Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro / Parte 2

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro / Parte 2

Messaggio da Giancarlo Favero »

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1 La memoria difensiva e l’audizione di Vodafone

In data 30 settembre 2020 Vodafone ha inviato all’Autorità la memoria difensiva prevista dall’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 20 ottobre 2020 si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale, Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti.

Con riferimento al capo a), la Società ha in primo luogo ripercorso le varie attività svolte in ossequio ai principi di accountability e privacy by design (aggiornamento del registro dei trattamenti; verifica della corretta designazione dei soggetti del trattamento; effettuazione di oltre 70 DPIA individuando i trattamenti con finalità di telemarketing fra quelli ad alto rischio e necessitanti di attenti controlli anche delle terze parti; svolgimento di audit ai soggetti esterni nominati responsabili del trattamento, implementazioni del sistema VDL per la verifica delle numerazioni chiamanti e per l’acquisizione dei cartellini di chiamata; inasprimento delle penali e introduzione di un sistema automatico di penalizzazione pari a circa euro 250 per ogni singola vendita fuori lista; effettuazione di controlli a campione sulle modalità d raccolta dei consensi delle liste che vengono acquisite da partner esterni; introduzione della firma digitale tramite OTP per la sottoscrizione dei contratti; introduzione dell’obbligo, sin dal 2018 da parte di ciascun call center, di raccogliere e gestire in tempo reale l’eventuale opposizione al trattamento per finalità commerciali espressa dai soggetti contattati alimentando anche la black list; sensibilizzazione degli utenti per evitare che gli stessi accettino proposte commerciali da soggetti che non si presentino con le modalità e le garanzie per l’interessato indicate dalla società). Ha quindi rappresentato che con riferimento alla mole dei contatti indesiderati, i reclami ricevuti da codesta Autorità nell’arco temporale di un anno e mezzo (da dicembre 2018 a giugno 2020) corrispondono ad una percentuale esigua rispetto alle decine di milioni di chiamate promozionali effettuate.

La Società ha inoltre osservato che quanto prospettato dal Garante (secondo cui le conseguenze connesse alla mancata valorizzazione di informazioni idonee a garantire la corretta filiera del trattamento devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti) a parere di Vodafone contrasta con la normativa nazionale e regolamentare vigente nonché configura un inadempimento contrattuale rispetto ad un valido contratto perfezionatosi tra il cliente e la stessa Vodafone. Infatti ai sensi degli artt. 1321 e ss. del codice civile, anche nel caso in cui il contatto sia avvenuto su una numerazione non autorizzata da Vodafone, è stata comunque perfezionata la manifestazione di una volontà autonoma, libera da ogni condizionamento ed espressa di concludere un contratto che presenta tutti i requisiti di validità di cui all’art. 1325 c.c. nonché alla stregua della disciplina prevista dal codice del consumo. La mancata attivazione dei servizi esporrebbe Vodafone agli effetti civilistici dell’inadempimento contrattuale. Anche con riferimento al Codice del Consumo, Vodafone ha osservato che l’art. 59 attribuisce solamente al consumatore il diritto unilaterale, gratuito ed irrinunciabile di recedere dai contratti stipulati fuori dai locali commerciali o a distanza. A questo deve aggiungersi che, qualora Vodafone non procedesse all’attivazione dei servizi nei tempi contrattualmente previsti, il consumatore potrebbe anche far valere i propri diritti.

Quanto alla necessità di un collegamento diretto tra il sistema VDL e quello adibito all’attivazione dei contratti, Vodafone ha evidenziato che questa soluzione non appare idonea alla risoluzione del problema del cd. “sottobosco” di operatori di telemarketing abusivi che operano parallelamente alla rete di vendita ufficiale della Società, per i seguenti motivi: in caso di numerazioni chiamanti non registrate al ROC e non appartenenti ad alcun Partner, un siffatto controllo non potrebbe comunque impedire questo tipo di chiamate nel caso non vi fosse attivazione di servizi Vodafone in quanto tali contatti avverrebbero al di fuori dei sistemi direttamente collegati. Inoltre, il controllo, effettuato necessariamente ex post, non potrebbe impedire l’attivazione dei servizi, in base alle considerazioni di cui al precedente capoverso. Vodafone ha anche evidenziato che nemmeno l’introduzione di un sistema accentrato di gestione delle chiamate, operazione estremamente onerosa sotto il profilo costi/benefici e potenzialmente rischiosa per l’ampio periodo di latenza dei presidi attualmente introdotti a tutela degli utenti, potrebbe portare alla risoluzione del problema dei contatti non autorizzati poiché “è stato dimostrato ed è comprovato anche da codesta Autorità come tale opzione non permetta affatto di arginare il fenomeno. Al riguardo si riporta infatti quanto precisato da codesta Autorità nell’ordinanza di ingiunzione Wind Tre S.p.A. – 9 luglio 2020, doc. web n. 9435753, paragrafo 4.5, secondo cui “il sistema centralizzato di Campaign Management […] non ha comunque impedito il verificarsi di contatti, portati all’attenzione del Garante, per i quali la società non è stata in grado di fornire spiegazioni, senza contare il fatto che molti di questi sono stati realizzati utilizzando canali di contatto diversi da quello telefonico”.

