- Newsletter del 3 dicembre 2024

[doc. web n. 10076504]

Provvedimento del 12 settembre 2024

Registro dei provvedimenti
n. 553 del 12 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1. GLI ATTI PERVENUTI ALL’AUTORITÀ E L’ISTRUTTORIA PRELIMINARE CONDOTTA

Il 31 marzo 2023 l’Autorità ha avviato un’istruttoria nei confronti di Sky Italia S.r.l. (di seguito “Sky” o la “Società”), mediante una richiesta di informazioni cumulativa, formulata ai sensi dell’art. 157 del Codice (rif. prot. n. 55105/23), utile alla valutazione di 275 segnalazioni pervenute al Garante nel periodo compreso fra 1° aprile 2022 e 28 marzo 2023, inerenti, in massima parte, alla materia del telemarketing. Con la medesima nota è stato richiesto alla Società di “fornire un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l’attivazione di servizi SKY nel periodo dal 6 marzo 2023 e 13 marzo 2023 compresi, suddivise tra privati ed esercizi pubblici”.

Con riguardo alle citate segnalazioni pervenute all’Autorità, la Società ha fornito riscontro con nota del 30 maggio 2023, alla quale si fa completo rinvio, comunicando di aver contattato “solo 95 dei 275 interessati coinvolti, ritenendo che, in detti casi, il contatto sia avvenuto in modo lecito”. Ciò in quanto, ad esclusione delle comunicazioni di servizio avvenute per “Recupero crediti” e “Recupero materiali nei confronti del cliente”, in alcuni casi gli interessati sarebbero stati contattati in forza del consenso al marketing prestato in occasione della sottoscrizione di precedenti contratti con Sky e mai revocato (“Teleselling Outbound” nei confronti delle 29 utenze riferite a clienti, di cui è stata prodotta evidenza); in altri casi, invece, le telefonate sarebbero avvenute a seguito di una richiesta di ricontatto dell’interessato tramite e-mail promozionali (c.d. “Direct E-Mail Marketing” brevemente anche “DEM”) o SMS, nell’ambito del servizio “Call Me Now”, già oggetto di valutazione dell’Autorità nel provvedimento n. 322 del 16 settembre 2021.

Inoltre la Società ha disconosciuto, tra le segnalazioni in esame, 179 chiamate che non sono attribuibili a Sky, né ai relativi fornitori, in ragione della centralizzazione della piattaforma Reitek, evidenziando la conformità dei trattamenti ai principi di privacy by design e by default.

Tutte le utenze di cui alle 275 segnalazioni sono state inserite nella c.d. Black List di Sky non appena quest’ultima ha avuto contezza della volontà di opposizione degli interessati all’ulteriore trattamento per fini promozionali, e si è dato atto a sistema della revoca dei consensi eventualmente prestati in precedenza. Sotto questo profilo, la Società ha chiarito che la Black List è condivisa anche con i fornitori di Sky, al fine di evitare contatti indesiderati.

Con riferimento alle proposte di acquisto che hanno determinato l’attivazione di servizi Sky nel periodo considerato (settimana campione, dal 6 al 13 marzo 2023), la Società, il 28 aprile 2023, ha prodotto il relativo elenco e il 29 giugno 2023 - a seguito di una specifica richiesta dell’Ufficio – ha chiarito su quali numerazioni, tra quelle indicate, sono stati effettuati i singoli contatti (numerazioni chiamate).

1.1. La verifica presso il Registro Pubblico delle Opposizioni

Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 27 settembre 2023 l’Ufficio ha inviato alla Fondazione Ugo Bordoni, che gestisce il Registro Pubblico delle Opposizioni, il citato elenco di numerazioni telefoniche risultate contattate da Sky nell’ambito delle attività di telemarketing svolte nel periodo febbraio - marzo 2023. In tale ottica, sono state richieste informazioni, ai sensi dell’art. 157 del Codice, per ciascuna numerazione, circa l’eventuale iscrizione al Registro Pubblico delle Opposizioni (RPO) non successiva alla data del 31 gennaio 2023.

In data 2 ottobre 2023 la citata Fondazione ha inviato il proprio riscontro, dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni, al tempo delle chiamate promozionali effettuate dalla Società, n. 644 utenze telefoniche, pari a poco più dell’11% del numero totale dei contatti telefonici che hanno determinato l’attivazione del servizio nel periodo di riferimento febbraio - marzo 2023 (n. 5.844 numerazioni contattate).

L’aver contattato 644 numerazioni telefoniche nell’ambito delle attività di telemarketing svolte nel periodo febbraio - marzo 2023, in costanza dell’iscrizione delle medesime utenze all’RPO - e quindi del meccanismo di opt-out determinato dalla vigente normativa -, ha comportato la configurabilità della violazione dell’art. 130, commi 3 e 3 bis, del Codice, riguardante le comunicazioni elettroniche, nonché, più in generale, degli artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento, con riguardo al principio di liceità e alla necessità della base giuridica del consenso per legittimare il trattamento dei dati in questione per fini promozionali.

1.2. Trattamenti relativi al servizio “NOW”

Oltre alle 275 segnalazioni oggetto delle due citate richieste di informazioni cumulative, sono pervenute ulteriori doglianze che l’Autorità ha trattato, nella fase istruttoria, singolarmente. In particolare è pervenuta una segnalazione con la quale è stata lamentata la ricezione di un SMS indesiderato del servizio “NOW TV!”, in assenza del consenso dell’interessato (fascicolo n. 263354).

In riscontro alla richiesta di informazioni formulata dall’Ufficio il 21 luglio 2023, in data 8 agosto 2023 la Società ha, in primo luogo, rappresentato di aver inserito l’interessato “nella black list il 10.08.2020 a seguito della segnalazione del 27 maggio 2019, già analizzata dall’Autorità nel contesto del provvedimento sanzionatorio del 2021”. Infatti, consultando i sistemi centralizzati di Sky, non sono risultate registrate chiamate in uscita verso la numerazione dell’interessato. L’SMS, ricevuto il 15 dicembre 2023, è stato inviato al segnalante in quanto lo stesso, cliente del servizio NOW, avrebbe mantenuto attivo il relativo account anche dopo la scadenza di abbonamenti registrati il 29/05/2018, 30/09/2021 e 14/08/2022. Mantenendo l’account NOW, l’interessato ha ricevuto “una isolata comunicazione di servizio relativa esclusivamente alla programmazione di NOW […]”; pertanto l’SMS non avrebbe avuto contenuto commerciale ma trattandosi di comunicazione di servizio “non è soggetta al consenso” degli interessati, come peraltro indicato nell’informativa NOW al punto 3.1, lett a). Ad ogni modo, la Società ha garantito di aver “bloccato immediatamente l’invio di comunicazioni di sorta, sia via email che via SMS” ottenendo dall’interessato conferma al riguardo.

