Sanzione di 4.500.000,00 Euro nei confronti di Fastweb / Parte 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Sanzione di 4.500.000,00 Euro nei confronti di Fastweb / Parte 2

Messaggio da Giancarlo Favero »

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1 La memoria difensiva e l’audizione di Fastweb

In data 20 dicembre 2020, Fastweb ha inviato all’Autorità la memoria difensiva prevista dall’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 21 gennaio 2021 si è svolta, su richiesta della parte e in videoconferenza, l’audizione di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui integralmente richiamati e riprodotti.

2.1.1. Sui controlli svolti nella filiera di sottoscrizione dei contratti (cfr. punto 1 della contestazione), Fastweb ha rappresentato quanto segue.

In primo luogo, la Società ha rafforzato i controlli sulle strutture di vendita esterne delle quali si avvale per lo svolgimento delle campagne di telemarketing (anche riducendo di circa il 50% il numero di tali strutture), e ha introdotto nuovi meccanismi sanzionatori. La Società, “a conferma di una accountability sempre maggiore”, ha inoltre segnalato l’intenzione di ampliare ulteriormente il sistema di controllo tramite: i) l’incremento del livello di assessment sulle strutture; ii) l’utilizzo del tool log di controllo; e iii) la nuova implementazione tecnologica sul blocco degli ordini. In aggiunta, nel corso dell’audizione, la Società ha manifestato l’intenzione di procedere, nei prossimi 12-18 mesi, a una tendenziale dismissione del canale delle chiamate outbound delle agenzie mantenendo eventualmente rapporti soltanto con quelle maggiormente strutturate che forniscano idonee garanzie di compliance. La Società ha poi rilevato che, in ogni caso, al fine di ottenere la definitiva interruzione di tale fenomeno “occorre coinvolgere necessariamente attori esterni” come, ad esempio, “l’Autorità Giudiziaria”.

In secondo luogo, in merito all’obbligo prospettato dall’Autorità di non procedere all’attivazione dei contratti laddove la Società non sia in grado di garantire che i dati dei clienti siano stati acquisiti lecitamente, la Società ha sostenuto che “l’attivazione di serviz di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità” e che, anche a seguito dell’adozione del sistema di blocco automatico nell’inserimento dei contratti, “ci saranno comunque soggetti che […] riceveranno contatti commerciali scorretti e che […] si lasceranno convincere da parte dei chiamanti a sottoscrivere un abbonamento con Fastweb. Quest’ultimo, tuttavia, non potrà essere caricato sui sistemi della società a fronte della nuova implementazione tecnologica. La situazione che scaturisce da ciò è singolare. Seppur il soggetto è stato contattato per mezzo di una chiamata promozionale illecita, la stessa non è diventata anche indesiderata tanto che lo ha spinto a sottoscrivere un contratto, che però non gli verrà attivato. In questi casi Fastweb dovrà prendere contatti con il soggetto per spiegare l’accaduto e, se permanesse la volontà, giungere comunque all’attivazione”.

La Società ha inoltre osservato che “sul piano civilistico e regolamentare […] a fronte della perdurante volontà dell’interessato, Fastweb non avrebbe alcun titolo per rifiutare tale attivazione. Né si opporrebbe a tale conclusione il principio di ‘inutilizzabilità’ di cui all’art. 2-decies del d.lgs. n. 196/2003”. Secondo Fastweb, “tale principio […] riguarda senz’altro i dati impiegati ai fini del contatto ma non può estendersi ai medesimi dati che lo stesso interessato ha poi chiesto di far pervenire a Fastweb attraverso la proposta di contratto. Questi ultimi non potrebbero dirsi trattati ‘in violazione’ […] in quanto espressione di una richiesta dell’interessato e dunque coperti da un’autonoma base giuridica ai sensi dell’art. 6, par. 1, lett. b), del regolamento”.

Fastweb ha poi rilevato che “il complesso sistema adottato fino ad oggi ha contribuito in ogni caso a importanti riduzioni”. Secondo la Società, posto che i procacciatori di contratti che operano “parallelamente” alla rete di vendita di Fastweb “agiscono senz’altro per spirito di lucro, con l’auspicio di riuscire a inserirsi in un modo o nell’altro nella tratta finale della rete di vendita e dunque ricevere indirettamente un compenso”, Fastweb ha previsto “una prima misura radicale: quella di non riconoscere provvigioni per i contatti fuori lista”. Sarebbe irrilevante che la Società tragga poi profitto attraverso la stipula di contratti derivanti dall’attività illecita posta in essere dai tali procacciatori, in quanto “il problema è rimuovere gli incentivi per tali soggetti esterni, non per Fastweb”. Ha quindi rappresentato che, con riferimento alla mole di contatti illeciti effettuati per conto della Società da soggetti terzi o dalle proprie agenzie di vendita durante il Biennio, questi corrispondono ad una percentuale esigua rispetto alle decine di milioni di chiamate promozionali effettuate.

