VEDI ANCHE Newsletter del 28 febbraio 2025

[doc. web n. 10105764]

Provvedimento del 12 dicembre 2024

Registro dei provvedimenti
n. 774 del 12 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

Con atti n. 158162 del 25 novembre 2023 (fasc. 178557), n. 25394 del 29 febbraio 2024 (fasc. 173400) e 158163 del 25 novembre 2023 (fasc. 262138), che qui devono intendersi integralmente richiamati e riprodotti, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5 del Codice, tre procedimenti per l’adozione dei provvedimenti di cui all’art. 58, par. 2 e delle sanzioni amministrative pecuniarie di cui all’art. 83, parr. 4 e 5 del Regolamento nei confronti di Wind Tre S.p.A., (di seguito “Wind Tre” o “la Società).

In particolare il primo procedimento (fasc. 178557) trae origine da una verifica d'ufficio volta al controllo delle attività di trattamento poste in essere per finalità promozionali nell'ambito delle più generali attività di contrasto al telemarketing selvaggio.

Gli altri due procedimenti invece originano da altrettanti reclami relativi, in un caso, all'invio di comunicazioni promozionali senza consenso (fasc. 173400) e, nell'altro, ad una violazione di dati personali (fasc. 262138).

I tre procedimenti, avviati separatamente nei confronti dello stesso titolare, vertono su questioni del medesimo tenore (il trattamento dei dati per finalità promozionale e l'adeguatezza delle misure tecniche e organizzative) pertanto, al fine di promuoverne l’esame organico e attuare i principi di economicità e celerità di cui all’art. 9 del regolamento interno n. 1/2019 (in www.gpdp.it, doc. web n. 9107633), si è resa opportuna la trattazione congiunta degli atti ai sensi e per gli effetti del successivo art. 10 del medesimo regolamento.

Nella fattispecie, inoltre, la trattazione congiunta appariva maggiormente idonea a garantire il diritto di difesa e l’esigenza di non aggravare il procedimento.

PROCEDIMENTO 178557

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Il procedimento trae origine da una istruttoria avviata d’ufficio dall’Autorità nell’ambito dei compiti di sorveglianza individuati dall’art. 57, par. 1, lett. a) del Regolamento, in diretta connessione con gli esiti del provvedimento n. 143 del 9 luglio 2020 (in www.gpdp.it, doc. web n. 9435753) con il quale, fra l’altro, sono state impartite alla Società delle prescrizioni ai sensi dell’art. 58, par. 2, lett. d), del Regolamento.

In particolare, nell’ambito delle istruttorie avviate per contrastare il fenomeno del telemarketing illecito è stata effettuata un’attività ispettiva presso Wind Tre nei giorni 10 e 11 ottobre 2022.

Nel corso di tali accertamenti la Società ha descritto le misure adottate per la realizzazione delle campagne di telemarketing facendo presente che le vigenti modalità operative sarebbero state presto sostituite da procedure più stringenti con l’obiettivo di ottenere il controllo totale della filiera ed evitare l’effettuazione di attività promozionali non consentite e non conosciute dal titolare del trattamento.

L’attività ha consentito di verificare, accedendo direttamente ai sistemi, il funzionamento delle procedure in essere a partire da specifici contratti attivati nel mese precedente, per i quali si è chiesto di documentare la liceità dei relativi contatti; inoltre sono state verificate alcune numerazioni oggetto di segnalazione al Garante; in particolare, in corso di ispezione i funzionari dell’Autorità hanno consegnato a Wind Tre tutte le segnalazioni ricevute nel periodo ottobre 2021 - settembre 2022 chiedendo al titolare di fornire osservazioni al riguardo. Alcune verifiche sono state effettuate in loco su un piccolo campione di tali segnalazioni.

Alcuni elementi sono stati acquisiti direttamente nel corso delle giornate di accertamento mentre per altri aspetti la Società ha fatto riserva di produrre successive integrazioni (presentate con nota n. 845.22 del 4 novembre 2022).

Successivamente, le informazioni sono state aggiornate e integrate in ragione della progressiva implementazione delle misure migliorative programmate o in risposta a richieste di informazioni dell’Ufficio. In particolare, con nota prot. 55088 del 31 marzo 2023, l’Ufficio ha richiesto a Wind Tre di fornire un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi di comunicazione elettronica nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi, suddivise fra “consumer” e “business” dettagliando alcuni specifici elementi; contestualmente è stato richiesto alla Società di fornire alcune precisazioni in merito a quanto acquisito nel corso dell’accertamento ispettivo e della successiva integrazione delle riserve.

Da tale complessiva istruttoria sono emersi alcuni profili che l'Ufficio ha ritenuto potenzialmente configurabili come illeciti trattamenti di dati personali. Di seguito si riassumono i profili rinvenuti e l'esito delle valutazioni effettuate dopo la fase difensiva, rinviando per il dettaglio all'atto di avvio del procedimento del 25 novembre 2023, prot. n. 158162, nonché alla memoria difensiva presentata da Wind Tre il 12 gennaio 2024 e al verbale di audizione della parte del 5 settembre 2024 che si intendono qui integralmente richiamati.

1.1 Utilizzo di numerazioni non iscritte al ROC (Registro degli Operatori di Comunicazione)

In sede di accertamento ispettivo (cfr. verbale 10 ottobre 2022) Wind Tre ha dichiarato che i partner, prima di essere contrattualizzati, sono sottoposti ad un procedimento di pre-qualifica e, successivamente con cadenza annuale, vengono monitorati con un questionario di self-assessment ed eventuali audit.

Successivamente la Società, su specifica richiesta dell’Ufficio, ha descritto le modalità di acquisizione e verifica delle numerazioni utilizzate dai partner per effettuare le chiamate promozionali (cfr. all.2, lett. h alla nota del 5 maggio 2023):

- i teleseller devono comunicare preventivamente le numerazioni utilizzate e Wind Tre provvede a verificarle presso il ROC; la numerazione viene quindi acquisita nel sistema CM (Campaign Management) con inserimento autonomo da parte del partner;

- i punti vendita provvedono a caricare le numerazioni uscenti unitamente ad un documento che certifica l’iscrizione al ROC; successivamente il sistema “effettua un controllo direttamente con il ROC bloccando il caricamento per i numeri non conformi alle verifiche”.