Ciò posto, non è apparsa condivisibile la lettura che Sky ha fornito in merito al contenuto ritenuto non promozionale dell’SMS lamentato. Infatti la medesima comunicazione non soltanto è risultata inviata all’interessato senza che fosse attivo alcun abbonamento (l’ultimo ordine risale al 14/08/2022) ma presentava, nel contenuto, l’invito a tornare in NOW (v. di seguito) e, quindi, ad aderire ai suoi servizi.

Deve rilevarsi che un messaggio così formulato non può in alcun modo essere considerato “di servizio” dal momento che non sottende ad alcun accordo contrattuale esistente che ne giustificherebbe l’invio in assenza di consenso, ma si configura, a tutti gli effetti, come una comunicazione volta a promuovere i servizi NOW, con invito ad attivare un nuovo abbonamento (“Riattivati con un click”). Nella stessa informativa privacy, richiamata dalla Società nel riscontro dell’8 agosto 2023, al punto 3.1 lett. a), è emerso chiaramente che le finalità di servizio perseguite dal titolare attengono all’“esecuzione del contratto o adempimento di impegni precontrattuali” e per tali scopi non è richiesto il consenso dell’interessato, proprio in ragione dell’affidamento insorto in seguito a tale accordo. Inoltre, mantenere un account NOW non significa esprimere la volontà di ricevere comunicazioni promozionali che, in quanto tali, sono soggette al consenso specifico ed informato dell’interessato. Peraltro, nel caso di specie, tale consenso non è stato espresso e ad ogni modo sarebbe stato superato dall’iscrizione della numerazione dell’interessato nella Black List di Sky, come dichiarato dalla Società stessa.

Pertanto - dal momento che la comunicazione lamentata, dal contenuto promozionale, è avvenuta in assenza di un consenso specifico dell’interessato – si è ritenuta configurata la possibile violazione dell’art. 6, par. 1, lett. a) del Regolamento nonché dell’art. 130, commi 1 e 2, del Codice. 

2. LA CONTESTAZIONE DELLE VIOLAZIONI

In base a quanto sopra evidenziato, l’Autorità ha ritenuto necessario, il 19 gennaio 2024, contestare alla Società la presunta violazione delle seguenti disposizioni:

artt. 5, par. 1, lett. a) e 6, par. 1, lett. a) del Regolamento nonché dell’art. 130, commi 1, 2, 3 e 3 bis, del Codice.

Con la medesima nota (rif. prot. n. 0007004/24), l’Autorità ha pertanto provveduto a comunicare l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni pecuniarie di cui all’art. 83, par. 5, del Regolamento.

3. LA DIFESA DI SKY

Nella memoria difensiva, presentata il 19 febbraio 2024, Sky ha chiesto l’archiviazione del procedimento “per superamento del termine di 120 giorni previsto per la relativa conclusione” nonché “per infondatezza delle contestazioni formulate, ovvero in estremo subordine [ha chiesto di] disporre un mero ammonimento o adottare un provvedimento […] prescrittivo senza l’irrogazione di sanzioni pecuniarie”. Inoltre, in data 4 aprile 2024, la Società, ad integrazione dei citati scritti difensivi, ha prodotto evidenze probatorie “sullo stato dei consensi privacy in relazione ad alcune campagne di teleselling effettuate […] su clienti” emerse da un’ulteriore attività di verifica della quale Sky aveva fatto riserva nella memoria del 19 febbraio 2024.

3.1. Termini del procedimento amministrativo

Sky ha preliminarmente evidenziato il mancato rispetto del termine per la conclusione del procedimento avviato dall’Autorità con il menzionato atto di contestazione del 19 gennaio 2024 (rif. prot. n. 0007004/24). In particolare, il potere sanzionatorio dell’Autorità si sarebbe esaurito decorso il termine di 120 giorni per la notifica della violazione, ai sensi dell’art. 166, comma 5, del Codice, dovendosi il dies a quo individuare, a detta di Sky, nella data del riscontro alle richieste di informazioni del Garante. In quest’ottica, visto il riscontro di Sky del 30 maggio 2023, il termine di 120 giorni risulterebbe spirato in data 28 ottobre 2023, ovvero il 29 dicembre 2023, qualora si volesse considerare la risposta della Società dell’8 agosto 2023 alla richiesta di informazioni relativa al reclamo istruito singolarmente e confluito nell’atto di contestazione.

3.2. Utenze iscritte al Registro Pubblico delle Opposizioni ed interessate dai contatti promozionali della Società

La Società ha precisato che delle 644 numerazioni telefoniche iscritte al Registro Pubblico delle Opposizioni e contattate da Sky nell’ambito dell’attività di telemarketing svolta nel periodo febbraio - marzo 2023, 99 utenze sono risultate duplicate; pertanto “il numero effettivo di casi da verificare corrisponde a 545”.

Con riferimento ai 545 numeri contattati, Sky ha rappresentato che “453 sono riconducibili a soggetti che, al tempo del contatto telefonico, risultavano essere già clienti di Sky ([…] “Gruppo A”), mentre 92 sono numerazioni di prospect, ossia potenziali clienti interessati ai servizi e ai prodotti offerti da Sky ([…] “Gruppo B”)”.

3.2.1. In relazione alle numerazioni rientranti nel Gruppo A (n. 453 utenze) la Società ha rappresentato, producendone evidenza, che “[…] 411 appartengono a clienti che avevano espresso il proprio consenso al trattamento di dati personali per finalità di marketing [dicitura “ok”] mentre in 42 casi riconducibili a 42 numerazioni l’assenza del consenso è indicata mediante dicitura “ko”. Con la successiva integrazione del 4 aprile 2024 Sky ha, tuttavia, precisato che tra le 411 utenze consensate ve ne sono 11 che sono state contattate in assenza di tale base giuridica ma su esplicita richiesta del cliente attraverso telefono (chiamate inbound) oppure tramite il servizio “Call Me Back” presente sul sito internet della Società o, ancora, a seguito di interazioni degli interessati sul web.