A parere di Vodafone, il fenomeno delle chiamate indesiderate potrà essere arginato operando sulla remunerazione delle vendite generate da contatti non autorizzati, “poiché la finalità di tali attività illecite è ottenere dalle società la remunerazione delle stesse”. A tale riguardo Vodafone ha indicato nel miglioramento in termini di pervasività, completezza e frequenza delle informazioni disponibili su VDL, nell’ulteriore irrigidimento dell’impianto sanzionatorio e nell’introduzione di un nuovo e più efficace processo di “detect” di prossima implementazione, i passaggi che porteranno nel prossimo futuro ad un “sensibile calo del fenomeno delle chiamate indesiderate da parte dei Partner di Vodafone in quanto, con le numerose misure previste dalla Scrivente, diventerà per tali soggetti particolarmente penalizzante concludere contratti attraverso contatti non autorizzati”.

Con riferimento alla contestazione di cui al capo b), Vodafone ha, in primo luogo, illustrato le principali caratteristiche in termini di ruoli, attività ed implicazioni, dei due principali modelli di business utilizzati nell’ambito delle attività di vendita a distanza.

Il primo modello prevede che il soggetto che effettua la promozione (teleseller) utilizzi liste proprie o acquistate da un soggetto terzo (list provider) in qualità di autonomo titolare del trattamento. Tale soggetto, che comunque viene designato da Vodafone quale responsabile per la successiva parte di contrattualizzazione, fornisce alla Società le liste esclusivamente per la scrematura delle anagrafiche presenti nel registro delle opposizioni e nelle black-list di Vodafone. Tale modello di business consente di mantenere inalterato, per le aziende che effettuano i contatti promozionali, il valore delle liste di cui dispongono, valore che verrebbe di fatto svuotato se per tali liste fosse necessario un doppio passaggio di consenso per poter essere lecitamente utilizzate con riferimento alle campagne promozionali dei soggetti committenti. In questo modello, Vodafone ha il dovere di verificare la qualità delle liste acquisite dal teleseller , verificare l’informativa fornita agli interessati, effettuare la deduplica sopra richiamata rispetto al Registro delle opposizioni e alle proprie black-list, verificare che ciascuna attivazione di utenza o servizio avvenga a seguito di un contatto operato sulla lista autorizzate.

Il secondo modello prevede l’acquisizione da parte di Vodafone delle liste in qualità di autonomo titolare, poiché nel consenso espresso dall’interessato anche per la comunicazione a terzi dei dati, è indicata la Società ovvero il settore commerciale di riferimento. In questo caso naturalmente Vodafone effettua tutti i controlli che il titolare è tenuto ad operare, con riferimento al consenso e alle modalità di acquisizione.

Quindi la società ha illustrato le singole posizioni emerse nel corso dell'istruttoria e nell'atto di avvio del procedimento, con riferimento ai diversi attori che intervengono nell’acquisizione di liste di anagrafiche.

Con riferimento a Seisicuro.it, Vodafone ha rappresentato che la stessa è un list provider di Innovairre s.r.l. società con la quale Vodafone aveva stipulato un contratto di licenza temporanea di database: in virtù di tale contratto Innovairre cedeva temporaneamente anagrafiche di cui era titolare a Vodafone. Non essendovi alcun rapporto contrattuale fra Vodafone e Seisicuro.it non vi era alcuna ragione di provvedere alla nomina di quest'ultima quale responsabile del trattamento. A maggior ragione non sussisteva alcun obbligo in capo a Vodafone di effettuare audit nei confronti di Seisicuro.it. Inoltre Vodafone ha contestato la circostanza che nell'ambito del contratto di licenza temporanea stipulato con Innovairre si sia realizzata un’ulteriore cessione di dati senza il consenso dell' interessato in quanto, seppur l'origine di tali dati fosse da attribuire a Seisicuro.it, il consenso rilasciato dagli interessati prevedeva la cessione dei dati a terzi tra cui Vodafone: l’interessato era pertanto pienamente consapevole che i propri dati sarebbero stati utilizzati per comunicazioni aventi ad oggetto offerte e servizi di Vodafone.

Quanto a Nos s.r.l.s., Vodafone ha osservato che la stessa è un'agenzia che opera per conto della Società ed è cessionaria del contratto originariamente in capo a Cooperativa Nuovi Orizzonti. A partire da novembre 2018 Nos è subentrata a Cooperativa Nuovi Orizzonti in tutti i rapporti attivi e passivi che erano in capo alla cedente compresa la nomina a responsabile del trattamento. A riguardo Vodafone ha rappresentato che l'istituto della cessione del contratto comporta quale effetto la sostituzione di un nuovo soggetto cessionario nella posizione giuridica attiva e passiva del cedente e il contraente ceduto (in tale caso Vodafone) può porre al cessionario tutte le eccezioni derivanti dal contratto. A riprova di ciò Vodafone ha rappresentato di aver condotto un audit su Nos s.r.l.s. Quest’ultima, inoltre, era autorizzata esclusivamente all'utilizzo di numerazioni estratte dal DBU sebbene abbia anche utilizzato numerazione raccolte da Kdata e Nova Tlc.

