Sanzione di 4.500.000,00 Euro nei confronti di Fastweb / Parte 1

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.500.000,00 Euro nei confronti di Fastweb / Parte 1

Messaggio da Giancarlo Favero »

Continua l’azione del Garante per la privacy contro il fenomeno delle chiamate promozionali indesiderate. L’Autorità ha ordinato a Fastweb il pagamento di una sanzione di oltre 4 milioni e 500mila euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing.

Si conclude così una complessa attività istruttoria avviata a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano continue telefonate promozionali di servizi di telefonia e internet offerti da Fastweb effettuate senza il loro consenso.

Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema”, riconducibili al complesso dei trattamenti effettuati da Fastweb nei confronti sia dell’intera base clienti della società, sia del più ampio ambito di potenziali utenti del settore delle comunicazioni elettroniche.

Nel corso dell’istruttoria è emerso un allarmante ricorso all’utilizzo di numerazioni fittizie o non censite nel Registro degli Operatori di Comunicazione (Roc). Tale fenomeno, come già evidenziato dall’Autorità, sembra essere riconducibile ad un “sottobosco” di call-center abusivi che effettuano le attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali. Ulteriori profili di violazione hanno riguardato la corretta gestione delle liste dei contatti, fornite a Fastweb da partner esterni, senza che questi ultimi avessero acquisito il consenso libero, specifico e informato degli utenti alla comunicazione dei propri dati.

Inadeguate sono risultate anche le misure di sicurezza dei sistemi di gestione della clientela. L’Autorità aveva infatti ricevuto numerose segnalazioni che riferivano di indebiti contatti da parte di sedicenti operatori Fastweb che cercavano di acquisire, tramite Whatsapp, i documenti di identità dei contraenti, probabilmente con finalità di spamming, phishing e per la realizzazione di altre attività fraudolente. Altre criticità sono state rilevate dal Garante nell’attività promozionale svolta da Fastweb in partnership con un altro soggetto per aver usato liste di clienti fornite da quest’ultimo senza consenso all’attività di marketing. Altre violazioni hanno riguardato procedure adottate per il servizio “Call me back” che hanno impedito agli utenti di prestare un consenso libero, specifico e informato e di disattivare il servizio in modalità automatizzata.

Tenuto conto degli illeciti riscontrati il Garante ha applicato una sanzione di 4.501.868,00 euro.

L’Autorità ha quindi ordinato a Fastweb di adeguare i trattamenti in materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito chiamate effettuate dalla rete di vendita attraverso numerazioni telefoniche censite e iscritte al Roc. La società, inoltre, dovrà irrobustire le misure di sicurezza per impedire accessi abusivi ai propri database.

Fastweb infine non potrà più utilizzare i dati contenuti nelle liste anagrafiche fornite da partner terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli interessati alla comunicazione a terzi dei propri dati.

Il provvedimento nei confronti di Fastweb segue quelli già adottati nei confronti di Eni Gas e Luce, Tim, Wind Tre, Iliad Italia e Vodafone, che hanno comportato l’applicazione di sanzioni per un importo complessivo di circa 70 milioni di euro.

Roma, 2 aprile 2021

Di seguito trovate il testo integrale del provvedimento, consultabile anche al seguente link:

https://www.garanteprivacy.it/web/guest ... eb/9570997

[doc. web n. 9570997]

Ordinanza ingiunzione nei confronti Fastweb S.p.A. - 25 marzo 2021

Registro dei provvedimenti
n. 112 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 44174/20 del 20 novembre 2020 (notificato in pari data mediante posta elettronica certificata), che deve qui intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Fastweb S.p.A. (di seguito “Fastweb” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti 1, C.F. e P. IVA: 12878470157.

Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di centinaia di segnalazioni e reclami inviati da interessati che lamentavano, e ancora oggi lamentano, continui contatti telefonici indesiderati effettuati da Fastweb e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.

Il fenomeno delle chiamate e dei contatti promozionali indesiderati è noto alla Società, la quale, nel corso degli ultimi dieci anni, è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve. In particolare meritano menzione i provvedimenti n. 300 del 18 ottobre 2012 (in www.gpdp.it, doc. web n. 2368171), n. 235 dell’18 aprile 2018 (in www.gpdp.it, doc. web n. 9358243) e n. 441 del 26 luglio 2018 (in www.gpdp.it, doc. web n. 9040267), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms, che Fastweb e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.

Nonostante l’ampia attività provvedimentale e l’interlocuzione costante fra il Garante e le compagnie telefoniche del recente passato, dal dicembre 2018 a febbraio 2020, Fastweb è stata destinataria di quattro richieste di informazioni cumulative (prot. nn. 36218/18, 8975/19, 34440/19 e 5725/20), che hanno preso in esame 131 fascicoli, ciascuno dei quali riferito alla ricezione di una o più telefonate promozionali indesiderate effettuate per conto della Società, per un totale complessivo di 236 segnalazioni. Se si considerano anche i reclami presentati ai sensi dell’art. 77 del Regolamento, che il Garante ha trattato, nella fase istruttoria, singolarmente e le segnalazioni pervenute dopo le ultime richieste di informazioni, l’Ufficio ha aperto, complessivamente, nel corso degli ultimi due anni a partire dall’entrata in vigore del Regolamento, 283 fascicoli nei confronti di Fastweb, in massima parte riguardanti le attività di telemarketing e di invio di messaggi promozionali da parte o per conto della Società. Nel periodo considerato, l’interlocuzione con segnalanti e reclamanti nonché con la stessa Fastweb, ha determinato la registrazione al protocollo dell’Autorità di 508 missive in ingresso.