Infine, sulla contestazione dell’Autorità in merito alla genericità, incoerenza e mancata sistematicità delle misure adottate da Fastweb, quest’ultima ha replicato che “trattamenti differenziati sono prova della proporzionalità, seppur perfettibile, già in uso”.

La Società ha rilevato di aver avviato, lo scorso 11 novembre 2020, un tavolo di lavoro con le principali associazioni di consumatori (Altroconsumo, Udicon, Adocn, Federconsumatori) “per l’implementazione di un sistema sinergico di contrasto al fenomeno delle chiamate indesiderate” sul cui andamento si terrà aggiornato il Garante.

2.1.2. Sull’ acquisto di liste di anagrafiche tramite partner della propria rete di vendita (cfr. punto 2 della contestazione), la Società ha rappresentato quanto segue.

In primo luogo, con riguardo alle liste acquisite autonomamente dal list editor eGentic che risulterebbe, a sua volta, acquisire i dati dalle società facenti parte del proprio gruppo (ossia Naturvel Pte Ltd. e Tooleado Gmbh), la Società ha rilevato che la eGentic, in quanto holding del gruppo, non acquisterebbe mai la titolarità dei dati, ma si limiterebbe a trattarli “in qualità di responsabile per conto di Toleadoo e Nturvel con la finalità indicata dagli stessi”. Ciò emergerebbe dalle informative relative alle anagrafiche di Toleadoo e Naturvel, che esporrebbero “agli interessati proprio il fatto che i loro dati personali potranno venire trattati ‘per conto del Titolare in qualità di Responsabili Esterni del Trattamento’”. Nello specifico, eGentic avrebbe un “ruolo di mera intermediazione”. A parere di Fastweb, “il trasferimento rilevante per il GDPR avviene direttamente tra Toleadoo e Naturvel, da un lato, e Fastweb, dall’altro lato […] Per l’effetto, il rapporto titolare-titolare tra Fastweb, Toleadoo e Naturvel è del tutto legittimo e di conseguenza è strutturato in modo conforme al Regolamento”.

In secondo luogo, con riguardo alle modalità di acquisizione delle liste di anagrafiche in autonomia da parte dei partner della rete commerciale di Fastweb - secondo la Società - “il soggetto che procede all’acquisto non lo fa in quanto titolare, bensì come responsabile del trattamento per conto di Fastweb, soggetto per cui sta materialmente eseguendo l’attività”. Invero, “Nel contratto di agenzia sottoscritto con i propri partner, Fastweb assegna loro l’incarico di promuovere, senza rappresentanza, affari nel suo interesse, nominandoli espressamente quali responsabili del trattamento dei dati personali ricevono in maniera dettagliata e completa l’indicazione su quali sono i compiti e le attività che dovranno svolgere”. A parere di Fastweb, le agenzie opererebbero quali “imprenditori autonomi sul piano civilistico”, ma sotto il profilo del trattamento dei dati “le agenzie non hanno alcuno spazio per decidere in autonomia gli ‘essential means’ su quali dati, per quanto tempo e per quali categorie di interessati”. Pertanto, “l’autonomia di acquisto” ci sarebbe “sul piano prettamente commerciale” e non “dal punto di vista del GDPR”.

2.1.3. Sul servizio “Call me back” (cfr. punto 3 della contestazione), la Società ha replicato come segue.

In primo luogo - secondo Fastweb - l’informativa “precisa[va] che si prestava il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”. Gli aspetti relativi al “numero dei contatti potenzialmente effettuabili o cosa sarebbe successo nel caso di numerazione libera […] non attengono alle finalità […] bensì alle modalità tecniche per il loro perseguimento”.

In secondo luogo, Fastweb avrebbe adottato “un sistema semplice ed agevole di disattivazione” del servizio “Call me Back”, per cui gli interessati “possono agire per il tramite del semplice invio di una mail”, ovvero mediante “risposta alla chiamata di ricontatto richiesta, per comunicare che non si è più interessati a ricevere supporto”.

