità di controllo) di quest'ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l'attenta ponderazione dell'impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato”)”.

Ma vi è di più. Richiamando quanto l’Autorità ha già avuto modo di precisare nel contesto del sopra menzionato provvedimento: “il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01)”.

Pertanto, in assenza dei sopra richiamati presupposti per la rilevanza del legittimo interesse del titolare, deve sottolinearsi come la regola generale che disciplina i trattamenti per finalità promozionali sia quella del ricorso al requisito del previo consenso informato, libero, specifico e documentato degli interessati che, nel caso di specie, è risultato carente rispetto alla comunicazione dei dati tra autonomi titolari a monte del successivo trattamento effettuato per le suddette finalità.

Si ribadisce quindi la violazione delle disposizioni richiamate sul punto nel paragrafo precedente.

2.2.3 Sulla prova dell’acquisizione del consenso per attività di telemarketing e la collaborazione con l’Autorità.

Nel suo iniziale riscontro del 28 maggio 2020, alla richiesta di informazioni dell’Ufficio, la Società non è stata in grado di documentare adeguatamente la presenza di un idoneo consenso degli interessati, destinatari dei contatti promozionali, in quanto la documentazione acquisita dalle società che ne avevano inizialmente raccolto il consenso per finalità promozionali di soggetti terzi attraverso l’iscrizione nei relativi siti web è risultata carente e poco chiara.

Una documentazione idonea e completa, ai fini del necessario e puntuale riscontro probatorio, è stata prodotta dalla Società solo successivamente, a seguito del procedimento di contestazione avviato ai sensi dell’art. 166 del Codice, a corredo della propria memoria difensiva.

In tal senso, pur non potendosi ritenere che detta documentazione sia stata offerta, come dichiarato dalla Società, ad “ulteriore comprova” della legittima acquisizione del consenso degli interessati, trattandosi, invece, di un riscontro tardivamente prodotto, deve rilevarsi che la stessa offre i necessari e puntuali elementi di verifica.

In particolare, con riguardo ai reclamanti e segnalanti (XX, XX, XX, XX e XX) è stata fornita idonea dimostrazione della valorizzazione del relativo consenso alla comunicazione a società terze per finalità di marketing dei dati personali acquisiti da Walldata.

Ciò, in quanto, unitamente alla memoria difensiva, sono stati prodotti, per ciascun interessato, lo screenshot della landing page www.promoemail.org in essere al momento della prestazione del consenso (con riguardo alle formulazioni relative ai consensi ed all’ubicazione dell’informativa resa agli interessati in sede di compilazione del form on line), nonché i record completi, estratti dal customer database e riferibili ai singoli interessati, da cui è emersa la valorizzazione positiva del consenso associato a ciascuna tipologia prevista tra cui quello “per la ricezione di comunicazioni commerciali proprie o di terzi” e quello alla “cessione dei dati a terzi”.

Con riguardo invece ai segnalanti XX e XX (e rispetto a quest’ultima in ragione dei contatti promozionali indirizzati al suo numero di telefonia fissa), è stata fornita idonea dimostrazione della valorizzazione del relativo consenso alla comunicazione a società terze per finalità di marketing dei dati personali acquisiti da Voice. Quest’ultima ha, a tal fine, fornito anch’essa lo screenshot della landing page in essere al momento della prestazione del consenso con riguardo alle formulazioni relative ai consensi ed all’ubicazione dell’informativa resa agli interessati di cui ha prodotto copia. Ciò unitamente alla puntuale indicazione della tipologia dei consensi richiesti in sede di compilazione del form on line, con evidenza dei singoli flag apposti dagli interessati tramite modalità point and click , tra i quali è risultata documentata la prestazione del consenso alla comunicazione dei dati personali da parte di Voice a società terze per finalità, tra le altre, promozionali, commerciali, di telemarketing e teleselling. Sono stati inoltre forniti, attraverso la puntuale estrazione dai sistemi informatici della società, i record relativi agli interessati.

Analoghi riscontri sono stati offerti con riguardo sempre alla Sig.ra XX, ma con riferimento al numero di telefonia mobile ed al Sig. XX da parte di Oversky. In particolare dalla nuova documentazione fornita dalla società è emersa la riferibilità dello specifico CONSENT 1 prestato come “Accepted” “alle attività di marketing da parte di Oversky (marketing diretto)” e dello specifico CONSENT 2 , anch’esso prestato come “Accepted”, “alla comunicazione dei dati a terzi partner per loro finalità di marketing (marketing di terzi)”.