Delle 42 utenze contattate intestate a clienti e non corroborate da un esplicito consenso al marketing, Sky ha chiarito quanto segue:

- 22 numerazioni sono state contattate nell’ambito dei servizi “Call Me Back” e “Call Me Now”, che consentono “[…] al cliente di indicare il proprio numero telefonico al fine di poter pianificare un contatto da parte di Sky – su sua espressa richiesta supportata da espresso consenso – per specifiche esigenze di servizio e/o informazioni commerciali”;

- “2 numerazioni risultano appartenere a clienti che hanno prestato il consenso alla ricezione di comunicazioni promozionali e commerciali”. In particolare, in relazione a tali utenze, identificate con la dicitura “ko” per l’assenza di un originario consenso al marketing, la Società ha comprovato che tale autorizzazione è stata successivamente fornita dagli interessati, come da scheda anagrafica allegata alla memoria;

- “8 numerazioni sono riconducibili a clienti che hanno contattato Sky (inbound)” e che sono stati ricontattati dalla Società (outbound) “ad un intervallo di tempo estremamente ravvicinato (in media 1-4 minuti) […] per rimediare a problemi tecnici di linea e di interruzione della conversazione originariamente effettuata dal cliente”;

- “1 numerazione è stata contattata da Sky in outbound per ragioni di servizio collegate alla ricezione, via PEC, di una richiesta di disdetta di cui non era possibile accertare la provenienza […] del reale intestatario del contratto e ciò ha richiesto una verifica dell’identità del mittente”;

- "2 numerazioni sono state contattate da Sky nell’ambito della c.d. courtesy retention, ossia chiamate di natura amministrativa e di servizio” rispetto alle quali “non è richiesto il consenso del cliente”;

- 6 numerazioni sono state contattate dalla Società a seguito della richiesta di supporto tecnico al cliente nella propria area riservata (c.d. Web Self Care);

- “1 numerazione è stata contattata in outbound da Sky per finalità di servizio, all’esito delle quali ha effettuato l’upgrade di pacchetto […]”.

3.2.2. In relazione alle 92 numerazioni dei prospect contattati da Sky, di cui al Gruppo B, la Società ha rappresentato, producendone evidenza, quanto segue:

a) “59 numerazioni sono riconducibili a già clienti Sky che hanno effettuato migrazioni tecnologiche, ossia variazioni contrattuali relative al device utilizzato per la fruizione del servizio. […] Tali migrazioni hanno comportato la cessazione del precedente contratto e l’apertura di un nuovo contratto. […] questi clienti appaiono nei sistemi Sky come “nuovi clienti” (c.d. prospect), benché fossero in realtà già clienti Sky. Si tratta di numerazioni che, in alcuni casi, sono state contattate a seguito di richiesta del cliente tramite i servizi Call Me Back e Call Me Now e, in altri casi, hanno effettuato una chiamata inbound verso Sky; in 2 casi si tratta di clienti che avevano prestato il consenso alle chiamate outbound […]”. La Società ha prodotto il dettaglio della verifica svolta sulle 59 numerazioni;

b) 3 numerazioni contattate sono riconducibili a prospect che hanno compilato i moduli “Call Me Now”, relativamente ad offerte Sky, presenti sul canale social Facebook: in particolare, l’utente visualizza su Meta o Instagram un post sponsorizzato contenente un’offerta Sky cliccando il quale avvia, mediante vari step e richieste di conferma, la procedura per il ricontatto da parte della Società; 

c) “1 numerazione è riconducibile a un cliente che è stato contattato da Sky a seguito di numerose interazioni nell’Area Web Self Care […]”;

d) “17 numerazioni sono riconducibili a contatti acquisiti dai fornitori XX e XX che, secondo una procedura ormai nota anche all’Autorità […] sono responsabili di Sky incaricati di inviare SMS a prospect facenti parte di database di contatti relativi a soggetti che hanno espresso il proprio consenso al marketing di terzi titolari autonomi […]”;

e) “1 numerazione è riconducibile a un soggetto contattato per ragioni tecniche connesse all’operazione a premi condotta da XX […]”;

f) “9 numerazioni sono riconducibili a soggetti che, attraverso il comparatore XX, hanno potuto valutare l’offerta di prodotti e di servizi di diversi fornitori, tra cui Sky […] e […] hanno chiesto di ricevere consulenza a tal riguardo. […] XX, nel caso in cui dalla richiesta di consulenza derivi la volontà dell’interessato di sottoscrivere un abbonamento con Sky, in qualità di responsabile […], si occupa di finalizzare il processo di sottoscrizione. […]”;

g) “1 numerazione appartiene a un già cliente Sky il cui precedente contratto è stato annullato. […] il cliente ha effettuato una chiamata a Sky (inbound) e circa 30 minuti dopo è stato richiamato da Sky per la finalizzazione del contratto […]”;

h) “1 numerazione appartiene a soggetto che ha richiesto di essere chiamato attraverso la pagina web “Sky Prospect” del sito sky.it […] ove è fornita l’informativa Call Me Now ed è richiesto, obbligatoriamente ai fini della prosecuzione, di selezionare il flag di presa visione dell’informativa oppure la lettura obbligatoria con scroll del testo integrale della informativa e successiva selezione del pulsante “Ok, ho letto”. Selezionato il flag o il pulsante di presa visione, la pagina web mostra il form di ricontatto ove è presente il pulsante, a selezione libera, “CONTATTAMI”/”CONFERMA” preceduto dalla specifica indicazione: “Acconsento ad essere ricontattato per ricevere informazioni” […]”.

3.2.3. Con riferimento al punto 1.2. del presente provvedimento, relativo alla ricezione di un sms indesiderato del servizio NOW in assenza del consenso dell’interessato, la Società ha ribadito le argomentazioni prodotte in sede istruttoria confermando la natura non commerciale della comunicazione. In particolare, ha rappresentato di aver inviato una comunicazione di servizio concernente la programmazione di Sky e, in quanto tale, non soggetta al consenso preventivo dell’interessato. Tale invio, a detta della Società, è risultato connesso alla mancata cancellazione dell’account dell’interessato, già cliente Sky, dalla piattaforma NOW; ad ogni modo Sky ha fornito rassicurazioni sulla tempestiva registrazione dell’opposizione manifestata dall’interessato stesso.

4. VALUTAZIONI DI ORDINE GIURIDICO DELL’AUTORITÀ

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1. Sui termini del procedimento amministrativo

Occorre in primo luogo fornire una ricostruzione temporale completa e puntuale dell’attività istruttoria nei confronti di Sky. Il riscontro della Società alla richiesta di informazioni dell’Ufficio del 31 marzo 2023 è stato fornito in due distinti momenti: in data 30 maggio 2023 (con riferimento alle 275 segnalazioni pervenute al Garante) e con nota del 28 aprile 2023 con la quale è stato prodotto l’elenco delle numerazioni interessate dall’attivazione di servizi Sky nel periodo 6 marzo – 13 marzo 2023. Rispetto a tale elenco la Società, a seguito di una specifica richiesta dell’Ufficio, ha fornito un ulteriore riscontro in data 29 giugno 2023 con il quale ha chiarito su quali numerazioni, tra quelle indicate, sono stati effettuati i singoli contatti. L’Autorità ha quindi coinvolto la Fondazione Ugo Bordoni (c.d. FUB) al fine di verificare l’iscrizione delle citate numerazioni al Registro Pubblico delle Opposizioni (c.d. RPO) nel periodo interessato dai contatti Sky. Il riscontro della FUB, pervenuto il 2 ottobre 2023, ha consentito di acquisire informazioni necessarie ad una valutazione compiuta dei trattamenti che ha formato oggetto della contestazione, ex art. 166, comma 5, del Codice, notificata il 19 gennaio 2024.