La Società ha dedotto che “sotto entrambi i profili” non vi sarebbe stata una “lesione del consenso degli interessati”, sia perché “ai sensi del considerando 42 -richiamato anche dal par. 3.3.1. delle Linee guida sul consenso, WP259rev.01-, era sufficiente che gli interessati fossero informati delle ‘finalità dei trattamenti’, cosa che è avvenuta”, sia perché “sempre ai sensi del citato considerando 42, non è condizione per la validità del consenso che vi siano modalità di revoca esattamente speculari a quelle per il rilascio”. Tuttavia, la Società, “a comprova della costante ricerca di miglioramento perseguita”, ha reso disponibile “una nuova informativa […] che illustra le modalità di funzionamento del servizio, di relativo trattamento dei dati e delle politiche di ricontatto oltre che di revoca”.

Infine, in merito ai fascicoli contestati, Fastweb segnala di trovare corrispondenza con gestioni eseguite solo per i fascicoli 138241, 149829, 150096, 151543, 152330, 152792 e 154231, che comunque, non sarebbero probatori di quanto contestato.

2.1.4. Sulla sicurezza dei database di Fastweb e la dichiarazione di data breach (cfr. punti 4 e 5 della contestazione), la Società ha rappresentato quanto segue.

In via preliminare, Fastweb ha dedotto di non aver rilevato, “nella maggioranza” dei casi oggetto di contestazione, accessi non autorizzati o altre anomalie sui sistemi e che “i casi segnalati coinvolgevano principalmente servizi forniti in forza di accordi di accesso e interconnessione da parte di operatori terzi […], ai quali i dati sono legittimamente comunicati per consentire la normale funzionalità della rete”.

Nello specifico: nei casi di cui ai fascicoli nn. 154212, 146238, 139824, è stato necessario richiedere un intervento da parte di un altro operatore telefonico (nei primi due, per la risoluzione dei disservizi lamentati dai clienti, mentre nell’ultimo per il perfezionamento dell’attivazione della linea richiesta dal cliente) e tutti i contatti lamentati dai clienti – ha ribadito la Società - sono stati effettuati “solo successivamente al coinvolgimento di [tale operatore]”.

Quanto alle vicende di cui ai fascicoli nn. 147286, 146260, 146491, e 148138, gli eventi di cui ai primi tre fascicoli, sono stati oggetto di denuncia alla Polizia Postale. Per i fascicoli nn. 147286 e 146260, inoltre, la Società ha aggiunto che i dati dei clienti e gli eventi occorsi sulla rete erano visibili anche al “soggetto terzo rispetto a Fastweb proprietario della rete”. Infine, nei casi di cui ai fascicoli nn. 146260, 146491,148138, la Società ha rilevato che “le analisi non hanno portato ad evidenziare anomalie sui sistemi impiegati per simili gestioni né è emerso che il dato sia stato soggetto ad una estrazione illecita”.

Alla luce di quanto sopra, “La Società […] ha ritenuto ragionevole ipotizzare che la fuoriuscita dei dati fosse collocata al di fuori dei sistemi di propria pertinenza”.

Al riguardo, Fastweb ha richiamato la delibera dell’AGCOM 321/17/CONS, rilevando che “i rapporti di accesso e interconnessione tra operatori sono sottoposti a regolazione da parte dell’AGCOM e i modelli contrattuali in essere, approvati dalla medesima AGCOM portano a ritenere ciascuna delle parti come ‘titolare autonomo’ con riferimento ai trattamenti dei dati personali di propria competenza connessi”.

A parere della Società, “in presenza di una distinta titolarità nei trattamenti, la comunicazione di Data Breach […] non può che competere al ‘titolare’ stricto sensu in relazione al perimetro di trattamenti che gli competono. Ciò risulta già dalla lettera di tali disposizioni ed è coerente con il tipo di reazioni che si richiedono al titolare, che assumono per l’appunto il governo diretto delle modalità di trattamento”.

In ogni caso – ha sostenuto la Società – Fastweb non avrebbe trascurato il fenomeno di cui sopra, “adopera[ndosi] nei tavoli AGCOM” e presentando “plurime denunce all’Autorità Giudiziaria” nonché curando il rapporto con i suoi clienti.

Per quanto riguarda la carenza di sicurezza sui sistemi di Fastweb in violazione degli artt. 24 e 32 del Regolamento, la Società ha ribadito: che non vi sarebbero elementi comuni a tutte le segnalazioni di chiamate illeciti; che rispetto alle centinaia di migliaia di richieste di supporto che riceve Fastweb ogni mese, le segnalazioni ricevute dall’Autorità corrispondono a un percentuale irrisoria; e di non aver rilevato anomalie che potessero fare ipotizzare accessi non autorizzati.