Con riferimento a Nos, Problem Solving e Ids Sh.p.k., Vodafone ha specificato che la fornitura di liste di anagrafiche da parte di queste società si realizza in base al primo modello di business illustrato nei riscontri alla richiesta di informazioni e nella memoria difensiva. In base a tale modello Vodafone può autorizzare l'utilizzo di liste che essi stessi hanno acquisito da list provider. In questo contesto i partner si qualificano quali titolari autonomi del trattamento delle liste di anagrafiche acquisite e possono utilizzarle per tutti i propri committenti in vari settori merceologici. Secondo tale impostazione, che sarebbe utilizzata anche da tutte le altre società che si avvalgono di teleseller e agenzie, Vodafone essendo estranea al rapporto principale di acquisto delle liste, diviene titolare di anagrafiche solo ed esclusivamente in caso di successiva contrattualizzazione dell'utente finale mentre non si ravvisa nella fase prodromica alla sottoscrizione contrattuale alcuna cessione senza consenso fra il partner e Vodafone. Al riguardo Vodafone ha fatto menzione di un parere acquisito da uno studio legale esterno il quale nel caso di liste di proprietà di partner o dagli stessi acquistate individua “una situazione di fatto complessa in cui per le operazioni di contatto di già-clienti Vodafone, o comunque di prospect non procacciati dal partner, quest'ultimo sembrerebbe sempre responsabile del trattamento della Società, per la quale agisce in virtù di un mandato con rappresentanza (“in nome e per conto di”) […]mentre per le operazioni di autonoma raccolta da parte del partner – a seguito di acquisto di una lista da un List Provider – deduplica tramite VDL e contatto dei prospect presenti in lista, il Partner sembrerebbe configurarsi quale titolare autonomo rispetto alla Società”. Vodafone ha inoltre osservato che quanto indicato nell'atto di contestazione circa la necessità di uno specifico consenso per la ulteriore cessione di dati nel caso del primo modello di business non sia in alcun modo fondata: da un esame svolto sia sulle relazioni annuali dell’Autorità che sugli ultimi provvedimenti, l'unica contestazione apparentemente simile a quella mossa a Vodafone può essere rinvenuta all'interno del provvedimento correttivo e sanzionatorio n. 232 dell' 11 dicembre 2019 (in www.gpdp.it, doc. web n. 9244365). Tale fattispecie tuttavia si differenzierebbe da quella contestata a Vodafone perché in quel caso si sarebbe verificata una doppia cessione da un list editor ad un list broker e da questi alla società sanzionata, mentre nel caso contestato a Vodafone non esisterebbe un secondo contratto di cessione: i partner, infatti, utilizzerebbero le liste che acquisiscono in virtù della propria autonomia imprenditoriale, secondo le proprie informative e i propri script di presentazione, richiedendo a Vodafone la sola autorizzazione all'utilizzo di tali liste poiché tale pratica rappresenta una deroga al contratto sottoscritto con la Società.

Con riferimento agli script di chiamata Vodafone rappresentato che quelli di propria competenza relativi al secondo modello di business sono stati revisionati nel Marzo 2020 con le corrette indicazioni della titolarità del trattamento e delle modalità per l'esercizio dei diritti. Quelli invece relativi al primo modello, per le ragioni sopra esposte, restano nella competenza dei partner.

Quanto ai numeri riportati nel riscontro alla richiesta di informazioni ex art. 157 del Codice, nello scorso febbraio, deve rappresentarsi che i 4.500.000 contatti si riferivano anche a interessati e contraenti presenti nel DBU. Di questi, solo 2,4 milioni di contatti sono originati da liste acquisite da terzi, 760 mila dei quali da liste provenienti da Sei Sicuro e Che Buoni (con Vodafone titolare e presente all’interno delle informative utilizzate per la raccolta dei consensi), e circa 1.6500.000 realizzati in base alla prima modalità di acquisizione delle liste.

Con riferimento alla contestazione di cui al capo c), Vodafone ha nuovamente ricostruito le vicende alla base dei reclami di cui ai fascicoli nn. 139840, 142897 e 146313, confermando che nei casi in argomento le problematiche insorte con la clientela sono scaturite da errori umani. Al riguardo la Società ha inteso porre l’accento sul numero definito “fisiologico” degli eventi causati da errori umani: tali errori, stante la realtà organizzativa di ampie dimensioni, rappresentano quindi un numero che non può ritenersi significativo di una errata gestione generalizzata dei diritti degli utenti/clienti.

