Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro/Parte 3

Rispondi
Giancarlo Favero
Messaggi: 226
Iscritto il: dom gen 24, 2021 6:45 am

Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro/Parte 3

Messaggio da Giancarlo Favero »

È di tutta evidenza che gli eventi segnalati dai reclamanti e dalla relazione di Vodafone del 14 novembre 2019 presentino tutte le caratteristiche di gravità con riferimento al potenziale pregiudizio per i diritti e le libertà delle persone fisiche e come tali avrebbero dovuto formare oggetto di immediata risoluzione o comunque di iniziative idonee a determinare un rapido abbattimento degli episodi. È invece avvenuto il contrario, dal momento che, nonostante le prime avvisaglie del problema fossero state percepite da Vodafone all’inizio del 2018, ancora a giugno del 2019 si rilevava l’accesso indebito ai dati di 230 contraenti, 222 venivano contattati da ignoti soggetti che si presentavano come operatori Vodafone e facevano ad essi richiesta di copia dei propri documenti d’identità, documenti poi inviati da ben 79 utenti. Con la relazione del 14 novembre 2019, inviata anche a seguito delle numerose richieste dell’Autorità, con le quali si invitava la Società a fornire informazioni in ordine alle azioni intraprese per “prevenire e contrastare le possibili attività illecite poste in essere con l’utilizzo dei dati personali trattati”, Vodafone precisava che “il fenomeno descritto nella presente lettera, potrebbe verosimilmente avere una portata molto più ampia, coinvolgendo anche altre piattaforme di gestione non esclusivamente gestite dalla propria organizzazione. Per tale motivo, a fronte delle segnalazioni di questo tipo, ha parallelamente avviato le opportune verifiche, non solo al proprio interno, ma anche all’esterno della propria struttura”.

Con riferimento, infine, all’episodio sopra richiamato dell’accesso abusivo ai dati di 222 utenti, noto a Vodafone fin dal 4 giugno 2019, non appaiono condivisibili le argomentazioni difensive circa l’assolvimento da parte della Società degli obblighi di notificazione del “data breach” ai sensi dell’art. 33 del Regolamento mediante l’invio della relazione del 14 novembre 2019, sia per l’inidoneità dello strumento di notifica, sia per l’ampio lasso di tempo intercorso prima dell’invio della comunicazione;

con riferimento alla contestazione di cui al capo f – in primo luogo, relativamente al fascicolo 140688, si deve osservare che, contrariamente a quanto rappresentato dalla Società, il perimetro relativo alla protezione dei dati personali si estende, con riferimento ai trattamenti relativi ai servizi di comunicazione elettroniche, anche alle persone giuridiche, laddove qualificate come “contraenti”, in base a quanto indicato dagli artt. 121 e ss. del Codice.

In linea generale, preso atto di quanto affermato dalla Società in ordine alla mole di richieste di esercizio dei diritti che vengono mensilmente evase dalla medesima, si deve comunque ribadire quanto osservato in relazione al capo a) e al capo c) della rubrica, e cioè che sebbene i rappresentati disallineamenti rispetto alle ordinarie modalità operative in tema di esercizio dei diritti costituiscano una espressione statistica irrilevante rapportata alla grande quantità di contatti gestiti da Vodafone, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria.

3 CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Vodafone in ordine alle seguenti violazioni:

3.1 violazione degli artt. 5, parr. 1 e 2, e 25, par. 1, del Regolamento, poiché la Società non ha provveduto, anche alla luce del rilevante numero di segnalazioni e reclami nonché di contatti promozionali in ordine ai quali ha disconosciuto la provenienza, a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Vodafone. La violazione coinvolge l’intera base clienti della società;

3.2 violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché la Società ha acquisito, da SeiSicuro.it, Innovairre s.r.l., già IDMC s.r.l., Nos s.r.l.s., Cooperativa Nuovi Orizzonti, Intercom Data Service - IDS Sh.p.k. e Problem Solving s.r.l., liste di anagrafiche che le predette aziende avevano a loro volta acquisito da altri soggetti. Il trasferimento dei dati verso Vodafone è avvenuto in carenza del prescritto consenso, libero specifico e informato, per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto circa 4.500.000 interessati nell’anno 2019;

