Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Fastweb S.p.A. - 25 marzo 2021 [9570997]

 

VEDI ANCHE COMUNICATO STAMPA DEL 2 APRILE 2021

 


[doc. web n. 9570997]

Ordinanza ingiunzione nei confronti Fastweb S.p.A. - 25 marzo 2021

Registro dei provvedimenti
n. 112 del 25 marzo 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il dott. Agostino Ghiglia;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 44174/20 del 20 novembre 2020 (notificato in pari data mediante posta elettronica certificata), che deve qui intendersi integralmente riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Fastweb S.p.A. (di seguito “Fastweb” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti 1, C.F. e P. IVA: 12878470157.

Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di centinaia di segnalazioni e reclami inviati da interessati che lamentavano, e ancora oggi lamentano, continui contatti telefonici indesiderati effettuati da Fastweb e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.

Il fenomeno delle chiamate e dei contatti promozionali indesiderati è noto alla Società, la quale, nel corso degli ultimi dieci anni, è stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve. In particolare meritano menzione i provvedimenti n. 300 del 18 ottobre 2012 (in www.gpdp.it, doc. web n. 2368171), n. 235 dell’18 aprile 2018 (in www.gpdp.it, doc. web n. 9358243) e n. 441 del 26 luglio 2018 (in www.gpdp.it, doc. web n. 9040267), che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms, che Fastweb e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.

Nonostante l’ampia attività provvedimentale e l’interlocuzione costante fra il Garante e le compagnie telefoniche del recente passato, dal dicembre 2018 a febbraio 2020, Fastweb è stata destinataria di quattro richieste di informazioni cumulative (prot. nn. 36218/18, 8975/19, 34440/19 e 5725/20), che hanno preso in esame 131 fascicoli, ciascuno dei quali riferito alla ricezione di una o più telefonate promozionali indesiderate effettuate per conto della Società, per un totale complessivo di 236 segnalazioni. Se si considerano anche i reclami presentati ai sensi dell’art. 77 del Regolamento, che il Garante ha trattato, nella fase istruttoria, singolarmente e le segnalazioni pervenute dopo le ultime richieste di informazioni, l’Ufficio ha aperto, complessivamente, nel corso degli ultimi due anni a partire dall’entrata in vigore del Regolamento, 283 fascicoli nei confronti di Fastweb, in massima parte riguardanti le attività di telemarketing e di invio di messaggi promozionali da parte o per conto della Società. Nel periodo considerato, l’interlocuzione con segnalanti e reclamanti nonché con la stessa Fastweb, ha determinato la registrazione al protocollo dell’Autorità di 508 missive in ingresso.

I dati di cui sopra testimoniano la forte incidenza che le pratiche di marketing e di teleselling svolte da Fastweb assumono nella complessiva attività dell’Ufficio e confermano il giudizio dell’Autorità rispetto alle modalità di svolgimento di tali pratiche condotte dalla generalità delle compagnie telefoniche, espresso più volte anche in recenti provvedimenti (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365; n. 7 del 15 gennaio 2020, in www.gpdp.it, doc. web n. 9256486; n. 143 del 9 luglio 2020, in www.gpdp.it, doc. web n. 9435753; e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681).

1.2. La richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, del 23 settembre 2020, e il riscontro fornito da Fastweb

1.2.1. L’Ufficio ha provveduto ad enucleare le criticità maggiormente ricorrenti nei riscontri di Fastweb e ha inviato alla Società, il 23 settembre 2020, una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, contenente alcuni quesiti relativi alle modalità di svolgimento delle attività di telemarketing.

In primo luogo, in relazione alle dichiarazioni di Fastweb secondo cui le agenzie di promozione, al fine di accrescere la loro attività, assumerebbero dei “comportamenti autonom[i]” rispetto alle istruzioni sui trattamenti impartite dai loro committenti, e da ciò deriverebbero contatti promozionali verso interessati che non hanno espresso il consenso al trattamento dei propri dati per finalità di marketing, si è chiesto alla Società di specificare tali comportamenti, indicando le agenzie che li hanno posti in essere nonché i provvedimenti adottati dalla Società per contrastare tali condotte. È stato quindi richiesto a Fastweb di fornire un documento riepilogativo delle eventuali penali applicate alle predette agenzie di promozione e di descrivere, più in generale, il sistema di retribuzione adottato dalla Società nonché di fornire copia dei contratti di agenzia sottoscritti con alcune di esse.

In secondo luogo, partendo dal dato emerso dalle richieste cumulative in relazione al considerevole numero di chiamate promozionali (166 a fronte di 236 segnalazioni, pari a oltre il 70% delle chiamate) che Fastweb ha dichiarato non essere state effettuate da numerazioni della propria rete di vendita, si è chiesto alla Società di indicare quali misure fossero state poste in essere al fine di escludere che da contatti provenienti da tali numerazioni fossero stati poi perfezionati contratti o attivate utenze Fastweb, nonché di indicare in base a quali procedure aziendali la Società aveva verificato che ciascuna attivazione di utenza o servizio, posta in essere direttamente o tramite l’ausilio della rete dei propri partner, agenti, call-center, dealer o teleseller, fosse avvenuta a seguito di un contatto del cliente o del potenziale cliente operato su liste fornite o autorizzate da Fastweb.

In terzo luogo, in merito all’utilizzo di liste di anagrafiche per lo svolgimento di attività di contatto promozionale, si è richiesto di chiarire la procedura adottata per la formazione delle liste di numerazioni potenzialmente contattabili dai partner di Fastweb, e di rappresentare le modalità di consultazione e di estrazione dei dati presenti nelle liste, da parte delle agenzie, per lo svolgimento delle attività promozionali. Si è altresì richiesto di indicare tutte le società dalle quali Fastweb acquisisce liste di anagrafiche destinate ai contatti promozionali, specificando, per ciascuna di esse: se questa svolga attività di list editor ovvero di list provider; l’eventuale designazione quale responsabile del trattamento; e la veste giuridica in base alla quale ciascuna società effettua il trattamento di dati.

Con riferimento alle liste di anagrafiche provenienti da soggetti terzi, si è chiesto di indicare le modalità in base alle quali Fastweb verificasse la corretta acquisizione, da parte dei predetti soggetti, del consenso degli interessati per finalità commerciali e per la comunicazione a terzi nonché la distribuzione delle responsabilità nell’ambito del correlato trattamento. Si è altresì richiesto di indicare il numero dei contatti promozionali operati, nel corso del 2019, mediante l’utilizzo di tali liste, nonché il numero dei contratti e delle attivazioni realizzate a seguito dei predetti contatti.

In aggiunta, con riferimento ai contatti effettuati per la gestione del servizio denominato “Call me back” (descritto in dettaglio nel prosieguo), si è invitata la Società a fornire informazioni in ordine alle modalità di ricontatto e della eventuale reiterazione dei contatti stessi.

Infine, si è chiesto alla Società di integrare, chiarire e/o fornire ulteriore documentazione in merito ad alcune specifiche segnalazioni.

1.2.2. Alla richiesta di informazioni dell’Autorità, Fastweb ha fornito riscontro in data 12 ottobre 2020.

In primo luogo, la Società ha indicato le condotte illecite rilevate in forza dei controlli svolti dalla stessa sull’operato della propria rete di vendita e le agenzie cui tali condotte sono imputabili laddove è stato possibile identificarne l’autore. Tali attività illecite sono state raccolte nelle seguenti categorie: “chiamata ad un contatto c.d. Fuori Lista; utilizzo di numerazione chiamante non censita; utilizzo del ‘referee’; utilizzo di liste non comunicate; utilizzo di liste non più autorizzate; necessità di formare i collaboratori”.

La Società ha poi indicato, in un documento riepilogativo prodotto in allegato, i provvedimenti assunti da quest’ultima nei confronti delle predette agenzie. Nello specifico, la Società ha evidenziato che, nel biennio di riferimento (ossia da ottobre 2018 fino al 12 ottobre 2020, di seguito il “Biennio”), quest’ultima ha trasmesso: “14 comunicazioni massive”; “12 richiami formali”; “51 sales warning”; e “44 richieste di informazioni”.

Inoltre, sempre nel Biennio, la Società: ha “comminato 33 penali” in relazione a “33 comportamenti non conformi alle disposizioni previste dal mandato, dai quali è scaturita l’applicazione di penali per € 125.000,00 verso 26 partner commerciali”; “da Novembre 2018 ad Agosto 2020 […] non ha corrisposto importi per commissioni e incentivi per un totale di circa € 566.487,00”; ha “contestato 3 risoluzioni contrattuali per comportamenti non conformi nello svolgimento di contatti commerciali telefonici”; e ha “interrotto il rapporto di agenzia” con “13 agenzie destinatarie di uno o più dei precedenti provvedimenti -richiami formali o penali”.

In secondo luogo, in merito alle misure adottate dalla Società al fine di escludere che da contatti provenienti da numerazioni disconosciute siano poi perfezionati contratti o attivate utenze Fastweb, la Società ha dichiarato che i servizi “di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità”. Richiamando le precedenti comunicazioni del 10 gennaio 2019 e 8 Aprile 2019, la Società ha dichiarato di aver adottato “un meccanismo” che consente di “non corrispondere gli importi dovuti per contratti originanti da contatti non presenti nella lista autorizzata” e “un processo di analisi e denuncia” delle numerazioni chiamanti non riconosciute da Fastweb tramite l’intervento dell’autorità giudiziaria.

Quanto alla prima misura, ossia al “mancato pagamento di PDA [Proposte Di Acquisto] fuori lista”, la Società ha dichiarato di svolgere “analisi puntuali sulle richieste di attivazione per verificare che le stesse collimino con i contatti presenti nelle liste e, se del caso, non corrispondere gli importi dovuti per contratti originanti da contatti non presenti nella lista autorizzata”. In questo sistema di verifiche e controlli – ha rilevato la Società – “si inserisce anche lo sviluppo del tool di analisi dei Log di nuovo sviluppo” nonché “l’implementazione di un meccanismo tramite cui […] inibire con modalità automatiche e preventive anche il caricamento di ordini per nuovi contratti laddove le numerazioni di contatto o altre informazioni anagrafiche non combacino con i dati presenti nelle liste di contatto”.

Quanto al “processo di denuncia delle numerazioni chiamanti non riconosciute”, quest’ultimo prevede che “gli interessati prospect o i già clienti possano contattare Fastweb per segnalare e/o chiedere chiarimenti, circa la ricezione di chiamate promozionali indesiderate per conto di Fastweb mediante vari canali messi a sua disposizione”. Successivamente, le numerazioni segnalate vengono controllate dalla Società e se risultano riconducibili a proprie agenzie autorizzate, Fastweb procederà con l’erogazione di un provvedimento; in caso contrario, “si predispone la lista dei numeri chiamanti non riconosciuti” e tale lista viene poi trasmessa “per la denuncia”. Fastweb ha dichiarato di aver denunciato, al 12 ottobre 2020, “oltre 200 numerazioni”.