I dati di cui sopra testimoniano la forte incidenza che le pratiche di marketing e di teleselling svolte da Fastweb assumono nella complessiva attività dell’Ufficio e confermano il giudizio dell’Autorità rispetto alle modalità di svolgimento di tali pratiche condotte dalla generalità delle compagnie telefoniche, espresso più volte anche in recenti provvedimenti (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365; n. 7 del 15 gennaio 2020, in www.gpdp.it, doc. web n. 9256486; n. 143 del 9 luglio 2020, in www.gpdp.it, doc. web n. 9435753; e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681).

1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, del 23 settembre 2020, e il riscontro fornito da Fastweb

1.2.1. L’Ufficio ha provveduto ad enucleare le criticità maggiormente ricorrenti nei riscontri di Fastweb e ha inviato alla Società, il 23 settembre 2020, una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, contenente alcuni quesiti relativi alle modalità di svolgimento delle attività di telemarketing.

In primo luogo, in relazione alle dichiarazioni di Fastweb secondo cui le agenzie di promozione, al fine di accrescere la loro attività, assumerebbero dei “comportamenti autonom” rispetto alle istruzioni sui trattamenti impartite dai loro committenti, e da ciò deriverebbero contatti promozionali verso interessati che non hanno espresso il consenso al trattamento dei propri dati per finalità di marketing, si è chiesto alla Società di specificare tali comportamenti, indicando le agenzie che li hanno posti in essere nonché i provvedimenti adottati dalla Società per contrastare tali condotte. È stato quindi richiesto a Fastweb di fornire un documento riepilogativo delle eventuali penali applicate alle predette agenzie di promozione e di descrivere, più in generale, il sistema di retribuzione adottato dalla Società nonché di fornire copia dei contratti di agenzia sottoscritti con alcune di esse.

In secondo luogo, partendo dal dato emerso dalle richieste cumulative in relazione al considerevole numero di chiamate promozionali (166 a fronte di 236 segnalazioni, pari a oltre il 70% delle chiamate) che Fastweb ha dichiarato non essere state effettuate da numerazioni della propria rete di vendita, si è chiesto alla Società di indicare quali misure fossero state poste in essere al fine di escludere che da contatti provenienti da tali numerazioni fossero stati poi perfezionati contratti o attivate utenze Fastweb, nonché di indicare in base a quali procedure aziendali la Società aveva verificato che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, fosse avvenuta a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Fastweb.

In terzo luogo, in merito all’utilizzo di liste di anagrafiche per lo svolgimento di attività di contatto promozionale, si è richiesto di chiarire la procedura adottata per la formazione delle liste di numerazioni potenzialmente contattabili dai partner di Fastweb, e di rappresentare le modalità di consultazione e di estrazione dei dati presenti nelle liste, da parte delle agenzie, per lo svolgimento delle attività promozionali. Si è altresì richiesto di indicare tutte le società dalle quali Fastweb acquisisce liste di anagrafiche destinate ai contatti promozionali, specificando, per ciascuna di esse: se questa svolga attività di list editor ovvero di list provider; l’eventuale designazione quale responsabile del trattamento; e la veste giuridica in base alla quale ciascuna società effettua il trattamento di dati.

Con riferimento alle liste di anagrafiche provenienti da soggetti terzi, si è chiesto di indicare le modalità in base alle quali Fastweb verificasse la corretta acquisizione, da parte dei predetti soggetti, del consenso degli interessati per finalità commerciali e per la comunicazione a terzi nonché la distribuzione delle responsabilità nell’ambito del correlato trattamento. Si è altresì richiesto di indicare il numero dei contatti promozionali operati, nel corso del 2019, mediante l’utilizzo di tali liste, nonché il numero dei contratti e delle attivazioni realizzate a seguito dei predetti contatti.

In aggiunta, con riferimento ai contatti effettuati per la gestione del servizio denominato “Call me back” (descritto in dettaglio nel prosieguo), si è invitata la Società a fornire informazioni in ordine alle modalità di ricontatto e della eventuale reiterazione dei contatti stessi.

Infine, si è chiesto alla Società di integrare, chiarire e/o fornire ulteriore documentazione in merito ad alcune specifiche segnalazioni.

1.2.2. Alla richiesta di informazioni dell’Autorità, Fastweb ha fornito riscontro in data 12 ottobre 2020.

In primo luogo, la Società ha indicato le condotte illecite rilevate in forza dei controlli svolti dalla stessa sull’operato della propria rete di vendita e le agenzie cui tali condotte sono imputabili laddove è stato possibile identificarne l’autore. Tali attività illecite sono state raccolte nelle seguenti categorie: “chiamata ad un contatto c.d. Fuori Lista; utilizzo di numerazione chiamante non censita; utilizzo del ‘referee’; utilizzo di liste non comunicate; utilizzo di liste non più autorizzate; necessità di formare i collaboratori”.