Con riferimento alle vicende che hanno determinato le contestazioni di cui ai capi d) ed e), la Società ha osservato che tali contestazioni non appaiono fondate e ha rappresentato che da quando Vodafone ha appreso del fenomeno dei contatti della propria clientela derivanti da probabili accessi non autorizzati ai sistemi societari, ha segnalato più volte gli episodi all’Autorità Giudiziaria sia a tutela dei propri clienti che della propria reputazione. Vodafone inoltre ha contestato gli addebiti in ordine alla vulnerabilità dei propri sistemi CRM e all’inerzia nell’ applicazione di misure di proporzionata efficacia, e ha ribadito che gli interventi sostenuti nel tempo hanno consentito la riduzione delle segnalazioni dei clienti per contatti indesiderati. In particolare, gli interventi hanno interessato dapprima la riduzione delle credenziali per l’accesso al sistema Wholesale e poi la restrizione degli account e l’inibizione di accessi ai numeri di ricontatto (tramite mascheramento dei dati) dei sistemi Remedy e Arte. La Società ha inoltre rappresentato di aver condotto, fra il 2018 e il 2019, degli specifici audit, sui fornitori di contact center Comdata, Abramo, Transcom, Ennova, Sielte ed Albacall Con riferimento alla mancata segnalazione del data breach relativo a 222 utenti, Vodafone ha dichiarato che, sebbene non sia stato compilato il relativo form in quanto i clienti coinvolti erano già a conoscenza dell’utilizzo non corretto dei loro dati (nome, cognome, numero di ricontatto) la segnalazione è stata comunque inviata all’Autorità con relativa descrizione del fenomeno e delle azioni messe in campo per mitigare il rischio.

Con riferimento alla contestazione di cui al capo f), la società ha ribadito quanto già evidenziato nei riscontri singolarmente inviati e ha rappresentato quanto segue: fascicolo 140688 - il reclamante risulta essere socio di una società a responsabilità limitata, cliente di Vodafone, non rientrante pertanto nel perimetro relativo alla protezione dei dati personali. Il caso portato all’attenzione dell’Autorità faceva riferimento alla effettuazione, da parte del call center Whitestar Albania, di due contatti cui non è seguita risposta da parte del contattato, per cui il caso non può essere preso in considerazione per palesare una pratica scorretta e ricorrente. Inoltre, Vodafone ha fatto presente che la società Whitestar Albania, in ottemperanza a quanto disposto dall’art. 28, comma 3, del Regolamento, è stata oggetto, nelle date del 19 e 20/03/2019, di Privacy & Security Audit; fascicolo 139686 – Vodafone ha rappresentato che i contatti effettuati per finalità di recupero crediti sono stati realizzati dalla società Ge. Ri. s.r.l., società sottoposta ad attività di audit, già nelle date del 27 e 28 novembre 2018, presso la sede di Milano nell’ambito del mandato per i servizi di Credit Collection. L’audit è stato effettuato sui processi operativi e sui sistemi utilizzati da Ge.Ri. S.r.l.

In linea generale la Società ha comunque rappresentato che per la portata della propria customer base di diversi milioni di clienti, i pochi singoli casi in cui Vodafone non avrebbe facilitato un pieno esercizio dei diritti degli interessati sono da considerarsi un numero assolutamente irrisorio, specialmente se si considera che la Società ha messo a disposizione dei clienti un ampio numero di strumenti per esercitare i propri diritti, in particolare quelli di opposizione ai trattamenti per finalità commerciali e promozionali. Inoltre Vodafone ha evidenziato che le articolazioni societarie preposte all’evasione delle richieste di accesso sono giunte al risultato di evadere il 100% delle richieste nell’arco di trenta giorni. I singoli casi, in numero estremamente contenuto rispetto alle 2000 richieste mensili che vengono lavorate, sono da attribuirsi a sporadici errori umani.

2.2 Considerazioni in fatto e in diritto

Le sopra riassunte argomentazioni difensive non consentono di escludere la responsabilità di Vodafone in ordine alle violazioni contestate per i seguenti motivi, da considerare in uno con le osservazioni già espresse nel richiamato atto di contestazione:

in linea generale deve premettersi che le condotte sopra illustrate in materia di telemarketing rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate indesiderate con finalità promozionali. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia, adottati prima dell’entrata in vigore del Regolamento, sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato un sensibile miglioramento del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimo;

con riferimento alla contestazione di cui al capo a) – la richiesta di informazioni e le osservazioni contenute nell’atto di avvio del procedimento per l’adozione dei provvedimenti correttivi, muovono dalla considerazione che, dalle segnalazioni e dai reclami pervenuti all’Autorità, e dai correlati primi riscontri forniti da Vodafone, emerge un dato estremamente rilevante di contatti telefonici promozionali effettuati da parte di soggetti che utilizzano numerazioni non facenti capo alla rete di vendita di Vodafone. Tali numerazioni, in quasi tutte le circostanze, non risultano iscritte al ROC – Registro degli Operatori di Comunicazione, spesso presentano un prefisso estero e, in diversi casi in ordine ai quali l’Autorità ha effettuato approfondimenti, non corrispondono neanche ad utenze attive riconducibili a identificati contraenti. I contatti promozionali effettuati attraverso tali numerazioni, stando alle segnalazioni e ai reclami, superano di gran lunga quelli effettuati attraverso la rete di vendita ufficiale di Vodafone, cosicché gli stessi si risolvono sempre più spesso in una mera presa d’atto da parte della compagnia telefonica circa la non riconducibilità della telefonata alla propria sfera di controllo e regolamentazione.