Sul punto occorre osservare che consolidata giurisprudenza in materia di accertamento degli illeciti amministrativi smentisce la ricostruzione della Società basata su una logica di mero conteggio formale dei giorni successivi alla ricezione dei riscontri alle varie richieste di informazioni, individuando Sky, per l’appunto, nell’acquisizione di tali riscontri l’elemento costitutivo dell’attività di accertamento e, dunque, il dies a quo. In generale, per quanto attiene l’attività delle Autorità amministrative indipendenti, la Cassazione (Cass. Civ. Sez. 2, n. 31635/2018), riprendendo argomentazioni già espresse in precedenza, ha ribadito che “l’attività di accertamento dell’illecito, in relazione alla quale collocare il dies a quo del termine per la notifica degli estremi della violazione, non può coincidere con il momento in cui viene acquisito il "fatto" nella sua materialità, ma deve essere intesa come comprensiva del tempo necessario alla valutazione dei dati acquisiti ed afferenti gli elementi (oggettivi e soggettivi) dell’infrazione e, quindi, della fase finale di deliberazione correlata alla complessità, nella fattispecie, delle indagini tese a riscontrare la sussistenza dell’infrazione medesima e ad acquisire piena conoscenza della condotta illecita, sì da valutarne la consistenza agli effetti della corretta formulazione della contestazione” (cfr. Cass. n. 13050/2014; Cass. n. 1043/2015 e Cass. n. 770/2017). A conferma della consolidata impostazione della Cassazione, vanno evidenziate anche recenti pronunce del Consiglio di Stato (ad es., Sez. VI, n. 4020, del 24 maggio 2021) laddove si osserva che “in tema di sanzioni amministrative, ciò che rileva ai fini del rispetto del principio dell’immediatezza della contestazione […] non è la notizia del fatto sanzionabile nella sua materialità, ma l’acquisizione della piena conoscenza della condotta illecita, implicante il riscontro dell’esistenza e della consistenza dell’infrazione e dei suoi effetti; sicché, per un verso, il termine per la contestazione dell’infrazione non decorre dalla sua consumazione, ma dal completamento dell’attività di verifica di tutti gli elementi dell’illecito, dovendosi considerare anche il tempo necessario all’amministrazione per valutare e ponderare adeguatamente gli elementi acquisiti e gli atti preliminari per l’individuazione in fatto degli estremi di responsabilità amministrativa, e per altro verso, il termine per la conclusione del procedimento sanzionatorio inizia a decorrere solo dal momento in cui è compiuta – o si sarebbe dovuta ragionevolmente compiere, anche in relazione alla complessità della fattispecie – l’attività amministrativa intesa a verificare l’esistenza dell’infrazione, comprensiva delle indagini intese a riscontrare la sussistenza di tutti gli elementi soggettivi e oggettivi dell’infrazione stessa”.

Ne deriva che, nel caso di specie, la piena conoscenza della condotta illecita non poteva che passare attraverso la predetta interlocuzione con la FUB dal momento che l’iscrizione delle utenze all’RPO e la consultazione dello stesso devono considerarsi quali pre-condizioni per poter svolgere correttamente attività di telemarketing e, quindi, elementi di valutazione necessari ad una più completa istruzione del procedimento.

In definitiva, il procedimento instaurato e condotto dall’Autorità si deve ritenere pienamente conforme alla normativa di riferimento in quanto, in base al Regolamento interno n. 2/2019, la contestazione è stata notificata nei 120 giorni dalla data dell’accertamento delle violazioni (v. punto 2, Tabella B all. al Regolamento n. 2/2019, cit.) da individuare quantomeno nel 2 ottobre 2023 (data del riscontro da parte della FUB alla richiesta di informazioni in merito all’iscrizione all’RPO delle numerazioni contattate): la comunicazione di avvio del procedimento è stata notificata a Sky in data 19 gennaio 2024 e, quindi, undici giorni prima della scadenza del termine dei 120 giorni come sopra individuato.

4.2. Sulla liceità dei contatti operati verso le numerazioni dei prospect

Con riguardo alle 92 numerazioni di prospect del Gruppo B, di cui al punto 3.2.2. del presente provvedimento, sono emerse alcune criticità. 

- Con riferimento al punto c), dall’analisi dello storico delle telefonate indirizzate all’utenza del cliente (che Sky asserisce siano avvenute dopo che il medesimo ha compiuto interazioni inbound sul web – nell’area Web Self Care – v. allegato 16 della memoria difensiva del 19 febbraio 2024), è emerso, contrariamente a quanto affermato dalla Società, che i contatti telefonici sono stati realizzati prima delle citate operazioni dell’utente nella propria area web personale. In relazione a tali contatti, Sky non ha addotto alcuna ragione giustificativa; devono quindi ritenersi sussistenti i presupposti della violazione del trattamento dei dati personali in assenza di consenso dell’interessato e in costanza dell’iscrizione all’RPO (come da elenco prodotto dalla FUB il 2 ottobre 2023). Pertanto, deve confermarsi la violazione delle disposizioni contestate (artt. 5, par. 1, lett. a; 6, par. 1, lett. a del Regolamento nonché art. 130, commi 3 e 3 bis, del Codice).

- Con riferimento al punto d) relativo alle 17 numerazioni di prospect contattate da Sky, la Società ha precisato che tali utenze sono risultate acquisite da XX e XX (di seguito «fornitori») in forza di un consenso alla comunicazione dei dati a terzi rilasciato dagli interessati ad un autonomo titolare, gestore di siti internet visitati dagli utenti stessi; i citati fornitori, nominati da Sky responsabili del trattamento, avrebbero curato l’invio di SMS contenenti la richiesta agli utenti di ricontatto telefonico da parte di Sky se interessati ad offerte o prodotti della Società. Con riguardo a tali trattamenti, Sky ha prodotto la documentazione contenente, per ciascuno dei siti internet utilizzati dagli originari titolari per raccogliere i dati personali degli interessati, le pagine web visualizzate dall’utente, l’informativa privacy e i relativi consensi (cfr. - allegato 17 “Excel riepilogativo Leads” e 17 bis “Cartella Leads”) – fornendo, in aggiunta a ciò, anche le policy dei fornitori che avrebbero agito per conto di Sky nell’invio dell’sms di ricontatto (v. comunicazione del 25 marzo 2024).

Sul punto si deve osservare, in primo luogo, come il Garante, con il provvedimento n. 332 del 16 settembre 2021 (in www.gpdp.it, doc. web n. 9706389), abbia inteso regolare principalmente i rapporti tra Sky e i citati fornitori individuando quest’ultimi quali responsabili del trattamento e ingiungendo alla Società-titolare, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di procedere con la relativa designazione.