La Società ha poi indicato, in un documento riepilogativo prodotto in allegato, i provvedimenti assunti da quest’ultima nei confronti delle predette agenzie. Nello specifico, la Società ha evidenziato che, nel biennio di riferimento (ossia da ottobre 2018 fino al 12 ottobre 2020, di seguito il “Biennio”), quest’ultima ha trasmesso: “14 comunicazioni massive”; “12 richiami formali”; “51 sales warning”; e “44 richieste di informazioni”.

Inoltre, sempre nel Biennio, la Società: ha “comminato 33 penali” in relazione a “33 comportamenti non conformi alle disposizioni previste dal mandato, dai quali è scaturita l’applicazione di penali per € 125.000,00 verso 26 partner commerciali”; “da Novembre 2018 ad Agosto 2020 […] non ha corrisposto importi per commissioni e incentivi per un totale di circa € 566.487,00”; ha “contestato 3 risoluzioni contrattuali per comportamenti non conformi nello svolgimento di contatti commerciali telefonici”; e ha “interrotto il rapporto di agenzia” con “13 agenzie destinatarie di uno o più dei precedenti provvedimenti -richiami formali o penali”.

In secondo luogo, in merito alle misure adottate dalla Società al fine di escludere che da contatti provenienti da numerazioni disconosciute siano poi perfezionati contratti o attivate utenze Fastweb, la Società ha dichiarato che i servizi “di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità”. Richiamando le precedenti comunicazioni del 10 gennaio 2019 e 8 Aprile 2019, la Società ha dichiarato di aver adottato “un meccanismo” che consente di “non corrispondere gli importi dovuti per contratti originanti da contatti non presenti nella lista autorizzata” e “un processo di analisi e denuncia” delle numerazioni chiamanti non riconosciute da Fastweb tramite l’intervento dell’autorità giudiziaria.

Quanto alla prima misura, ossia al “mancato pagamento di PDA [Proposte Di Acquisto] fuori lista”, la Società ha dichiarato di svolgere “analisi puntuali sulle richieste di attivazione per verificare che le stesse collimino con i contatti presenti nelle liste e, se del caso, non corrispondere gli importi dovuti per contratti originanti da contatti non presenti nella lista autorizzata”. In questo sistema di verifiche e controlli – ha rilevato la Società – “si inserisce anche lo sviluppo del tool di analisi dei Log di nuovo sviluppo” nonché “l’implementazione di un meccanismo tramite cui […] inibire con modalità automatiche e preventive anche il caricamento di ordini per nuovi contratti laddove le numerazioni di contatto o altre informazioni anagrafiche non combacino con i dati presenti nelle liste di contatto”.

Quanto al “processo di denuncia delle numerazioni chiamanti non riconosciute”, quest’ultimo prevede che “gli interessati prospect o i già clienti possano contattare Fastweb per segnalare e/o chiedere chiarimenti, circa la ricezione di chiamate promozionali indesiderate per conto di Fastweb mediante vari canali messi a sua disposizione”. Successivamente, le numerazioni segnalate vengono controllate dalla Società e se risultano riconducibili a proprie agenzie autorizzate, Fastweb procederà con l’erogazione di un provvedimento; in caso contrario, “si predispone la lista dei numeri chiamanti non riconosciuti” e tale lista viene poi trasmessa “per la denuncia”. Fastweb ha dichiarato di aver denunciato, al 12 ottobre 2020, “oltre 200 numerazioni”.

In terzo luogo, con riferimento all’utilizzo di liste anagrafiche per lo svolgimento di attività promozionale, Fastweb ha fornito riscontro evidenziando che la formazione di una lista di contatto prevede la creazione di un database formato da tre repository, in base alle diverse fonti dalle quali le anagrafiche possono pervenire. Le fonti di alimentazione del database sono costituite: i) dalle numerazioni del DBU acquisite da Fastweb; ii) dalle numerazioni mobili che Fastweb acquisisce direttamente da soggetti terzi; e iii) dalle numerazioni fisse e mobili che Fastweb acquisisce dai propri partner, che a loro volta le acquisiscono dai propri fornitori. La validità delle liste è stabilita di regola in un mese solare (coincidente con la durata di una cd. “pianificazione”, ossia un insieme di campagne promozionali aventi tutte la stessa data di inizio e di fine), ovvero nel minore periodo previsto dalla normativa in materia di registro pubblico delle opposizioni.

Quanto alle liste di anagrafiche di cui al punto ii), ossia relative ai numeri di telefonia mobile che la Società acquisisce da soggetti terzi, Fastweb ha rilevato che “svolgono tutti l’attività di list editor diretti, dal momento che raccolgono anagrafiche in maniera autonoma da loro siti”. Le società assumono pertanto la veste giuridica di “titolari del trattamento” che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime. Nell’ambito del processo di acquisizione delle anagrafiche, quest’ultima richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa, e che Fastweb sia indicata nella correlata informativa quale soggetto al quale i dati possono essere ceduti. Fastweb verifica che i dati acquisiti direttamente da list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse.