In terzo luogo, con riferimento all’utilizzo di liste anagrafiche per lo svolgimento di attività promozionale, Fastweb ha fornito riscontro evidenziando che la formazione di una lista di contatto prevede la creazione di un database formato da tre repository, in base alle diverse fonti dalle quali le anagrafiche possono pervenire. Le fonti di alimentazione del database sono costituite: i) dalle numerazioni del DBU acquisite da Fastweb; ii) dalle numerazioni mobili che Fastweb acquisisce direttamente da soggetti terzi; e iii) dalle numerazioni fisse e mobili che Fastweb acquisisce dai propri partner, che a loro volta le acquisiscono dai propri fornitori. La validità delle liste è stabilita di regola in un mese solare (coincidente con la durata di una cd. “pianificazione”, ossia un insieme di campagne promozionali aventi tutte la stessa data di inizio e di fine), ovvero nel minore periodo previsto dalla normativa in materia di registro pubblico delle opposizioni.

Quanto alle liste di anagrafiche di cui al punto ii), ossia relative ai numeri di telefonia mobile che la Società acquisisce da soggetti terzi, Fastweb ha rilevato che “svolgono tutti l’attività di list editor diretti, dal momento che raccolgono anagrafiche in maniera autonoma da loro siti”. Le società assumono pertanto la veste giuridica di “titolari del trattamento” che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime. Nell’ambito del processo di acquisizione delle anagrafiche, quest’ultima richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa, e che Fastweb sia indicata nella correlata informativa quale soggetto al quale i dati possono essere ceduti. Fastweb verifica che i dati acquisiti direttamente da list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse.

Quanto alle liste di anagrafiche di cui al punto iii), ossia relative ai numeri di telefonia fissa e mobile che la Società acquisisce tramite i partner, i quali a loro volta le acquisiscono “in autonomia da un proprio fornitore”, Fastweb ha rilevato che le agenzie sono tenute a richiedere “un’autorizzazione” alla Società “prima di poterle utilizzare”, fornendo una serie di elementi: il contratto sottoscritto tra le parti con indicazione della durata temporale del medesimo; l’informativa resa dal titolare all’interessato; e l’indicazione delle modalità di raccolta dei consensi. In particolare, Fastweb verifica che: la raccolta del consenso per la cessione dei dati a terzi avvenga attraverso un box separato; l’informativa sia comunque accessibile agli interessati; e che in tale informativa sia indicata la possibile cessione dei dati a terzi con la espressa indicazione di Fastweb fra questi. Nel caso in cui le analisi svolte da Fastweb forniscano esito positivo, il partner è autorizzato a caricare le anagrafiche in suo possesso per effettuare il riscontro con le black list di Fastweb e con il registro pubblico delle opposizioni nonché per le operazioni di deduplica, affinché siano utilizzate nella pianificazione del mese corrente. La lista è inoltre sottoposta a verifiche a campione in base ad un meccanismo di estrazione casuale di nominativi circa i quali viene richiesto al partner di fornire l’evidenza dei consensi acquisiti. Nel corso di ciascun mese di pianificazione le agenzie possono utilizzare le liste per i contatti telefonici. Una volta terminata una pianificazione, le liste utilizzate sono archiviate nel sistema Invoice e non più accessibili per utilizzi con finalità commerciali. La Società ha precisato che il numero dei contatti promozionali operati medianti tali liste nel corso dell’anno 2019 “è ammontato a 7.542.000”.

Infine, con riferimento ai contatti effettuati per la gestione dei cd. “Call me back”, Fastweb ha osservato che tale servizio consente ai clienti e ai potenziali tali di essere richiamati da un operatore di Fastweb, a seguito di un “clic” sul tasto “Richiamami gratis”. La Società ha precisato che “i ricontatti che scaturiscono […] sono svolti in base a regole precise che stabiliscono gli intervalli temporali entro cui il sistema instrada una successiva chiamata verso il soggetto dimostratosi interessato e, in ultimo, arrivano a chiudere il contatto in caso di raggiungimento di un limite di chiamate senza risposta”. Ad esempio – ha rilevato la Società – “è previsto che […] se il numero risulta occupato per 20 chiamate verrà chiuso [...] Per quanto riguarda una numerazione libera, in un’ipotesi scolastica in cui il CRM non sia chiamato a gestire anche altre chiamate, l’utente sarebbe richiamato al massimo 4 volte in un’ora a distanza di 15 minuti ciascuno per un totale di 20 tentativi massimo nell’arco della giornata”. Si è poi aggiunto che “nello specchietto informativo relativo al consenso per finalità commerciali, vi è un apposito link che rimanda all’informativa privacy [in cui] sono rese tutte le informazioni essenziali circa la disponibilità del servizio fino a revoca del consenso stesso e comunque per un periodo massimo di 24 mesi”.

1.3. I reclami istruiti singolarmente

Oltre alle segnalazioni di cui alle quattro richieste cumulative indicate nella Premessa, l’Autorità ha ricevuto ulteriori segnalazioni e numerosi reclami nei confronti di Fastweb, ciascuno oggetto di autonoma istruttoria e di successiva trattazione unitaria con il procedimento principale, in base a quanto previsto dagli artt. 10, comma 4, del Regolamento dell’Ufficio del Garante n. 1/2019 e 8, comma 2, del Regolamento n. 2/2019.

I reclami e le segnalazioni oggetto di trattazione unitaria con il procedimento principale possono suddividersi in diversi gruppi in base alle questioni e agli argomenti sollevati.

1.3.1. Un primo gruppo di reclami e segnalazioni afferisce alla gestione del patrimonio dei dati da parte di Fastweb. In tale quadro, l’Autorità ha rilevato la casistica riguardante un fenomeno piuttosto diffuso, riferito da numerosi segnalanti e reclamanti, i quali, spesso a seguito della segnalazione di un malfunzionamento a Fastweb, hanno lamentato di essere stati contattati da call-center che proponevano offerte commerciali alternative per conto di quest’ultima o di altre compagnie telefoniche, e/o richiedevano ai clienti di inviare la copia di un documento d’identità tramite messaggio Whatsapp. In particolare: i fascicoli nn. 147286 e 154212, in cui i segnalanti hanno lamentato che, successivamente alla loro richiesta di assistenza a Fastweb per un “guasto”, sono stati contattati da parte di call-center apparentemente riconducibile ad altre compagnie telefoniche, che hanno proposto ai segnalanti la migrazione della propria utenza. Al riguardo, la Società ha dichiarato la “totale estraneità di Fastweb” rispetto tali chiamate, aggiungendo, in relazione al fascicolo 154212, che tale estraneità sarebbe confermata “i) dal contenuto delle stesse -indubbiamente finalizzate ad ottenere la migrazione del cliente verso altro operatore […]; ii) dal fatto che sul numero del cliente […], come emerge da Invoice, non sono presenti contatti svolti da parte di Fastweb o disposti dalla stessa e realizzati ad opera della rete vendita; iii) dai numeri chiamanti […] non riferibili a Fastweb o sue strutture”; i fascicoli nn. 146491, 146238, 146260 e 148138, in cui i reclamanti hanno lamentato che, successivamente alla loro richiesta di assistenza a Fastweb per problemi con il servizio Internet, sono stati contattati da un operatore di un call-center apparentemente riconducibile a Fastweb, che li invitava a trasmettere una copia fronte-retro del proprio documento di identità per la risoluzione del problema. In tutti i casi, i reclamanti hanno dichiarato di aver trasmesso la copia dei propri documenti d’identità credendo che tale richiesta provenisse dal servizio clienti di Fastweb, in quanto gli operatori erano “perfettamente a conoscenza” delle “problematiche tecniche […] dell’orario dell’appuntamento telefonico per la gestione della segnalazione tecnica” e di “dettagli tecnici […] che solo il servizio Fastweb poteva conoscere”. Al riguardo, Fastweb ha fornito un riscontro analogo ai precedenti, ribadendo, tra l’altro, che i contatti segnalati sono “opera di ignoti, i quali agiscono presumibilmente in danno anche della [Società], per possibili fini di sottrazione della clientela” e che “in ogni caso, Fastweb non prevede in alcun modo l’invio di documenti di identità dei propri clienti nelle circostanze da lei descritte”; il fascicolo n. 139824, in cui il reclamante ha lamentato che, successivamente alla stipulazione di un “contratto di fornitura internet […] con Fastweb”, è stato contattato telefonicamente da un’operatrice di un call-center che era a conoscenza delle sue “generalità e dell’indirizzo di fornitura per il quale avev[a] richiesto a Fastweb l’attivazione di internet”, indirizzo che non corrisponde “né al [suo] indirizzo di residenza né di domicilio”. L’operatrice, dopo aver paventato possibili problemi con l’attivazione del contratto per asseriti “problemi con le centrali”, ha invitato il reclamante a stipulare un contratto di “fornitura internet attraverso un altro gestore” e a “inviare foto dei documenti tramite whatsapp”. Non avendo ricevuto la documentazione richiesta, l’operatrice ha tentato per altre due volte di mettersi in contatto con il reclamante utilizzando, per le chiamate, anche numerazioni diverse.

Con lettera del 10 febbraio 2020, in riferimento al complessivo fenomeno di cui sopra, Fastweb ha rappresentato di aver “già sporto diverse denunce contro ignoti alla Polizia Postale […] ed ha avviato una serie di attività di sensibilizzazione ed informazione nei confronti e a tutela dei propri clienti e del mercato”. Con tali denunce, di cui la prima risale ad agosto 2019, “sono stati portati all’attenzione dell’Autorità Giudiziaria gli oltre 50 numeri mobili utilizzati per la richiesta di invio di copia dei documenti di identità […] sul sistema di messaggistica istantanea whatsapp” ai danni della Società e di circa 170 persone contattate, che erano “prevalentemente clienti Fastweb”. Inoltre, Fastweb ha evidenziato che “le verifiche realizzate sui singoli contatti illeciti, hanno consentito di identificare un tratto comune. In particolare, Fastweb ha rilevato che i suoi clienti destinatari della menzionata richiesta di documenti avevano tutti una tecnologia di accesso per l’utilizzo dei servizi fissi che prevede l’affitto di parte della rete [da un’altra compagnia telefonica]. La [Società] ha dunque ascritto le condotte a una più complessa attività illecita, verosimilmente tesa alla distrazione dei clienti di Fastweb S.p.a. verso altro operatore, attività compiuta evidentemente avvalendosi delle informazioni che, per la peculiare struttura della rete nazionale, sono nella sfera di titolarità del soggetto gestore dell’infrastruttura”. La Società ha sostenuto di aver “portato all’attenzione anche di AGCOM innumerevoli evidenze dei comportamenti illegittimi imputabili alla gestione dell’infrastruttura principale sia con segnalazioni periodiche sia [con altre comunicazioni]”. Fastweb ha avviato un’interlocuzione anche con l’AGCM.