Con il presente provvedimento, invece, si ritiene necessario analizzare gli adempimenti e le correlate responsabilità in materia di informativa e consenso imputabili alla Società che, in qualità di titolare, è tenuta ad un controllo adeguato e costante di tutti gli “anelli” della catena del trattamento sin dalla prima fase della campagna promozionale - consistente nella selezione dei dati da utilizzare, nella verifica sulla loro liceità e nella  prova documentata di valutazioni complessive sulle caratteristiche dei trattamenti – fino alla sottoscrizione del contratto con l’interessato (dal contatto al contratto).

Ciò doverosamente precisato, dalla documentazione in atti sono emerse diverse specifiche criticità.

Sky ha prodotto, in allegato alla memoria difensiva del 19 febbraio 2024, gli screenshot dei siti internet ai quali gli utenti avrebbero acceduto, rilasciando i propri dati personali e acconsentendo al loro trattamento per scopi commerciali. Tali siti internet sono riconducibili ad autonomi titolari del trattamento i quali, sulla base di uno specifico consenso degli interessati, avrebbero fornito i dati, acquisiti mediante appositi form on-line, a soggetti terzi (nel caso di specie ai responsabili di Sky) per finalità promozionali.

Con riferimento ad alcuni di tali siti internet (v. XX; XX; XX in allegato 17 bis “Cartella Leads”), gli screenshot prodotti – che, come detto, riproducono le pagine web come visualizzate dall’utente, il form on-line di raccolta dei dati, i testi delle informative e le formule di acquisizione degli asseriti consensi - non appaiono sufficientemente circostanziati dal momento che risultano privi di una specifica data. Ciò non consente, quindi, di verificare se i citati siti e i testi dell’informativa e dei consensi prodotti in sede di memoria difensiva fossero analoghi a quelli visualizzati dall’interessato al momento della raccolta on-line dei suoi dati personali mediante portali dedicati a concorsi a premi o ricerca di offerte. Pertanto, con riguardo alle utenze contattate via sms dai responsabili di Sky e acquisite mediante i citati siti internet (SMS1 – SMS4 – SMS8 – SMS11 – SMS12 – SMS13 – SMS16) non è possibile superare le descritte lacune riscontrate nella fase ricognitiva sull’origine dei dati e sui presupposti di liceità dei relativi trattamenti.

Anche i file excel riportanti i dettagli di tutti gli sms inviati e dei consensi asseritamente rilasciati all’originario titolare per la comunicazione a terzi (nell’allegato 17bis_Cartella Leads alla memoria difensiva del 19 febbraio 2024) non risultano idonei a certificare la volontà degli interessati. Sul punto il Garante ha in più occasioni sottolineato come la sola indicazione dell’indirizzo IP, abbinato alla data e all’ora di registrazione dell’utente al sito internet, non costituisce alcuna prova dell’espressione di una volontà inequivocabile degli interessati (v. provv. n. 429 del 15 dicembre 2022, doc. web n. 9852290, punto 3.3. “Sulla prova dell’acquisizione del consenso per attività di telemarketing e di comunicazione a terzi per finalità di marketing diretto”; provv. n. 437 del 26 ottobre 2017, doc. web n. 7320903, punto 3.3.; provv. n. 413 del 25 novembre 2021, doc. web n. 9737185, punto 4.2.; in www.gpdp.it); ciò soprattutto in assenza di ulteriori riscontri probatori che consentano di comprovare la valorizzazione positiva del consenso (infatti non appare la valorizzazione a “SI” dell’opzione di volontà espressa dagli interessati)¹. Peraltro si deve osservare che i file Excel nei quali sarebbero stati registrati i dettagli degli asseriti consensi rilasciati dagli interessati sono risultati modificabili e, in quanto tali, inidonei a comprovare, in modo inequivocabile, la volontà espressa dai medesimi in relazione al trattamento dei loro dati personali. Per quanto riguarda il requisito dell’immodificabilità del documento così formato, elemento essenziale per attestare pienamente l’espressione del consenso degli interessati, si richiamano le disposizioni, applicabili anche al settore privato, contenute nel Codice dell'Amministrazione Digitale (CAD-dLgs 82/2005) come integrate dalle “Linee guida sulla formazione, gestione e conservazione dei documenti informatici” adottate dall’Agid nel maggio 2021 (https://www.agid.gov.it/sites/agid/files/2024-05/linee_guida_sul_documento_informatico.pdf) in base alle quali “le caratteristiche di immodificabilità e di integrità sono determinate da una o più delle seguenti operazioni”, tra cui la “registrazione nei log di sistema dell’esito dell’operazione di formazione del documento informatico, compresa l’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema; [nonché] produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione” (v. punto 2.1.1. delle citate Linee guida – “Formazione del documento informatico”). In tale quadro, la documentazione prodotta da Sky, come già rappresentato, non attiene a record direttamente estratti dai sistemi informatici aziendali ma consiste in una mera trasposizione in formato Excel dei dati ivi contenuti; di conseguenza tale documentazione non può essere valutata sul piano probatorio in quanto privata delle caratteristiche di oggettività, integrità e immodificabilità.

Pertanto, al fine di verificare i consensi e le informative rilasciate al momento della raccolta dei dati, l’Ufficio ha eseguito l’accesso al servizio WayBack Machine – Internet Archive (web.archive.org) che conserva le istantanee (snapshot) delle home page dei siti internet e della relativa strutturazione anche in epoca risalente. Tali verifiche hanno quindi consentito di visualizzare alcuni dei siti internet indicati da Sky al momento o comunque attiguamente alla data dell’asserita acquisizione del consenso. All’esito degli accertamenti sono state appurare diverse criticità. In particolare:

1) con riferimento ai siti internet riconducibili alla società XX, con sede in Irlanda, è emersa l’acquisizione di un unico consenso per le distinte finalità di marketing del titolare e di comunicazione a terzi per loro attività promozionali (cit. “Agree to receive offers by email, phone, sms, postal from XX and other selected Partners with whom we will share your details” - sito internet XX); inoltre, è emerso che la registrazione al sito avrebbe comportato l’invio di e-mail promozionali da parte del titolare (cit. “By registering and entering you agree to the terms and conditions of the privacy statement that govern how your information will be processed. You also consent to XX, XX, to sending you emails updating you on offers and prizes” - sito internet XX) (v. figura di seguito).

Si deve precisare che la registrazione ad un sito si configura come un trattamento autonomo rispetto all’attività promozionale che il titolare intende perseguire. Nella fattispecie in esame, la registrazione al sito è risultata proposta, quale prestazione di fatto sinallagmatica, in cambio del rilascio del consenso al trattamento dei dati per finalità di marketing, accorpando in una formula unitaria e inscindibile le diverse finalità contrattuali (partecipazione a servizi offerti da XX) e promozionali.