Quanto alle liste di anagrafiche di cui al punto iii), ossia relative ai numeri di telefonia fissa e mobile che la Società acquisisce tramite i partner, i quali a loro volta le acquisiscono “in autonomia da un proprio fornitore”, Fastweb ha rilevato che le agenzie sono tenute a richiedere “un’autorizzazione” alla Società “prima di poterle utilizzare”, fornendo una serie di elementi: il contratto sottoscritto tra le parti con indicazione della durata temporale del medesimo; l’informativa resa dal titolare all’interessato; e l’indicazione delle modalità di raccolta dei consensi. In particolare, Fastweb verifica che: la raccolta del consenso per la cessione dei dati a terzi avvenga attraverso un box separato; l’informativa sia comunque accessibile agli interessati; e che in tale informativa sia indicata la possibile cessione dei dati a terzi con la espressa indicazione di Fastweb fra questi. Nel caso in cui le analisi svolte da Fastweb forniscano esito positivo, il partner è autorizzato a caricare le anagrafiche in suo possesso per effettuare il riscontro con le black list di Fastweb e con il registro pubblico delle opposizioni nonché per le operazioni di deduplica, affinché siano utilizzate nella pianificazione del mese corrente. La lista è inoltre sottoposta a verifiche a campione in base ad un meccanismo di estrazione casuale di nominativi circa i quali viene richiesto al partner di fornire l’evidenza dei consensi acquisiti. Nel corso di ciascun mese di pianificazione le agenzie possono utilizzare le liste per i contatti telefonici. Una volta terminata una pianificazione, le liste utilizzate sono archiviate nel sistema Invoice e non più accessibili per utilizzi con finalità commerciali. La Società ha precisato che il numero dei contatti promozionali operati medianti tali liste nel corso dell’anno 2019 “è ammontato a 7.542.000”.

Infine, con riferimento ai contatti effettuati per la gestione dei cd. “Call me back”, Fastweb ha osservato che tale servizio consente ai clienti e ai potenziali tali di essere richiamati da un operatore di Fastweb, a seguito di un “clic” sul tasto “Richiamami gratis”. La Società ha precisato che “i ricontatti che scaturiscono […] sono svolti in base a regole precise che stabiliscono gli intervalli temporali entro cui il sistema instrada una successiva chiamata verso il soggetto dimostratosi interessato e, in ultimo, arrivano a chiudere il contatto in caso di raggiungimento di un limite di chiamate senza risposta”. Ad esempio – ha rilevato la Società – “è previsto che […] se il numero risulta occupato per 20 chiamate verrà chiuso [...] Per quanto riguarda una numerazione libera, in un’ipotesi scolastica in cui il CRM non sia chiamato a gestire anche altre chiamate, l’utente sarebbe richiamato al massimo 4 volte in un’ora a distanza di 15 minuti ciascuno per un totale di 20 tentativi massimo nell’arco della giornata”. Si è poi aggiunto che “nello specchietto informativo relativo al consenso per finalità commerciali, vi è un apposito link che rimanda all’informativa privacy [in cui] sono rese tutte le informazioni essenziali circa la disponibilità del servizio fino a revoca del consenso stesso e comunque per un periodo massimo di 24 mesi”.

1.3. I reclami istruiti singolarmente

Oltre alle segnalazioni di cui alle quattro richieste cumulative indicate nella Premessa, l’Autorità ha ricevuto ulteriori segnalazioni e numerosi reclami nei confronti di Fastweb, ciascuno oggetto di autonoma istruttoria e di successiva trattazione unitaria con il procedimento principale, in base a quanto previsto dagli artt. 10, comma 4, del Regolamento dell’Ufficio del Garante n. 1/2019 e 8, comma 2, del Regolamento n. 2/2019.

I reclami e le segnalazioni oggetto di trattazione unitaria con il procedimento principale possono suddividersi in diversi gruppi in base alle questioni e agli argomenti sollevati.