Il risultato di una tale situazione è che le segnalazioni e i reclami aumentano esponenzialmente all’aumentare della consapevolezza, da parte di coloro che effettuano i contatti promozionali con tali modalità, di una sostanziale impunità. Impunità che ha visto, parallelamente al telemarketing selvaggio, aumentare in Italia anche le chiamate effettuate con intenti fraudolenti, a riprova che un approccio non incisivo per la risoluzione del complessivo problema può determinare il consolidamento di pratiche non soltanto invasive e dannose per gli utenti, ma anche idonee a alimentare ulteriori sacche di illegalità.

Alla luce di tali considerazioni, proprio procedendo nel solco di quanto rappresentato da Vodafone nella memoria difensiva, e cioè che il fenomeno può essere scardinato agendo con decisione sui rilevanti ritorni economici (illeciti) che lo stesso produce, nell’atto di contestazione si evidenzia che le misure poste in essere dalla Società non sono idonee a realizzare tale obiettivo, poiché agiscono in via esclusiva sul sulla rete di vendita “ufficiale” e non sono in grado di incidere in alcun modo su quello che è stato più volte definito come il “sottobosco” del telemarketing, che trova la sua ragione di essere solo nel momento in cui può individuare una porta di accesso ai sistemi informatici deputati all’attivazione delle offerte e dei servizi, attraverso la quale veicolare il risultato delle proprie attività.

Appare pertanto necessario che tali sistemi siano configurati in modo da poter bloccare le procedure di attivazione di offerte o servizi quando esse non siano certamente riconducibili ad attività promozionali svolte nel rispetto delle norme e dei diritti degli interessati, degli utenti e dei consumatori fin dal momento del primo contatto. Perché ciò possa realizzarsi, è necessario che i sistemi informatici che gestiscono e disciplinano le campagne promozionali siano in grado di fornire informazioni ai sistemi che consentono l’attivazione delle offerte e dei servizi, individuando un corretto percorso in termini di adeguatezza alle disposizioni del Regolamento e del Codice, che possa essere certificato e verificato in ogni sua fase, dal primo contatto fino all’attivazione.

Alla creazione di un sistema integrato come sopra descritto non osta né la normativa generale in tema di contratti né la disciplina di settore di cui al Codice del Consumo: in particolare non vi è alcun conflitto con l’art. 1321 c.c. che, secondo Vodafone, imporrebbe alla Società di attivare offerte o servizi anche se veicolati da soggetti non autorizzati dalla medesima, proprio perché in tali casi deve escludersi che si sia formata una volontà libera e autonoma di una delle parti (la stessa Vodafone) a perfezionare il contratto, difettando il soggetto non autorizzato dei requisiti essenziali per poterla rappresentare. Ragionando a contrario, qualunque soggetto che venisse in possesso della modulistica aziendale che Vodafone predispone per veicolare offerte e servizi, potrebbe svolgere attività promozionale per conto della Società e obbligarla a dare seguito ai contratti dallo stesso conclusi, perché rilevatori della “volontà autonoma, libera da ogni condizionamento ed espressa di concludere un contratto che presenta tutti i requisiti di validità di cui all’art. 1325 c.c.”. Analoghe considerazioni possono svolgersi con riferimento alla normativa di settore citata e agli eventuali obblighi derivanti, tenuto sempre conto dell’illegittimità del contratto sottostante.

Quella di non procedere all’attivazione di offerte o servizi nel momento in cui non vi sia prova che gli stessi siano stati correttamente proposti all’utente in base alle disposizioni che regolano le modalità di svolgimento dei contatti promozionali, non costituisce una mera facoltà del titolare del trattamento ma un preciso obbligo dettato dal combinato disposto degli artt. 5, comma 2, 6 e 7 del Regolamento e degli artt. 2-decies e 130 del Codice. In base alle norme del Regolamento, infatti, il titolare è tenuto a comprovare che i trattamenti dallo stesso svolti, anche tramite responsabili, siano conformi ai principi di liceità, trasparenza e correttezza (in particolare con riferimento al consenso), principi che, nell’ambito dei contatti promozionali sono declinati dall’art. 130 del Codice, e qualora ciò non sia possibile, il primo effetto che ne deriva è costituito dall’inutilizzabilità dei dati trattati (art. 2-decies, del Codice) e quindi dalla loro estromissione dal patrimonio informativo e operativo della Società.