3.3 violazione degli artt. 5, 6 e 7 e 21 del Regolamento, anche in relazione all’art. 130, commi 1, 2, 3 e 3-bis del Codice, con riferimento a più reclami che hanno lamentato contatti indesiderati tramite telefono e sms, che Vodafone ha attribuito a generici errori umani o non documentati disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione (fascicoli nn. 139840, 142897 e 146313);

3.4 violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento, per assicurare su base permanente la riservatezza e l'integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 132730, 138384, 140753, 143923, 140991, 141181, 146055 e 148012);

3.5 violazione dell’art. 33, par. 1, del Regolamento, per aver omesso di presentare al Garante la notificazione di una violazione di dati personali, con riferimento alle circostanze riportate nella nota del 14 novembre 2019;

3.6 violazione degli artt. 15, par. 1, e 16 del Regolamento, per aver omesso di dare piena attuazione a richieste di esercizio dei diritti degli interessati (fascicoli 144980, 140688, 146374 e 147775).

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere a Vodafone, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, di dare completo riscontro alle richieste dei reclamanti con riferimento ai fascicoli 144980, 140688, 146374 e 147775;

- prescrivere a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;

- prescrivere a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;

- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Vodafone il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Vodafone;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4 ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Vodafone Italia S.p.A., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in euro 245.032.024;

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) – con riferimento alle contestazioni di cui ai capi a), b), d) e e) in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza), del livello di danno effettivamente subito dagli interessati, che con riferimento alle violazioni di cui al capo a) sono stati incessantemente esposti a chiamate di disturbo, delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno, della molteplicità delle condotte poste in essere da Vodafone in violazione di più disposizioni del Regolamento e del Codice, degli episodi di illecita acquisizione dei dati dei contraenti, con rifermento alle violazioni di cui al capo d), che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi ;

2) quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere permanente e ancora in essere delle violazioni di cui ai capi a), b) e d); della durata superiore a sei mesi delle violazioni di cui al capo c) e f); della durata di circa 5 mesi della violazione di cui al capo e);

3) quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui al capo a) deve tenere conto dell’intera base clienti di Vodafone e per la violazione di cui al capo b) annovera gli oltre 4 milioni di interessati presenti nelle liste acquisite da soggetti terzi;

4) quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che avrebbero dovuto costituire un valido supporto nelle scelte organizzative della Società ma che invece, in particolare con riferimento alle violazioni di cui ai capi a) e b), sono risultati in massima parte disattesi. Carattere significativamente negligente assumono anche le violazioni di cui ai capi d) e e) in ragione delle gravi vulnerabilità riscontrate nei database aziendali, allo stato non ancora del tutto risolte, e del grave ritardo nella notificazione di un importante “data breach”;

5) quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Regolamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori con riferimento a trattamenti della stessa specie (art. 83, par. 2, lett. i) del Regolamento);

6) quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare allo svolgimento delle procedure di audit dei partner della rete di vendita, all’implementazione di strumenti di controllo nelle piattaforme per la gestione delle campagne promozionali e al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali;

7) quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare;

8) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la primaria posizione di mercato di Vodafone nel settore delle telecomunicazioni e il valore economico complessivo della Società.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Vodafone la sanzione amministrativa del pagamento di una somma di euro 12.251.601, pari al 5 % della sanzione massima edittale, in linea con i recenti provvedimenti adottati dall’Autorità in materia di telemarketing.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ingiunge a Vodafone, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, entro trenta giorni dalla notifica del presente provvedimento, di dare completo riscontro alle richieste dei reclamanti con riferimento ai fascicoli 144980, 140688, 146374 e 147775;

b) prescrive a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;

c) prescrive a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;

d) impone a Vodafone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Vodafone;

e) ingiunge a Vodafone, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati, nonché alle richieste dei reclamanti; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

a Vodafone Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017, di pagare la somma di euro 12.251.601 (12 milioni, duecentocinquantunomila,601) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 12.251.601 (12 milioni, duecentocinquantunomila,601), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 12 novembre 2020

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei
Top
Rispondi

Torna a “Forum su Privacy e Sicurezza”