1.3.1. Un primo gruppo di reclami e segnalazioni afferisce alla gestione del patrimonio dei dati da parte di Fastweb. In tale quadro, l’Autorità ha rilevato la casistica riguardante un fenomeno piuttosto diffuso, riferito da numerosi segnalanti e reclamanti, i quali, spesso a seguito della segnalazione di un malfunzionamento a Fastweb, hanno lamentato di essere stati contattati da call-center che proponevano offerte commerciali alternative per conto di quest’ultima o di altre compagnie telefoniche, e/o richiedevano ai clienti di inviare la copia di un documento d’identità tramite messaggio Whatsapp. In particolare: i fascicoli nn. 147286 e 154212, in cui i segnalanti hanno lamentato che, successivamente alla loro richiesta di assistenza a Fastweb per un “guasto”, sono stati contattati da parte di call-center apparentemente riconducibile ad altre compagnie telefoniche, che hanno proposto ai segnalanti la migrazione della propria utenza. Al riguardo, la Società ha dichiarato la “totale estraneità di Fastweb” rispetto tali chiamate, aggiungendo, in relazione al fascicolo 154212, che tale estraneità sarebbe confermata “i) dal contenuto delle stesse -indubbiamente finalizzate ad ottenere la migrazione del cliente verso altro operatore […]; ii) dal fatto che sul numero del cliente […], come emerge da Invoice, non sono presenti contatti svolti da parte di Fastweb o disposti dalla stessa e realizzati ad opera della rete vendita; iii) dai numeri chiamanti […] non riferibili a Fastweb o sue strutture”; i fascicoli nn. 146491, 146238, 146260 e 148138, in cui i reclamanti hanno lamentato che, successivamente alla loro richiesta di assistenza a Fastweb per problemi con il servizio Internet, sono stati contattati da un operatore di un call-center apparentemente riconducibile a Fastweb, che li invitava a trasmettere una copia fronte-retro del proprio documento di identità per la risoluzione del problema. In tutti i casi, i reclamanti hanno dichiarato di aver trasmesso la copia dei propri documenti d’identità credendo che tale richiesta provenisse dal servizio clienti di Fastweb, in quanto gli operatori erano “perfettamente a conoscenza” delle “problematiche tecniche […] dell’orario dell’appuntamento telefonico per la gestione della segnalazione tecnica” e di “dettagli tecnici […] che solo il servizio Fastweb poteva conoscere”. Al riguardo, Fastweb ha fornito un riscontro analogo ai precedenti, ribadendo, tra l’altro, che i contatti segnalati sono “opera di ignoti, i quali agiscono presumibilmente in danno anche della [Società], per possibili fini di sottrazione della clientela” e che “in ogni caso, Fastweb non prevede in alcun modo l’invio di documenti di identità dei propri clienti nelle circostanze da lei descritte”; il fascicolo n. 139824, in cui il reclamante ha lamentato che, successivamente alla stipulazione di un “contratto di fornitura internet […] con Fastweb”, è stato contattato telefonicamente da un’operatrice di un call-center che era a conoscenza delle sue “generalità e dell’indirizzo di fornitura per il quale avev[a] richiesto a Fastweb l’attivazione di internet”, indirizzo che non corrisponde “né al [suo] indirizzo di residenza né di domicilio”. L’operatrice, dopo aver paventato possibili problemi con l’attivazione del contratto per asseriti “problemi con le centrali”, ha invitato il reclamante a stipulare un contratto di “fornitura internet attraverso un altro gestore” e a “inviare foto dei documenti tramite whatsapp”. Non avendo ricevuto la documentazione richiesta, l’operatrice ha tentato per altre due volte di mettersi in contatto con il reclamante utilizzando, per le chiamate, anche numerazioni diverse.

Con lettera del 10 febbraio 2020, in riferimento al complessivo fenomeno di cui sopra, Fastweb ha rappresentato di aver “già sporto diverse denunce contro ignoti alla Polizia Postale […] ed ha avviato una serie di attività di sensibilizzazione ed informazione nei confronti e a tutela dei propri clienti e del mercato”. Con tali denunce, di cui la prima risale ad agosto 2019, “sono stati portati all’attenzione dell’Autorità Giudiziaria gli oltre 50 numeri mobili utilizzati per la richiesta di invio di copia dei documenti di identità […] sul sistema di messaggistica istantanea whatsapp” ai danni della Società e di circa 170 persone contattate, che erano “prevalentemente clienti Fastweb”. Inoltre, Fastweb ha evidenziato che “le verifiche realizzate sui singoli contatti illeciti, hanno consentito di identificare un tratto comune. In particolare, Fastweb ha rilevato che i suoi clienti destinatari della menzionata richiesta di documenti avevano tutti una tecnologia di accesso per l’utilizzo dei servizi fissi che prevede l’affitto di parte della rete [da un’altra compagnia telefonica]. La [Società] ha dunque ascritto le condotte a una più complessa attività illecita, verosimilmente tesa alla distrazione dei clienti di Fastweb S.p.a. verso altro operatore, attività compiuta evidentemente avvalendosi delle informazioni che, per la peculiare struttura della rete nazionale, sono nella sfera di titolarità del soggetto gestore dell’infrastruttura”. La Società ha sostenuto di aver “portato all’attenzione anche di AGCOM innumerevoli evidenze dei comportamenti illegittimi imputabili alla gestione dell’infrastruttura principale sia con segnalazioni periodiche sia [con altre comunicazioni]”. Fastweb ha avviato un’interlocuzione anche con l’AGCM.