Diversamente, all’esito della procedura di registrazione al portale XX, riconducibile anch’essa a XX, non è risultata richiesta alcuna espressa autorizzazione al trattamento dei dati personali (v. figura di seguito);

2) con riguardo, invece, al sito internet XX, riconducibile alla società XX, con sede a Londra, è stato accertato che al termine della registrazione dei dati per la partecipazione al concorso a premi sono richiesti all’utente due consensi facoltativi (1 - alla comunicazione a terzi per loro finalità di marketing; 2 - all’invio di comunicazioni commerciali); tuttavia il buon esito della procedura risulta essere subordinato all’accettazione del Regolamento del concorso e all’autorizzazione al trattamento “[…] come indicato nell’informativa privacy”. In assenza di tale accettazione, parrebbe che non sia possibile procedere ulteriormente e, quindi, partecipare alla selezione. Pertanto, secondo tale impostazione, a fronte di due specifici consensi per le distinte attività di trattamento ne viene richiesto uno ulteriore di carattere generale che, tuttavia, sembrerebbe ricomprenderle tutte e porsi quale condizione obbligatoria per poter usufruire del servizio, determinando di fatto una coazione della volontà dell’interessato (v. figura di seguito);

3) il citato list provider XX (che avrebbe fornito i dati degli intestatari delle utenze destinatarie degli SMS8, SMS12, SMS13 e SMS16) non indica nell’informativa privacy i recapiti del rappresentante nell’Unione europea (essendo il titolare extra-UE), come previsto dall’art. 27 del Regolamento; malgrado ciò, Sky ha comunque dato seguito all’acquisizione dei dati nonostante il divieto di utilizzo dei dati parimenti acquisiti in violazione della disciplina rilevante in materia di trattamento di dati personali, di cui all’art. 2-decies del Codice;

4) alcune delle utenze sono state contattate in base ad un consenso acquisito (e, come descritto, non adeguatamente documentato) in epoca risalente, e addirittura antecedente alla piena efficacia del Regolamento (2016) senza che risulti documentata l’effettuazione di verifiche tese a valutarne l’idoneità anche dopo il cambio del quadro normativo. Per alcune di esse, infatti, la raccolta può esser fatta risalire a quasi 10 anni prima dell’avvenuto contatto da parte di Sky. Al riguardo occorre sottolineare un fenomeno, di carattere più generale, in base al quale molti segnalanti (anche per altri titolari diversi da Sky) hanno evidenziato l’inconsapevolezza delle asserite iscrizioni, talune persino disconosciute dagli interessati stessi, soprattutto quando i relativi consensi sono stati forniti molti anni addietro. Alla luce di ciò, si deve osservare che, sebbene il solo decorso del tempo non sia un parametro sufficiente, di per sé, per valutare l’idoneità della base giuridica, il consenso al trattamento dei dati personali per finalità promozionali, in quanto massima espressione dell’autodeterminazione dell’individuo, deve ritenersi valido, indipendentemente dal tempo trascorso, finché non venga revocato dall’interessato, a condizione che sia stato correttamente acquisito in origine e che sia ancora valido alla luce delle norme applicabili al momento del trattamento nonché dei tempi di conservazione stabiliti dal titolare e indicati nell’informativa, nel rispetto dell’art. 5, par. 1, lett. e) del Regolamento (v.  provv.  n. 429 del 15 dicembre 2022, doc. web n. 9852290, punto 3.3., cit.; provv. n. 181 del 15 ottobre 2020, doc. web n. 9486485, punto 3.1. “Sull’idoneità del consenso acquisito per l’invio di comunicazioni promozionali”; in www.gpdp.it). Ciò posto, i tempi di conservazione indicati in alcune delle informative prodotte non sono risultati definiti in quanto facenti riferimento genericamente solo “ai tempi strettamente necessari ad espletare le finalità illustrate” (v. informative XX per il sito http://www.... e XX) oppure senza alcuna indicazione in tal senso (come nel caso del sito internet www... a XX). Ne deriva un trattamento di dati personali potenzialmente idoneo a dispiegare i suoi effetti per un tempo indeterminato, comprimendo notevolmente il controllo dell’interessato sulle informazioni che lo riguardano. In altre parole, se risulta esente da vizi un consenso, anche per finalità promozionali, espresso per un tempo indeterminato (salvo eventuale revoca), la conservazione dei relativi dati dovrebbe in ogni caso essere limitata in base a considerazioni sulla ragionevolezza del protrarsi dei trattamenti che il titolare avrebbe dovuto chiaramente esplicitare nell’informativa. Pertanto, in carenza di idonee informazioni sulla durata del trattamento e sulla correlata conservazione dei dati, anche l’espressione di volontà dell'interessato risulta irrimediabilmente viziata.

Alla luce di quanto sopra, si ritiene di confermare, per tali contatti promozionali, la responsabilità di Sky in relazione alle violazioni contestate (artt. 5, par. 1 lett. a; 6, par. 1 lett. a, del Regolamento e art. 130, commi 1 e 2, del Codice).

- Con riferimento ai punti b), f) e h) - relativi alle 13 utenze acquisite mediante il servizio “Call Me Now” presente sul canale social Facebook e sul sito sky.it, nonché tramite il comparatore XX - dall’analisi della documentazione offerta a supporto della raccolta del consenso specifico degli interessati all’attività di telemarketing di Sky, sono state rilevate le seguenti criticità.

Una delle 3 utenze acquisite mediante il servizio “Call Me Now”, presente sul canale social Facebook, risulta aver attivato la procedura di contatto ad aprile 2023 (precisamente in data 20/04/2023), quindi successivamente al periodo febbraio - marzo 2023 interessato dai contatti lamentati che, pertanto, risultano avvenuti in assenza di un’idonea base giuridica e in costanza dell’iscrizione della numerazione all’RPO (come da elenco prodotto dalla FUB il 2 ottobre 2023).

Con riferimento, invece, ai riscontri documentali inerenti alle 9 utenze acquisite mediante il portale del comparatore XX, da una verifica svolta dell’Ufficio accedendo al relativo sito internet www... (di titolarità del medesimo), è emerso che per finalizzare la registrazione al form on-line per ottenere una consulenza sulle migliori offerte Sky, viene richiesto di autorizzare il trattamento dei dati personali “propedeutico all’erogazione dei servizi descritti agli artt. 2.1. e 2.2.” dell’informativa privacy e per i quali sono richiamate le distinte basi giuridiche riconducibili al contratto, di cui all’art. 6, par. 1, lett. b) del Regolamento, e al legittimo interesse disciplinato dalla lett. f) del medesimo articolo.