Nella medesima nota del 5 maggio, la Società ha fornito riscontro alla richiesta dell'Ufficio di produrre l'elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi di comunicazione elettronica nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi. L'Ufficio ha verificato i dati riportati nel file relativo alla clientela consumer notando che molte delle numerazioni chiamanti non risultavano presenti nel ROC interrogando il sistema di ricerca disponibile al link https://www.agcom.it/numerazionicallcenter. Pertanto, con nota prot. 92564 del 13 giugno 2023 l’Ufficio ha richiesto di “produrre la documentazione attestante l’iscrizione al ROC (con indicazione delle numerazioni iscritte con rispettive date)” per 19 specifici partner.

La Società ha fornito risposta con nota n. 544.23 del 27 giugno 2023 allegando “la documentazione certificata dal ROC, prodotta dai partner”. Da un esame di tale documentazione, molte delle numerazioni utilizzate dai partner risultavano iscritte al ROC in date successive a quelle in cui erano state effettuate le chiamate promozionali che avevano portato all’attivazione dei contratti.

In fase difensiva la Società ha tuttavia chiarito che la documentazione prodotta recava solo l'ultima registrazione presente nel ROC poiché la consultazione di detto registro non mostra lo storico delle iscrizioni pregresse ma solo l'ultimo aggiornamento. Pertanto ha provveduto ad allegare, per ognuno dei partner in esame, la documentazione attestante l'originaria iscrizione, avvenuta in data antecedente ai contatti telefonici.

I chiarimenti e la documentazione prodotti in fase difensiva consentono di superare le contestazioni mosse nell'atto di avvio del procedimento. Per tale profilo, dunque, non si rinvengono violazioni.

1.2 Capacità di comprovare il consenso degli interessati per finalità promozionali e validità dei consensi registrati

Nel corso dell’accertamento ispettivo (cfr. verbale 11 ottobre 2022) è stata esaminata una lista di contratti attivati dai partner nel mese di settembre 2022 a partire da liste fredde; rinvenendo che 15 di questi contratti risultavano attivati su numerazioni diverse da quelle previste per la campagna promozionale, è stato chiesto di fornire chiarimenti. La Società ha fornito riscontro con la nota di integrazione delle riserve del 4 novembre 2022 (nel documento denominato “allegato G”) indicando, per ognuna delle 15 numerazioni, il partner che aveva effettuato la chiamata, la data dell’ultimo contatto e il numero chiamante; per ogni numerazione inoltre ha allegato degli IP timestamp per documentare il consenso.

Al fine di accertare la liceità del trattamento connesso all’acquisizione di tali dati da parte dei partner, l’Ufficio ha richiesto di fornire “anche le legende relative ai timestamp, per interpretare i campi consenso riportati nelle tabelle, nonché le rispettive formule di richiesta del consenso e le informative rese agli interessati al momento della raccolta di detti consensi”.

La Società ha fornito riscontro il 5 maggio 2023 riportando, per ogni numerazione contattata, la legenda del relativo timestamp senza tuttavia allegare copia delle formule di richiesta dei consensi e delle informative rese agli interessati al momento della raccolta; è stato pertanto richiesto alla Società di integrare tali informazioni che sono state infine trasmesse con nota del 27 giugno 2023.

Dall’esame del menzionato allegato G è emerso quanto segue:

1.2.1 evidenze partner XX

Ai punti da 1 a 5 dell'allegato G risultava che il partner XX aveva attivato dei contratti contattando telefonicamente 5 numerazioni estratte da una lista realizzata dalla XX S.r.l. con sede in Moldavia attraverso il sito www.listeprofilate.com.

Il 22 febbraio 2024 l'Ufficio ha provveduto a verificare il sito www.listeprofilate.com e la relativa informativa privacy rinvenendo che il titolare del trattamento, XX S.r.l., non aveva nominato un rappresentante in UE come previsto dall’art. 27 del Regolamento; tale verifica è stata effettuata accedendo al sito www.listeprofilate.com sia nella versione pubblicata on line il 22 febbraio 2024, sia nella versione che risultava presente in www.webarchive.org in date antecedenti (29 gennaio 2022 e 9 giugno 2023). Inoltre, risultavano indicati nell’informativa dei tempi di conservazione di 24 mesi per le finalità promozionali e di 12 mesi per la profilazione ma il timestamp al punto 1 dell’allegato G riportava una data di “expire” di 3 anni successiva alla raccolta. I dati, acquisiti tra luglio e dicembre 2020, risultavano infatti utilizzati per attivare contratti nel mese di settembre 2022. Rilevate tali criticità, l’Ufficio, con nota del 31 marzo 2023, ha richiesto di “descrivere le verifiche effettuate sul partner XX sia in fase di accreditamento sia al momento dell’autorizzazione delle liste utilizzate per la campagna promozionale che ha portato all’attivazione dei contratti relativi ai [5] numeri”. La Società ha risposto il 5 maggio 2023 (cfr. all.2 alla nota n. 379.23, punto e) dichiarando di aver acquisito della documentazione dal partner prima di autorizzare l’utilizzo della lista fredda. L’Ufficio quindi, con nota del 13 giugno 2023, ha chiesto a Wind Tre di esibire la documentazione relativa a tali verifiche. Con nota del 27 giugno 2023 (cfr. all. 7 alla nota n. 544.23) la Società ha prodotto un’informativa che però era relativa alla Società XX SAS con sede ad Aix-en-Provence (Francia), della documentazione contrattuale relativa ad accordi con XX S.r.l.s. e delle prove di raccolta dei consensi relative a siti web diversi da www.listeprofilate.com (documentazione dunque che non aveva alcuna attinenza con la lista acquisita da XX S.r.l.). L'Ufficio pertanto ha contestato a Wind Tre, con l'atto di avvio del procedimento, che i consensi degli interessati non risultavano adeguatamente comprovati e che le criticità rilevate sul sito di raccolta dei dati sarebbero state agevolmente verificabili anche da Wind Tre in sede di accreditamento preliminare del partner.