1.3.2. Un secondo gruppo di reclami e segnalazioni afferisce alla gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento da parte di Fastweb e agli “errori manuali”, “errori di sistema”, i ritardi nel riallineamento e nella correzione dei dati da parte della Società. In particolare: i fascicoli n. 136409, e 146607 sono relativi a segnalazioni e reclami con i quali i clienti hanno lamentato la ricezione di comunicazioni di Fastweb presumibilmente indirizzate ad altri clienti. In entrambi i casi, la Società ha rappresentato che i problemi sono stati generati da errate associazioni, anche “manuali”, delle anagrafiche. In uno dei due casi la risoluzione del problema è intervenuta a tre anni di distanza dalla segnalazione; il fascicolo n. 148287, in cui il reclamante ha lamentato di aver trasmesso a Fastweb, nel novembre 2019, una richiesta di portabilità e cancellazione dei suoi dati personali a Fastweb, e che tale richiesta, a marzo 2020, non era ancora stata soddisfatta. Fastweb ha riscontrato ad agosto 2020, rappresentando che “i tempi tecnici di bonifica dei sistemi e il sovrapporsi di una richiesta di cancellazione non hanno però consentito di portare a compimento la portabilità” e ha sostenuto che “le richieste di portabilità inserite dal segnalante non sono andate a buon fine a causa di uno specifico disallineamento dei sistemi che precludeva la ricezione della mail recante il link per scaricare i propri dati”; il fascicolo n. 147619, in cui il reclamante ha rappresentato di aver trasmesso a Fastweb, nel settembre 2019, una richiesta di rettifica dei propri dati personali registrati erroneamente nell’area personale MyFastweb (i.e., l’indirizzo di residenza), e che “dopo oltre un anno di richieste e solleciti” nonostante le rassicurazioni di Fastweb, erano “ancora presenti dati errati” con la conseguenza “inaccettabile” che la corrispondenza a lui indirizzata venisse “ancora inviata ad [altro] indirizzo”. Al riguardo, Fastweb ha dichiarato di aver “provveduto in più riprese a inserire internamente la modifica dei dati personali. Tali modifiche sono andate in buon fine, ma per un disallineamento dei sistemi, non hanno avuto un effetto risolutivo, riportando in alcune circostanze i dati errati preesistenti”; il fascicolo n. 152006, in cui la reclamante ha lamentato di aver “provato ripetutamente” a “cancellar[si] dalla mailing list” di Fastweb, ovvero “a richiedere la cancellazione dei [propri] dati tramite […] il modulo riservato agli ex clienti”. Ciò nonostante, la sua richiesta non è stata accolta per un problema relativo al suo codice fiscale. Al riguardo, la Società ha sostenuto che “a causa di un disallineamento […] le opposizioni esercitate non sono state propagate correttamente sui sistemi”; il fascicolo n. 137155, in cui il segnalante ha lamentato la ricezione di chiamate indesiderate sulla propria utenza mobile. Al riguardo, Fastweb ha replicato che tale contatto “è avvenuto erroneamente” da parte di una sua agenzia, “a causa di un disservizio tecnico del CRM gestito dalla stessa società, il quale ha rimesso in chiamata la numerazione, nonostante fosse stata inserita in black list”.

1.3.3. Un terzo gruppo è relativo ai reclami e alle segnalazioni, aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Fastweb, ma non riconosciuti da quest’ultima. In particolare, in merito ai contatti indesiderati oggetto di lamentela (fascicoli nn. 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792 e 154231), la Società ha rappresentato che le numerazioni chiamanti citate dagli interessati, non sarebbero riconducibili a Fastweb, né utilizzate dalla stessa e/o dai propri partner per finalità commerciali.

1.3.4. Un quarto gruppo afferisce ai reclami e alle segnalazioni aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Fastweb sulla base del legittimo interesse. In particolare: i fascicoli n. 149390 e 153360, in cui i reclamanti hanno lamentato la ricezione di chiamate promozionali indesiderate da parte di alcuni operatori per “uno sconto in bolletta Fastweb qualora [avessero] sottoscritto un contratto con Eni Gas e Luce”, nonostante entrambi avessero espressamente negato il proprio consenso a ricevere contatti promozionali. Al riguardo, la Società ha replicato che lo scopo dei contatti era “sottoporre una promozione che la [Società] dedica ai propri clienti, e che consente agli stessi di avere una significativa riduzione del conto telefonico in caso di attivazione, a condizioni vantaggiose, di un’utenza con Eni. La chiamata è stata effettuata in quanto, a quella data, il segnalante non si era opposto alla ricezione di contatti basati sul legittimo interesse di Fastweb di proporre servizi analoghi a quelli già acquistati, o promozioni nostre o di nostri partner che consentono di avere sconti e altri vantaggi sui servizi già attivi”.

1.4. La chiusura dell’istruttoria e l’avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato a Fastweb le seguenti violazioni:

1. violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, poiché Fastweb S.p.A. non ha provveduto ad implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Fastweb. La violazione coinvolge l’intera base clienti della società e i reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231;

2. violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché Fastweb S.p.A. ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta li avevano acquisiti in qualità di autonomi titolari del trattamento e che li hanno riversati nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto almeno 7.542.000 interessati nell’anno 2019;

3. violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”;

4. violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138);

5. violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui al punto che precede;

6. violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento, in relazione alle diverse istanze di esercizio dei diritti proposte dagli interessati per le quali sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155);

7. violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle osservazioni che si riassumono di seguito.