In particolare, al punto 2.2. della predetta informativa è chiaramente rappresentato che “al fine di proseguire il proprio legittimo interesse [il titolare XX potrà trattare i dati] mediante l’invio di periodiche comunicazioni informative, commerciali […] tramite posta elettronica o tramite contatto telefonico diretto e/o SMS, ferma restando la facoltà da parte degli interessati di opporsi in ogni momento al trattamento”. Secondo tale impostazione, quindi, le comunicazioni promozionali effettuate mediante telefono o sms possono avvenire sulla base giuridica del legittimo interesse del titolare del trattamento. Ciò si pone in contrasto con la disciplina contenuta nell’art. 130 del Codice che ammette i contatti effettuati mediante sistemi automatizzati di chiamata senza intervento di un operatore solo con il consenso dell’interessato o dell’utente (opt-in) ovvero, nel caso di telefonate con operatore, in assenza di un espresso diniego (opt-out) che è possibile esercitare mediante l’iscrizione dell’utenza al Registro Pubblico delle Opposizioni. È pertanto evidente che, con riferimento agli strumenti di comunicazione elettronica (come il telefono o l’sms), altre basi giuridiche non risultano invocabili, salvo le ipotesi del cosiddetto “soft spam” di cui all’art. 130, comma 4, del Codice, in base al quale, al ricorrere di specifiche condizioni, è possibile l’invio di comunicazioni promozionali per la vendita diretta di servizi analoghi, senza il consenso dell’interessato, ma esclusivamente attraverso il canale della e-mail e sempre che l’interessato, adeguatamente informato, non rifiuti tale uso; la disposizione in esame, di carattere speciale e derogatoria della regola generale sul consenso, non è suscettibile di interpretazione estensiva. Pertanto, ogni comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso dalla e-mail ricade nella più generale disciplina dell’art. 130 del Codice, rendendo necessaria la individuazione dell’idonea base giuridica del consenso (v. provv. n. 9 dell’11 gennaio 2023, doc. web n. 9861941, in www.gpdp.it).

Sulla base di quanto sopra rappresentato, l’informativa di XX resa agli interessati risulta inidonea poiché richiama una base giuridica non corretta per lo svolgimento delle attività di marketing mediante operatore telefonico o sms. A nulla rileva la presenza nell’informativa in parola di paragrafi dedicati ai trattamenti effettuati per finalità di marketing, anche di terzi, e di profilazione, per i quali è indicato correttamente il consenso quale presupposto di liceità (v. punti. 2.3, 2.4, 2.5) se poi, nell’impostazione del citato form on-line, tale consenso non viene richiesto in modo libero e specifico.

L’accettazione obbligatoria al trattamento dei dati personali ad esito della descritta procedura di consulenza, comporta di fatto l’acquisizione dei dati per finalità connesse non soltanto all’erogazione del servizio richiesto ma anche ad iniziative commerciali che il titolare potrà perseguire mediante telefono o sms, determinando una coazione della volontà dell’interessato. Peraltro, l’inidoneità dell’adempimento informativo è destinata a riverberarsi negativamente sull’espressione di volontà dell’interessato che, quindi, risulta viziata.

Con riferimento all’utenza acquisita mediante il servizio “Call Me Now” presente sul sito sky.it, non risultano agli atti elementi circostanziati che consentano di definire correttamente modalità e tempi di acquisizione dei dati personali, nonché dell’eventuale autorizzazione al contatto. Infatti, la documentazione sulla procedura del ricontatto, prodotta in relazione alla citata utenza (v. allegato 22 alla memoria difensiva del 19 febbraio 2024), non può sanare tale carenza in quanto nella stessa sono indicate meramente le modalità operative connesse al servizio offerto che non garantiscono la prova della data e delle circostanze di acquisizione dei dati dell’interessato. Né la lista prodotta da Sky (All. 13_Gruppo B_New Contract) consente di ricostruire correttamente la volontà dell’interessato dal momento che nella stessa lista appaiono indicate le sole informazioni connesse agli aspetti contrattuali; essa non permette di comprendere se, quando e come l’interessato abbia espresso il consenso al contatto e se, quando e come lo abbia eventualmente revocato (in aderenza al principio di accountability del titolare, di cui agli artt. 5, par. 2, e 24 del Regolamento).

Alla luce di quanto sopra, anche per tale porzione di chiamate, deve confermarsi la sussistenza delle violazioni indicate nell’atto di contestazione (artt. 5, par. 1 lett. a; 6, par. 1 lett. a, del Regolamento e art. 130 del Codice).

Per completezza, va rappresentato che per gli ulteriori 63 contatti, Sky ha comprovato l’idoneità della base giuridica e dell’informativa e i medesimi; essi, pertanto, devono essere scorporati dal calcolo complessivo dei contatti, anche ai fini della commisurazione della sanzione.

4.3. Sui trattamenti relativi al servizio NOW

Con riferimento al punto 3.2.3. si ritiene di confermare le argomentazioni dell’Autorità in sede di contestazione dal momento che la comunicazione ricevuta dall’interessato, come da evidenze prodotte, presenta una natura commerciale in quanto finalizzata a promuovere i servizi NOW con invito ad attivare un nuovo abbonamento. Tale comunicazione è avvenuta in assenza del consenso preventivo dell’interessato e sull’assunto che l’esistenza di un account NOW possa giustificarne l’invio. La circostanza descritta parrebbe non rappresentare un caso isolato ma costituire un modus operandi della Società che ritiene lecito l’invio di sms verso i titolari di account accesi sulla piattaforma NOW, indipendentemente dall’eventuale consenso dell’interessato. Pertanto, si ritiene integrata la violazione dell’art. 6, par. 1, lett. a) del Regolamento nonché dell’art. 130, commi 1 e 2, del Codice. 

Per un quadro più completo dei trattamenti, occorre, infine, osservare che, nel corso del procedimento, l’interessato ha rappresentato di aver ricevuto telefonate indesiderate, nelle date del 22 e 24 febbraio 2024, dal contenuto promozionale anche dopo l’opposizione manifestata nel corso dei citati contatti. La Società, nell’ambito delle interlocuzioni con l’interessato, intervenute mediante e-mail e inviate al Garante “per conoscenza”, ha invero qualificato le telefonate lamentate come “comunicazioni di servizio”, motivando in tali termini la realizzazione dei contatti in assenza di uno specifico consenso. Indipendentemente dalla natura dei contatti (promozionali o di servizio), non risulta che la Società abbia tempestivamente registrato l’opposizione manifestata dall’interessato che può essere esercitata “in qualsiasi momento” (art. 21, par. 2, del Regolamento) e che, in ogni caso, prevale anche su un eventuale originario consenso, pur libero e specifico, fornito per finalità promozionali (art. 7, par. 3, del Regolamento). Tale segnalazione, in quanto successiva all’atto di avvio del procedimento del 19 gennaio 2024, non sarà presa in considerazione nella quantificazione dell’importo sanzionatorio.