Quanto contestato a Vodafone rientra pienamente nella linea interpretativa dell’Autorità già espressa, ad esempio, nel provvedimento correttivo e sanzionatorio n. 143 del 9 luglio 2020 (in www.gpdp.it, doc. web n. 9435753) laddove si evidenzia che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso”.

Quanto alle ulteriori argomentazioni difensive espresse da Vodafone sull’argomento, non appaiono avere pregio quelle relative al numero limitato di segnalazioni e reclami, a fronte dell’ingente numero di contatti promozionali effettuati dalla Società. Oltre alla considerazione che la protezione dei dati personali e della riservatezza si estrinseca come esercizio individuale di un diritto della persona, e come tale assume rilevanza e connotazione di specifica gravità anche una singola violazione, deve in ogni caso rilevarsi che i numeri relativi a segnalazioni e reclami e alle relative interlocuzioni avviate con l’Autorità, già evidenziati nelle premesse del presente provvedimento e nell’atto di contestazione, sono di assoluto rilievo anche se rapportati ad altri titolari di trattamento sia in ambito pubblico che privato. L’universo di riferimento, come ben si può comprendere, non può essere quello delle complessive chiamate promozionali di Vodafone, posto che la quota di interessati che percepiscono di essere oggetto di attività non conformi alle regole rappresenta una minima parte del totale e ancor meno sono le persone che si assumono l’onere di portare all’attenzione dell’Autorità le proprie vicende. Ciò che assume rilevanza, oltre al numero dei casi segnalati in rapporto con quelli di altri titolari del medesimo settore commerciale, è il grado di efficacia delle risposte che segnalazioni e reclami possono trovare, al fine di ripristinare il quadro dei diritti degli interessati. Ebbene, se nel caso di Vodafone, a fronte di 328 segnalazioni, la Società ha disconosciuto la provenienza di ben 361 telefonate, fornendo pertanto agli interessati un riscontro del tutto inefficace rispetto alle loro richieste, deve concludersi che anche dal punto di vista numerico, la problematica portata all’attenzione dell’Autorità assume rilievi di estrema gravità.

Allo stesso modo, una volta evidenziato che l’attuale gestione delle campagne promozionali non è idonea ad assicurare e comprovare che le attivazioni effettuate derivino esclusivamente da attività poste in essere da soggetti appartenenti alla rete di vendita di Vodafone, non sembrano assumere pregio le considerazioni in ordine al complesso di attività poste in essere dalla Società per consolidare tale modalità di gestione, senza consentire tuttavia un’integrazione e un dialogo fra i sistemi deputati a tale attività e quelli che si occupano delle attivazioni, in termini di verifica e selezione dei contratti acquisiti;

con riferimento alla contestazione di cui al capo b) – risulta accertato, dall’istruttoria svolta dall’Ufficio, che Vodafone, per le proprie attività promozionali si avvale anche di liste di anagrafiche raccolte da soggetti terzi. È stato riferito che tali liste possono entrare nel circuito promozionale della Società in base a due diversi modelli di business, il primo dei quali prevede che le stesse siano acquisite e utilizzate dai partner (teleseller) che, per tale attività, assumerebbero la veste giuridica dei titolari autonomi del trattamento. In tale caso le liste di anagrafiche resterebbero nella esclusiva disponibilità dei partner che, nel corso delle telefonate, declinerebbero agli utenti contattati una propria informativa e un proprio script di chiamata. Le uniche operazioni di trattamento svolte da Vodafone con riferimento a tali liste sarebbero costituite dalle cd. “dedupliche”, finalizzate alla eliminazione dei nominativi dei soggetti presenti nel Registro pubblico delle opposizioni e nelle black list della Società. Il secondo modello di business prevede che Vodafone acquisisca direttamente le liste di anagrafiche e svolga le attività sopra descritte quale titolare, fornendo agli interessati una propria informativa e un proprio script di chiamata. Sulla base delle informazioni fornite da Vodafone sia in sede di riscontro alla richiesta di informazioni, sia in sede di memoria difensiva e di audizione, le liste di anagrafiche provenienti da IDMC/Innovairre s.r.l. sarebbero state acquisite in base al secondo modello sopra descritto, mentre quelle utilizzate dalle società partner Nos s.r.l.s, Problem Solving s.r.l. e Ids Sh.p.k. rientrerebbero nel primo modello.

Deve essere preliminarmente chiarito che, se dal punto di vista commerciale la comunicazione di dati personali può essere ricondotta ai modelli operativi che ciascuna azienda ritiene di delineare nell’ambito della propria libertà imprenditoriale, sotto il profilo della protezione dei dati personali l’unico modello compatibile con l’attuale quadro normativo prevede che ciascun passaggio di dati da un titolare ad un altro sia supportato da uno specifico e informato consenso reso dagli interessati al soggetto cedente affinché possa comunicare i dati al cessionario.