1.3.2. Un secondo gruppo di reclami e segnalazioni afferisce alla gestione delle richieste di esercizio dei diritti garantiti dagli artt. 15-22 del Regolamento da parte di Fastweb e agli “errori manuali”, “errori di sistema”, i ritardi nel riallineamento e nella correzione dei dati da parte della Società. In particolare: i fascicoli n. 136409, e 146607 sono relativi a segnalazioni e reclami con i quali i clienti hanno lamentato la ricezione di comunicazioni di Fastweb presumibilmente indirizzate ad altri clienti. In entrambi i casi, la Società ha rappresentato che i problemi sono stati generati da errate associazioni, anche “manuali”, delle anagrafiche. In uno dei due casi la risoluzione del problema è intervenuta a tre anni di distanza dalla segnalazione; il fascicolo n. 148287, in cui il reclamante ha lamentato di aver trasmesso a Fastweb, nel novembre 2019, una richiesta di portabilità e cancellazione dei suoi dati personali a Fastweb, e che tale richiesta, a marzo 2020, non era ancora stata soddisfatta. Fastweb ha riscontrato ad agosto 2020, rappresentando che “i tempi tecnici di bonifica dei sistemi e il sovrapporsi di una richiesta di cancellazione non hanno però consentito di portare a compimento la portabilità” e ha sostenuto che “le richieste di portabilità inserite dal segnalante non sono andate a buon fine a causa di uno specifico disallineamento dei sistemi che precludeva la ricezione della mail recante il link per scaricare i propri dati”; il fascicolo n. 147619, in cui il reclamante ha rappresentato di aver trasmesso a Fastweb, nel settembre 2019, una richiesta di rettifica dei propri dati personali registrati erroneamente nell’area personale MyFastweb (i.e., l’indirizzo di residenza), e che “dopo oltre un anno di richieste e solleciti” nonostante le rassicurazioni di Fastweb, erano “ancora presenti dati errati” con la conseguenza “inaccettabile” che la corrispondenza a lui indirizzata venisse “ancora inviata ad [altro] indirizzo”. Al riguardo, Fastweb ha dichiarato di aver “provveduto in più riprese a inserire internamente la modifica dei dati personali. Tali modifiche sono andate in buon fine, ma per un disallineamento dei sistemi, non hanno avuto un effetto risolutivo, riportando in alcune circostanze i dati errati preesistenti”; il fascicolo n. 152006, in cui la reclamante ha lamentato di aver “provato ripetutamente” a “cancellar[si] dalla mailing list” di Fastweb, ovvero “a richiedere la cancellazione dei [propri] dati tramite […] il modulo riservato agli ex clienti”. Ciò nonostante, la sua richiesta non è stata accolta per un problema relativo al suo codice fiscale. Al riguardo, la Società ha sostenuto che “a causa di un disallineamento […] le opposizioni esercitate non sono state propagate correttamente sui sistemi”; il fascicolo n. 137155, in cui il segnalante ha lamentato la ricezione di chiamate indesiderate sulla propria utenza mobile. Al riguardo, Fastweb ha replicato che tale contatto “è avvenuto erroneamente” da parte di una sua agenzia, “a causa di un disservizio tecnico del CRM gestito dalla stessa società, il quale ha rimesso in chiamata la numerazione, nonostante fosse stata inserita in black list”.

1.3.3. Un terzo gruppo è relativo ai reclami e alle segnalazioni, aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Fastweb, ma non riconosciuti da quest’ultima. In particolare, in merito ai contatti indesiderati oggetto di lamentela (fascicoli nn. 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792 e 154231), la Società ha rappresentato che le numerazioni chiamanti citate dagli interessati, non sarebbero riconducibili a Fastweb, né utilizzate dalla stessa e/o dai propri partner per finalità commerciali.

1.3.4. Un quarto gruppo afferisce ai reclami e alle segnalazioni aventi ad oggetto contatti promozionali indesiderati effettuati per conto di Fastweb sulla base del legittimo interesse. In particolare: i fascicoli n. 149390 e 153360, in cui i reclamanti hanno lamentato la ricezione di chiamate promozionali indesiderate da parte di alcuni operatori per “uno sconto in bolletta Fastweb qualora [avessero] sottoscritto un contratto con Eni Gas e Luce”, nonostante entrambi avessero espressamente negato il proprio consenso a ricevere contatti promozionali. Al riguardo, la Società ha replicato che lo scopo dei contatti era “sottoporre una promozione che la [Società] dedica ai propri clienti, e che consente agli stessi di avere una significativa riduzione del conto telefonico in caso di attivazione, a condizioni vantaggiose, di un’utenza con Eni. La chiamata è stata effettuata in quanto, a quella data, il segnalante non si era opposto alla ricezione di contatti basati sul legittimo interesse di Fastweb di proporre servizi analoghi a quelli già acquistati, o promozioni nostre o di nostri partner che consentono di avere sconti e altri vantaggi sui servizi già attivi”.

1.4. La chiusura dell’istruttoria e l’avvio del procedimento per l’adozione dei provvedimenti correttivi

Esaminati i riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato a Fastweb le seguenti violazioni:

1. violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, poiché Fastweb S.p.A. non ha provveduto ad implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Fastweb. La violazione coinvolge l’intera base clienti della società e i reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231;

2. violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché Fastweb S.p.A. ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta li avevano acquisiti in qualità di autonomi titolari del trattamento e che li hanno riversati nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto almeno 7.542.000 interessati nell’anno 2019;

3.  violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”;

4. violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138);

5. violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui al punto che precede;

6. violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento, in relazione alle diverse istanze di esercizio dei diritti proposte dagli interessati per le quali sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155);

7. violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle osservazioni che si riassumono di seguito.

1.4.1. Con riferimento alla contestazione di cui al punto 1), nell’atto di avvio del procedimento è stata evidenziata la mancata implementazione da parte della Società di controlli della filiera dei dati personali acquisiti nella fase di promozione dei servizi idonei ad “escludere che da contatti provenienti da numerazioni [sconosciute] siano stati poi perfezionati contratti o attivate utenze Fastweb”.

Per quanto concerne i controlli descritti dalla Società in sede di riscontro alle richieste di informazioni, si è osservato che tali controlli non appaiono idonei a fornire le garanzie che potrebbero invece essere assicurate se, al momento dell’attivazione dei servizi, venissero indicati, ad esempio, oltre alla lista di contatto utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto): i) il partner che ha operato il primo e i successivi contatti; ii) le numerazioni telefoniche chiamanti (debitamente censite nel R.O.C., registro degli operatori di comunicazione); e iii) lo script di chiamata e l’informativa letti dall’operatore di call-center.

Come già osservato dall’Autorità in precedenti provvedimenti richiamati in premessa (cfr., tra l’altro, il provvedimento n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), le conseguenze connesse alla mancata valorizzazione delle informazioni di cui sopra, (e delle altre che, univocamente, consentirebbero di ricondurre i contatti promozionali e le relative attivazioni di servizi ad una corretta attività di telemarketing), non possono essere surrogate dall’adozione di “azioni dissuasive e sanzionatorie”, ma devono poter prevedere, in ragione della potenziale illiceità dei trattamenti, l’inutilizzabilità dei dati e quindi l’impossibilità di procedere all’attivazione dei servizi e alla registrazione dei contratti.

Si è evidenziato che l’assenza di iniziative come sopra delineate, in particolare in presenza di un numero così rilevante di chiamate disconosciute, fa emergere una grave falla nell’accountability di Fastweb, nonché in alcuni elementi cardine del criterio di privacy by design (quali la prevenzione, la funzionalità, la sicurezza, la trasparenza del trattamento e la centralità dell’interessato), che può essere sapientemente sfruttata dai procacciatori “non ufficiali” per occupare spazi di mercato generando un indotto privo di garanzie per gli utenti e idoneo a determinare ulteriori conseguenze illecite (ad esempio per quanto concerne gli aspetti lavorativi e fiscali del settore).

Si è poi notato che, all’epoca della conclusione delle attività istruttorie, almeno il 70% delle segnalazioni risultava ancora derivare da contatti commerciali frutto di un’iniziativa autonoma e non autorizzata dalla Società.

Per quanto concerne le misure adottate da Fastweb in relazione ai contatti commerciali illeciti effettuati dalle agenzie facenti parte della propria rete vendite, si è rilevata l’incoerenza e l’inadeguatezza delle stesse a garantire che il trattamento sia effettuato conformemente al Regolamento nonché la mancata sistematicità nell’applicazione di tali misure.

Nello specifico: quanto alla misura dell’“esclusione del compenso”, quest’ultima è apparsa inadeguata poiché è pacifico che la Società proceda al caricamento di ordini per nuovi contratti anche rispetto ai clienti procacciati fuori dalla lista clienti dedicata ad un’agenzia e/o fuori dalla zona ad essa assegnata, sicché la Società trarrebbe un profitto dall’utilizzabilità di dati acquisiti per suo conto illecitamente in violazione della disciplina rilevante in materia di protezione dei dati personali; quanto alle “comunicazioni massive”, i “richiami formali”, i “sales warning”, essendo prive di carattere coercitivo si è ritenuto che avessero una limitata efficacia dissuasiva; quanto alla misura delle “penali”, dall’analisi della documentazione prodotta da Fastweb, si è rilevata l’inadeguatezza di tale misura sia in quanto la sua applicazione non è proporzionale rispetto al numero delle condotte abusive rilevate dalla documentazione prodotta dalla Società (neanche l’1% delle condotte illecite sono state sanzionate tramite l’applicazione di una penale) sia in quanto l’ammontare della sanzione applicata risulta irrisoria rispetto al numero delle violazioni commesse da un’agenzia e/o rispetto al suo volume d’affari; quanto alle misure della “risoluzione contrattuale” o dell’“interruzione dei rapporti con le agenzie”, si è rilevata l’incoerenza e la contraddittorietà della Società anche nell’applicazione di tali misure.

1.4.2. Con riferimento alla contestazione di cui al punto 2), nell’atto di avvio del procedimento sono state evidenziate alcune criticità in merito al processo di acquisizione delle liste anagrafiche provenienti dai fornitori o partner.

In via preliminare, si è proceduto ad una ricognizione dei presupposti contrattuali e operativi che legano i diversi partner commerciali a Fastweb.

Per quanto concerne l’acquisizione delle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente da list editor (che raccolgono dette anagrafiche dai loro siti), l’Autorità ha osservato che complessivamente il modello seguito appare corretto: tali società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime.

Tale modello, tuttavia, non appare correttamente configurato con riferimento al “list editor” eGentic, che risulterebbe acquisire i dati dalle società facenti parte del proprio gruppo imprenditoriale, Naturvel Pte Ltd. e Tooleado Gmbh: l’intermediazione di eGentic infatti non risulta evidenziata nell’informativa resa dalle predette società, né fra i soggetti ai quali i dati possono essere comunicati, né fra quelli che ne possono venire a conoscenza nell’ambito di eventuali comunicazioni infragruppo.

Per quanto riguarda le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento, si è rilevato che tali liste sono confluite nel circuito di trattamenti aventi finalità promozionali dei quali la Società è titolare, senza che i partner avessero acquisito un consenso libero, specifico e informato dagli interessati per la comunicazione dei propri dati, ma soltanto sulla base dell’originario consenso che gli stessi interessati hanno reso ai list editor.

1.4.3. Con riferimento alla contestazione di cui al punto 3), relativa alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”, si è notato che, dalla procedura descritta da Fastweb e da una verifica effettuata sul sito www.fastweb.it, sono emerse alcune criticità.

