Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro / Parte 1

Giancarlo Favero · gio feb 03, 2022 1:39 pm

Link al provvedimento:

https://www.garanteprivacy.it/web/guest ... eb/9485681

Ordinanza ingiunzione nei confronti di Vodafone - 12 novembre 2020

Registro dei provvedimenti
n. 224 del 12 novembre 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 29210/20 del 31 luglio 2020 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Vodafone Italia S.p.A. (di seguito “Vodafone” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017.

Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di centinaia di segnalazioni e reclami inviati da interessati che lamentavano e ancora oggi lamentano continui contatti telefonici indesiderati effettuati da Vodafone e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.

Il fenomeno delle chiamate e dei contatti promozionali indesiderati è ben noto alla Società, la quale, nel corso degli ultimi 15 anni, è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve. In particolare meritano menzione i provvedimenti n. 140 dell’8 marzo 2018 (in www.gpdp.it, doc. web n. 8233539) e n. 412 del 5 luglio 2018 (in www.gpdp.it, doc. web n. 9025351), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms che Vodafone e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.

Nonostante l’ampia attività provvedimentale e l’interlocuzione costante fra Garante e compagnie telefoniche, dal dicembre 2018 al novembre 2019, Vodafone è stata destinataria di quattro richieste di informazioni cumulative (19 dicembre 2018, 7 marzo 2019, 27 giugno 2019 e 26 novembre 2019), che hanno preso in esame 328 segnalazioni, ciascuna delle quali lamentava la ricezione di una o più telefonate promozionali indesiderate, effettuate per conto della Società. Se si considerano anche i 40 reclami presentati ai sensi dell’art. 77 del Regolamento, che il Garante ha trattato, nella fase istruttoria, singolarmente e le segnalazioni pervenute dopo le ultime richieste di informazioni, l’Ufficio, dal dicembre 2018 al 17 giugno 2020 ha aperto 438 fascicoli nei confronti di Vodafone, in massima parte riguardanti le attività di telemarketing e di invio di messaggi promozionali da parte o per conto della Società. Nel periodo considerato l’interlocuzione con segnalanti e reclamanti, nonché con la stessa Vodafone ha determinato la registrazione al protocollo dell’Autorità di 758 missive in ingresso.

I dati di cui sopra evidenziano il considerevole impatto che le attività di Vodafone, in massima parte portate all’attenzione con riferimento al telemarketing e all’invio di messaggi promozionali, assumono nella complessiva attività dell’Ufficio: già soltanto dall’esame dei numeri sopra riportati non può non evidenziarsi che per una importante quota di utenti (la maggior parte dei quali, non si rivolge all’Autorità con segnalazioni e reclami) le attività promozionali così come impostate rappresentano un’intrusione nella sfera della propria riservatezza, allo stato difficilmente arginabile.

1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, del 7 febbraio 2020, e il riscontro fornito da Vodafone

L’Ufficio ha provveduto ad enucleare le criticità maggiormente ricorrenti e ha inviato il 7 febbraio 2020 a Vodafone una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, contenente alcuni quesiti relativi alle modalità di svolgimento delle attività di telemarketing.

Partendo dal dato, emerso dalle richieste cumulative, di un considerevole numero di chiamate promozionali (361 a fronte di 328 segnalazioni) che Vodafone ha dichiarato non essere state effettuate da numerazioni della propria rete di vendita, si è chiesto alla Società di far conoscere quali misure fossero state poste in essere al fine di escludere che da contatti provenienti da tali numerazioni fossero stati poi perfezionati contratti o attivate utenze Vodafone, e in base a quali procedure la Società aveva verificato che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, fosse avvenuta a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Vodafone.

È stato quindi richiesto alla Società di illustrare le procedure relative al contatto dei clienti effettuato per finalità di “gestione e revoca del consenso commerciale”, e, in particolare, quelle osservate nei numerosi contatti operati nei confronti di un reclamante, attività oggetto di specifico riscontro in data 18 gennaio 2019.

Con riferimento all’utilizzo di liste di anagrafiche per lo svolgimento di attività di contatto promozionale, provenienti dai fornitori o partner “Seisicuro.it”, “Ids.Sphk” (con cessione a Sales s.r.l.), “Nos”, “Problem solving” e, più in generale, da soggetti terzi, si è richiesto di conoscere le modalità in base alle quali Vodafone verificasse la corretta acquisizione, da parte dei predetti soggetti, del consenso degli interessati per finalità commerciali e per la comunicazione a terzi e la distribuzione delle responsabilità nell’ambito del correlato trattamento. Si è altresì richiesto di indicare il numero dei contatti promozionali operati, nel corso del 2019, mediante l’utilizzo di tali liste, nonché il numero dei contratti e delle attivazioni realizzate a seguito dei predetti contatti.