5. CONCLUSIONI

Per quanto sopra esposto, si ritiene accertata la responsabilità di Sky in ordine alla violazione delle seguenti disposizioni:

1. artt. 5, par. 1, lett. a); 6, par. 1, lett. a) del Regolamento e art. 130 del Codice per aver utilizzato, per finalità promozionali, i dati degli interessati acquisiti da soggetti terzi senza verificare adeguatamente l’esistenza di un consenso che rispettasse i requisiti di libertà e specificità, e che tenesse conto del rilascio, sempre dai predetti soggetti terzi, di una idonea informativa (anch’essa condizione di legittimità della comunicazione dei dati a Sky) in cui sia indicata la corretta base giuridica dell’attività commerciale e tutti gli elementi necessari per la piena consapevolezza dei trattamenti; ciò sia in riferimento all’attività promozionale effettuata tramite gli sms per il ricontatto inviati dai fornitori/responsabili per conto di Sky, sia con riguardo alle telefonate indirizzate ad utenze trasmesse dal comparatore XX o anche mediante procedura “Call Me Now” e, più in generale, con riferimento a numerazioni iscritte al Registro Pubblico delle Opposizioni;

2. art. 6, par. 1, lett. a) del Regolamento nonché dell’art. 130, commi 1 e 2, del Codice per aver realizzato comunicazioni promozionali (sms) in assenza del consenso preventivo dell’interessato e sull’assunto che l’esistenza di un account NOW potesse autorizzarne l’invio.

Accertata l’illiceità delle descritte condotte della Società, si rende necessario:

- con riferimento al punto 1), ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, vietare ogni ulteriore trattamento con finalità commerciali in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso effettuati nei confronti degli interessati i cui dati sono confluiti nel database della Società, e senza aver consultato il Registro Pubblico delle Opposizioni prima di ogni campagna promozionale;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, con riferimento agli eventuali futuri trattamenti di cui al punto 1), ingiungere alla Società di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 14 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di adottare misure adeguate a contestualizzare la volontà dell’interessato ad essere contattato dalla Società mediante la procedura “Call Me Now”, registrando nei sistemi le modalità e i tempi di acquisizione dei dati personali, nonché l’eventuale autorizzazione al contatto (artt. 5, par. 2 e 24 del Regolamento);

- con riferimento al punto 2) imporre a Sky, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionali dei dati collegati ad account aperti sulla piattaforma NOW in assenza di uno specifico consenso al marketing degli interessati.

Si ritiene altresì, con riguardo ai trattamenti già realizzati e con finalità dissuasiva, che sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i), e 83, par. 5, del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sky Italia S.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1) la gravità delle violazioni rilevate riferite a condotte “di sistema” in quanto radicate nella procedura societaria, con particolare riferimento all’assenza di adeguate verifiche a campione sulle numerazioni da contattare fornite da terzi, anche per il tramite dei responsabili del trattamento (incaricati dell’invio dell’sms per il ricontatto di Sky), nonché con riguardo alle comunicazioni promozionali indirizzate ad utenze collegate ad account “NOW” (art. 83, par. 2, lett. a del Regolamento);

2) il carattere negligente delle condotte posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo, anche in ragione del provvedimento sanzionatorio del quale Sky è stata destinataria nel 2021 (art. 83, par. 2, lett. b del Regolamento).

Quali elementi attenuanti, si ritiene di dover tener in conto:

1)del tempestivo inserimento nella Black List di Sky delle utenze di cui alle 275 segnalazioni pervenute all’Autorità, già prima dell’avvio del procedimento e non appena la Società ha avuto contezza della volontà di opposizione degli interessati all’ulteriore trattamento, registrando contestualmente a sistema la revoca dei consensi eventualmente prestati in precedenza (art. 83, par. 2, lett. c del Regolamento);

2) delle categorie di dati personali interessate dalla violazione che ha riguardato solo dati anagrafici e di contatto degli interessati (art. 83, par. 2, lett. g del Regolamento);

3) dell’elevato grado di cooperazione nell’interazione con l’Autorità di controllo tale da rendere agevole, nonostante le dimensioni della Società e della complessità dei trattamenti, lo svolgimento delle attività di indagine (lett. 83, par. 2, lett. f del Regolamento);

4) la circostanza che, nel precedente provvedimento sanzionatorio adottato dal Garante (n. 332 del 16 settembre 2021), Sky ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 58, par. 2, lett. e del Regolamento.

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, si ritiene debba applicarsi a Sky Italia S.r.l. la sanzione amministrativa del pagamento di una somma di euro 842.062,00, pari all’1% della sanzione edittale massima.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della violazione di principi consolidati nei provvedimenti del Garante (v. il consenso libero e specifico per le diverse finalità del trattamento), nonché dell’elevato numero dei soggetti potenzialmente coinvolti nel trattamento in esame.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della società Sky Italia S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Via Monte Penice 7, P. IVA: 04619241005 e, per l’effetto:

- ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, con riferimento al paragrafo 5, punto 1), vieta ogni ulteriore trattamento con finalità commerciali in assenza di adeguate verifiche sugli adempimenti in materia di informativa e consenso effettuati nei confronti degli interessati i cui dati sono confluiti nel database della Società, e senza aver consultato il Registro Pubblico delle Opposizioni prima di ogni campagna promozionale;

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, con riferimento agli eventuali futuri trattamenti di cui al citato punto 1), ingiunge alla Società di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7 e 14 del Regolamento nonché 130 del Codice;

- ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di adottare misure adeguate a contestualizzare la volontà dell’interessato ad essere contattato dalla Società mediante la procedura “Call Me Now”, registrando nei sistemi le modalità e i tempi di acquisizione dei dati personali, nonché dell’eventuale autorizzazione al contatto (artt. 5, par. 2 e 24 del Regolamento);

- ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, con riferimento al punto 2), impone a Sky il divieto di ogni ulteriore trattamento con finalità promozionali dei dati collegati ad account aperti sulla piattaforma NOW in assenza di uno specifico consenso al marketing degli interessati;

- ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Sky Italia S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 842.062,00 (ottocentoquarantaduemilasessantadue/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 842.062,00 (ottocentoquarantaduemilasessantadue/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

_________

1) Al riguardo, il Garante, nel provvedimento n. 192 del 12 maggio 2021 (doc. web n. 9670025, in www.gpdp.it) ha ritenuto idonea, ai fini di un riscontro probatorio, la produzione di record, estratti dal software gestionale delle società, attestanti la registrazione e la valorizzazione del consenso, della data e dell’ora in cui sarebbe stato fornito, con evidenza dei singoli flag apposti dagli interessati tramite modalità point and click; ancora, al fine di garantire un maggior grado di certezza circa la genuinità della manifestazione del consenso, il Garante ha più volte richiamato la prassi di inviare un messaggio di conferma al recapito indicato in fase di iscrizione (v., a titolo esemplificativo, il provvedimento n. 429 del 15 dicembre 2022, cit.).