In primo luogo, si è evidenziata la carenza di un’informativa ad hoc in relazione al servizio di cui sopra, in cui fosse esplicato il funzionamento del servizio, le modalità di trattamento dei dati personali e di ricontatto dell’utente. In particolare, nell’avviso sintetico inserito in prossimità del tasto di attivazione del servizio, Fastweb si limita ad avvisare l’utente che “cliccando su ‘Richiamami gratis’”, presta il proprio “il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”, senza fornire alcuna indicazione in merito ai “ricontatti che scaturiscono […] dopo aver cliccato sul tasto ‘richiamami gratis’” qualora la prima chiamata non vada a buon fine (in tal senso, l’utente è ignaro, ad esempio, del fatto che dalla sua richiesta di attivazione del servizio, qualora la sua numerazione risultasse poi “libera”, potrebbero potenzialmente derivare “un totale di 20 tentativi [di chiamate] nell’arco della giornata” prima che “il contatto [sia] chiuso”).

Anche l’informativa privacy disponibile sul sito web di Fastweb, in merito al consenso prestato dall’utente per il trattamento dei dati personali al fine di ricevere futuri contatti telefonici per la proposizione di offerte commerciali relative a Fastweb, è apparsa carente sotto tale profilo.

In secondo luogo, si è evidenziata la carenza di un sistema che consentisse all’utente di interrompere il flusso di chiamate derivanti dal suo “clic” sul tasto “Richiamami gratis” con pari semplicità. Invero, se per l’attivazione del servizio è sufficiente “cliccare” sul pulsante “Richiamami gratis”, per la sua disattivazione l’utente è invitato a “inviare una comunicazione” tramite e-mail.

1.4.4. Con riferimento alle contestazioni di cui ai punti 4) e 5), nell’atto di avvio del procedimento si è osservato che, in relazione alla complessiva vicenda relativa ai contatti rivolti alla clientela Fastweb diretti ad acquisire documenti di riconoscimento ovvero a proporre migrazioni delle utenze telefoniche, nel corso del 2019 sono pervenute da Fastweb diverse notificazioni di “data breach” ma nessuna di esse appare riconducibile alla specifica violazione, portata all’attenzione dell’Autorità dalla Società con la nota del 10 febbraio 2020.

La vulnerabilità generale dei sistemi Fastweb alla luce delle dichiarazioni dei reclamanti e anche di quanto riferito dalla stessa Società, sembra non essere stata affrontata “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” così come prevede l’art. 32, par. 1, del Regolamento. In particolare, non risultano essere state poste in essere misure di proporzionata efficacia con riferimento alla capacità di assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento (art. 32, par. 1, lett. b) ma, soprattutto, alle procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (art. 32, par. 1, lett. d) in considerazione dei molteplici accessi di personale dei partner commerciali ai database societari.

Inoltre, con riferimento alle circostanze indicate nella relazione del 10 febbraio 2020, dalle ricerche effettuate presso il protocollo dell’Ufficio, non risulta pervenuta all’Autorità la notificazione prevista dall’art. 33, par. 1, del Regolamento.

1.4.5. Con riferimento alla contestazione di cui al punto 6), nell’atto di avvio del procedimento si è osservato che la generica indicazione di generici errori alla base di un indebito contatto o di un inidoneo riscontro, non è idonea a far venire meno la responsabilità della Società, posto che un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi.

Aggiungasi che, in alcuni reclami e segnalazioni, sono trascorsi anche anni per la risoluzione delle problematiche sollevate (laddove sono state risolte), e solo a seguito di molteplici richieste e/o segnalazioni da parte dei reclamanti. Come noto, una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare alle persone fisiche una perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti.

1.4.6. Con riferimento alla contestazione di cui al punto 7), nell’atto di avvio del procedimento si è osservato che la base giuridica del legittimo interesse, di cui all’art. 6, par. 1, lett. f), del Regolamento, non può sostituire tout court quella del consenso nel telemarketing.

Il Regolamento stesso lo ammette solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali”. Gli interessi e i diritti fondamentali dell’interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali. L’applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza di quest’ultimo sui diritti e le libertà degli interessati (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione. Peraltro, il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare nell’informativa rilasciata all’interessato la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati medesimi.

Per tali ragioni, si è ritenuto che, nei casi oggetto di reclamo, i trattamenti siano stati effettuati da Fastweb in assenza di un’idonea base giuridica, e ciò in particolare, in violazione delle disposizioni di cui agli artt. 5, par. 2, 6 e 7 del Regolamento.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1 La memoria difensiva e l’audizione di Fastweb

In data 20 dicembre 2020, Fastweb ha inviato all’Autorità la memoria difensiva prevista dall’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 21 gennaio 2021 si è svolta, su richiesta della parte e in videoconferenza, l’audizione di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui integralmente richiamati e riprodotti.

2.1.1. Sui controlli svolti nella filiera di sottoscrizione dei contratti (cfr. punto 1 della contestazione), Fastweb ha rappresentato quanto segue.

In primo luogo, la Società ha rafforzato i controlli sulle strutture di vendita esterne delle quali si avvale per lo svolgimento delle campagne di telemarketing (anche riducendo di circa il 50% il numero di tali strutture), e ha introdotto nuovi meccanismi sanzionatori. La Società, “a conferma di una accountability sempre maggiore”, ha inoltre segnalato l’intenzione di ampliare ulteriormente il sistema di controllo tramite: i) l’incremento del livello di assessment sulle strutture; ii) l’utilizzo del tool log di controllo; e iii) la nuova implementazione tecnologica sul blocco degli ordini. In aggiunta, nel corso dell’audizione, la Società ha manifestato l’intenzione di procedere, nei prossimi 12-18 mesi, a una tendenziale dismissione del canale delle chiamate outbound delle agenzie mantenendo eventualmente rapporti soltanto con quelle maggiormente strutturate che forniscano idonee garanzie di compliance. La Società ha poi rilevato che, in ogni caso, al fine di ottenere la definitiva interruzione di tale fenomeno “occorre coinvolgere necessariamente attori esterni” come, ad esempio, “l’Autorità Giudiziaria”.

In secondo luogo, in merito all’obbligo prospettato dall’Autorità di non procedere all’attivazione dei contratti laddove la Società non sia in grado di garantire che i dati dei clienti siano stati acquisiti lecitamente, la Società ha sostenuto che “l’attivazione di serviz[i] di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità” e che, anche a seguito dell’adozione del sistema di blocco automatico nell’inserimento dei contratti, “ci saranno comunque soggetti che […] riceveranno contatti commerciali scorretti e che […] si lasceranno convincere da parte dei chiamanti a sottoscrivere un abbonamento con Fastweb. Quest’ultimo, tuttavia, non potrà essere caricato sui sistemi della società a fronte della nuova implementazione tecnologica. La situazione che scaturisce da ciò è singolare. Seppur il soggetto è stato contattato per mezzo di una chiamata promozionale illecita, la stessa non è diventata anche indesiderata tanto che lo ha spinto a sottoscrivere un contratto, che però non gli verrà attivato. In questi casi Fastweb dovrà prendere contatti con il soggetto per spiegare l’accaduto e, se permanesse la volontà, giungere comunque all’attivazione”.

La Società ha inoltre osservato che “sul piano civilistico e regolamentare […] a fronte della perdurante volontà dell’interessato, Fastweb non avrebbe alcun titolo per rifiutare tale attivazione. Né si opporrebbe a tale conclusione il principio di ‘inutilizzabilità’ di cui all’art. 2-decies del d.lgs. n. 196/2003”. Secondo Fastweb, “tale principio […] riguarda senz’altro i dati impiegati ai fini del contatto ma non può estendersi ai medesimi dati che lo stesso interessato ha poi chiesto di far pervenire a Fastweb attraverso la proposta di contratto. Questi ultimi non potrebbero dirsi trattati ‘in violazione’ […] in quanto espressione di una richiesta dell’interessato e dunque coperti da un’autonoma base giuridica ai sensi dell’art. 6, par. 1, lett. b), del regolamento”.

Fastweb ha poi rilevato che “il complesso sistema adottato fino ad oggi ha contribuito in ogni caso a importanti riduzioni”. Secondo la Società, posto che i procacciatori di contratti che operano “parallelamente” alla rete di vendita di Fastweb “agiscono senz’altro per spirito di lucro, con l’auspicio di riuscire a inserirsi in un modo o nell’altro nella tratta finale della rete di vendita e dunque ricevere indirettamente un compenso”, Fastweb ha previsto “una prima misura radicale: quella di non riconoscere provvigioni per i contatti fuori lista”. Sarebbe irrilevante che la Società tragga poi profitto attraverso la stipula di contratti derivanti dall’attività illecita posta in essere dai tali procacciatori, in quanto “il problema è rimuovere gli incentivi per tali soggetti esterni, non per Fastweb”. Ha quindi rappresentato che, con riferimento alla mole di contatti illeciti effettuati per conto della Società da soggetti terzi o dalle proprie agenzie di vendita durante il Biennio, questi corrispondono ad una percentuale esigua rispetto alle decine di milioni di chiamate promozionali effettuate.

Infine, sulla contestazione dell’Autorità in merito alla genericità, incoerenza e mancata sistematicità delle misure adottate da Fastweb, quest’ultima ha replicato che “trattamenti differenziati sono prova della proporzionalità, seppur perfettibile, già in uso”.

La Società ha rilevato di aver avviato, lo scorso 11 novembre 2020, un tavolo di lavoro con le principali associazioni di consumatori (Altroconsumo, Udicon, Adocn, Federconsumatori) “per l’implementazione di un sistema sinergico di contrasto al fenomeno delle chiamate indesiderate” sul cui andamento si terrà aggiornato il Garante.

2.1.2. Sull’ acquisto di liste di anagrafiche tramite partner della propria rete di vendita (cfr. punto 2 della contestazione), la Società ha rappresentato quanto segue.

In primo luogo, con riguardo alle liste acquisite autonomamente dal list editor eGentic che risulterebbe, a sua volta, acquisire i dati dalle società facenti parte del proprio gruppo (ossia Naturvel Pte Ltd. e Tooleado Gmbh), la Società ha rilevato che la eGentic, in quanto holding del gruppo, non acquisterebbe mai la titolarità dei dati, ma si limiterebbe a trattarli “in qualità di responsabile per conto di Toleadoo e Nturvel con la finalità indicata dagli stessi”. Ciò emergerebbe dalle informative relative alle anagrafiche di Toleadoo e Naturvel, che esporrebbero “agli interessati proprio il fatto che i loro dati personali potranno venire trattati ‘per conto del Titolare in qualità di Responsabili Esterni del Trattamento’”. Nello specifico, eGentic avrebbe un “ruolo di mera intermediazione”. A parere di Fastweb, “il trasferimento rilevante per il GDPR avviene direttamente tra Toleadoo e Naturvel, da un lato, e Fastweb, dall’altro lato […] Per l’effetto, il rapporto titolare-titolare tra Fastweb, Toleadoo e Naturvel è del tutto legittimo e di conseguenza è strutturato in modo conforme al Regolamento”.