Nel riscontro fornito il 26 febbraio 2020, Vodafone ha, in primo luogo illustrato le procedure di controllo volte ad impedire l’ingresso nei sistemi Vodafone di attivazioni proposte da soggetti estranei alla propria rete di vendita. “Primo controllo: sono stati nuovamente inseriti tutti i numeri contattati dalle numerazioni chiamanti non Vodafone, di cui alle precedenti quattro richieste di informazione dell’Autorità, all’interno del sistema Vodafone Deduplica Liste (di seguito VDL) – sistema di Campaign Management per la distribuzione, gestione e monitoraggio delle attività oggetto dell’Accordo Quadro con i Partner Teleseller e Agenzie (di seguito Partner), […]. Il sistema VDL verifica preventivamente le liste di numerazioni potenzialmente contattabili, caricate nello stesso da Vodafone o dai Partner, ed esclude le numerazioni: presenti sul Registro delle Opposizioni; presenti sulla Black List Vodafone (ovvero la lista delle numerazioni rese non contattabili per via della revoca del consenso commerciali); già assegnate per lo stesso mese ad altri Partner, anche se per Campagne diverse. Da tale controllo è emerso che nessuno dei numeri contattati, oggetto delle quattro richieste di informazioni, faceva parte di liste precedentemente autorizzate da Vodafone. La procedura sopra descritta viene applicata automaticamente ed in modo sistematico per ogni Campagna. Secondo controllo: sono state nuovamente verificate le numerazioni chiamanti non riconducibili a Vodafone oggetto della richiesta, attraverso l’esame dei cosiddetti “cartellini di chiamata” (ovvero i Web form compilati dai Partner che riportano gli esiti di chiamata delle numerazioni contattate, precedentemente filtrate da VDL). Da tale nuovo controllo è emerso che tra le 1631 numerazioni chiamanti, tre numerazioni […] risultano utilizzate da un Partner Vodafone (NOS Srls) ed hanno generato diciotto “cartellini di chiamata” relativi a contatti su numerazioni comunque diverse da quelle dei segnalanti e che in ogni caso non hanno prodotto alcun contratto o attivazione di servizi Vodafone (Esiti identificati ad oggi nel sistema con il codice 200 – OK - VENDITA). Fatto salvo tutto quanto sopra, preme dare informazione del fatto che, in taluni casi, quando la Scrivente è venuta a conoscenza, tramite segnalazioni ricorrenti da parte degli utenti, di numerazioni chiamanti non riconducibili a Vodafone, ha provveduto a sporgere formale denuncia-querela presso le Autorità competenti […]. Da ultimo e sempre con riferimento alla descrizione delle misure poste in essere da Vodafone al fine di escludere che da contatti provenienti da numerazioni non riconducibili a Partner Vodafone siano stati poi perfezionati contratti, la Scrivente ha di recente implementato una cosiddetta “Black List dei numeri chiamanti”, in cui vengono inserite, a seguito di segnalazioni e/o reclami, le numerazioni chiamanti non riconducibili a Vodafone. Qualora una delle suddette numerazioni venisse dichiarata successivamente da un Partner come propria, in fase di caricamento in VDL delle numerazioni in uso allo stesso (cosiddette “certificazioni”), verrà immediatamente inviata una comunicazione ai responsabili della Direzione Vodafone preposta (Outbound & One to One), per tutte le opportune verifiche nonché l’immediato richiamo al Partner ad ottemperare alle numerose prescrizioni in vigore”.

Vodafone ha inoltre evidenziato che le “procedure aziendali con le quali la Società verifica che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, avvenga a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Vodafone”. Anche in questo caso Vodafone ha fatto integrale richiamo alle funzionalità del sistema VDL, rappresentando che “a seguito dell’attivazione di un’utenza o servizio viene effettuato il controllo verificando che il contatto che ha prodotto la vendita sia stato effettuato su una numerazione caricata su VDL in quanto presente in una lista fornita o autorizzata da Vodafone”. La Società ha quindi illustrato il complesso di regole aziendali che tutti i Partner che prestano la loro attività di call center, teleselling e agenzia devono accettare e sottoscrivere con riferimento all’utilizzo delle liste di soggetti da contattare (accordi quadro di appalto di “Servizi chiamate inbound e outbound” e di “Agenzia One to One”, Codice di condotta e Regole di contatto, documenti tecnici nei quali vengono definiti i contenuti delle singole attività oggetto di fornitura e vengono normati i processi, i volumi, le performance ed i termini economici delle singole campagne, disciplina delle penali) evidenziando inoltre che la violazione di quanto previsto nelle Regole di contatto, verificabile attraverso il controllo dei “cartellini di chiamata”, può determinare l’invio di apposite diffide al Partner di riferimento, con o senza applicazione di penali. In caso di violazioni reiterate è prevista la risoluzione contrattuale.

Con riferimento alla gestione dei consensi promozionali e commerciali, e alle eventuali revoche, Vodafone ha fatto presente che tale attività si divide in “[…] 1. Gestione Consensi da canali non assistiti […]; 2. Gestione Consensi da canali assistiti” esibendo un documento con il quale la Società fornisce agli operatori di call center (canale 190) e agli addetti alla gestione delle richieste pervenute via posta cartacea o via email le informazioni necessarie per gestire le richieste aventi ad oggetto i consensi privacy, tra cui la revoca del consenso commerciale. In tutti questi casi la procedura prevede la revoca diretta del consenso commerciale attraverso l’utilizzo dell’applicativo Omnitel Customer Administration, utilizzato dal personale Vodafone. Quanto ai teleseller il documento fornisce agli operatori che effettuano contatti commerciali le informazioni necessarie per gestire le richieste di revoca del consenso commerciale in fase di contatto. In questo caso, non essendo l’applicativo OCA direttamente a disposizione degli operatori, poiché esterni rispetto all’organizzazione aziendale, la procedura prevede che la richiesta di revoca del consenso venga evidenziata come esito del contatto commerciale, esito che si riversa successivamente nelle black list di Vodafone.