1.4.1. Con riferimento alla contestazione di cui al punto 1), nell’atto di avvio del procedimento è stata evidenziata la mancata implementazione da parte della Società di controlli della filiera dei dati personali acquisiti nella fase di promozione dei servizi idonei ad “escludere che da contatti provenienti da numerazioni [sconosciute] siano stati poi perfezionati contratti o attivate utenze Fastweb”.

Per quanto concerne i controlli descritti dalla Società in sede di riscontro alle richieste di informazioni, si è osservato che tali controlli non appaiono idonei a fornire le garanzie che potrebbero invece essere assicurate se, al momento dell’attivazione dei servizi, venissero indicati, ad esempio, oltre alla lista di contatto utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto): i) il partner che ha operato il primo e i successivi contatti; ii) le numerazioni telefoniche chiamanti (debitamente censite nel R.O.C., registro degli operatori di comunicazione); e iii) lo script di chiamata e l’informativa letti dall’operatore di call-center.

Come già osservato dall’Autorità in precedenti provvedimenti richiamati in premessa (cfr., tra l’altro, il provvedimento n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), le conseguenze connesse alla mancata valorizzazione delle informazioni di cui sopra, (e delle altre che, univocamente, consentirebbero di ricondurre i contatti promozionali e le relative attivazioni di servizi ad una corretta attività di telemarketing), non possono essere surrogate dall’adozione di “azioni dissuasive e sanzionatorie”, ma devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti.

Si è evidenziato che l’assenza di iniziative come sopra delineate, in particolare in presenza di un numero così rilevante di chiamate disconosciute, fa emergere una grave falla nell’accountability di Fastweb, nonché in alcuni elementi cardine del criterio di privacy by design (quali la prevenzione, la funzionalità, la sicurezza, la trasparenza del trattamento e la centralità dell’interessato), che può essere sapientemente sfruttata dai procacciatori “non ufficiali” per occupare spazi di mercato generando un indotto privo di garanzie per gli utenti e idoneo a determinare ulteriori conseguenze illecite (ad esempio per quanto concerne gli aspetti lavorativi e fiscali del settore).

Si è poi notato che, all’epoca della conclusione delle attività istruttorie, almeno il 70% delle segnalazioni risultava ancora derivare da contatti commerciali frutto di un’iniziativa autonoma e non autorizzata dalla Società.

Per quanto concerne le misure adottate da Fastweb in relazione ai contatti commerciali illeciti effettuati dalle agenzie facenti parte della propria rete vendite, si è rilevata l’incoerenza e l’inadeguatezza delle stesse a garantire che il trattamento sia effettuato conformemente al Regolamento nonché la mancata sistematicità nell’applicazione di tali misure.

Nello specifico: quanto alla misura dell’“esclusione del compenso”, quest’ultima è apparsa inadeguata poiché è pacifico che la Società proceda al caricamento di ordini per nuovi contratti anche rispetto ai clienti procacciati fuori dalla lista clienti dedicata ad un’agenzia e/o fuori dalla zona ad essa assegnata, sicché la Società trarrebbe un profitto dall’utilizzabilità di dati acquisiti per suo conto illecitamente in violazione della disciplina rilevante in materia di protezione dei dati personali; quanto alle “comunicazioni massive”, i “richiami formali”, i “sales warning”, essendo prive di carattere coercitivo si è ritenuto che avessero una limitata efficacia dissuasiva; quanto alla misura delle “penali”, dall’analisi della documentazione prodotta da Fastweb, si è rilevata l’inadeguatezza di tale misura sia in quanto la sua applicazione non è proporzionale rispetto al numero delle condotte abusive rilevate dalla documentazione prodotta dalla Società (neanche l’1% delle condotte illecite sono state sanzionate tramite l’applicazione di una penale) sia in quanto l’ammontare della sanzione applicata risulta irrisoria rispetto al numero delle violazioni commesse da un’agenzia e/o rispetto al suo volume d’affari; quanto alle misure della “risoluzione contrattuale” o dell’“interruzione dei rapporti con le agenzie”, si è rilevata l’incoerenza e la contraddittorietà della Società anche nell’applicazione di tali misure.

1.4.2. Con riferimento alla contestazione di cui al punto 2), nell’atto di avvio del procedimento sono state evidenziate alcune criticità in merito al processo di acquisizione delle liste anagrafiche provenienti dai fornitori o partner.

In via preliminare, si è proceduto ad una ricognizione dei presupposti contrattuali e operativi che legano i diversi partner commerciali a Fastweb.

Per quanto concerne l’acquisizione delle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente da list editor (che raccolgono dette anagrafiche dai loro siti), l’Autorità ha osservato che complessivamente il modello seguito appare corretto: tali società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime.

Tale modello, tuttavia, non appare correttamente configurato con riferimento al “list editor” eGentic, che risulterebbe acquisire i dati dalle società facenti parte del proprio gruppo imprenditoriale, Naturvel Pte Ltd. e Tooleado Gmbh: l’intermediazione di eGentic infatti non risulta evidenziata nell’informativa resa dalle predette società, né fra i soggetti ai quali i dati possono essere comunicati, né fra quelli che ne possono venire a conoscenza nell’ambito di eventuali comunicazioni infragruppo.