In fase difensiva la Società, con riguardo all'utilizzo delle numerazioni dopo 24 mesi dalla raccolta, ha dichiarato che il partner XX avrebbe fornito prova del "rinnovo dei consensi per le numerazioni indicate" e ha allegato al riguardo i nuovi timestamp del partner da cui risultano date di rilascio dei consensi comprese tra il 13 dicembre 2021 e il 28 novembre 2022.

Invece, in merito alla contestata inidoneità del partner per mancanza di un rappresentante in Europa, la Società ha trasmesso l'informativa privacy del sito www.listeprofilate.com fornita dal partner nella quale è indicato il rappresentante in Europa. Tale informativa tuttavia non riporta alcuna data e non è dunque idonea a comprovare che tale requisito fosse presente al momento dell'accreditamento del partner da parte di Wind Tre, tenuto anche conto del fatto che le verifiche d'ufficio avevano comunque riscontrato tale carenza.

Per tali ragioni, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono superabili e si conferma la violazione degli artt. 5, par. 2, 24 e 28 del Regolamento in ragione dell'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability) e per l'inadeguato controllo sul responsabile per i trattamenti finalizzati alla realizzazione delle campagne promozionali. Inoltre, in considerazione del fatto che i consensi così raccolti dal partner non potevano considerarsi leciti, si conferma anche la violazione degli artt. 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice.

1.2.2 evidenze partner XX

Ai punti da 6 a 8 del menzionato allegato G erano riportate tre numerazioni utilizzate da XX S.r.l. per l'attivazione di contratti e veniva indicata come fonte dei dati la lista formata a partire dal sito https://...; per una di queste numerazioni il consenso risultava acquisito il 16/04/2020; in base a quanto indicato nell’informativa i dati avrebbero dovuto essere conservati per 24 mesi ma la numerazione era stata contattata dal partner il 30/09/2022. Anche in questo caso l’Ufficio ha richiesto a Wind Tre di “descrivere le verifiche effettuate sul partner XX Srl al momento dell’autorizzazione delle liste utilizzate per la campagna promozionale che ha portato all’attivazione dei contratti relativi ai numeri: XX, XX, XX”. La Società ha risposto il 5 maggio 2023 (cfr. all. 2 alla nota n. 379.23, punto f) dichiarando di aver acquisito della documentazione dal partner prima di autorizzare l’utilizzo della lista fredda. Su richiesta dell’Ufficio, con nota del 27 giugno 2023 (cfr. all. 8 alla nota n. 544.23) la Società ha prodotto l’informativa privacy di XX S.r.l. e le immagini relative alle schermate di raccolta consensi utilizzate sul web. In fase difensiva la Società ha dichiarato che l'informativa privacy di XX autorizzata da Wind Tre nel 2020 era diversa da quella attualmente pubblicata e indicava che il consenso era valido fino alla revoca da parte dell'utente. Anche in questo caso si evidenzia che la Società non è stata in grado di dare immediata evidenza dei trattamenti effettuati: sono state infatti necessarie diverse interlocuzioni per ottenere i documenti ma solo in fase difensiva è stata prodotta l'informativa presentata all'utente al momento della raccolta dei dati. Peraltro una formulazione così generica dei tempi di conservazione dei dati non può essere comunque considerata adeguata perché il consenso per finalità di marketing è, sì, valido fino a revoca ma pur sempre nei limiti temporali di conservazione stabiliti dal titolare e resi noti attraverso l'informativa.

Per tali ragioni, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono superabili e si conferma la violazione degli artt. 5, par. 2, e 24 del Regolamento in ragione dell'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability) e per l'inadeguatezza delle verifiche effettuate prima di acquisire la lista del partner, tenuto conto che l'illiceità relativa al tempo di conservazione dei dati era agevolmente rilavabile dal titolare.

Inoltre, in considerazione del fatto che i consensi così raccolti dal partner non potevano considerarsi leciti, si conferma anche la violazione degli artt. 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice.

1.2.3 evidenze partner XX

Il partner XX risultava aver usato dati acquisiti tramite il sito www.vincosubito.it per il quale risultava titolare XX srl. L’informativa presente in tale sito non indicava il tempo di conservazione dei dati per le finalità promozionali; in essa si leggeva infatti che “I tuoi dati personali saranno conservati per un periodo di tempo non superiore agli scopi per i quali essi sono stati raccolti. Potremmo mantenere i tuoi dati fino 10 (dieci) anni, ovvero per il maggior termine prescrizionale applicabile, per dimostrare di aver ottenuto il tuo consenso, salvo che non sia indispensabile conservare tali dati per un periodo maggiore ed in conformità con la normativa applicabile. In ogni caso, non tratteremo i tuoi dati per le finalità di marketing per detto intero periodo. In qualsiasi momento puoi esercitare i tuoi diritti indicati di seguito”. In fase difensiva, Wind Tre ha dichiarato che il partner ha confermato i tempi di conservazione descritti nell'informativa ed ha aggiunto che comunque la Società li ha utilizzati per un periodo non superiore a 24 mesi. Anche in questo caso, si deve rilevare l'inadeguatezza della formulazione che, non consentendo all'interessato di avere una corretta informazione, determina l'invalidità del consenso rilasciato da quest'ultimo.

Per tali ragioni, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono superabili e si conferma la violazione degli artt. 5, par. 2, e 24 del Regolamento in ragione dell'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability) e per l'inadeguatezza delle verifiche effettuate prima di acquisire la lista del partner, tenuto conto che l'illiceità relativa al tempo di conservazione dei dati era agevolmente rilavabile dal titolare. In considerazione poi del fatto che i consensi così raccolti dal partner non potevano considerarsi leciti, si conferma anche la violazione degli artt. 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice.