Fastweb ha poi illustrato le attività compiute per tutelare la sicurezza dei sistemi. In particolare: “ulteriore attività di pulizia dei profili con eliminazione della funzionalità […] di download massivo agli operatori di customer care”; “per tutti quelli che hanno ancora la facoltà di visualizzazione ed estrazione, sono comunque stati bloccati i dati di contatto da tutti i report”; “sono state implementate più dashboard gestite su unico sistema che consentono in maniera sempre più efficiente il monitoraggio degli eventuali accessi, delle visualizzazioni delle schede clienti, dell’utilizzo delle facoltà di reporting e dell’export sempre riferito al CRM”; “mascheramento in visualizzazione dei dati di contatto” e “formazione su utilizzo reporting ed export massivi”.

La Società ha altresì evidenziato l’attività “di sensibilizzazione svolta anche nei confronti della propria rete di clienti per […] prevenire le truffe nei confronti dei clienti Fastweb, proteggendo la sicurezza dei loro dati personali, informandoli su come evitare di consegnare i propri documenti a persone non autorizzate, che si presentano a nome o per conto di Fastweb illecitamente”.

2.1.5. Sugli errori di sistema, i ritardi nel riallineamento e nella correzione dei dati (cfr. punto 6 della contestazione), la Società ha rappresentato quanto segue.

In via preliminare, Fastweb ha sostenuto che “aderendo alla logica di accountability su cui è strutturato il nuovo Regolamento – tralasciando il sistema sanzionatorio proprio del vecchio Codice fondato sulla dicotomia fatto-sanzione – questi accadimenti […] rappresentano casi isolati ed evidentemente non sistematici che possono accadere proprio a causa di errori manuali di inserimento o difficoltà comunicative tra computer/sistemi”. Le poche segnalazioni, sono da considerarsi un numero estremamente contenuto rispetto a “una media di 40.000 richieste per aggiornamento di anagrafiche, dati di contatto, di recapito” che vengono lavorate dalla Società. Non si sarebbero verificate violazioni rilevanti ai fini sanzionatori degli artt. da 15 a 22 del Regolamento poiché l’esercizio dei diritti sarebbe “stato sempre prontamente garantito” agli interessati e, laddove si sono verificati dei ritardi, “ricorrevano le ‘giustificazioni’ del ritardo contemplate appunto quale possibilità dallo stesso legislatore” agli artt. 16 e 17.

Quanto alle singole segnalazioni contestate, la Società ha richiamato le risposte già fornite per ogni singolo caso e aggiunto, tra l’altro, quanto segue: per il fascicolo n. 147619, “Per un disallineamento dei sistemi la gestione è stata completata solo il 19.08 […] il disservizio è documentato […] La comprova della sporadica anomalia verificatasi sui sistemi è data dalla presenza dei […] ticket di lavorazione”; e per il fascicolo n. 152006, “la causa del ritardo è provata dal task 50897” relativo a un problema con il codice fiscale.

2.1.6. Sui trattamenti per finalità promozionali effettuati senza consenso o sulla base del legittimo interesse (cfr. punto 7 della contestazione), la Fastweb ha rappresentato quanto segue.

In linea generale, la Società ha osservato che i dati, raccolti per “finalità determinate, esplicite e legittime” possono essere trattati anche per altri fini, se il trattamento è compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso, non sarebbe necessaria una base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Pertanto, “l’analisi sul legittimo interesse come base autonoma del trattamento – in particolare per trattamenti svolti nell’ambito di un rapporto contrattuale e con fini diversi ma collegati a quelli dell’esecuzione del contratto e dunque ‘ragionevolmente prevedibili’ dall’interessato – assorbe anche quella sulla compatibilità della nuova finalità”.

Per quanto concerne i contatti oggetto di lamentela di cui ai fascicoli nn. 153360 e 149390, in via preliminare, i contatti sarebbero stati effettuati in quanto i reclamanti non avevano espresso (fascicolo n. 153360) ovvero non avevano “ancora” espresso (fascicolo n. 149390) al giorno del contatto, “opt out sul legittimo interesse” ed erano diretti “unicamente a clienti Fastweb […] in relazione a promozioni in partnership che consentissero di avere sconti o altri vantaggi concreti sui servizi ‘già attivi’ con Fastweb”. Invero, secondo la Società “la circostanza che gli interessati non avessero dato il consenso per i trattamenti commerciali non poteva rilevare implicitamente come opposizione ai contatti basati sul legittimo interesse”.

Con riferimento poi all’informativa fornita a entrambi i reclamanti al momento del contratto, la Società ha sottolineato che sia il tema di legittimo interesse, sia quello relativo al consenso per finalità commerciali, sono distintamente indicati nell’informativa stessa. Per tali ragioni, Fastweb ha rilevato che “la scelta della ‘base legittima’ era stata compiuta prima della raccolta dei dati” e che “non c’è sovrapposizione tra le due tipologie di basi giuridiche, nè Fastweb è ricorsa al legittimo interesse per sopperire alla mancanza del consenso”.