Ciò premesso, valutata la nuova e più completa documentazione prodotta in fase difensiva e considerato che la Società ha provveduto a fornire idonea prova dell’acquisizione del consenso degli interessati alla base dei contatti promozionali ad essi indirizzati, dovendosi altresì ritenere che la stessa abbia provveduto a fornire, all’atto del primo contatto promozionale, un’ idonea informativa, da intendersi ricollegata a tale contesto, pur rilevandosi la tardività di un idoneo riscontro e, soprattutto, un’insufficiente collaborazione con l’Autorità in fase istruttoria, deve ritenersi che non sussistano, allo stato, i presupposti per adottare specifici provvedimenti in relazione alla violazione delle disposizioni di cui all’art. 130, comma 3, del Codice e dei richiamati artt. 6, 7 del Regolamento.

Cionondimeno, si ritiene opportuno, in questa sede, rivolgere ad Iren Mercato un avvertimento ai sensi dell’art. 58, par.2, lett.a) del Regolamento in merito alla circostanza per cui, fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità, durante la fase istruttoria del procedimento, può integrare la violazione di quei doveri di collaborazione nei confronti di quest’ultima cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento.

2.2.4 Sul rispetto dei principio di accountability

Con riguardo ai profili di accountability rispetto ai quali è stata individuata una possibile violazione riguardo a fattispecie diverse occorre effettuare un opportuno distinguo.

In relazione al coinvolgimento della You Call S.r.l.s. nel lamentato contatto telefonico effettuato in nome della Società deve rilevarsi come, in sede di memoria difensiva, siano state fornite, a fronte di una generico richiamo nel primo riscontro alla mera assenza di rapporti contrattuali, puntuali indicazioni anche in ragione delle richiamate verifiche interne.

Ciò non solo con riguardo all’esclusione del nominativo della predetta società nell’elenco dei fornitori contrattualizzati da Iren Mercato, ovvero in quello di agenzie teleseller coinvolte nelle relative campagne promozionali anche nel periodo in cui è avvenuta la telefonata promozionale indesiderata e della comprovata verifica della numerazione chiamante presso il ROC, ma anche alla luce dello specifico quadro di rapporti e procedure rappresentato dalla Società.

Il riferimento alle metodologie di gestione dei rapporti con la rete di agenzie di cui Iren Mercato si avvale ed alle attività interne di monitoraggio e controllo che la stessa effettua, come pure alle misure di accesso dedicato e di controllo, rispetto all’inserimento nel CRM aziendale dei contratti conclusi previa procedura telefonica, appare idoneo a scongiurare indebite attivazioni di contratti di fornitura energetica da parte di procacciatori non ufficiali.

Tali aspetti, unitamente alla natura isolata della segnalazione inoltrata al Garante concorrono a far ritenere che non sussistano sul punto i presupposti per adottare specifici provvedimenti in relazione alla violazione delle disposizioni di cui all’art. 5, par. 2 e conseguentemente dell’art. 25 del Regolamento, dovendosi anche in tal caso rivolgere alla Società, rispetto alle ulteriori informazioni ed evidenze probatorie successivamente fornite all’Autorità, un avvertimento nei medesimi termini di cui al precedente paragrafo.

Analoghe considerazioni, stante quanto successivamente rappresentato dalla Società in merito ai controlli periodici circa l’accuratezza dei dati personali presenti nei propri database ed alle modalità di accertamento ed aggiornamento degli stessi, oltre che alla natura isolata del caso, possono estendersi alla rilevata effettuazione del contatto promozionale, erroneamente avvenuto sull’utenza iscritta al RPO.

Rispetto invece all’indebita acquisizione da parte della Società dei dati personali ceduti da Nethex in assenza dello specifico consenso degli interessati a tale successiva comunicazione, deve rilevarsi quell’assenza di controllo circa la legittimità, correttezza e trasparenza del trattamento da parte del titolare che ne definisce e prova l’accountability, riscontrandosi in tal senso le già richiamate violazioni di cui al paragrafo 2.2.1.