Con riferimento all’utilizzo di liste di anagrafiche provenienti da soggetti terzi per lo svolgimento di attività promozionali, Vodafone ha preliminarmente indicato le caratteristiche dei partner che sono stati individuati nella richiesta di informazioni: SeiSicuro.it è un list provider della società Innovairre s.r.l., che ha acquisito l’agenzia di fundraising IDMC, quest’ultima legata contrattualmente a Vodafone fino al 31 marzo 2019. Nos Srls, già Cooperativa Nuovi Orizzonti è un’agenzia partner di Vodafone che utilizza anagrafiche acquisite da Nova TLC Srls, e da KData Ltd. (società con sede in Londra). Fornisce altresì il servizio di caricamento delle anagrafiche appartenenti al DBU – Data Base Unico. IDS Sh.p.k, società di diritto albanese, è un teleseller partner di Vodafone che opera anche in qualità di list provider, cedendo anagrafiche a Sales Srl. Fino a giugno 2019 ha utilizzato solo liste fornite da Vodafone, mentre a partire da luglio 2019 ha iniziato a utilizzare liste di CheBuoni.it s.r.l. Problem Solving s.r.l. è un teleseller partner di Vodafone che si avvale del list provider AdOpera.

Quindi Vodafone ha rappresentato che la corretta acquisizione del consenso commerciale e per comunicazione a terzi ricade sotto la responsabilità dei list provider che hanno curato la raccolta dei dati personali, ed è contrattualmente in capo a questi ultimi.

La società ha inoltre illustrato il complesso di attività effettuate internamente dalla funzione Privacy & Information Security Governance e dalla funzione Outbound & One to One volte finalizzate a: la verifica delle procedure con cui il list provider raccoglie il consenso; la verifica dell’informativa privacy fornita dal medesimo; la verifica su specifiche numerazioni con richieste di esibizione della documentazione attestante la raccolta del consenso commerciale. Inoltre Vodafone ha avviato, a partire da novembre 2018, un piano pluriennale di vigilanza privacy sulle terze parti nominate responsabili del trattamento, al fine di rilevare il livello di conformità ai requisiti imposti dalla normativa vigente in materia di privacy. Tale programma di vigilanza ha interessato, ad oggi, 57 fornitori, tra cui 20 partner, sottoposti a procedure di audit che hanno coinvolto anche i partner IDS Sh.p.k., Nos S.r.l.s. e Problem Solving s.r.l. Nel corso degli audit svolti da soggetto terzo rispetto a Vodafone sono state verificate le misure di sicurezza per la composizione delle liste commerciali e gli obblighi relativi al trattamento dei dati per chiamate a scopi commerciali. Per tutti i soggetti le verifiche sul campo hanno indicato un alto livello di conformità anche con riferimento all’acquisizione del consenso e all’informativa resa.

Con riferimento al numero dei contatti operati e al numero dei contratti realizzati in base all’attività di soggetti terzi, nel corso dell’anno 2019, Vodafone ha esibito le tabelle che seguono:

riepilogo delle attività dei partner di cui alla richiesta di informazioni

Partner Numero contatti effettuati Numero contatti realizzati List provider del Partner
NOS SRLS 936201 6057 KDATA, NOVA TLC
PROBLEM SOLVING 2972365 12584 Data Base Unico, Adopera
SEISICURO 112732 239 Innovairre
IDS 647060 95 IDS

attività svolta con l’utilizzo di list provider legati contrattualmente ai teleseller

List Provider dei Partner Numero contatti effettuati
Numero contatti realizzati

Empowercall: Spin Up
Flipcall: Supermoney
Mediacom: ClickAdv
Eutel: Risparmia tu
Ids: CheBuoni
Numbers: Spin Up
Assist: Impiego 24
Problem Solving: Ad-Opera 3302056 12621

attività svolta con l’utilizzo di list provider legati contrattualmente a Vodafone

List Provider di Vodafone Numero contatti effettuati Numero contatti realizzati
Adsalsa, Egentic, SpinUp, Supermoney, Bakeca, Innovairre, CheBuoni 4309962 11703

1.3 I reclami istruiti singolarmente

Oltre alle questioni trattate mediante le richieste cumulative nel corso del 2019 e la richiesta di informazioni del 7 febbraio 2020, l’Ufficio ha curato l’istruttoria dei reclami presentati dagli interessati, con richieste di elementi e inviti a consentire l’esercizio dei diritti dei medesimi, ai sensi degli artt. 15-22 del Regolamento.

I reclami, che hanno poi formato oggetto di trattazione unitaria con il procedimento principale, in base a quanto previsto dagli artt. 10, comma 4, del regolamento dell’Ufficio del Garante n. 1/2019 e 8, comma 2, del regolamento n. 2/2019 possono suddividersi in base alle questioni e agli argomenti sollevati, in diversi gruppi.