In merito al diritto di opposizione riconosciuto agli interessati, Fastweb ha rilevato di “aver assicurato un’agevole facoltà di esercizio del diritto […] in coerenza con quanto espressamente riportato nell’informativa”, laddove è specificato che l’interessato potrà gestire i suoi consensi e opposizioni “in modo autonomo attraverso la pagina dedicata all'interno della […] area clienti MyFastweb”, ovvero potrà “chiamare il Servizio Clienti o recarsi nei Negozi Flagship Fastweb”.

A supporto delle proprie affermazioni, la Società ha riportato uno screenshot della sezione “consensi e preferenze di contatto” disponibile nell’area Myfastweb di ciascun cliente, evidenziando che “il cliente può esercitare il proprio diritto di opt out cliccando sulla casella ‘Non desidero ricevere informazioni’”.

A conclusione della propria memoria difensiva, la Società ha richiamato le precedenti argomentazioni e comunicazioni, chiedendo all’Autorità di “chiudere positivamente in suo favore il procedimento instaurato”; ovvero, “in via subordinata”, di non disporre “l’applicazione di sanzioni ex artt. 58 e 83 del Regolamento”; ovvero, “in via ulteriormente subordinata” di “ridur[re] al minimo applicabile [la sanzione] e vengano riconosciute le attenuanti generiche e specifiche indubbiamente dimostrate”.

2.2. Considerazioni in fatto e in diritto

Le suesposte argomentazioni difensive, unitamente a quanto rappresentato dalla Società in sede di istruttoria, non consentono di escludere la responsabilità di Fastweb in ordine alle violazioni oggetto di contestazione, il cui contenuto si richiama integralmente, per i motivi esposti di seguito.

In via preliminare, si osserva che le descritte condotte in materia di telemarketing rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate promozionali indesiderate. Tale fenomeno, come già evidenziato nei più volte richiamati provvedimenti dell’Autorità, adottati anche in tempi recenti, è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. Numerosi sono stati gli interventi normativi volti a regolamentare il settore. Tali interventi sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità in merito ai diversi aspetti del fenomeno: dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia dal Garante prima dell’entrata in vigore del Regolamento, oggetto di dibattiti fra gli esperti del settore e di attenzione da parte degli organi di stampa, non hanno determinato una riduzione del fenomeno, cosicché l’Autorità, nell’aprile 2019, ha inviato una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione (accountability) e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.

2.2.1. Con riferimento alla contestazione di cui al punto 1), si conferma la sussistenza della contestata violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, in relazione all’intera base clienti della Società, nonché ai reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231.

Dall’analisi delle segnalazioni e dei reclami pervenuti all’Autorità nonché dei relativi riscontri forniti da Fastweb, è emerso che per un considerevole numero di chiamate promozionali illecite effettuate per conto della Società (almeno il 70%) sono state utilizzate numerazioni non facenti capo alla rete di vendita Fastweb e, in quasi tutte le circostanze, non censite al ROC (ossia al Registro degli Operatori di Comunicazione).

In linea generale deve premettersi che le misure di rafforzamento adottate dalla Società e le ulteriori iniziative intraprese - tra le quali si registra anche l’intento di giungere ad una tendenziale dismissione del canale delle chiamate outbound delle agenzie e la partecipazione al tavolo di lavoro avviato con le principali associazioni di consumatori - certamente dimostrano la presa di coscienza da parte di quest’ultima della gravità del fenomeno delle chiamate promozionali illecite, e la volontà di arginarlo.

Tuttavia, non possono non evidenziarsi i limiti e le criticità riscontrate in merito ad alcune delle predette misure.

In primo luogo, con riferimento ai meccanismi di controllo, nell’atto di avvio del procedimento si è notato che i controlli effettuati dalla Società sulle numerazioni e sugli esiti dei contatti lavorati caricati dal partner sul portale Invoice (compreso l’esito di PDA, nonché quelli ex post sulla riconducibilità anche in tempi diversi a liste di contatto autorizzate da Fastweb delle numerazioni chiamate), non forniscono alcuna garanzia sul corretto svolgimento della fase promozionale, in quanto si limitano a verificare che il contatto del soggetto chiamato rientri in una lista autorizzata da Fastweb senza però effettuare alcun controllo sulla numerazione chiamante.