1.2.4 numerazione senza riscontro

Tra le numerazioni oggetto di verifica, era stato chiesto a Wind Tre di documentare il consenso anche per la numerazione XX; tuttavia tale utenza non è stata riportata nel menzionato allegato G e pertanto è stato contestato a Wind Tre che non era stata documentata l'esistenza di un consenso preventivo per effettuare la chiamata. In fase difensiva la Società ha dichiarato di aver omesso l'informazione per mero errore materiale e ha prodotto una dichiarazione del partner XX S.r.l. contenente il timestamp del consenso rilasciato dall'utente. In tale documento risulta una voce "consenso terzi" con due caselle valorizzate a "si" ma, essendo privo della relativa legenda, non si ha certezza del significato di tale fonte documentale né è stata fornita documentazione utile a tal fine.
Per tali ragioni, nonostante il riscontro tardivamente fornito, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono del tutto superabili e si conferma la violazione degli artt. 5, par. 2, e 24 del Regolamento in ragione dell'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability). Inoltre, tenuto conto che dal documento prodotto risulta che i dati sono stati acquisiti tramite il portale www.vincosubito.it, facendo rinvio a quanto descritto al punto precedente, si conferma anche la violazione degli artt. 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice.

1.2.5 Validità degli IP timestamp

Nell'atto di avvio del procedimento è stato contestato alla Società che nei documenti di prova del consenso, inseriti nell’allegato G, erano riportati degli IP timestamp che verosimilmente attestavano le date di registrazione ai rispettivi siti da cui erano stati raccolti i dati ma non documentavano necessariamente anche la data di rilascio dei singoli consensi (che risultavano comunque differenziati per finalità). Se infatti il conferimento di un consenso può essere contestuale alla registrazione ad un sito web, è sempre possibile che successivamente tale consenso possa essere revocato oppure che un consenso non rilasciato al momento dell’iscrizione venga modificato in data successiva; tale circostanza peraltro si è verificata nel caso, sopra descritto, del partner XX, per il quale la Società ha dichiarato che i consensi erano stati utilizzati oltre il termine di 24 mesi perché "rinnovati" dal partner.

Di tali eventuali modifiche della datazione dei consensi non vi era traccia nei documenti prodotti, né avrebbe potuto essere diversamente dal momento che non erano presenti campi atti a distinguere la datazione dei singoli consensi dalla data di iscrizione al servizio o al sito web (i campi riportano solo una valorizzazione del tipo SI/NO). Pertanto tali documenti attestavano, al massimo, la data della raccolta dei dati ma non erano idonei a dimostrare con certezza anche la data dei singoli consensi. Del resto, come visto in relazione alle evidenze prodotte dal partner XX, il consenso dell'utente era stato rinnovato in un momento successivo a quello documentato con l'iscrizione e di tale circostanza non era stata tenuta traccia. Occorre invece tenere presente che, se la data di rilascio del consenso non può essere accertata, non è neanche possibile documentare che esso fosse presente al momento del contatto promozionale poiché la documentazione prodotta appare essere solo una fotografia statica di quanto presente nei sistemi al momento dell’estrazione. Al riguardo la Società, in fase difensiva, si è limitata a dichiarare che "tutti i partner hanno confermato che la data presente nel Time Stamp è la medesima dell'inserimento dei dati nel sito da parte dell'utente che ha fornito il consenso al contatto commerciale. Infatti per tali tipologie di leads calde non è prevista alcuna registrazione preventiva ad alcun sito o portale". Tale affermazione tuttavia pare essere probabilmente frutto di un malinteso dal momento che le numerazioni oggetto di esame - riferendosi esclusivamente a quelle di cui è stato dato conto nel menzionato allegato G e nelle successive interlocuzioni - sono state tutte estratte da liste fredde come dichiarato dalla stessa Wind Tre e come del resto risulta evidente dalla documentazione prodotta: i siti da cui sarebbero stati raccolti i dati sono siti che prevedono - almeno in apparenza -  una registrazione per ottenere un servizio o per la partecipazione a concorsi e la data di raccolta dei dati personali (che, come detto, a volte era anche superiore ai 24 mesi) non è compatibile con il termine di 72 ore imposto da Wind Tre per l'effettuazione di chiamate su numerazioni cosiddette "lead".

Si deve comunque tenere in considerazione il fatto che, stando a quanto dichiarato da Wind Tre, a far data dal 1° Dicembre 2022 – solo per la clientela consumer - la Società ha sospeso l’acquisto di liste prospect (liste fredde) da parte dei fornitori (acquistate autonomamente o da soggetti terzi in qualità di list provider); di conseguenza, ad oggi, la Società effettua le campagne promozionali solo sulla customer base (clienti ed ex clienti) o su liste lead (liste calde), cioè generate da interazioni sul web e sui social per raccogliere contatti di soggetti interessati ai prodotti e servizi della Società. In quest’ultimo caso il contatto deve avvenire entro 72 ore dalla manifestazione di interesse da parte dell’utente e la raccolta di un contatto lead è seguita da un sms all’utente per accertarne la consapevolezza.

Per tali ragioni, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono superabili e si conferma - per le condotte descritte - la violazione degli artt. 5, par. 2, e 24 del Regolamento in ragione dell'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability) e per l'inadeguatezza delle verifiche effettuate prima di acquisire la lista del partner, tenuto conto che l'illiceità relativa alla documentazione del consenso era agevolmente rilavabile dal titolare. Inoltre, in considerazione del fatto che i consensi così raccolti non potevano considerarsi leciti, si conferma anche la violazione degli artt. 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice.

1.3  Comunicazioni promozionali effettuate in assenza di consenso

Nel corso dell’attività in loco sono state verificate alcune numerazioni di soggetti che avevano presentato segnalazioni al Garante, i cui esiti sono riportati nel verbale dell’11 ottobre 2022. Su alcune posizioni la Società ha fornito chiarimenti in corso di istruttoria.

In un caso (fasc. 133372- segnalante XX), le argomentazioni difensive non sono state sufficienti a superare i rilievi mossi. Infatti il contatto alla segnalante è risultato presente nel sistema, essendo stato effettuato dal partner XX con successiva iscrizione in black list della numerazione; è stato dunque richiesto a Wind Tre di documentare le verifiche preliminari effettuate su tale partner dando evidenza dell’originario consenso dell’interessata. Con nota del 4 novembre 2022 Wind Tre ha comunicato che nei propri sistemi tutti i consensi relativi all’utenza interessata risultavano negati sin dalla data di attivazione; la numerazione era stata utilizzata dal partner XX utilizzando liste proprie acquisite, a sua volta, dal fornitore XX; contestualmente Wind Tre ha prodotto una email di riscontro inviata alla segnalante il 22 marzo 2022, nella quale si dichiara che l’utenza “non risulta rientrata in nessuna campagna commerciale di Wind Tre, ma transitata nelle liste del partner XX in virtù del consenso prestato” aggiungendo di aver “provveduto alla revoca del consenso”. Riguardo a detto caso si evidenzia che i consensi erano negati sin dall’attivazione dell’utenza e la signora XX aveva esercitato l'opposizione a Wind Tre anche tramite raccomandata del 02 marzo 2018 (relativa ad altra utenza ma estesa genericamente anche a tutte le sue numerazioni Wind Tre attive).