Un primo gruppo è relativo a reclami aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Vodafone: fascicolo 139840, con riferimento ai contatti lamentati dal reclamante, Vodafone ha fornito riscontro rappresentando che tali contatti sono stati posti in essere dalla società di diritto albanese Promarketing Sh.p.k., proprio partner, per un “errore umano” causato da una cattiva gestione dei cd. “referenziati”, ovvero dei soggetti le cui anagrafiche sono state suggerite da altri utenti Vodafone; fascicolo 142897, il reclamante ha lamentato la ricezione di almeno 4/5 sms pubblicitari al mese dal 2018 da parte di Vodafone, nonostante lo stesso avesse provveduto a comunicare alla società il proprio diniego alla ricezione di messaggi pubblicitari. Relativamente alla richiesta di revoca del consenso che il segnalante fa risalire al 2018, Vodafone ha dichiarato di non avere evidenza della stessa ma di far risalire tale revoca alla data del 1° marzo 2019. Quest’ultima, “per un mero errore umano” non sarebbe stata registrata ragione per cui il reclamante avrebbe continuato a ricevere messaggi promozionali fino al gennaio 2020; fascicolo 146313, il reclamante ha lamentato la ricezione di numerosi messaggi promozionali su due utenze mobili, nonostante all’atto dell’attivazione delle stesse (avvenuta nel giugno 2019) lo stesso avesse espressamente negato il consenso ai trattamenti per finalità pubblicitarie. Vodafone ha confermato che in sede di attivazione delle utenze il reclamante ha espressamente negato il consenso alla ricezione di messaggi promozionali e che, “evidentemente per un errore di lettura del sistema”, tale diniego non è stato registrato; fascicolo 141251, il reclamante ha lamentato nel corso del tempo, numerosi contatti indesiderati per conto di Vodafone alle proprie utenze fisse e mobili, anche tramite sms. Il reclamante ha prodotto i numerosi riscontri forniti da Vodafone con i quali è stata garantita l’inclusione delle utenze del medesimo nelle black list della società. Tuttavia i contatti sono proseguiti Vodafone al riguardo ha rappresentato che le numerazioni richiamate non sono riconducibili alla società o a propri partner; fascicoli 146902, 147632, 142784, nei quali gli interessati hanno lamentato la ricezione di chiamate promozionali, sulle proprie utenze fisse o mobili, per conto di Vodafone. Al riguardo Vodafone ha rappresentato che le numerazioni citate nei reclami non sono riconducibili a Vodafone né utilizzate dalla stessa Vodafone e/o da propri partner per finalità commerciali.

Un secondo gruppo di reclami riguarda la gestione del patrimonio dei dati da parte di Vodafone. In tale ambito assume particolare rilevanza la casistica riguardante un fenomeno piuttosto diffuso, riferito da numerosi reclamanti i quali hanno lamentato di essere stati contattati, in genere a seguito della segnalazione di un guasto, da call-center facenti capo ad altre compagnie telefoniche oppure da soggetti che, a nome di Vodafone, richiedevano ai clienti di inviare la copia di un documento d’identità tramite messaggio Whatsapp: fascicolo 132730, il reclamante ha rappresentato di aver comunicato a Vodafone un malfunzionamento della rete dati e di aver successivamente ricevuto “un messaggio WhatsApp con logo Vodafone” da parte di un sedicente tecnico della società che, al fine di programmare un intervento presso l’abitazione richiedeva di inviare un documento d’identità. Successivamente il segnalante ha ricevuto una telefonata da un call center apparentemente riconducibile ad altra compagnia telefonica che ha proposto alla reclamante la migrazione della propria utenza; fascicolo 138384, il reclamante ha dichiarato: “venivo contattato dal numero […] il quale mi chiedeva se era stato risolto il guasto riferito alla linea […], alla mia risposta positiva la stessa operatrice mi diceva che Vodafone dalla prossima fattura applicava una modifica unilaterale del contratto con l'aumento di euro 13 al mese sulla linea in oggetto e si dava la possibilità di passare ad altro operatore […]”; fascicolo 140753, il reclamante ha riferito di aver contattato Vodafone per un malfunzionamento della linea fissa. A seguito di diverse chiamate, finalizzate a sollecitare la risoluzione del problema, lo stesso riceveva una telefonata sulla propria utenza mobile da parte di un sedicente “centro di assistenza Vodafone” che, dopo aver indicato gli esatti codici del ticket aperto, richiedeva l’invio tramite Whatsapp di un documento d’identità; fascicolo 143923, il reclamante ha rappresentato di avere avuto ricorrentemente disservizi sulla linea fissa Vodafone, segnalati al servizio clienti Vodafone, e di avere quindi ricevuto una chiamata da parte di un operatore che preannunciava l’accesso da parte di un tecnico di altra compagnia telefonica e per la acquisizione di copia del documento d’identità del reclamante; fascicoli 140991, 141181, 146055 e 148012 che hanno evidenziato medesime problematiche legate a indebite richieste di documenti tramite WhatsApp da parte di sedicenti operatori Vodafone a seguito di segnalazioni di malfunzionamenti da parte dei clienti o al completamento di richieste di portabilità.

Con riferimento al complessivo fenomeno, Vodafone ha rappresentato, in primis, che le procedure descritte non rientrano fra quelle standard adottate dalla Società per la gestione dei casi di malfunzionamento e che i contatti non sono risultati provenire da operatori incaricati da Vodafone, né da parte di proprie agenzie. Quindi ha evidenziato che già in altre occasioni, la Società ha ricevuto segnalazioni da parte della propria clientela per contatti da parte di soggetti vari che, durante la conversazione, proponevano il passaggio ad altri gestori, a causa di rincari sulle tariffe Vodafone o chiedevano documentazione personale necessaria per provvedere alla risoluzione delle problematiche tecniche. A seguito poi di approfondimenti, è emerso che i contatti di regola vengono effettuati da persone che dispongono di nome, cognome, utenza ed in alcuni casi anche della tipologia di guasto segnalato dal cliente stesso. La Società ha quindi provveduto a sporgere denunce presso diverse Procure, e ad effettuare verifiche sulle credenziali di accesso ai database aziendali utilizzati per fornire assistenza tecnica ai clienti. Tali verifiche sono state estese anche alle piattaforme in uso presso altri operatori telefonici, utilizzati dagli operatori Vodafone. Inoltre la Società sta adottando sui propri sistemi dedicati alla gestione delle pratiche di acquisizione, provisioning e assurance, ulteriori misure di sicurezza fra le quali l'introduzione della Two Factor Authentication (2FA), il monitoraggio sui log di accesso ad alcuni database e specifiche campagne di security awareness.