Ciò può consentire a soggetti ignoti e comunque non riconducibili al circuito di vendita ufficialmente riconosciuto e autorizzato da Fastweb di effettuare chiamate promozionali per conto della Società tramite numerazioni che non appartengono alla rete di vendita di Fastweb, al fine di raccogliere illecitamente i dati personali degli utenti che, nell’erronea convinzione di interloquire con un agente di vendita Fastweb, in alcuni casi li conferiscono aderendo alle offerte promozionali. Tali dati personali confluiscono poi nei database societari tramite le proposte di abbonamento (le c.d. “PDA”) che sono caricate sui sistemi della Società e portate all’attivazione.

Questo fenomeno, come evidenziato nell’atto di contestazione e nei sopra richiamati recenti provvedimenti dell’Autorità, può essere arginato o addirittura radicalmente eliminato da parte di Fastweb, configurando i propri sistemi in modo da poter bloccare le procedure di attivazione di offerte o servizi laddove la Società non sia in grado di garantire che l’attività promozionale si sia svolta nel rispetto delle norme e dei diritti degli interessati, fin dal momento del primo contatto. In tal senso, per ogni attivazione, i sistemi della Società, oltre a richiedere l’indicazione della lista di contatto utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto), dovrebbero richiedere ulteriori elementi necessari per determinare la correttezza dello svolgimento del contatto promozionale (ad es., indicazione del partner che ha operato il primo e i successivi contatti; indicazione delle numerazioni telefoniche chiamanti - debitamente censite nel R.O.C., registro degli operatori di comunicazione; script di chiamata e informativa letti dall’operatore di call-center).

Le conseguenze connesse alla mancata valorizzazione di tali informazioni dovrebbero in ogni caso poter prevedere, in ragione della potenziale illiceità dei trattamenti, anche l’inutilizzabilità dei dati (ex art. 2-decies del Codice) ovvero il “blocco” dell’attivazione di contratti che non rispettino determinati requisiti.

Al riguardo, non si ritiene condivisibile l’orientamento di Fastweb secondo cui quest’ultima “non avrebbe alcun titolo per rifiutare tale attivazione” anche laddove i contratti siano stati originati da chiamate promozionali illecite poiché “l’attivazione di serviz di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità”.

In casi analoghi, l’Autorità ha chiarito che “quella di non procedere all’attivazione di offerte o servizi nel momento in cui non vi sia prova che gli stessi siano stati correttamente proposti all’utente in base alle disposizioni che regolano le modalità di svolgimento dei contatti promozionali, non costituisce una mera facoltà del titolare del trattamento ma un preciso obbligo dettato dal combinato disposto degli artt. 5, parr. 2, 6 e 7 del Regolamento e degli artt. 2-decies e 130 del Codice. In base alle norme del Regolamento, infatti, il titolare è tenuto a comprovare che i trattamenti dallo stesso svolti, anche tramite responsabili, siano conformi ai principi di liceità, trasparenza e correttezza (in particolare con riferimento al consenso), principi che, nell’ambito dei contatti promozionali sono declinati dall’art. 130 del Codice, e qualora ciò non sia possibile, il primo effetto che ne deriva è costituito dall’inutilizzabilità dei dati trattati” (cfr. il provvedimento n. 224 del 12 novembre 2020).

Medesime considerazioni possono svolgersi “sul piano civilistico”, dovendosi escludere che nei suddetti casi si sia formata una volontà libera e autonoma delle parti a perfezionare un contratto: lo stesso, infatti, sarebbe stato veicolato da un soggetto non fornito dei requisiti essenziali per poter rappresentare la Società (e, conseguentemente, per raccogliere i dati dell’altro contraente) e portato all’attenzione di un soggetto che esprime il proprio consenso alla sottoscrizione nell’erronea convinzione di interloquire con Fastweb.

Appare altresì priva di pregio la tesi avanzata dalla Società, secondo cui anche successivamente all’adozione del sistema di blocco automatico nell’inserimento dei nuovi contratti, “a fronte della perdurante volontà dell’interessato, Fastweb non avrebbe alcun titolo per rifiutare tale attivazione”.

In via preliminare, si rileva che la tesi di Fastweb secondo cui vi sarebbe una distinzione tra chiamata “illecita” e chiamata “indesiderata” non trova alcun riscontro normativo, poiché, come è ovvio, per il legislatore italiano ed europeo non hanno rilevanza le considerazioni in ordine alla “desiderabilità” di un contatto telefonico. Al contrario, possono definirsi indesiderate (cioè illecite), le chiamate promozionali effettuate senza idonea base giuridica (art. 130 del Codice e artt. 6 e 7 del Regolamento). Né è condivisibile la tesi difensiva sull’asserita “autonoma base giuridica”, posto che il trattamento della Società rientrerebbe nell’ambito dell’attività svolta dal soggetto terzo ignoto.