Pertanto, l’interessata non aveva mai conferito alcun consenso e, anzi, aveva scritto nel 2018 per lamentare contatti indesiderati. La Società, come detto, ha dichiarato che il contatto sarebbe stato effettuato dal partner XX sulla base di un consenso rilasciato al fornitore XX. Occorre tuttavia ricordare che il consenso rilasciato ad un partner, anche se agisce in qualità di responsabile del trattamento, non può superare il diniego espressamente manifestato nei confronti del committente, titolare del trattamento. Nel caso di specie, la signora XX aveva negato tutti i consensi facoltativi sin dall’attivazione dell’utenza cellulare e si era persino lamentata della ricezione di contatti indesiderati; in tale contesto, è evidente la sua volontà, e la relativa aspettativa, di non essere contattata per conto di Wind Tre indipendentemente dal fatto che l’interessata abbia successivamente conferito il suo consenso ad un terzo. Ciò in quanto lo specifico diniego espresso nei confronti del titolare prevale sul generale consenso rilasciato al terzo e dunque è onere del titolare, una volta ricevuta la lista, verificare che in essa non siano presenti dati di soggetti che hanno manifestato la volontà di non essere contattati per conto di Wind Tre. Se così non fosse, sarebbe molto facile aggirare eventuali dinieghi degli interessati e per questi ultimi sarebbe impossibile far valere il proprio diritto a non ricevere contatti indesiderati.

Per tali ragioni, i rilievi mossi alla Società nell'atto di avvio del procedimento non sono superabili e si conferma la violazione degli artt. 5, par. 1, lett. a), 6, par. 1 e 7 del Regolamento, nonché dell'art. 130 del Codice dal momento che il trattamento per finalità promozionale dei dati della reclamante è stato effettuato in assenza di consenso.

1.4 Chiamate effettuate a numerazioni non autorizzate da Wind Tre.

In corso di istruttoria è stato chiesto a Wind Tre di produrre l'elenco delle proposte di acquisto, provenienti dalla propria rete di vendita. In risposta a tale richiesta la Società ha prodotto due file: "XX" per il mercato consumer e "XX" per il settore business. Dai file relativi alle liste autorizzate da Wind Tre (cfr. all. 4 alla nota del 13 giugno 2023) risultavano 653.799 numerazioni autorizzate. Dal file XX risultavano 3.402 numeri chiamati.

Dal raffronto fra i numeri chiamati e i numeri autorizzati risultava che, di 3.402 numeri chiamati, solo 1257 erano presenti anche fra i numeri autorizzati; di conseguenza sono state chiamate 2145 numerazioni che non risultavano autorizzate da Wind Tre. Ciò sarebbe avvenuto nonostante le assicurazioni della Società circa la menzionata impossibilità di attivare contratti senza passare per il sistema CM (quindi senza utilizzare liste previamente autorizzate).

Inoltre, con nota prot. 107208 del 12 luglio 2023, l’Ufficio ha richiesto alla Fondazione Ugo Bordoni (FUB), di confrontare le numerazioni chiamate, estratte dal file XX, con le iscrizioni nel RPO effettuate fino al 31/01/2023. Nel file restituito dalla FUB è risultato che 344 numerazioni su 3402 numerazioni chiamate risultavano iscritte al RPO. Di queste 344 numerazioni iscritte nel RPO, solo 121 erano presenti anche nella lista delle numerazioni autorizzate da Wind Tre.

Al riguardo, nella memoria difensiva, la Società ha chiarito che "i numeri autorizzati rappresentano solo una parte delle campagne effettuate e dei partner coinvolti tra febbraio/marzo 2023 mentre i 3402 contratti XX rappresentano l'intera produzione Wind Tre della settimana oggetto di analisi"; ciò è possibile in quanto la Società effettua molte delle campagne promozionali verso la propria customer base utilizzando dunque liste proprie che non necessitano di autorizzazione né di controllo nel Registro delle opposizioni.

In ragione delle giustificazioni fornite tale profilo può considerarsi archiviato.

1.5 Misure di garanzia adottate da Wind Tre

Nel corso dell’accertamento ispettivo e con numerose successive comunicazioni inviate anche spontaneamente, la Società ha fornito aggiornamenti in merito alle modifiche organizzative e tecniche implementate per arginare i contatti indesiderati. In particolare Wind Tre ha comunicato quanto segue:

- le attività di telemarketing sono centralizzate attraverso il sistema denominato Campaign Management (CM), già descritto nel corso dell’istruttoria che aveva condotto al provvedimento adottato dal Garante il 9 luglio 2020 nei confronti di Wind Tre; attraverso tale sistema la Società tiene traccia delle chiamate effettuate dai partner e del relativo esito; è stata prevista l’integrazione dei sistemi di CRM (Customer Relationship Managent) dei partner tramite API, in modo da azzerare le operazioni di inserimento autonomo da parte dei partner ed evitare l’invio di liste ai partner da parte di Wind Tre (procedura disponibile per tutti i partner dal 31 dicembre 2022, come confermato con nota n. 217.23 dell’8 marzo 2023);

- in caso di revoca del consenso espressa durante una chiamata, il sistema consente all'operatore di registrare la volontà dell’interessato e di riportare la medesima informazione nella black list;

- sono state organizzate attività formative, in materia di trattamento dei dati personali, per i dipendenti successivamente estese anche ai partner;

-  una pagina del sito web aziendale è stata dedicata ad informare gli utenti circa le chiamate moleste con possibilità di presentare segnalazioni direttamente a Wind Tre (che ha effettuato successivi controlli);

- la Società ha partecipato al tavolo di lavoro di Agcom per contrastare il CLI (Calling Line Identification) spoofing e ha messo a disposizione dei propri clienti l’app “Please don’t call” per filtrare le chiamate di disturbo. Inoltre, dalla fine di marzo 2023 la Società ha attivato per i propri clienti il blocco delle chiamate internazionali con CLI non rispondente alle raccomandazioni ITU-T E.164, al fine di tutelarli dalle attività di CLI spoofing; al riguardo la Società ha precisato, a titolo meramente esemplificativo, di aver bloccato da allora circa mezzo miliardo di chiamate al mese veicolate da carrier esteri che utilizzano numerazioni alterate.