In secondo luogo, con riguardo alle modalità di acquisizione delle liste di anagrafiche in autonomia da parte dei partner della rete commerciale di Fastweb - secondo la Società - “il soggetto che procede all’acquisto non lo fa in quanto titolare, bensì come responsabile del trattamento per conto di Fastweb, soggetto per cui sta materialmente eseguendo l’attività”. Invero, “Nel contratto di agenzia sottoscritto con i propri partner, Fastweb assegna loro l’incarico di promuovere, senza rappresentanza, affari nel suo interesse, nominandoli espressamente quali responsabili del trattamento dei dati personali [i quali] ricevono in maniera dettagliata e completa l’indicazione su quali sono i compiti e le attività che dovranno svolgere”. A parere di Fastweb, le agenzie opererebbero quali “imprenditori autonomi sul piano civilistico”, ma sotto il profilo del trattamento dei dati “le agenzie non hanno alcuno spazio per decidere in autonomia gli ‘essential means’ su quali dati, per quanto tempo e per quali categorie di interessati”. Pertanto, “l’autonomia di acquisto” ci sarebbe “sul piano prettamente commerciale” e non “dal punto di vista del GDPR”.

2.1.3. Sul servizio “Call me back” (cfr. punto 3 della contestazione), la Società ha replicato come segue.

In primo luogo - secondo Fastweb - l’informativa “precisa[va] che si prestava il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”. Gli aspetti relativi al “numero dei contatti potenzialmente effettuabili o cosa sarebbe successo nel caso di numerazione libera […] non attengono alle finalità […] bensì alle modalità tecniche per il loro perseguimento”.

In secondo luogo, Fastweb avrebbe adottato “un sistema semplice ed agevole di disattivazione” del servizio “Call me Back”, per cui gli interessati “possono agire per il tramite del semplice invio di una mail”, ovvero mediante “risposta alla chiamata di ricontatto richiesta, per comunicare che non si è più interessati a ricevere supporto”.

La Società ha dedotto che “sotto entrambi i profili” non vi sarebbe stata una “lesione del consenso degli interessati”, sia perché “ai sensi del considerando 42 -richiamato anche dal par. 3.3.1. delle Linee guida sul consenso, WP259rev.01-, era sufficiente che gli interessati fossero informati delle ‘finalità dei trattamenti’, cosa che è avvenuta”, sia perché “sempre ai sensi del citato considerando 42, non è condizione per la validità del consenso che vi siano modalità di revoca esattamente speculari a quelle per il rilascio”. Tuttavia, la Società, “a comprova della costante ricerca di miglioramento perseguita”, ha reso disponibile “una nuova informativa […] che illustra le modalità di funzionamento del servizio, di relativo trattamento dei dati e delle politiche di ricontatto oltre che di revoca”.

Infine, in merito ai fascicoli contestati, Fastweb segnala di trovare corrispondenza con gestioni eseguite solo per i fascicoli 138241, 149829, 150096, 151543, 152330, 152792 e 154231, che comunque, non sarebbero probatori di quanto contestato.

2.1.4. Sulla sicurezza dei database di Fastweb e la dichiarazione di data breach (cfr. punti 4 e 5 della contestazione), la Società ha rappresentato quanto segue.

In via preliminare, Fastweb ha dedotto di non aver rilevato, “nella maggioranza” dei casi oggetto di contestazione, accessi non autorizzati o altre anomalie sui sistemi e che “i casi segnalati coinvolgevano principalmente servizi forniti in forza di accordi di accesso e interconnessione da parte di operatori terzi […], ai quali i dati sono legittimamente comunicati per consentire la normale funzionalità della rete”.

Nello specifico: nei casi di cui ai fascicoli nn. 154212, 146238, 139824, è stato necessario richiedere un intervento da parte di un altro operatore telefonico (nei primi due, per la risoluzione dei disservizi lamentati dai clienti, mentre nell’ultimo per il perfezionamento dell’attivazione della linea richiesta dal cliente) e tutti i contatti lamentati dai clienti – ha ribadito la Società - sono stati effettuati “solo successivamente al coinvolgimento di [tale operatore]”.

Quanto alle vicende di cui ai fascicoli nn. 147286, 146260, 146491, e 148138, gli eventi di cui ai primi tre fascicoli, sono stati oggetto di denuncia alla Polizia Postale. Per i fascicoli nn. 147286 e 146260, inoltre, la Società ha aggiunto che i dati dei clienti e gli eventi occorsi sulla rete erano visibili anche al “soggetto terzo rispetto a Fastweb proprietario della rete”. Infine, nei casi di cui ai fascicoli nn. 146260, 146491,148138, la Società ha rilevato che “le analisi non hanno portato ad evidenziare anomalie sui sistemi impiegati per simili gestioni né è emerso che il dato sia stato soggetto ad una estrazione illecita”.

Alla luce di quanto sopra, “La Società […] ha ritenuto ragionevole ipotizzare che la fuoriuscita dei dati fosse collocata al di fuori dei sistemi di propria pertinenza”.

Al riguardo, Fastweb ha richiamato la delibera dell’AGCOM 321/17/CONS, rilevando che “i rapporti di accesso e interconnessione tra operatori sono sottoposti a regolazione da parte dell’AGCOM e i modelli contrattuali in essere, approvati dalla medesima AGCOM portano a ritenere ciascuna delle parti come ‘titolare autonomo’ con riferimento ai trattamenti dei dati personali di propria competenza connessi”.

A parere della Società, “in presenza di una distinta titolarità nei trattamenti, la comunicazione di Data Breach […] non può che competere al ‘titolare’ stricto sensu in relazione al perimetro di trattamenti che gli competono. Ciò risulta già dalla lettera di tali disposizioni ed è coerente con il tipo di reazioni che si richiedono al titolare, che assumono per l’appunto il governo diretto delle modalità di trattamento”.

In ogni caso – ha sostenuto la Società – Fastweb non avrebbe trascurato il fenomeno di cui sopra, “adopera[ndosi] nei tavoli AGCOM” e presentando “plurime denunce all’Autorità Giudiziaria” nonché curando il rapporto con i suoi clienti.

Per quanto riguarda la carenza di sicurezza sui sistemi di Fastweb in violazione degli artt. 24 e 32 del Regolamento, la Società ha ribadito: che non vi sarebbero elementi comuni a tutte le segnalazioni di chiamate illeciti; che rispetto alle centinaia di migliaia di richieste di supporto che riceve Fastweb ogni mese, le segnalazioni ricevute dall’Autorità corrispondono a un percentuale irrisoria; e di non aver rilevato anomalie che potessero fare ipotizzare accessi non autorizzati.

Fastweb ha poi illustrato le attività compiute per tutelare la sicurezza dei sistemi. In particolare: “ulteriore attività di pulizia dei profili con eliminazione della funzionalità […] di download massivo agli operatori di customer care”; “per tutti quelli che hanno ancora la facoltà di visualizzazione ed estrazione, sono comunque stati bloccati i dati di contatto da tutti i report”; “sono state implementate più dashboard gestite su unico sistema che consentono in maniera sempre più efficiente il monitoraggio degli eventuali accessi, delle visualizzazioni delle schede clienti, dell’utilizzo delle facoltà di reporting e dell’export sempre riferito al CRM”; “mascheramento in visualizzazione dei dati di contatto” e “formazione su utilizzo reporting ed export massivi”.

La Società ha altresì evidenziato l’attività “di sensibilizzazione svolta anche nei confronti della propria rete di clienti per […] prevenire le truffe nei confronti dei clienti Fastweb, proteggendo la sicurezza dei loro dati personali, informandoli su come evitare di consegnare i propri documenti a persone non autorizzate, che si presentano a nome o per conto di Fastweb illecitamente”.

2.1.5. Sugli errori di sistema, i ritardi nel riallineamento e nella correzione dei dati (cfr. punto 6 della contestazione), la Società ha rappresentato quanto segue.

In via preliminare, Fastweb ha sostenuto che “aderendo alla logica di accountability su cui è strutturato il nuovo Regolamento – tralasciando il sistema sanzionatorio proprio del vecchio Codice fondato sulla dicotomia fatto-sanzione – questi accadimenti […] rappresentano casi isolati ed evidentemente non sistematici che possono accadere proprio a causa di errori manuali di inserimento o difficoltà comunicative tra computer/sistemi”. Le poche segnalazioni, sono da considerarsi un numero estremamente contenuto rispetto a “una media di 40.000 richieste per aggiornamento di anagrafiche, dati di contatto, di recapito” che vengono lavorate dalla Società. Non si sarebbero verificate violazioni rilevanti ai fini sanzionatori degli artt. da 15 a 22 del Regolamento poiché l’esercizio dei diritti sarebbe “stato sempre prontamente garantito” agli interessati e, laddove si sono verificati dei ritardi, “ricorrevano le ‘giustificazioni’ del ritardo contemplate appunto quale possibilità dallo stesso legislatore” agli artt. 16 e 17.

Quanto alle singole segnalazioni contestate, la Società ha richiamato le risposte già fornite per ogni singolo caso e aggiunto, tra l’altro, quanto segue: per il fascicolo n. 147619, “Per un disallineamento dei sistemi la gestione è stata completata solo il 19.08 […] il disservizio è documentato […] La comprova della sporadica anomalia verificatasi sui sistemi è data dalla presenza dei […] ticket di lavorazione”; e per il fascicolo n. 152006, “la causa del ritardo è provata dal task 50897” relativo a un problema con il codice fiscale.

2.1.6. Sui trattamenti per finalità promozionali effettuati senza consenso o sulla base del legittimo interesse (cfr. punto 7 della contestazione), la Fastweb ha rappresentato quanto segue.

In linea generale, la Società ha osservato che i dati, raccolti per “finalità determinate, esplicite e legittime” possono essere trattati anche per altri fini, se il trattamento è compatibile con le finalità per le quali i dati personali sono stati inizialmente raccolti. In tal caso, non sarebbe necessaria una base giuridica separata oltre a quella che ha consentito la raccolta dei dati personali. Pertanto, “l’analisi sul legittimo interesse come base autonoma del trattamento – in particolare per trattamenti svolti nell’ambito di un rapporto contrattuale e con fini diversi ma collegati a quelli dell’esecuzione del contratto e dunque ‘ragionevolmente prevedibili’ dall’interessato – assorbe anche quella sulla compatibilità della nuova finalità”.

Per quanto concerne i contatti oggetto di lamentela di cui ai fascicoli nn. 153360 e 149390, in via preliminare, i contatti sarebbero stati effettuati in quanto i reclamanti non avevano espresso (fascicolo n. 153360) ovvero non avevano “ancora” espresso (fascicolo n. 149390) al giorno del contatto, “opt out sul legittimo interesse” ed erano diretti “unicamente a clienti Fastweb […] in relazione a promozioni in partnership che consentissero di avere sconti o altri vantaggi concreti sui servizi ‘già attivi’ con Fastweb”. Invero, secondo la Società “la circostanza che gli interessati non avessero dato il consenso per i trattamenti commerciali non poteva rilevare implicitamente come opposizione ai contatti basati sul legittimo interesse”.