Nell’ambito dell’istruttoria relativa al fascicolo 143923, Vodafone richiamava una più ampia relazione, inviata all’Autorità il 14 novembre 2019, con la quale si comunicavano “dettagli su quanto è emerso nell’ambito di un'attività di verifica e monitoraggio che è scaturita da una prima segnalazione, pervenuta il 4 giugno u.s. al Dipartimento di Security. In particolare, un account interno Vodafone, referente per il Call Center Almaviva di Catania, ha fornito nello stesso mese di giugno u.s. l'informazione relativa alla ricezione di reclami telefonici da parte di clienti già acquisiti mediante l'utilizzo del sistema denominato BTC - Business to Customer - che segnalavano di aver ricevuto chiamate da “operatori” che, presentandosi come addetti Vodafone, richiedevano l'invio, per la maggior parte via WhatsApp, di documenti d'identità al fine di “finalizzare la pratica”. A seguito della ricezione di ulteriori reclami, Vodafone ha avviato le indagini necessarie volte a capire se ci fossero dei collegamenti fra i predetti reclami e possibili accessi al portale BTC effettuati a fini fraudolenti. Le prime attività di verifica su log del sistema hanno evidenziato un collegamento diretto tra alcuni dei reclami telefonici pervenuti ed accessi effettuati sugli stessi numeri. […] L'analisi di dettaglio ha evidenziato che sino a fine di luglio u.s., 9 username hanno effettuato accessi “anomali” a BTC […]; 2 di questi riconducibili al fornitore Abramo, 7 riconducibili al fornitore Assist - Tirana (Albania). Il numero di pratiche visualizzate nelle modalità sopra descritte è risultato pari a 230, di cui 222 coincidente con reclami di clienti che hanno dichiarato di aver ricevuto un contatto come sopra riportato. […] Di questi 222 clienti: 79 hanno dichiarato di aver fornito un documento d'identità, in risposta alla chiamata di “presunti” call center; 43 di non aver fornito alcun documento d'identità; 100 clienti non hanno dichiarato nulla in proposito. […] Sono state prontamente messe in campo alcune azioni volte a contrastare le pratiche emerse, tra cui: irrobustimento delle credenziali di accesso tramite modalità di autenticazione Two Factor Authentication (2FA); Monitoraggio automatico su operazioni di lettura e scrittura sulle pratiche. […]Vodafone desidera però precisare che il fenomeno, descritto nella presente lettera, potrebbe verosimilmente avere una portata molto più ampia, coinvolgendo anche altre piattaforme di gestione non esclusivamente gestite dalla propria organizzazione”. Deve tuttavia evidenziarsi che, sempre in relazione al fascicolo 143923, con e-mail del 5 giugno 2020 inviata anche a Vodafone, il reclamante ha rappresentato di essere stato contattato da una numerazione non riconducibile alla Società, e ciò dopo aver segnalato il malfunzionamento della propria rete Internet

Un ulteriore insieme di reclami afferisce alla corretta gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento:

fascicolo 144980, il reclamante ha lamentato un contatto, nell’ottobre 2019, sulla propria utenza telefonica fissa iscritta nel Registro pubblico delle opposizioni e il mancato riscontro da parte di Vodafone alle richieste di esercizio dei diritti ai sensi degli artt. 15-22 del GDPR. In merito a tale reclamo, Vodafone ha fornito le proprie osservazioni evidenziando, anche in questo caso, che la chiamata promozionale è stata effettuata da utenza non riconducibile alla società o a propri partner e, quanto al mancato riscontro, ha rappresentato che ciò è avvenuto perché la richiesta non è confluita correttamente nei sistemi societari; fascicolo 140688, il reclamante ha lamentato l’associazione del contratto dallo stesso sottoscritto in rappresentanza della sua azienda ad una diversa anagrafica, e l’invio da parte di Vodafone di comunicazioni amministrative a soggetti estranei al reale intestatario dell’utenza, anche successivamente alla correzione dell’associazione anagrafica. Al riguardo Vodafone ha rappresentato, anche a seguito di specifica richiesta ex art. 157 dell’Autorità, atteso l’iniziale generico riscontro della Società al reclamante e al Garante, che il sistema di registrazione dei contratti IT Siebel in uso presso Vodafone effettua in automatico l’abbinamento di diverse anagrafiche in base al numero di partita IVA “non potendo comunque coesistere due anagrafiche con la stessa Partita Iva”. Tale associazione dovrebbe essere confermata da una procedura denominata “digital check call” che, nel caso in argomento, non è stata effettuata per un disguido. Alla richiesta dell’Autorità circa le misure messe in atto da Vodafone per evitare disguidi della medesima specie, la società ha risposto “la scrivente ritiene che sia raro che si verifichino le medesime circostanze e che, pertanto, tale evento rimanga confinato nella casualità ed esiguità di casi determinati da situazioni simili alla presente” attribuendo anche al reclamante parte delle responsabilità per non aver evidenziato l’esistenza di un pregresso rapporto contrattuale con la Società. Sono rimaste prive di un compiuto riscontro le richieste di fornire spiegazioni in ordine ad ulteriori erronei contatti operati da Vodafone anche a seguito della correzione delle anagrafiche; fascicolo 146374, il ricorrente ha lamentato l’indebito utilizzo da parte di Vodafone dei dati di una propria carta di credito per il pagamento degli addebiti mensili relativi ad una utenza telefonica fissa per la quale il reclamante aveva indicato, quale mezzo di pagamento, il bollettino postale. Nel riscontro, Vodafone ha rappresentato che “oltre alla linea fissa sopra riportata, il cliente era, in precedenza, titolare di differenti servizi con associati altrettanto differenti metodi di pagamento ivi incluso il metodo di pagamento con carta di credito indicata nel reclamo. Erroneamente, erano stati generati da sistema due distinti codici cliente con diversi metodi di pagamento e, in fase di normalizzazione (i.e. unificazione di codici clienti e metodi di pagamento rispetto al codice fiscale intestato al cliente) veniva associato all’utenza fissa in questione il metodo di pagamento (carta di credito) utilizzato per altre utenze”. Nelle repliche, il reclamante ha evidenziato che “all’epoca (anno 2020) in cui il “metodo di pagamento Carta di credito” (autorizzato per la sola utenza mobile) è stato esteso all’utenza fissa (per la quale l’unica modalità di pagamento autorizzata è quella del bollettino postale), l’utenza mobile non esisteva più già da quattro anni, in quanto disattivata in data 10.2.2016”; fascicolo 147775, il reclamante ha lamentato il ritardato riscontro da parte di Vodafone ad una richiesta di esercizio dei diritti (accesso ai dati personali) ai sensi dell’art. 15, par. 1, del Regolamento. Al riguardo la società ha rappresentato che “il cliente inviava a Vodafone il 16.01.2020 una richiesta di accesso ai propri dati personali alla quale la Scrivente società faceva seguito in data 24.02.2020 informando che non sarebbe stato possibile evadere la richiesta in quanto carente dei documenti di identità in corso di validità e di una firma leggibile. […]. Ad ogni buon conto, si precisa che la suddetta richiesta di accesso è stata gestita in data 24 giugno 2020”;