- la Società, evidenziando un ingente investimento economico, ha realizzato un sistema per il controllo della filiera, denominato “dal contatto al contratto” consistente in una serie di controlli automatici volti a verificare l’osservanza delle regole di contatto a distanza al fine di ricostruire la catena consenso-contatto-contratto; la Società ha aggiunto di aver avviato un progetto di studio per garantire la tracciatura con tecnologia blockchain;

- la Società ha descritto la procedura di accreditamento dei partner consistente nella somministrazione di un dettagliato questionario e in una dichiarazione di impegno al rispetto delle regole imposte da Wind Tre; è prevista una verifica a campione su detti questionari con richieste di approfondimento se necessario; inoltre la Società effettua attività di audit sui partner con verifiche sia da remoto che in presenza;

- al momento dell’accertamento ispettivo la Società aveva dichiarato di effettuare una check call su un campione di contratti attivati (cfr. verbale 11 ottobre 2022); successivamente (cfr. nota 16.23 del 16/01/2023) Wind Tre ha comunicato che tale verifica di quality check viene effettuata sul 100% dei contratti attivati; è stato inoltre previsto di inserire delle “numerazioni civetta” nelle liste affidate ai partner;

- a seguito della sospensione dell'utilizzo di liste fredde di terzi per il ramo consumer, la Società ha valorizzato l'utilizzo di contatti lead assicurando la volontà dell'utente attraverso un meccanismo di double opt-in.

PROCEDIMENTO 173400

Con atto di avvio del procedimento prot. n. 25394 del 29 febbraio 2024 è stata contestata a Wind Tre la violazione dell'art. 6, par. 1, lett. a) del Regolamento e dell'art. 130, comma 2 del Codice per l'invio di un sms promozionale indesiderato. In particolare, il reclamante aveva lamentato, il 18 ottobre 2021, la ricezione di un sms indesiderato. In sede di istruttoria la Società aveva chiarito che l'invio, che aveva riguardato solo il reclamante, era avvenuto a seguito di un'anomalia tecnica dovuta al fatto che l'utenza assegnata al reclamante era stata dismessa da un precedente intestatario senza disabilitare i consensi da quest'ultimo prestati.

Successivamente, il 9 ottobre 2023, lo stesso reclamante ha lamentato la ricezione di un nuovo sms, nonostante le assicurazioni fornite da Wind Tre circa il recepimento in apposita black list della volontà di non essere contattato.

In tale occasione la Società ha dichiarato che l'invio era avvenuto per un errore umano.

Solo in fase difensiva, Wind Tre ha meglio descritto le circostanze che avrebbero determinato l'errore umano chiarendo che la formazione del campione di destinatari era avvenuto estraendo dal database una serie di segmentazioni cui sono stati attribuiti precisi requisiti: tra questi la presenza del consenso alla ricezione di messaggi promozionali. Purtroppo l'operatore, nell'effettuare i successivi passaggi, ha collegato tali requisiti ad una sola delle province interessate dalla campagna includendo così, erroneamente, anche i clienti non consensati per tutte le altre province. La Società ha comunque aggiunto che tale piattaforma di realizzazione delle campagne è stata successivamente sostituita da un nuovo sistema che escluderà automaticamente tutte le utenze prive di consenso evitando il ripetersi di errori analoghi. Inoltre, nell'immediatezza e al fine di porre rimedio all'errore, la Società ha provveduto ad informare i clienti interessati dall'evento e, finché non è stata implementata la nuova piattaforma, ha effettuato dei controlli a campione per la verifica dei consensi risultanti nel CRM aziendale.

Alla luce dei nuovi chiarimenti forniti - tenuto conto delle misure adottate per evitare il ripetersi di eventi analoghi - si ritiene di poter archiviare la contestazione in ragione del fatto che l'evento è stato causato da un errore non prevedibile dell'incaricato senza conseguenze dannose per l'interessato.

PROCEDIMENTO 262138

Con atto di avvio del procedimento prot. n. 158163 del 25 novembre 2023 è stata contesta a Wind Tre la violazione degli artt. 5, par. 1, lett. f), 32 e 33 del Regolamento per l'adozione di misure tecniche non adeguate che avrebbero comportato una violazione dei dati non notificata al Garante.

In particolare, con reclamo del 27 aprile 2023, un cliente di Wind Tre ha dichiarato di aver visualizzato i dati di un altro cliente al momento di effettuare l'accesso alla propria area personale.

Al riguardo la Società ha dichiarato che l’accesso ai dati dell’altro cliente è stato causato da un errato inserimento del codice cliente in fase di registrazione. Ciò avrebbe generato un abbinamento di dati non corretto, anche a causa del fatto che l’altro utente non risultava registrato all’area clienti; l’indebito accesso, in particolare, era avvenuto in conseguenza di una recente modifica apportata dalla Società alla funzione di login con l’eliminazione del codice fiscale dalla lista delle credenziali necessarie per l’accesso di modo che, “rimuovendo il codice fiscale è stato rimosso anche un controllo che verificava che il codice fiscale corrispondesse alla anagrafica recuperata dal CRM (Customer Relationship Management) associata al codice cliente indicato. Tale rimozione è stata effettuata per semplificare l’accesso dei clienti evitando l’inserimento di dati non necessari per l’autenticazione”. In particolare, una volta eliminato l'obbligo di inserimento del codice fiscale, veniva effettuata esclusivamente la verifica della corrispondenza tra CLI e codice cliente, facendo riferimento all'anagrafica recuperata da CRM; tuttavia, in caso di CLI appartenente ad un cliente non registrato all’area riservata, tale ultimo controllo non veniva effettuato. Quindi, nel caso in esame, nel momento in cui, in fase di registrazione all’area clienti, il reclamante ha inserito un codice cliente errato, tale valore, sebbene associato ad un altro soggetto non registrato al portale, ha generato l’errata associazione fra l'utenza del portale e l’anagrafica nel CRM.