Nella comunicazione dei dati da IDMC/Innovairre a Vodafone ciò certamente non è avvenuto, poiché, come risulta dai contratti esibiti, la prima società ha acquisito, in qualità di autonomo titolare, le liste di anagrafiche da RCS Mediagroup S.p.A., Proretail s.r.l., 6Sicuro S.p.A. e Impiego24.it, e in tale passaggio si sono dispiegati ed esauriti gli effetti giuridici previsti nelle informative rese da queste ultime società agli interessati e nei correlati consensi alla cessione dei dati a terzi. Il successivo passaggio di dati da IDMC/Innovairre a Vodafone non risulta previsto da alcuna informativa resa da IDMC/Innovairre, in qualità di titolare, agli interessati né da un consenso acquisito dai medesimi.

Quanto alle liste di anagrafiche utilizzate da Nos, Problem Solving e Ids, non vi è dubbio che tali liste, come confermato anche da Vodafone, siano state acquisite dalle predette società nella loro qualità di autonomi titolari del trattamento. Tuttavia, le operazioni svolte dalle stesse nell’ambito dell’attività di telemarketing, sono state condotte in qualità di responsabili esterni di Vodafone, così come previsto nel punto 2.6 dell’accordo sottoscritto da Nuovi Orizzonti/Nos (“l’agenzia prende atto ed accetta che […] in relazione alle attività di telemarketing effettuate ai sensi del presente Contratto essa agirà in qualità di responsabile esterno del trattamento dei dati”) e nell’allegato 1 del accordo quadro sottoscritto da Ids e Problem Solving, cosicché tali dati sono entrati, sin dalla fase dei contatti promozionali, nella sfera della titolarità di Vodafone. Anche in questi casi, pertanto, si è realizzata una doppia comunicazione di dati, la prima, dal soggetto che ha formato le liste di anagrafiche alle agenzie partner di Vodafone, la seconda dalle predette agenzie a Vodafone stessa, nell’ambito dell’attività di telemarketing della quale la Società ha assunto la piena titolarità.

Appare pertanto non confermato l’assunto difensivo in base al quale, nei contatti realizzati dalle predette agenzie utilizzando proprie liste di anagrafiche, le stesse avrebbero operato quali titolari del trattamento per poi trasformarsi in responsabili in occasione del caricamento dei dati nei sistemi di Vodafone deputati all’attivazione delle offerte e dei servizi. Al riguardo deve osservarsi che, come correttamente osservato anche nella legal opinion acquisita da Vodafone, non hanno rilevanza le previsioni contrattuali che stabiliscono diversamente (come nel caso dell’accordo quadro che prevede che i trattamenti di dati effettuati dalle agenzie utilizzando proprie liste di anagrafiche sono svolti in qualità di titolari autonomi) poiché, come più volte affermato dal Garante, la veste giuridica del titolare del trattamento si assume non in base ad individuazioni formali ma alla situazione di fatto che si realizza nell’ambito del trattamento (cosi ad es. provv. n. 300 del 18 ottobre 2012, in www.gpdp.it, doc. web n. 2368171 – “ la qualità di titolare del trattamento discende direttamente dalla verifica dei presupposti indicati dalla legge (art. 4, comma 1, lett. f), del Codice) e non sussistono dubbi che, nel caso di specie, tutte le decisioni in ordine al trattamento dei dati personali risultano univocamente assunte da […], rendendo così irrilevante la diversa qualificazione giuridica attribuitasi dalle due società nell’ambito dei nuovi accordi contrattuali”). Orbene, nel caso in esame, la piena titolarità di Vodafone, anche con riferimento ai trattamenti finalizzati alla promozione dei servizi e delle offerte da parte delle Agenzie, è stata confermata anche in sede di istruttoria, di memoria difensiva e di audizione nell’ambito delle quali si è fatto riferimento alla potestà in capo a Vodafone di svolgere audit su modalità e qualità dei servizi resi e di raccogliere i cd. cartellini di chiamata anche attraverso apposite funzioni automatizzate, alla necessità di richiedere espressa autorizzazione per l’utilizzo delle anagrafiche acquisite da soggetti terzi, alle attività di deduplica svolte utilizzando le funzionalità dei sistemi Vodafone, all’obbligo delle agenzie esterne di riversare nelle black list di Vodafone le richieste di revoca del consenso formulate dagli interessati in occasione dei contatti promozionali, comunicando gli esiti dei contatti medesimi in un’apposita funzionalità informatica.