Al riguardo, si è già evidenziato che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso” (cfr. il richiamato provvedimento n. 143 del 9 luglio 2020).

Si conferma quanto rappresentato nell’atto di contestazione in ordine al fatto che l’assenza di iniziative come sopra delineate (ossia di sistemi che richiedano ulteriori elementi per ogni attivazione oltre all’indicazione della lista di contatto), in particolare in presenza di un dato così rilevante in ordine alle chiamate disconosciute, ha determinato una grave falla nell’accountability di Fastweb, nonché in alcuni elementi cardine del criterio di privacy by design.

Quanto alla procedura che la Società intende adottare a seguito dell’implementazione della nuova tecnologia, si osserva che l’eventuale “perdurante volontà” dell’interessato a sottoscrivere un abbonamento con Fastweb, in ogni caso, non potrebbe essere verificata dalla Società tramite un ricontatto telefonico dell’utente. Tale operazione darebbe seguito all’attività promozionale illecita iniziata dal soggetto terzo non autorizzato, ponendo in essere un ulteriore trattamento di dati acquisiti illecitamente al fine di svolgere attività promozionale. Per preservare l’espressione di volontà del potenziale cliente, si potrebbe eventualmente prendere in considerazione la possibilità di inviare un breve messaggio allo stesso, informandolo delle problematiche che impediscono la registrazione del contratto e l’attivazione del servizio, con invito a ricontattare una specifica articolazione inbound della Società al fine di perfezionare il contratto stesso: in questo modo la volontà dell’interessato potrà essere portata all’attenzione del titolare proprio su impulso di quest’ultimo.

In secondo luogo, anche con riferimento ai nuovi meccanismi sanzionatori adottati da Fastweb, si è osservato nell’atto di contestazione che le misure adottate dalla Società, (incluso “il mancato pagamento delle PDA fuori lista”), non sono idonee a scardinare il fenomeno sopra descritto poiché agiscono in via esclusiva sulla rete di vendita “ufficiale” e non sono in grado di incidere in alcun modo su quello che è stato più volte definito come il “sottobosco” del telemarketing.

In particolare, quanto alla suddetta misura di “esclusione del compenso”, quest’ultima è apparsa inadeguata, in primis, perché consente in ogni caso il caricamento di ordini per nuovi contratti anche rispetto ai clienti procacciati fuori dalla lista clienti dedicata ad un’agenzia e/o fuori dalla zona ad essa assegnata, determinando così l’utilizzo di dati acquisiti illecitamente da soggetti ignoti in violazione della disciplina rilevante in materia di protezione dei dati personali. Inoltre, poiché da tale utilizzo Fastweb trarrebbe anche un profitto (si è richiamato l’esempio dei 5543 contatti eseguiti verso numerazioni fuori lista dai quali potrebbero potenzialmente derivarne 5543 ordini di attivazione per Fastweb), le scelte operate dalla medesima al fine di escludere provvigioni e compensi sarebbero giuridicamente aggredibili dalle agenzie coinvolte, come del resto evidenziato dalla Società in sede di audizione. La predetta misura, inoltre, non sembra impedire che vengano corrisposte remunerazioni a coloro che procacciano clienti i cui contatti sono contenuti in liste autorizzate da Fastweb ma che utilizzano delle numerazioni chiamanti non censite (attività che potenzialmente potrebbe essere posta in essere direttamente da un agente della rete di vendita Fastweb, ovvero da quest’ultima tramite l’intermediazione di un soggetto terzo ignoto).

Quanto al processo di denuncia delle numerazioni chiamanti non riconosciute implementato da Fastweb “per contrasto all’uso di numerazioni illecite”, sebbene utile in quanto diretto a bloccare le numerazioni oggetto di denuncia, anche tale meccanismo non fornisce alcuna garanzia sul corretto svolgimento della fase promozionale. Invero, si tratta di una misura caratterizzata da una portata molto limitata, posto che si attiva solo a seguito della ricezione di chiamate promozionali indesiderate da parte dell’interessato (quindi successivamente alla violazione dei suoi dati personali), e solo laddove il destinatario della chiamata illecita presenti una segnalazione alla Società ovvero all’Autorità (la misura, quindi, potrebbe, anche non attivarsi o, comunque si attiverebbe solo in relazione al limitato numero di chiamate promozionali segnalate). Aggiungasi che, le numerazioni oggetto di denuncia, potrebbero non essere riconducibili a un identificato contraente, risolvendosi tale misura in una sostanziale impunità per gli autori.