1.4 La chiusura dell’istruttoria e l’avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato a Vodafone le seguenti violazioni:

a) violazione degli artt. 5, parr. 1 e 2, e 25, par. 1, del Regolamento, poiché la Società non ha provveduto, anche alla luce del rilevante numero di segnalazioni e reclami nonché di contatti promozionali in ordine ai quali ha disconosciuto la provenienza, a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Vodafone. La violazione coinvolge l’intera base clienti della società;

b) violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service - IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso Vodafone è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019;

c) violazione degli artt. 5, 6 e 7 e 21 del Regolamento, anche in relazione all’art. 130, commi 1, 2, 3 e 3-bis del Codice, con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, che Vodafone ha attribuito a generici errori umani o non documentati disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione (fascicoli nn. 139840, 142897 e 146313);

d) violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, per assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 132730, 138384, 140753, 143923, 140991, 141181, 146055 e 148012);

e) violazione dell’art. 33, par. 1, del Regolamento, per aver omesso di presentare al Garante la notificazione di una violazione di dati personali, con riferimento alle circostanze riportate nella nota del 14 novembre 2019;

f) violazione degli artt. 15, par. 1, e 16 del Regolamento, per aver omesso di dare piena attuazione a richieste di esercizio dei diritti degli interessati (fascicoli 144980, 140688, 146374 e 147775).

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle osservazioni che di seguito si riassumono.

Con riferimento alla contestazione di cui al capo a), nell’atto di avvio del procedimento è stato evidenziato che la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei ad “escludere che da contatti provenienti da tali numerazioni [sconosciute] siano stati poi perfezionati contratti o attivate utenze Vodafone”. I controlli descritti dalla Società in sede di riscontro alle richieste di informazioni (effettuati sulle numerazioni e sui cartellini di chiamata compilati dai partner), non appaiono infatti idonei a fornire le garanzie che potrebbero invece essere assicurate se, al momento dell’attivazione dei servizi, venissero, ad esempio, indicati: il partner che ha operato il primo e i successivi contatti; le numerazioni telefoniche di contatto (debitamente censite nel ROC – Registro degli Operatori di Comunicazione); la lista di target utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto); lo script di chiamata e l’informativa letti dall’operatore di call center.

Inoltre, si è ritenuto che le conseguenze connesse alla mancata valorizzazione delle informazioni di cui sopra, e delle altre che, univocamente, consentirebbero di ricondurre i contatti promozionali e le relative attivazioni di servizi ad una corretta attività di telemarketing, non possono limitarsi a meri richiami dei partner inadempienti, ma devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti.

E’ stato osservato che l’assenza di iniziative come sopra delineate, in particolare in presenza di un numero così rilevante di chiamate disconosciute, fa emergere una grave falla nell’accountability di Vodafone S.p.A., nonché in alcuni elementi cardine del criterio di privacy by design (quali la prevenzione, la funzionalità, la sicurezza, la trasparenza del trattamento e la centralità dell’interessato), che può essere sapientemente sfruttata dai procacciatori “non ufficiali” per occupare spazi di mercato generando un indotto privo di garanzie per gli utenti e idoneo a determinare ulteriori conseguenze illecite, ad esempio per quanto concerne gli aspetti lavorativi e fiscali del settore.

È stato inoltre osservato che, dalle procedure descritte per la gestione delle campagne promozionali e delle correlate attivazioni, non si evince che il sistema VDL (deputato alla gestione delle campagne promozionali) possa “dialogare” in automatico con i sistemi preposti all’attivazione dei servizi e alla registrazione dei contratti. Al contrario, dai documenti prodotti emerge che la fase di gestione delle liste (governata da VDL) sia logicamente separata da quella di attivazione dell’offerta, che avviene in seguito alla registrazione di un vocal order formalmente corretto e del caricamento delle anagrafiche del nuovo cliente nei sistemi della società: una falla che potrebbe consentire di regolarizzare contatti di potenziali clienti programmati e realizzati senza osservare le disposizioni in materia di informativa, consenso, tutela della riservatezza e sicurezza che dovrebbero governare l’intero ciclo di trattamento, partendo dall’acquisizione delle liste di target, per passare al primo contatto promozionale, per concludersi con l’attivazione dei servizi, passaggi tutti che ricadono nella responsabilità del titolare del trattamento, quand’anche realizzati in autonomia da soggetti diversi.