A seguito di tale evento, che a detta della Società sarebbe stato comunque un caso isolato, Wind Tre ha provveduto ad impostare i controlli di sicurezza verificando la corrispondenza tra CLI e codice cliente, rispetto all'anagrafica presente nel CRM, anche nel caso di utenti non registrati all'area personale.

Nel complesso si osserva che la condotta descritta - consistente nella rimozione di controlli di sicurezza all'accesso senza un'adeguata verifica delle conseguenze - ha comportato l'accesso non autorizzato ai dati di un ignaro cliente.

Pertanto, dovendosi considerare inadeguate le misure tecniche adottate da Wind Tre all'epoca dell'evento, si ritiene integrata la violazione degli artt. 5, par. 1, lett. f) e 32 del regolamento.

Con riguardo alla contestata mancata notifica al Garante della violazione di dati personali, la Società ha dichiarato che, oltre ad aver provveduto tempestivamente a sanare l'anomalia, ha avviato un'interlocuzione con il reclamante informandolo di quanto avvenuto e chiedendogli di distruggere copie, eventualmente in suo possesso, di dati del terzo cui aveva avuto accidentalmente accesso. Fatto ciò, la Società, non ravvisando un grave pregiudizio per l'interessato, ha ritenuto non necessario effettuare la notifica al Garante.

Al riguardo, si osserva che l'art. 33 del Regolamento prevede che la notifica al Garante debba essere effettuata se si verifica una violazione di dati personali, a meno che sia improbabile che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche. La gravità del pregiudizio, invece, è rilevante solo nel caso in cui si debba valutare se comunicare l'evento anche all'interessato^.(1) Nel caso di specie, dunque, almeno la notifica all'Autorità sarebbe stata necessaria e dunque si conferma anche la violazione dell'art. 33 del Regolamento

2. CONCLUSIONI

All'esito della complessa attività istruttoria, sopra descritta, e tenuto conto delle argomentazioni aggiunte in fase difensiva, alcuni potenziali profili di violazione, puntualmente descritti nei paragrafi precedenti, sono stati archiviati mentre per altre condotte, di seguito richiamate, si sono ritenute confermate le violazioni contestate nell'atto di avvio del procedimento.

Ci si riferisce, in particolare, alla capacità di comprovare il possesso di idonei consensi per l'effettuazione di chiamate promozionali a destinatari estratti dalle cd. "liste fredde" dei partner nonché all'utilizzo per finalità promozionale dei dati della sig.ra XX in assenza di idoneo consenso (fascicolo 178557).

Analogamente, si confermano le violazioni contestate con l'atto di avvio del procedimento prot. n. 158163 del 25 novembre 2023, relativamente al fascicolo 262138, per l'inadeguatezza delle misure di sicurezza adottate all'epoca dell'evento descritto e per la mancata notifica al Garante dell'avvenuta violazione di dati personali.

Per quanto sopra esposto si ritiene dunque accertata la responsabilità di Wind Tre in ordine alle seguenti violazioni:

a)  artt. 5, par. 2, 24 e 28 per l'incapacità del titolare di ottemperare all'obbligo di comprovare il rispetto delle norme (accountability) e per l'inadeguato controllo sui responsabili per i trattamenti finalizzati alla realizzazione di campagne promozionali;

b) artt. 5, par. 1, lett. a), 6, par. 1 e 7 del Regolamento nonché art. 130 del Codice perché i trattamenti per finalità promozionali, realizzati nel contesto delle violazioni descritte in merito alla liceità dei consensi, risultavano privi di idonea base giuridica;

c) artt. 5, par. 1, lett. f) e 32 del Regolamento per l'inadeguatezza delle misure tecniche adottate, all'epoca dell'evento segnalato, per abilitare l'accesso all'area personale degli utenti;

d)  art. 33 del Regolamento per la mancata notifica al Garante dell'avvenuta violazione di dati personali.

Giova tuttavia svolgere alcune considerazioni in merito alla condotta del titolare e alle misure correttive adottate già prima dell'avvio dei procedimenti. Si deve innanzitutto dare atto della rilevante attività svolta da Wind Tre volta a far emergere e a contrastare il fenomeno del telemarketing indesiderato, in uno con le altrettanto doverose considerazioni relative alla proficua interlocuzione e collaborazione che la Società ha intrapreso da lungo tempo con l’Autorità.

Dagli esiti del procedimento avviato, infatti, emerge che la Società ha posto in essere interventi e procedure idonee a realizzare un quadro di significativo incremento delle garanzie nei confronti degli interessati rispetto a quello emerso a seguito del provvedimento n. 143 del 9 luglio 2020. Con riguardo all'effettuazione di attività promozionali, infatti, la Società ha dato atto di aver mutato le proprie modalità operative, soprattutto con riguardo al trattamento dei dati personali della clientela consumer, interrompendo l'uso delle liste fredde dal 1° dicembre 2022. La Società ha inoltre posto in essere rilevanti modifiche dei propri sistemi per ottimizzare il controllo della filiera dei responsabili che operano nelle attività di telemarketing e teleselling implementando autonomamente le misure previste dal relativo codice di condotta prima dell'effettiva entrata in vigore dello stesso. Rilevanti e meritevoli di attenzione sono anche le soluzioni di contrasto al CLI spoofing adottate spontaneamente per i propri clienti attraverso l'app Please don't call e il blocco delle chiamate internazionali con CLI non rispondente alle raccomandazioni ITU-T E.164. Misure che solo di recente il legislatore⁽²⁾ ha imposto in maniera generalizzata demandando all'Autorità per le garanzie nelle comunicazioni il compito di introdurre le relative misure tecniche.

Tali importanti interventi, molti dei quali hanno richiesto anche ingenti investimenti o hanno comportato l'assunzione, in via del tutto autonoma, di un onere non ancora imposto alla generalità degli altri concorrenti, vanno attentamente considerati nella complessiva valutazione della condotta, dovendo peraltro tenere presente che le contestate attività promozionali effettuate sulla base di consensi non raccolti lecitamente, così come in parallelo le misure adottate all'epoca per il controllo della filiera, sono risalenti alla fine del 2022.