Con riferimento poi all’informativa fornita a entrambi i reclamanti al momento del contratto, la Società ha sottolineato che sia il tema di legittimo interesse, sia quello relativo al consenso per finalità commerciali, sono distintamente indicati nell’informativa stessa. Per tali ragioni, Fastweb ha rilevato che “la scelta della ‘base legittima’ era stata compiuta prima della raccolta dei dati” e che “non c’è sovrapposizione tra le due tipologie di basi giuridiche, nè Fastweb è ricorsa al legittimo interesse per sopperire alla mancanza del consenso”.

In merito al diritto di opposizione riconosciuto agli interessati, Fastweb ha rilevato di “aver assicurato un’agevole facoltà di esercizio del diritto […] in coerenza con quanto espressamente riportato nell’informativa”, laddove è specificato che l’interessato potrà gestire i suoi consensi e opposizioni “in modo autonomo attraverso la pagina dedicata all'interno della […] area clienti MyFastweb”, ovvero potrà “chiamare il Servizio Clienti o recarsi nei Negozi Flagship Fastweb”.

A supporto delle proprie affermazioni, la Società ha riportato uno screenshot della sezione “consensi e preferenze di contatto” disponibile nell’area Myfastweb di ciascun cliente, evidenziando che “il cliente può esercitare il proprio diritto di opt out cliccando sulla casella ‘Non desidero ricevere informazioni’”.

A conclusione della propria memoria difensiva, la Società ha richiamato le precedenti argomentazioni e comunicazioni, chiedendo all’Autorità di “chiudere positivamente in suo favore il procedimento instaurato”; ovvero, “in via subordinata”, di non disporre “l’applicazione di sanzioni ex artt. 58 e 83 del Regolamento”; ovvero, “in via ulteriormente subordinata” di “ridur[re] al minimo applicabile [la sanzione] e vengano riconosciute le attenuanti generiche e specifiche indubbiamente dimostrate”.

2.2. Considerazioni in fatto e in diritto

Le suesposte argomentazioni difensive, unitamente a quanto rappresentato dalla Società in sede di istruttoria, non consentono di escludere la responsabilità di Fastweb in ordine alle violazioni oggetto di contestazione, il cui contenuto si richiama integralmente, per i motivi esposti di seguito.

In via preliminare, si osserva che le descritte condotte in materia di telemarketing rappresentano la riprova e la conferma dell’allarmante contesto in cui deve inquadrarsi il fenomeno dei contatti illeciti e delle chiamate promozionali indesiderate. Tale fenomeno, come già evidenziato nei più volte richiamati provvedimenti dell’Autorità, adottati anche in tempi recenti, è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. Numerosi sono stati gli interventi normativi volti a regolamentare il settore. Tali interventi sono stati accompagnati dalle costanti attività di controllo da parte dell’Autorità in merito ai diversi aspetti del fenomeno: dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia dal Garante prima dell’entrata in vigore del Regolamento, oggetto di dibattiti fra gli esperti del settore e di attenzione da parte degli organi di stampa, non hanno determinato una riduzione del fenomeno, cosicché l’Autorità, nell’aprile 2019, ha inviato una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. Anche alla luce di tale contesto, appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione (accountability) e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.

2.2.1.  Con riferimento alla contestazione di cui al punto 1), si conferma la sussistenza della contestata violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, in relazione all’intera base clienti della Società, nonché ai reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231.

Dall’analisi delle segnalazioni e dei reclami pervenuti all’Autorità nonché dei relativi riscontri forniti da Fastweb, è emerso che per un considerevole numero di chiamate promozionali illecite effettuate per conto della Società (almeno il 70%) sono state utilizzate numerazioni non facenti capo alla rete di vendita Fastweb e, in quasi tutte le circostanze, non censite al ROC (ossia al Registro degli Operatori di Comunicazione).

In linea generale deve premettersi che le misure di rafforzamento adottate dalla Società e le ulteriori iniziative intraprese - tra le quali si registra anche l’intento di giungere ad una tendenziale dismissione del canale delle chiamate outbound delle agenzie e la partecipazione al tavolo di lavoro avviato con le principali associazioni di consumatori - certamente dimostrano la presa di coscienza da parte di quest’ultima della gravità del fenomeno delle chiamate promozionali illecite, e la volontà di arginarlo.

Tuttavia, non possono non evidenziarsi i limiti e le criticità riscontrate in merito ad alcune delle predette misure.

In primo luogo, con riferimento ai meccanismi di controllo, nell’atto di avvio del procedimento si è notato che i controlli effettuati dalla Società sulle numerazioni e sugli esiti dei contatti lavorati caricati dal partner sul portale Invoice (compreso l’esito di PDA, nonché quelli ex post sulla riconducibilità anche in tempi diversi a liste di contatto autorizzate da Fastweb delle numerazioni chiamate), non forniscono alcuna garanzia sul corretto svolgimento della fase promozionale, in quanto si limitano a verificare che il contatto del soggetto chiamato rientri in una lista autorizzata da Fastweb senza però effettuare alcun controllo sulla numerazione chiamante.

Ciò può consentire a soggetti ignoti e comunque non riconducibili al circuito di vendita ufficialmente riconosciuto e autorizzato da Fastweb di effettuare chiamate promozionali per conto della Società tramite numerazioni che non appartengono alla rete di vendita di Fastweb, al fine di raccogliere illecitamente i dati personali degli utenti che, nell’erronea convinzione di interloquire con un agente di vendita Fastweb, in alcuni casi li conferiscono aderendo alle offerte promozionali. Tali dati personali confluiscono poi nei database societari tramite le proposte di abbonamento (le c.d. “PDA”) che sono caricate sui sistemi della Società e portate all’attivazione.

Questo fenomeno, come evidenziato nell’atto di contestazione e nei sopra richiamati recenti provvedimenti dell’Autorità, può essere arginato o addirittura radicalmente eliminato da parte di Fastweb, configurando i propri sistemi in modo da poter bloccare le procedure di attivazione di offerte o servizi laddove la Società non sia in grado di garantire che l’attività promozionale si sia svolta nel rispetto delle norme e dei diritti degli interessati, fin dal momento del primo contatto. In tal senso, per ogni attivazione, i sistemi della Società, oltre a richiedere l’indicazione della lista di contatto utilizzata (con i vincoli di validità temporale coerenti con la data del primo contatto), dovrebbero richiedere ulteriori elementi necessari per determinare la correttezza dello svolgimento del contatto promozionale (ad es., indicazione del partner che ha operato il primo e i successivi contatti; indicazione delle numerazioni telefoniche chiamanti - debitamente censite nel R.O.C., registro degli operatori di comunicazione; script di chiamata e informativa letti dall’operatore di call-center).

Le conseguenze connesse alla mancata valorizzazione di tali informazioni dovrebbero in ogni caso poter prevedere, in ragione della potenziale illiceità dei trattamenti, anche l’inutilizzabilità dei dati (ex art. 2-decies del Codice) ovvero il “blocco” dell’attivazione di contratti che non rispettino determinati requisiti.

Al riguardo, non si ritiene condivisibile l’orientamento di Fastweb secondo cui quest’ultima “non avrebbe alcun titolo per rifiutare tale attivazione” anche laddove i contratti siano stati originati da chiamate promozionali illecite poiché “l’attivazione di serviz[i] di fonia o dati […] assumono un vero e proprio carattere di pubblica utilità”.

In casi analoghi, l’Autorità ha chiarito che “quella di non procedere all’attivazione di offerte o servizi nel momento in cui non vi sia prova che gli stessi siano stati correttamente proposti all’utente in base alle disposizioni che regolano le modalità di svolgimento dei contatti promozionali, non costituisce una mera facoltà del titolare del trattamento ma un preciso obbligo dettato dal combinato disposto degli artt. 5, parr. 2, 6 e 7 del Regolamento e degli artt. 2-decies e 130 del Codice. In base alle norme del Regolamento, infatti, il titolare è tenuto a comprovare che i trattamenti dallo stesso svolti, anche tramite responsabili, siano conformi ai principi di liceità, trasparenza e correttezza (in particolare con riferimento al consenso), principi che, nell’ambito dei contatti promozionali sono declinati dall’art. 130 del Codice, e qualora ciò non sia possibile, il primo effetto che ne deriva è costituito dall’inutilizzabilità dei dati trattati” (cfr. il provvedimento n. 224 del 12 novembre 2020).

Medesime considerazioni possono svolgersi “sul piano civilistico”, dovendosi escludere che nei suddetti casi si sia formata una volontà libera e autonoma delle parti a perfezionare un contratto: lo stesso, infatti, sarebbe stato veicolato da un soggetto non fornito dei requisiti essenziali per poter rappresentare la Società (e, conseguentemente, per raccogliere i dati dell’altro contraente) e portato all’attenzione di un soggetto che esprime il proprio consenso alla sottoscrizione nell’erronea convinzione di interloquire con Fastweb.

Appare altresì priva di pregio la tesi avanzata dalla Società, secondo cui anche successivamente all’adozione del sistema di blocco automatico nell’inserimento dei nuovi contratti, “a fronte della perdurante volontà dell’interessato, Fastweb non avrebbe alcun titolo per rifiutare tale attivazione”.

In via preliminare, si rileva che la tesi di Fastweb secondo cui vi sarebbe una distinzione tra chiamata “illecita” e chiamata “indesiderata” non trova alcun riscontro normativo, poiché, come è ovvio, per il legislatore italiano ed europeo non hanno rilevanza le considerazioni in ordine alla “desiderabilità” di un contatto telefonico. Al contrario, possono definirsi indesiderate (cioè illecite), le chiamate promozionali effettuate senza idonea base giuridica (art. 130 del Codice e artt. 6 e 7 del Regolamento). Né è condivisibile la tesi difensiva sull’asserita “autonoma base giuridica”, posto che il trattamento della Società rientrerebbe nell’ambito dell’attività svolta dal soggetto terzo ignoto.

Al riguardo, si è già evidenziato che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso” (cfr. il richiamato provvedimento n. 143 del 9 luglio 2020).

Si conferma quanto rappresentato nell’atto di contestazione in ordine al fatto che l’assenza di iniziative come sopra delineate (ossia di sistemi che richiedano ulteriori elementi per ogni attivazione oltre all’indicazione della lista di contatto), in particolare in presenza di un dato così rilevante in ordine alle chiamate disconosciute, ha determinato una grave falla nell’accountability di Fastweb, nonché in alcuni elementi cardine del criterio di privacy by design.

Quanto alla procedura che la Società intende adottare a seguito dell’implementazione della nuova tecnologia, si osserva che l’eventuale “perdurante volontà” dell’interessato a sottoscrivere un abbonamento con Fastweb, in ogni caso, non potrebbe essere verificata dalla Società tramite un ricontatto telefonico dell’utente. Tale operazione darebbe seguito all’attività promozionale illecita iniziata dal soggetto terzo non autorizzato, ponendo in essere un ulteriore trattamento di dati acquisiti illecitamente al fine di svolgere attività promozionale. Per preservare l’espressione di volontà del potenziale cliente, si potrebbe eventualmente prendere in considerazione la possibilità di inviare un breve messaggio allo stesso, informandolo delle problematiche che impediscono la registrazione del contratto e l’attivazione del servizio, con invito a ricontattare una specifica articolazione inbound della Società al fine di perfezionare il contratto stesso: in questo modo la volontà dell’interessato potrà essere portata all’attenzione del titolare proprio su impulso di quest’ultimo.