Nell’atto di contestazione si è infine osservato che, senza un collegamento diretto e funzionale fra sistemi che organizzano le campagne promozionali e sistemi che acquisiscono i dati dei nuovi clienti e provvedono all’attivazione dei servizi, il titolare del trattamento non è nelle condizioni di garantire che i dati di tutti i clienti siano stati trattati, in ogni fase, nel rispetto delle disposizioni in materia di protezione dei dati personali. E ciò, specialmente in presenza del rilevante numero di chiamate disconosciute dal titolare e anche delle segnalazioni di numerosi utenti circa comportamenti degli operatori di call center non in linea con le regole deontologiche (atteggiamenti aggressivi e offensivi, false prospettazioni di condizioni economiche, mancata indicazione del soggetto che effettua la chiamata e dell’origine dei dati utilizzati per il contatto) che deve presumersi non avvengano nell’ambito della rete di vendita “ufficiale” del titolare.

Con riferimento alla contestazione di cui al capo b), con l’atto di avvio del procedimento si è proceduto, in primo luogo ad una ricognizione dei presupposti contrattuali e operativi che legano i diversi partner commerciali a Vodafone. In relazione alla posizione della società SeiSicuro.it è emerso che la stessa è partner di Innovairre s.r.l., già IDMC s.r.l. Queste due ultime società sono state legate a Vodafone da un contratto di licenza temporanea di database contenenti dati personali, nei quali non risulta riportata l’eventuale designazione delle stesse quali responsabili del trattamento ma, anzi, si specifica che “IDMC, ai fini del presente contratto, è titolare del trattamento delle anagrafiche, avendo acquisito, in qualità di concessionaria, i diritti di commercializzazione dei database costituiti da dati personali raccolti e gestiti in ottemperanza alla normativa privacy italiana ed europea. Tali database sono stati raccolti in qualità di titolare del trattamento dati dalle società RCS Mediagroup S.p.A., Proretail S.r.l., 6Sicuro S.p.A. e Impiego24.it S.r.l. e sono nella piena disponibilità giuridica della IDMC al fine della loro commercializzazione e comunicazione a terzi delle anagrafiche per finalità di marketing mezzo telefono con operatore (cd. Telemarketing)”. Anche per SeiSicuro.it, non è stata prodotta la designazione quale responsabile del trattamento. Le tre società, come si desume dalla documentazione inviata in sede di riscontro alla richiesta di informazioni ex art. 157 del Codice, non sono state coinvolte nel processo di audit effettuato da soggetto esterno al fine, tra l’altro, di verificare la corretta acquisizione del consenso.

Quanto a Nos s.r.l.s., la stessa risulta operare per conto di Vodafone (in qualità di teleseller e quindi per promuovere la conclusione di contratti relativi alla fornitura di servizi di telecomunicazioni) in virtù di una cessione di contratto stipulata con la cooperativa Nuovi Orizzonti. A tale cessione di contratto non ha fatto seguito, dalla documentazione prodotta, la designazione quale responsabile del trattamento da parte di Vodafone nei confronti del cessionario Nos s.r.l.s. Con riferimento al trattamento dei dati personali connessi alle attività di agenzia, non risulta nel contratto a suo tempo stipulato con Cooperativa Nuovi Orizzonti alcun riferimento a liste di anagrafiche acquisite da Nova Tlc Srls, e da Kdata ovvero ad attività di acquisizione di dati personali per conto di Vodafone. In base a tali risultanze (confermate anche dalle previsioni contrattuali che stabiliscono che “nel caso in cui l’agenzia intenda contattare telefonicamente potenziali clienti al fine di fissare appuntamenti o incontri per finalità promozionali, l’agenzia dovrà preventivamente chiedere a [Vodafone] di fornire una lista di utenti contattabili” e che “Vodafone provvederà all’applicazione di una penale per ogni vendita effettuata che determini un reclamo/contestazione presentata dal Cliente a Vodafone nel caso di trattamento illecito dei dati personali” nonché dagli script di chiamata che non fanno menzione delle due aziende) l’Ufficio ha ritenuto che Cooperativa Nuovi Orizzonti/Nos s.r.l.s. abbiano acquisito le liste di anagrafiche provenienti da Nova Tlc e Kdata in qualità di autonomi titolari, realizzando, nei confronti di Vodafone, una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).

Le medesime considerazioni sono state svolte con riferimento alle liste di anagrafiche acquisite tramite la società di diritto albanese Intercom Data Service - IDS Sh.p.k., giacché l’accordo quadro che regola le attività del teleseller per conto di Vodafone, che ha per oggetto l’esecuzione di servizi di gestione di chiamate outbound e inbound per la promozione di campagne commerciali, non fa menzione di attività di acquisizione di liste di anagrafiche per conto di Vodafone né della società Chebuoni.it s.r.l. (anche se, in questo caso, negli script di chiamata è presente un riferimento a quest’ultima società). Il contratto specifica peraltro che IDS può realizzare contatti utilizzando liste diverse da quelle fornite da Vodafone, ma in questo caso svolge tale attività in qualità di titolare del trattamento. Analogamente a quanto rilevato con riferimento alla società Nos, anche in questo caso si è ritenuto che IDS abbia acquisito le liste provenienti da Chebuoni.it in qualità di autonomo titolare, realizzando, nei confronti di Vodafone, una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).