Per quanto riguarda le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento, si è rilevato che tali liste sono confluite nel circuito di trattamenti aventi finalità promozionali dei quali la Società è titolare, senza che i partner avessero acquisito un consenso libero, specifico e informato dagli interessati per la comunicazione dei propri dati, ma soltanto sulla base dell’originario consenso che gli stessi interessati hanno reso ai list editor.

1.4.3. Con riferimento alla contestazione di cui al punto 3), relativa alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”, si è notato che, dalla procedura descritta da Fastweb e da una verifica effettuata sul sito www.fastweb.it, sono emerse alcune criticità.

In primo luogo, si è evidenziata la carenza di un’informativa ad hoc in relazione al servizio di cui sopra, in cui fosse esplicato il funzionamento del servizio, le modalità di trattamento dei dati personali e di ricontatto dell’utente. In particolare, nell’avviso sintetico inserito in prossimità del tasto di attivazione del servizio, Fastweb si limita ad avvisare l’utente che “cliccando su ‘Richiamami gratis’”, presta il proprio “il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”, senza fornire alcuna indicazione in merito ai “ricontatti che scaturiscono […] dopo aver cliccato sul tasto ‘richiamami gratis’” qualora la prima chiamata non vada a buon fine (in tal senso, l’utente è ignaro, ad esempio, del fatto che dalla sua richiesta di attivazione del servizio, qualora la sua numerazione risultasse poi “libera”, potrebbero potenzialmente derivare “un totale di 20 tentativi [di chiamate] nell’arco della giornata” prima che “il contatto [sia] chiuso”).

Anche l’informativa privacy disponibile sul sito web di Fastweb, in merito al consenso prestato dall’utente per il trattamento dei dati personali al fine di ricevere futuri contatti telefonici per la proposizione di offerte commerciali relative a Fastweb, è apparsa carente sotto tale profilo.

In secondo luogo, si è evidenziata la carenza di un sistema che consentisse all’utente di interrompere il flusso di chiamate derivanti dal suo “clic” sul tasto “Richiamami gratis” con pari semplicità. Invero, se per l’attivazione del servizio è sufficiente “cliccare” sul pulsante “Richiamami gratis”, per la sua disattivazione l’utente è invitato a “inviare una comunicazione” tramite e-mail.

1.4.4. Con riferimento alle contestazioni di cui ai punti 4) e 5), nell’atto di avvio del procedimento si è osservato che, in relazione alla complessiva vicenda relativa ai contatti rivolti alla clientela Fastweb diretti ad acquisire documenti di riconoscimento ovvero a proporre migrazioni delle utenze telefoniche, nel corso del 2019 sono pervenute da Fastweb diverse notificazioni di “data breach” ma nessuna di esse appare riconducibile alla specifica violazione, portata all’attenzione dell’Autorità dalla Società con la nota del 10 febbraio 2020.

La vulnerabilità generale dei sistemi Fastweb alla luce delle dichiarazioni dei reclamanti e anche di quanto riferito dalla stessa Società, sembra non essere stata affrontata “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” così come prevede l’art. 32, par. 1, del Regolamento. In particolare, non risultano essere state poste in essere misure di proporzionata efficacia con riferimento alla capacità di assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento (art. 32, par. 1, lett. b) ma, soprattutto, alle procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. d) in considerazione dei molteplici accessi di personale dei partner commerciali ai database societari.

Inoltre, con riferimento alle circostanze indicate nella relazione del 10 febbraio 2020, dalle ricerche effettuate presso il protocollo dell’Ufficio, non risulta pervenuta all’Autorità la notificazione prevista dall’art. 33, par. 1, del Regolamento.

1.4.5. Con riferimento alla contestazione di cui al punto 6), nell’atto di avvio del procedimento si è osservato che la generica indicazione di generici errori alla base di un indebito contatto o di un inidoneo riscontro, non è idonea a far venire meno la responsabilità della Società, posto che un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi.

Aggiungasi che, in alcuni reclami e segnalazioni, sono trascorsi anche anni per la risoluzione delle problematiche sollevate (laddove sono state risolte), e solo a seguito di molteplici richieste e/o segnalazioni da parte dei reclamanti. Come noto, una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare alle persone fisiche una perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti.

1.4.6. Con riferimento alla contestazione di cui al punto 7), nell’atto di avvio del procedimento si è osservato che la base giuridica del legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento, non può sostituire tout court quella del consenso nel telemarketing.

Il Regolamento stesso lo ammette solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. L’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza di quest’ultimo sui diritti e le libertà degli interessati (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione. Peraltro, il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare nell’informativa rilasciata all’interessato la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati medesimi.

Per tali ragioni, si è ritenuto che, nei casi oggetto di reclamo, i trattamenti siano stati effettuati da Fastweb in assenza di un’idonea base giuridica, e ciò in particolare, in violazione delle disposizioni di cui agli artt. 5, par. 2, 6 e 7 del Regolamento.

Rispondi