In secondo luogo, anche con riferimento ai nuovi meccanismi sanzionatori adottati da Fastweb, si è osservato nell’atto di contestazione che le misure adottate dalla Società, (incluso “il mancato pagamento delle PDA fuori lista”), non sono idonee a scardinare il fenomeno sopra descritto poiché agiscono in via esclusiva sulla rete di vendita “ufficiale” e non sono in grado di incidere in alcun modo su quello che è stato più volte definito come il “sottobosco” del telemarketing.

In particolare, quanto alla suddetta misura di “esclusione del compenso”, quest’ultima è apparsa inadeguata, in primis, perché consente in ogni caso il caricamento di ordini per nuovi contratti anche rispetto ai clienti procacciati fuori dalla lista clienti dedicata ad un’agenzia e/o fuori dalla zona ad essa assegnata, determinando così l’utilizzo di dati acquisiti illecitamente da soggetti ignoti in violazione della disciplina rilevante in materia di protezione dei dati personali. Inoltre, poiché da tale utilizzo Fastweb trarrebbe anche un profitto (si è richiamato l’esempio dei 5543 contatti eseguiti verso numerazioni fuori lista dai quali potrebbero potenzialmente derivarne 5543 ordini di attivazione per Fastweb), le scelte operate dalla medesima al fine di escludere provvigioni e compensi sarebbero giuridicamente aggredibili dalle agenzie coinvolte, come del resto evidenziato dalla Società in sede di audizione. La predetta misura, inoltre, non sembra impedire che vengano corrisposte remunerazioni a coloro che procacciano clienti i cui contatti sono contenuti in liste autorizzate da Fastweb ma che utilizzano delle numerazioni chiamanti non censite (attività che potenzialmente potrebbe essere posta in essere direttamente da un agente della rete di vendita Fastweb, ovvero da quest’ultima tramite l’intermediazione di un soggetto terzo ignoto).

Quanto al processo di denuncia delle numerazioni chiamanti non riconosciute implementato da Fastweb “per contrasto all’uso di numerazioni illecite”, sebbene utile in quanto diretto a bloccare le numerazioni oggetto di denuncia, anche tale meccanismo non fornisce alcuna garanzia sul corretto svolgimento della fase promozionale. Invero, si tratta di una misura caratterizzata da una portata molto limitata, posto che si attiva solo a seguito della ricezione di chiamate promozionali indesiderate da parte dell’interessato (quindi successivamente alla violazione dei suoi dati personali), e solo laddove il destinatario della chiamata illecita presenti una segnalazione alla Società ovvero all’Autorità (la misura, quindi, potrebbe, anche non attivarsi o, comunque si attiverebbe solo in relazione al limitato numero di chiamate promozionali segnalate). Aggiungasi che, le numerazioni oggetto di denuncia, potrebbero non essere riconducibili a un identificato contraente, risolvendosi tale misura in una sostanziale impunità per gli autori.

Quanto alle ulteriori misure adottate dalla Società “nel caso in cui sia stato possibile identificare l’autore” di chiamate promozionali illecite, ossia l’applicazione delle “penali”, la “risoluzione contrattuale” e l’“interruzione dei rapporti con le agenzie”, si conferma quanto emerso nell’atto di contestazione in merito alla non sistematicità e incoerenza nell’applicazione delle misure rispetto a situazioni analoghe. Sulla misura delle “penali”, nell’atto di contestazione si è rilevata l’inadeguatezza di tale misura sia in quanto la sua applicazione non è proporzionale rispetto al numero delle condotte abusive rilevate dalla documentazione prodotta dalla Società (meno dell’1% delle condotte illecite risultano essere state sanzionate tramite l’applicazione di una penale) sia in quanto l’ammontare della sanzione applicata risulta modesta rispetto al numero delle violazioni commesse da un’agenzia (nonché rispetto al suo volume d’affari). Per quanto concerne le misure della “risoluzione contrattuale” o dell’“interruzione dei rapporti con le agenzie”, si è rilevata l’incoerenza e contraddittorietà delle condotte della Società laddove quest’ultima ha scelto di risolvere o interrompere i rapporti con alcune agenzie e di proseguirli con altre, nonostante le seconde avessero commesso le medesime violazioni delle prime, più altre.

In terzo luogo, con riferimento alle misure adottate da Fastweb che sono attualmente in fase di sviluppo, si rileva quanto segue.

Sebbene sia apprezzabile l’intenzione di Fastweb di intraprendere un percorso che si pone, almeno parzialmente, nel solco delle indicazioni dell’Autorità, sia tramite l’utilizzo del “tool log” (che consente di estendere i controlli ex-post anche alle numerazioni chiamanti e al complesso delle chiamate promozionali effettuate dalle agenzie), sia mediante la nuova implementazione tecnologia (che consente di inibire la possibilità di caricare ordini riferiti a soggetti non presenti nelle liste di contatto autorizzate), entrambe le misure presentano le medesime criticità laddove non prevedono l’estromissione delle proposte di contratto acquisite illecitamente dal patrimonio informativo della Società, come sarebbero invece tenute a prevedere per le ragioni già ampiamente illustrate sopra.

Da ultimo, non rilevano le argomentazioni difensive espresse da Fastweb relative al numero limitato di segnalazioni e reclami, a fronte dell’ingente numero di contatti promozionali effettuati dalla Società. La Società è ben consapevole che le 236 segnalazioni portate all’attenzione del Garante corrispondono solo a una minima parte dell’attività promozionale illecita che viene posta in essere quotidianamente dalle agenzie di vendita (basti considerare che solo con riferimento ai “contatti eseguiti dalle agenzie verso numerazioni fuori lista”, la stessa Società ha dichiarato che in meno di due anni sono stati effettuati 5.543 contatti illeciti). È evidente che la maggior parte degli utenti, vittime di molteplici chiamate promozionali illecite, non si rivolga all’Autorità con segnalazioni e reclami, nonostante il telemarketing venga spesso percepito come un fenomeno invasivo, anche oltre ogni limite di tolleranza. Ciò che assume rilevanza, oltre al numero dei casi segnalati, è il grado di efficacia delle risposte fornite dalla Società a tali segnalazioni e reclami, al fine di evitare che l’attività posta in essere dalle agenzie di vendita per conto di Fastweb prevarichi sull’altrui riservatezza. Ebbene, se nel caso di Fastweb, a fronte di 236 segnalazioni, la Società ha disconosciuto la provenienza di almeno 166 telefonate, fornendo pertanto agli interessati un riscontro del tutto inefficace rispetto alle loro richieste. Pertanto, deve concludersi che anche dal punto di vista numerico, la problematica portata all’attenzione dell’Autorità assume rilievi di estrema gravità.

Alla luce di quanto sopra, è emerso che la Società, sebbene si sia “impegnata” e abbia “investito” sul fenomeno delle chiamate disconosciute, non ha esercitato pienamente le proprie attribuzioni, alle quali corrispondono i doveri di accountability e privacy by design individuati dall’art. 5, par. 2, e 25 del Regolamento, omettendo di introdurre forme di controllo della “filiera” di acquisizione dei dati personali che impediscano di acquisire nuovi clienti qualora non sia dimostrato che gli stessi siano stati inizialmente contattati da un soggetto ricompreso nella catena di responsabilità del trattamento il quale abbia posto in essere tutte le cautele previste dal quadro normativo e deontologico di riferimento.

2.2.2. Con riferimento alla contestazione di cui al punto 2), all’esito dell’istruttoria è emerso che Fastweb ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta le avevano acquisite in qualità di autonomi titolari del trattamento e che le hanno riversate nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. Si conferma, pertanto, la contestata violazione che ha coinvolto almeno 7.542.000 interessati nell’anno 2019.

In base alla ricostruzione di Fastweb, le liste di anagrafiche possono essere acquisite, tra l’altro, da list editor diretti (Chebuoni, Impiego24, ClickAdv, Bakeca e eGentic, che a sua volta le acquisisce dalle società controllate Naturvel Pte Ltd. e Tooleado Gmbh), e dai propri partner che a loro volta le acquisiscono in autonomia dai propri fornitori e successivamente ottengono da Fastweb l’autorizzazione a utilizzarle.

Con riferimento alle liste di anagrafiche relative ai numeri di telefonia mobile che Fastweb acquisisce direttamente dai list editor, complessivamente il modello seguito appare corretto. Si è notato che, nel suddetto caso, le società assumono la veste giuridica di titolari del trattamento che comunicano i dati in loro possesso a Fastweb in base allo specifico consenso che gli interessati hanno fornito alle medesime. Nell’ambito del processo di acquisizione delle anagrafiche, Fastweb richiede alle società che le stesse acquisiscano il consenso per la cessione dei dati a terzi, quale opzione facoltativa e che Fastweb sia indicata, nella correlata informativa, quale soggetto al quale i dati possono essere ceduti. Fastweb verifica che i dati acquisiti direttamente dai list editor provengano da propri siti o da autonome iniziative e non da aggregazione di fonti diverse. Pertanto, il modello prevede una comunicazione di dati da titolare (list editor) a titolare (Fastweb) sorretta da uno specifico e informato consenso, idoneo a consentire all’interessato di esercitare il pieno controllo sul destino dei dati che lo stesso ha conferito all’originario titolare: tale controllo è facilmente esercitabile anche attraverso le indicazioni che Fastweb fornisce in sede di contatto telefonico.

Anche con riferimento alle liste di anagrafiche che la Società acquisisce tramite la società eGentic, che a sua volta acquisisce i dati dalle società facenti parte del proprio gruppo imprenditoriale, Naturvel Pte Ltd. e Tooleado Gmbh, dalla documentazione prodotta dalla Società e dall’istruttoria svolta dall’Autorità è emerso che il trattamento dei dati è avvenuto correttamente.

Per quanto riguarda le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi autonomamente da un proprio fornitore, non è condivisibile la tesi della Società secondo cui le agenzie opererebbero quali responsabili del trattamento dei dati personali.

Si è notato infatti che tali liste vengono acquisite da parte delle agenzie “in autonomia”, ovvero “da sé” e utilizzate “previa richiesta e autorizzazione […] da parte del titolare Fastweb”. Nel riscontro alla richiesta di informazioni, la Società ha evidenziato che per poter utilizzare tali liste, l’agenzia è tenuta a richiedere un’autorizzazione a Fastweb fornendo una serie di elementi che saranno oggetto di verifica da parte di quest’ultima. Nel caso in cui le analisi svolte da Fastweb forniscano esito positivo, il partner è autorizzato a caricare le anagrafiche in suo possesso affinché siano utilizzate nella pianificazione del mese corrente.

Dall’istruttoria risulta che le agenzie acquisiscono le liste di anagrafiche “in autonomia”, potendole astrattamente utilizzare non solo per le campagne promozionali di Fastweb ma anche per altri soggetti. Ne deriva che, al momento dell’acquisizione delle liste di anagrafiche, esse operano non in qualità di responsabili del trattamento (come sostiene Fastweb), bensì quali autonomi titolari.