Con riguardo invece alle violazioni emerse dal procedimento 262138, si osserva che la modifica effettuata dalla Società per fini di semplificazione della user experience è stata posta in essere senza la dovuta diligenza; ciò in quanto l'inserimento, in fase di registrazione da parte del cliente, di un codice di 9 cifre, senza altri controlli da parte del titolare, può comportare eventi del tipo di quello segnalato essendo possibile, come avvenuto nel caso di specie, un errore di digitazione. La Società comunque ha dato atto di essere intervenuta tempestivamente per introdurre misure correttive volte ad evitare il ripetersi di eventi analoghi. Si deve inoltre avere riguardo a quanto dichiarato da Wind Tre, consapevole delle conseguenze penali per false dichiarazioni, in merito alla singolarità dell'evento che si sarebbe verificato solo grazie alla concomitanza dell'errore di digitazione da parte del reclamante e dell'assenza di una pregressa registrazione all'area personale da parte dell'intestatario dell'utenza.

Accertata dunque l’illiceità delle condotte Wind Tre con riferimento ai trattamenti presi in esame, tenuto conto che tutte le violazioni accertate sono state già nel corso della presente istruttoria sanate, non si rinvengono i presupposti per l'adozione di misure correttive nei confronti del titolare; con riguardo alle violazioni occorse si rende invece necessario adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Wind Tre della sanzione amministrativa pecuniaria prevista dall’art. 58, par. 2, lett. i) e 83 del Regolamento.

In ragione di quanto disposto dall’art. 154-bis, comma 3 del Codice, si procede alla pubblicazione del presente provvedimento sul sito internet dell’Autorità (cfr. anche art. 37 del regolamento interno del Garante n. 1/2019).

Si rileva infine che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

3. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Wind Tre, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2023), ricorrendo la seconda ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in euro 173.760.000 il massimo edittale applicabile, devono essere considerate le seguenti circostanze aggravanti:

1.  il carattere colposo delle violazioni, poiché le condotte sono state poste in essere in assenza della diligenza che sarebbe comunemente attesa da parte di un titolare che tratta dati su larga scala e con riguardo a tematiche, come la selezione dei fornitori di liste, sulle quali il Garante si è più volte chiaramente espresso; una condotta negligente è stata osservata anche con riguardo alle modifiche apportate al sistema di registrazione all'area personale senza valutare adeguatamente i potenziali rischi (art. 83, par. 2, lett. b), del Regolamento);

Quali elementi attenuanti, si ritiene di poter tener conto:

2. del basso livello di danno subito dagli interessati (art. 83, par. 2, lett. a), del Regolamento);

3.  delle misure adottate dal titolare del trattamento che hanno portato a una radicale modifica delle modalità operative adottate all'epoca delle violazioni (art. 83, par. 2, lett. c), del Regolamento);

4. del grado di cooperazione con l'Autorità di controllo che ha portato, in relazione al procedimento 262138, a porre fine tempestivamente alla violazione e, nel caso dei trattamenti per finalità promozionali, ad intrattenere costanti interlocuzioni con l'Autorità per la definizione delle migliori prassi applicative, oltre alla assidua partecipazione di Wind Tre al tavolo di lavoro che ha portato alla presentazione del Codice di condotta in materia di telemarketing e teleselling (art. 83, par. 2, lett. f), del Regolamento);

5. delle categorie di dati interessati dalle violazioni, essendosi trattato di dati comuni (art. 83, par. 2, lett. g), del Regolamento).

In un complessivo bilanciamento fra diritti degli interessati e libertà di impresa, occorre valutare prudentemente i suindicati criteri, anche al fine di limitare l’impatto economico della sanzione.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati - debba applicarsi a Wind Tre la sanzione amministrativa del pagamento di una somma di euro 347.520,00 (trecentoquarantasettemilacinquecentoventi/00) pari allo 0,2% della sanzione edittale massima individuata con riferimento al disposto dell’art. 83, par. 5, del Regolamento, tenuto conto che il 4% del fatturato di Wind Tre, sulla base dei dati riportati nell'ultimo bilancio, risulta superiore ai 20 milioni di euro.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del regolamento interno del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante.

Ciò in considerazione degli elementi di rischio per i diritti e le libertà degli interessati derivanti dall'utilizzo di liste formate da terzi senza una preliminare accurata verifica sulla liceità dei consensi prestati, tenuto conto che la Società ha interrotto l'uso delle liste fredde solo dal 1° dicembre 2022 per il mercato consumer.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. a e lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Wind Tre S.p.A., con sede in Milano, via Monte Rosa n. 91, c.f. 02517580920; di conseguenza

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Wind Tre S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 347.520,00 (trecentoquarantasettemilacinquecentoventi/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 347.520,00 (trecentoquarantasettemilacinquecentoventi/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

a) ai sensi degli artt. 154-bis del Codice e 37 del regolamento interno del Garante n. l/20l9, la pubblicazione del presente provvedimento sul sito web del Garante;

b) ai sensi dell’art. 166, comma 7, del Codice e dell'art. 16, comma 1, del regolamento interno del Garante n. 1/2019, la pubblicazione dell’ordinanza ingiunzione sul sito web del Garante;

c) ai sensi dell’art. 17 del regolamento interno del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

_______

1) Cfr. al riguardo anche i chiarimenti forniti dall'EDPB nelle linee guida 9/2022 sulla notifica delle violazioni dei dati personali ai sensi del regolamento generale sulla protezione dei dati, adottate il 28 marzo 2023.

2) Il d.lgs. 24 marzo 2024, n. 48, recante modifiche al d.lgs. n. 259/2003 (Codice delle comunicazioni elettroniche) ha introdotto, in capo ad Agcom, l'obbligo di imporre agli operatori telefonici di bloccare le telefonate effettuate mediante spoofing del CLI. Su tale presupposto, nella seduta del 13 novembre 2024, l'Agcom ha avviato una consultazione pubblica (Delibera n. 457/24/CONS) per introdurre nuove regole dirette a contrastare frodi e telemarketing selvaggio tramite misure che impediscano il cosiddetto CLI Spoofing.