Il medesimo accordo quadro di cui sopra regola anche i rapporti fra Vodafone e Problem Solving s.r.l., ragione per cui anche in questo caso, si è osservato che le liste fornite da AdOpera (delle quali non si fa menzione negli script di chiamata) risultano acquisite da Problem Solving in qualità di autonomo titolare e successivamente riversate nei sistemi Vodafone realizzando una ulteriore cessione dei medesimi dati (in assenza, pertanto, di specifico consenso all’ulteriore comunicazione).

Con riferimento alla contestazione di cui al capo c), si è osservato che la generica indicazione di un “errore umano” o di un non documentato errore di sistema alla base di un indebito contatto, non è idonea a far venire meno la responsabilità della società, posto che un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi, in base a quanto stabilito, in termini generali, dall’art. 25 del Regolamento e, più nello specifico, dall’art. 12, paragrafo 1, in tema di trasparenza, dovrebbe portare a escludere la ricorrenza di siffatta tipologia di errori.

Con riferimento alle contestazioni di cui ai capi d) e e), nell’atto di avvio del procedimento si osserva, in relazione alla complessiva vicenda relativa ai contatti della clientela Vodafone volti a acquisire documenti di riconoscimento ovvero a proporre migrazioni delle utenze telefoniche, che nel corso del 2019 sono pervenute da Vodafone diverse notificazioni di “data breach” ma nessuna di esse appare riconducibile alla specifica violazione che ha interessato 222 clienti, portata all’attenzione dell’Autorità con la nota del 14 novembre 2019. Peraltro, l’esame delle diverse notificazioni ha evidenziato che accessi non consentiti ai database di Vodafone sono avvenuti non soltanto ad opera di personale di Abramo Albacall Tirana e Assist Tirana, ma anche di Comdata Service Lecce, Comdata Ivrea, Almaviva Service Romania, Assist Napoli, Comdata Roma e Almaviva Catania. Le violazioni hanno sempre avuto per oggetto il database CRM di Vodafone e hanno interessato dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento.

La vulnerabilità generale dei sistemi Vodafone alla luce delle dichiarazioni dei reclamanti e anche di quanto riferito dalla stessa Società, sembra non essere stata affrontata “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” così come prevede l’art. 32, par. 1, del Regolamento. In particolare, non risultano essere state poste in essere misure di proporzionata efficacia con riferimento alla capacità di assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento (art. 32, par. 1, lett. b) ma, soprattutto, alle procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. d) in considerazione dei molteplici accessi di personale dei partner commerciali ai database societari. Inoltre, con riferimento alle circostanze indicate nella relazione del 14 novembre 2019, dalle ricerche effettuate presso il protocollo dell’Ufficio, non risulta pervenuta all’Autorità la notificazione prevista dall’art. 33, par. 1, del Regolamento.

Con riferimento alla contestazione di cui al capo f), è stato osservato che le istruttorie relative ai fascicoli 144980, 140688, 146374 e 147775 hanno evidenziato, in un caso (fascicolo 149880), che Vodafone non ha fornito riscontro alle richieste del reclamante rappresentando che lo stesso avrebbe indirizzato le sue missive ad un indirizzo di posta elettronica certificata non corretto. Tuttavia, è stato evidenziato che l’indirizzo PEC vodafoneomnitel@pocert.vodafone.it, utilizzato per veicolare la richiesta del reclamante, corrisponde ad una utenza di posta elettronica certificata della Società (ancorché deputata alla gestione dei recessi contrattuali) e pertanto è stato considerato del tutto ingiustificato il mancato riscontro ad una missiva regolarmente pervenuta tramite mail certificata nei sistemi societari. Peraltro, si è osservato che l’indirizzo di posta certificata di cui sopra risulta essere stato utilizzato da altro reclamante (fascicolo 146313) al quale Vodafone ha fornito, in prima battuta, un regolare riscontro; nel secondo caso (fascicolo 140688), è emerso che Vodafone non ha provveduto alla tempestiva correzione delle informazioni anagrafiche relative al cliente, determinando il mancato pieno esercizio dei diritti dei diritti di cui all’art. 16 del Regolamento da parte dell’interessato; nel terzo caso (fascicolo 146374) si è osservato che i riscontri forniti da Vodafone in ordine alle ragioni dell’utilizzo della carta di credito di un cliente con riferimento a utenze e servizi per i quali era previsto un diverso metodo di pagamento, sono stati contraddetti dalle dichiarazioni del cliente stesso, in ordine alle quali Vodafone non ha fornito ulteriori elementi, impedendo un pieno esercizio dei diritti conoscitivi dell’interessato; nell’ultimo caso (fascicolo 147775 – esercizio dei diritti non consentito perché la richiesta non risultava sottoscritta graficamente e ad essa non risultava allegato un documento d’identità), appurato che la richiesta di esercizio dei diritti era stata sottoscritta digitalmente dal reclamante ma che il sistema non era ancora in grado di recepire documenti muniti di firma digitale, si è ribadito che la sottoscrizione digitale dei documenti ha il medesimo, se non superiore, valore della sottoscrizione “fisica”, quanto all’individuazione del sottoscrittore, e che quindi non può giustificarsi la configurazione di un sistema che “scarti” proprio i documenti firmati digitalmente impedendo di fatto un agevole esercizio dei propri diritti.