Non appaiono infine condivisibili le considerazioni difensive in base alle quali la configurazione della titolarità del trattamento individuata nell’atto di contestazione non avrebbe precedenti nella giurisprudenza del Garante: in primo luogo, il provvedimento citato proprio nella memoria difensiva (n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365) riporta i concetti qui espressi evidenziando peraltro che “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mira a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso. Tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente e fossero solamente ancorate ad una iniziale manifestazione di volontà capace di dispiegare effetti a catena del tutto imprevedibili per l’interessato”. Allo stesso modo il controllo dell’interessato verrebbe meno in ogni caso in cui il complesso delle disposizioni sopra richiamato potesse essere eluso da arbitrarie scelte in ordine alla veste giuridica che, di volta in volta, i soggetti del trattamento concordassero di assumere al fine di mascherare proprio quegli effetti a catena difficilmente riconducibili all’iniziale manifestazione di volontà dell’interessato. Tale impostazione è conforme a quanto anche in precedenza stabilito dal Garante, ad esempio nel provvedimento n. 291 del 13 giugno 2013 (in www.gpdp.it, doc. web n. 2616804 e nella correlata sentenza confermativa della Corte di Cassazione, sez. II civ., n. 18619 del 27 luglio 2017) ma anche alle generali disposizioni sulla titolarità nei trattamenti in materia di telemarketing contenute nel provvedimento n. 230 del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257) richiamato recentemente anche dal provvedimento n. 143 del 9 luglio 2020 (in www.gpdp.it, doc. web n. 9435753 – “i soggetti che agiscono per conto del preponente, ingenerando un legittimo affidamento nei destinatari delle comunicazioni circa l’effettiva titolarità della campagna promozionale, sono qualificati responsabili del trattamento”);

con riferimento alla contestazione di cui al capo c) – le osservazioni espresse da Vodafone nell’ambito dell’esercizio del diritto di difesa confermano la sussistenza della responsabilità della Società in ordine agli indebiti contatti indicati nei reclami di cui a fascicoli nn. 139840, 142897 e 146313. La riconducibilità di tali contatti a generici errori umani, peraltro non analiticamente documentati e in ordine ai quali Vodafone non ha dimostrato l’inevitabilità, non consente di applicare l’esimente di cui all’art. 3 della legge n. 689/1981 in tema di buona fede. Parimenti, la considerazione che tali errori umani costituiscano una espressione statistica irrilevante rapportata alla grande quantità di contatti gestiti da Vodafone non appare conferente posto che, dalle segnalazioni e reclami pervenuti al Garante, emergerebbe un numero di cd. “errori umani” niente affatto trascurabile, soprattutto se rapportato alla percentuale di casi portati all’attenzione del Garante. E, in ogni caso, la considerazione difensiva in ordine al numero limitato dei casi non fa venir meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria;

con riferimento alle contestazioni di cui ai capi d) e e) – risulta pacificamente accertato che Vodafone abbia avuto contezza fin dal giugno 2019 di molteplici accessi considerati “anomali” al sistema denominato BTC a fronte dei quali, in ben 222 casi, gli utenti sono stati fatti oggetto di contatti illeciti da parte di ignoti soggetti che, spacciandosi per operatori di Vodafone, richiedevano di inviare tramite Whatsapp copia dei propri documenti di identità, cosa che un consistente numero di utenti ha effettivamente fatto. Come affermato dalla stessa Società, il fenomeno ha origini già dall’inizio del 2018 e dimensioni più ampie e ciò può essere desunto anche dall’elevato numero di segnalazioni e reclami pervenuti all’Autorità che hanno denunciato episodi della medesima specie, anche originati da segnalazioni di guasti tecnici alle proposte articolazioni della Società.

Al riguardo deve prendersi atto della non irrilevante quantità di iniziative in tema di sicurezza che Vodafone ha messo in campo al fine di contrastare il fenomeno, a cominciare con la collaborazione col la Polizia di Stato nell’ambito dell’operazione “Data Room”, per proseguire con gli interventi sugli account per l’accesso a diversi sistemi, sia aziendali che esterni a Vodafone, l’irrobustimento delle password con l’introduzione dell’autenticazione a due fattori e il mascheramento dei numeri di ricontatto forniti dai clienti in fase di segnalazione del guasto di rete. Tuttavia tali interventi non sembrano aver costituito un serio contrasto ai tentativi di esfiltrazione dei dati dai database aziendali se è vero che gli episodi di illecito contatto degli utenti a seguito di segnalazione di un guasto di rete si sono verificati anche in periodi recentissimi, come riportato da un reclamante nel giugno 2020 e come segnalato da altri nel corso del medesimo corrente anno.

A tale proposito deve tuttavia osservarsi che, mentre nell’ambito del previgente quadro normativo, la sicurezza in ambito privacy poteva ritenersi formalmente assicurata con l’applicazione delle misure minime di sicurezza indicate negli artt. 33 e ss. del Codice, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, e delle regole di cui al connesso disciplinare tecnico, indipendentemente dalla configurazione funzionale e dimensionale dei sistemi, rimanendo il giudizio di adeguatezza delle predette misure confinato alla valutazione sulla responsabilità civile del titolare in caso di evento di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, con l’attuale assetto dettato dal Regolamento sono proprio gli eventi sopra descritti a determinare, in ragione dei rischi per i diritti e le libertà delle persone fisiche, un primo e qualificante giudizio di adeguatezza sulle misure di sicurezza adottate. Ciò in particolare, come indicato nel considerando 75 del Regolamento, con riferimento ai trattamenti “suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione […] o qualsiasi altro danno economico o sociale significativo; […] se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati”.
Top
Rispondi

Torna a “Forum su Privacy e Sicurezza”