3. CONCLUSIONI

In considerazione di quanto sopra richiamato deve pertanto ritenersi ascrivibile in capo ad Iren Mercato S.p.A. la responsabilità per i profili di violazione di cui all’art. 5, parr. 1 e 2, all’art. 6, par. 1, e all’art.7, par. 1 del Regolamento in ragione dell’acquisizione di liste di anagrafiche da parte di un soggetto terzo, Nethex Digital Marketing S.r.l., che a sua volta li ha acquisisti in veste di autonomo titolare del trattamento da Walldata Group LLC e Click ADV S.r.l., essendo tale trasferimento avvenuto in carenza del prescritto consenso degli interessati per la comunicazione dei dati personali fra autonomi titolari. Ciò attesa anche l’inidoneità della base giuridica del legittimo interesse pure invocata dalla Società.

Si rende pertanto necessario:

- imporre ad Iren Mercato S.p.A., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionali, effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati ad Iren Mercato S.p.A.;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Iren Mercato S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, par 5, del Regolamento.

- rivolgere un avvertimento ad Iren Mercato S.p.A., ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, in merito alla circostanza per cui fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità, durante la fase istruttoria del procedimento, può integrare la violazione di quei doveri di collaborazione nei confronti di quest’ultima cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Iren Mercato S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, par 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento e, in particolare:

1. quale fattore aggravante la natura delle violazioni (art.83, par. 2, lett. a) del Regolamento), stante l’assenza del necessario presupposto giuridico dello specifico consenso degli interessati rispetto al trattamento di comunicazione dei relativi dati tra autonomi titolari e la violazione dei principi di liceità, correttezza e trasparenza del trattamento, nonché del principio di accountability;

2. quale fattore aggravante la durata della violazione (art. 83, par.2 lett. a) del Regolamento, dal momento dell’acquisizione dei dati almeno fino alla definizione dell’istruttoria prelimi-nare;

3. il carattere negligente della condotta (art. 83, par. 2, lett.b) del Regolamento tenuto dalla So-cietà rispetto ad un adempimento di primaria importanza, come quello di cui agli artt. 6 e 7 del Regolamento;

4. quale fattore attenuante l’adozione di misure volte a mitigare le conseguenze delle violazio-ni (art. 83, par. 2, lett. c) del Regolamento), in particolare attraverso le attività di implemen-tazione ed allineamento dei processi riferibili all’acquisizione di liste di anagrafiche per fina-lità promozionali di terzi, anche alla luce dei contenuti del provvedimento dell’Autorità n. 232 dell’11.12. 2019.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e sufficiente dissuasività indicati nell’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Iren Mercato S.p.A. la sanzione amministrativa del pagamento di una somma di euro 2.856.169,00 (due milioni e ottocentocinquantaseimilacentosessantanove), pari al 4% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società e dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento:

TUTTO CIÒ PREMESSO, IL GARANTE

impone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore tratta-mento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunica-zione dei propri dati a Iren Mercato S.p.A.

ORDINA

a Iren Mercato S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Genova, Via SS Giacomo e Filippo n. 7 C.F. e P. IVA 01178580997, di pagare la somma di euro 2.856.169,00 (due milioni e ottocentocinquantaseimilacentosessantanove) a titolo di sanzio-ne amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controver-sia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.856.169,00 (due milioni e ottocentocin-quantaseimilacentosessantanove), secondo le modalità indicate in allegato, entro 30 giorni dal-la notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Ga-rante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimen-to può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei



__________________




(1) Provvedimento del Garante n. 232 dell’11.12. 2019, in www.garanteprivacy.it, doc. web n. 9244365.

(2) Provvedimento n. 330 del 4.7.2013, Linee-guida in materia di attività promozionale contrasto allo spam, in www.garanteprivacy.it , doc web n. 2542348.

(3) Provvedimento n. 363 del 22.5. 2018, in www.garanteprivacy.it ,doc. web n. 8995274.

(4) Ordinanza ingiunzione nei confronti di BBJ S.r.l. del 13 giugno 2013, in www.garanteprivacy.it , doc web n. 2616804.

(5) Cass. civ., Sez. II, sent. n. 18619 del 3 maggio 2017, pubblicata il 27 luglio 2017.

(6) Trib. Milano, sent. n. 1748 del 5 febbraio 2014 che ha confermato l’ordinanza con riguardo alla ricorrenza degli illeciti contestati.

(7) Provvedimento n. 224 del 12.11.2020, in www.garanteprivacy.it ,doc. web n. 9485681.

(8) Ordinanza ingiunzione n. 112 del 25 marzo 2021, in www.garanteprivacy.it ,doc. web n. 9570997.

(9) Provvedimento del Garante n. 7 del 15.1. 2020, in www.garanteprivacy.it , doc. web n. 9256486.

Rispondi