Quanto alle ulteriori misure adottate dalla Società “nel caso in cui sia stato possibile identificare l’autore” di chiamate promozionali illecite, ossia l’applicazione delle “penali”, la “risoluzione contrattuale” e l’“interruzione dei rapporti con le agenzie”, si conferma quanto emerso nell’atto di contestazione in merito alla non sistematicità e incoerenza nell’applicazione delle misure rispetto a situazioni analoghe. Sulla misura delle “penali”, nell’atto di contestazione si è rilevata l’inadeguatezza di tale misura sia in quanto la sua applicazione non è proporzionale rispetto al numero delle condotte abusive rilevate dalla documentazione prodotta dalla Società (meno dell’1% delle condotte illecite risultano essere state sanzionate tramite l’applicazione di una penale) sia in quanto l’ammontare della sanzione applicata risulta modesta rispetto al numero delle violazioni commesse da un’agenzia (nonché rispetto al suo volume d’affari). Per quanto concerne le misure della “risoluzione contrattuale” o dell’“interruzione dei rapporti con le agenzie”, si è rilevata l’incoerenza e contraddittorietà delle condotte della Società laddove quest’ultima ha scelto di risolvere o interrompere i rapporti con alcune agenzie e di proseguirli con altre, nonostante le seconde avessero commesso le medesime violazioni delle prime, più altre.

In terzo luogo, con riferimento alle misure adottate da Fastweb che sono attualmente in fase di sviluppo, si rileva quanto segue.

Sebbene sia apprezzabile l’intenzione di Fastweb di intraprendere un percorso che si pone, almeno parzialmente, nel solco delle indicazioni dell’Autorità, sia tramite l’utilizzo del “tool log” (che consente di estendere i controlli ex-post anche alle numerazioni chiamanti e al complesso delle chiamate promozionali effettuate dalle agenzie), sia mediante la nuova implementazione tecnologia (che consente di inibire la possibilità di caricare ordini riferiti a soggetti non presenti nelle liste di contatto autorizzate), entrambe le misure presentano le medesime criticità laddove non prevedono l’estromissione delle proposte di contratto acquisite illecitamente dal patrimonio informativo della Società, come sarebbero invece tenute a prevedere per le ragioni già ampiamente illustrate sopra.

Da ultimo, non rilevano le argomentazioni difensive espresse da Fastweb relative al numero limitato di segnalazioni e reclami, a fronte dell’ingente numero di contatti promozionali effettuati dalla Società. La Società è ben consapevole che le 236 segnalazioni portate all’attenzione del Garante corrispondono solo a una minima parte dell’attività promozionale illecita che viene posta in essere quotidianamente dalle agenzie di vendita (basti considerare che solo con riferimento ai “contatti eseguiti dalle agenzie verso numerazioni fuori lista”, la stessa Società ha dichiarato che in meno di due anni sono stati effettuati 5.543 contatti illeciti). È evidente che la maggior parte degli utenti, vittime di molteplici chiamate promozionali illecite, non si rivolga all’Autorità con segnalazioni e reclami, nonostante il telemarketing venga spesso percepito come un fenomeno invasivo, anche oltre ogni limite di tolleranza. Ciò che assume rilevanza, oltre al numero dei casi segnalati, è il grado di efficacia delle risposte fornite dalla Società a tali segnalazioni e reclami, al fine di evitare che l’attività posta in essere dalle agenzie di vendita per conto di Fastweb prevarichi sull’altrui riservatezza. Ebbene, se nel caso di Fastweb, a fronte di 236 segnalazioni, la Società ha disconosciuto la provenienza di almeno 166 telefonate, fornendo pertanto agli interessati un riscontro del tutto inefficace rispetto alle loro richieste. Pertanto, deve concludersi che anche dal punto di vista numerico, la problematica portata all’attenzione dell’Autorità assume rilievi di estrema gravità.

Alla luce di quanto sopra, è emerso che la Società, sebbene si sia “impegnata” e abbia “investito” sul fenomeno delle chiamate disconosciute, non ha esercitato pienamente le proprie attribuzioni, alle quali corrispondono i doveri di accountability e privacy by design individuati dall’art. 5, par. 2, e 25 del Regolamento, omettendo di introdurre forme di controllo della “filiera” di acquisizione dei dati personali che impediscano di acquisire nuovi clienti qualora non sia dimostrato che gli stessi siano stati inizialmente contattati da un soggetto ricompreso nella catena di responsabilità del trattamento il quale abbia posto in essere tutte le cautele previste dal quadro normativo e deontologico di riferimento.

Rispondi