Emerge pertanto che, le liste di anagrafiche fornite dai partner della rete di vendita di Fastweb, a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento, sono confluite nel circuito di trattamenti aventi finalità promozionali dei quali la Società è titolare, attraverso una cessione fra autonomi titolari. Tale cessione non può essere mascherata o elusa dalla successiva designazione dei partner medesimi quali responsabili del trattamento di Fastweb. I partner in questione hanno pertanto ceduto tali liste a Fastweb soltanto sulla base dell’originario consenso che gli interessati hanno reso ai list editor, consenso che però risulta inidoneo a permettere ulteriori comunicazioni di dati.

Come osservato in diversi recenti provvedimenti dell’Autorità (cfr., tra l’altro, i provvedimenti n. 232 dell’11 dicembre 2019, in www.gpdp.it, doc. web n. 9244365 e n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681), tale modalità di comunicazione dei dati è inidonea a consentire all’interessato di esercitare il pieno controllo sugli stessi. Pertanto, il modello di business adottato per consentire ai partner di utilizzare proprie liste di anagrafiche per svolgere attività promozionale per conto di Fastweb risulta violare le disposizioni del Regolamento in materia di accountability e consenso (art. 5, parr. 1 e 2, art. 6, par. 1 e art. 7).

2.2.3. Con riferimento alla contestazione di cui al punto 3), si conferma la sussistenza violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”.

Si è notato che il servizio “Call me back” segue una procedura ben delineata che consente un ricontatto pianificato del cliente a seguito di una sua richiesta.

Tuttavia, dall’istruttoria svolta dall’Ufficio, è emerso che la Società non ha predisposto un’informativa ad hoc in relazione a tale servizio, in cui sia esplicato il suo funzionamento, le modalità di trattamento dei dati personali e di ricontatto dell’utente. Invero, l’avviso sintetico inserito in prossimità del tasto di attivazione del servizio, si limita ad avvisare l’utente che, attivandolo, egli presta il proprio “il consenso al trattamento dei dati personali per ricevere contatti telefonici sulle offerte Fastweb esclusivamente nelle fasce orarie […] indicate”.

Al riguardo, non appaiono condivisibili le argomentazioni difensive secondo cui “era sufficiente che gli interessati fossero informati delle ‘finalità di trattamento’, cosa che è avvenuta”, mentre “il numero di contatti potenzialmente effettuabili o cosa sarebbe successo nel caso di numerazione libera” sono “aspetti che non attengono alle finalità […] bensì alle modalità tecniche per il loro perseguimento”.

Si deve osservare che, quando le “modalità tecniche” sono particolarmente invasive come nel caso di specie, in cui l’utente potrebbe essere potenzialmente “richiamato […] 4 volte in un’ora a distanza di 15 minuti ciascuno per un totale di 20 tentativi […] nell’arco della giornata” prima che “il contatto [sia] chiuso”, queste diventano parte integrante ossia una caratteristica stessa del trattamento, di cui l’utente deve essere previamente informato prima di rilasciare il suo consenso, proprio in ragione della loro particolare pervasività. Si pensi, ad esempio, alle segnalazioni degli utenti che hanno lamentato “una persecuzione telefonica” a seguito dell’attivazione del servizio.

Anche la nuova informativa predisposta da Fastweb, sebbene espliciti il funzionamento del servizio lasciando intendere all’utente che a seguito dell’attivazione del medesimo seguiranno “successivi tentativi” di chiamata, appare generica laddove si limita ad affermare che “in caso di contatto non riuscito proveremo a richiamarti nei giorni successivi fino alla scadenza dei tentativi utili che variano a seconda dell’impedimento riscontrato (linea occupata, mancata risposta) e degli operatori disponibili. In ogni caso i successivi tentativi per dare seguito alla tua richiesta saranno eseguiti nel rispetto della fascia oraria scelta originariamente”.

Si rileva, altresì, la carenza di un sistema che consenta agevolmente all’utente di disattivare il servizio con la medesima semplicità con cui è possibile attivarlo. Al riguardo, non appaiono avere pregio le argomentazioni di Fastweb secondo cui, per la disattivazione del servizio, basterebbe che gli interessati “rispos[ndessero] alla chiamata di ricontatto richiesta”. Invero, oggetto della contestazione è proprio l’assenza di un sistema che consenta agevolmente all’interessato di interrompere il flusso di chiamate qualora egli sia impossibilitato (o semplicemente non più intenzionato) a rispondere alle chiamate. Né tantomeno, la procedura di disattivazione del servizio “per il tramite del semplice invio di una mail” appare una misura proporzionata rispetto alla procedura di attivazione che richiede un semplice “clic”. Se è vero che “non è condizione per la validità del consenso che vi siano modalità di revoca esattamente speculari a quelle per il rilascio”, è altrettanto vero che è obbligo del titolare del trattamento “prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al […] Regolamento” (Art. 12 del Regolamento e considerando 59).

I casi segnalati, se ricondotti a sistema attraverso le indicazioni fornite da Fastweb, evidenziano come la mancanza di un’adeguata informativa e la carenza di procedure adeguate per la revoca del consenso abbiano impedito agli interessati (i) di prestare un consenso libero, specifico e informato, attraverso una azione positiva inequivocabile; (ii) di interrompere il flusso di chiamate, ostacolandoli nell’esercizio dei propri diritti.

La circostanza che Fastweb non abbia adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione nonché l’inosservanza delle disposizioni in materia di informativa costituisce una violazione delle correlate disposizioni del Regolamento, contenute negli artt. 5, 6, 7, 12, 13 e 21.

2.2.4. Con riferimento alle contestazioni di cui ai punti 4) e 5), risulta accertata la violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati personali (tra cui, dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento), per aver omesso di porre in essere misure di proporzionata efficacia al fine di: garantire (ed essere in grado di dimostrare), che il trattamento è effettuato conformemente al Regolamento; assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento; e testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138). Risulta altresì accertata la violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui sopra.

È pacifico che la Società abbia avuto contezza fin dal luglio del 2019 del fenomeno che ha coinvolto centinaia di clienti Fastweb, i quali sono stati destinatari di contatti illeciti da parte di ignoti soggetti che, spacciandosi per operatori di Fastweb, richiedevano di inviare tramite Whatsapp copia dei propri documenti di identità, cosa che un consistente numero di utenti ha effettivamente fatto. Come affermato dalla stessa Società, il fenomeno ha dimensioni più ampie e ciò può essere desunto anche dall’elevato numero di segnalazioni pervenute a Fastweb che hanno formato oggetto di denuncia da parte della Società alle Autorità competenti, anche originati da segnalazioni di guasti tecnici alle proposte articolazioni della Società.

Al riguardo le misure adottate dalla Società tra cui il processo di denuncia contro ignoti alla Polizia Postale, l’attività di sensibilizzazione ed informazione nei confronti e a tutela dei propri clienti e del mercato, ovvero le attività compiute sulla sicurezza dei sistemi, non si ritengono efficaci ed adeguate rispetto al fine di tutelare i dati dei clienti e verificare, anche attraverso analisi dei file di log, la sussistenza di accessi illeciti.

A fronte di un numero consistente di episodi portati all’attenzione della Società, gli interventi effettuati non sembrano aver costituito un serio contrasto ai tentativi di esfiltrazione dei dati dai database aziendali considerato che tali episodi si sono verificati anche in periodi recentissimi.

A tale proposito, il Garante nel richiamato provvedimento del 12 novembre 2020 n. 224 ha osservato che, “mentre nell’ambito del previgente quadro normativo, la sicurezza in ambito privacy poteva ritenersi formalmente assicurata con l’applicazione delle misure minime di sicurezza indicate negli artt. 33 e ss. del Codice, nella formulazione antecedente alle modifiche introdotte dal d. lg. n. 101/2018, e delle regole di cui al connesso disciplinare tecnico, indipendentemente dalla configurazione funzionale e dimensionale dei sistemi, rimanendo il giudizio di adeguatezza delle predette misure confinato alla valutazione sulla responsabilità civile del titolare in caso di evento di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, con l’attuale assetto dettato dal Regolamento sono proprio gli eventi sopra descritti a determinare, in ragione dei rischi per i diritti e le libertà delle persone fisiche, un primo e qualificante giudizio di adeguatezza sulle misure di sicurezza adottate. Ciò in particolare, come indicato nel considerando 75 del Regolamento, con riferimento ai trattamenti ‘suscettibili di cagionare un danno fisico, materiale o immateriale, in particolare: se il trattamento può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione […] o qualsiasi altro danno economico o sociale significativo; […] se il trattamento riguarda una notevole quantità di dati personali e un vasto numero di interessati’”.

È evidente che, data la gravità degli eventi segnalati dai reclamanti, e il potenziale pregiudizio che ne deriva per i diritti e le libertà degli interessati, la Società sarebbe dovuta intervenire prontamente con misure drastiche e idonee a scongiurare il sopraggiungere di episodi analoghi. Ciò non è accaduto. Al contrario, dalla documentazione agli atti risulta che, nonostante le prime segnalazioni fossero state ricevute dalla Società già a metà del 2019, ancora nell’ottobre del 2020 gli utenti segnalavano di essere stati contattati da ignoti soggetti che si presentavano come operatori Fastweb e facevano ad essi richiesta di copia dei propri documenti d’identità.

Né escluderebbe la responsabilità la circostanza per cui “la fuoriuscita dei dati [si collocherebbe] al di fuori dei sistemi di propria pertinenza”. Quand’anche le supposizioni di Fastweb fossero dimostrate, è incontestato che oggetto di contatti illeciti fossero tutti clienti di Fastweb, sicché l’eventuale “presenza di una distinta titolarità nei trattamenti”, non esonerebbe la Società dall’onere di tutelare la sicurezza dei dati personali dei propri clienti (per cui è indubbio che la Società sia titolare del trattamento), ovvero dall’onere di comunicazione di data breach ai sensi degli artt. 33 e 34 del Regolamento, in relazione alla violazione dei dati personali relativi ai propri clienti.

2.2.5. Con riferimento alla contestazione di cui al punto 6), le osservazioni espresse da Fastweb nell’ambito dell’esercizio del diritto di difesa confermano la sussistenza della responsabilità della Società in ordine all’inosservanza del principio di esattezza dei dati (violazione dell’artt. 5, par. 1, lett. d) in relazione agli artt. 15-22 del Regolamento, poiché in diverse istanze di esercizio dei diritti proposte dagli interessati, sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155).

Sulle predette segnalazioni e reclami deve evidenziarsi che la generica indicazione di un “errore manuale” e/o di un non documentato errore di sistema, non è idonea a far venire meno la responsabilità della Società circa gli indebiti contatti e/o l’inadeguata gestione delle richieste di esercizio dei diritti, poiché, anche in base ai principi stabiliti dall’art. 3 della legge n. 689/1981 in tema di buona fede, l’errore sulla liceità del fatto può rilevare come causa di esclusione della responsabilità amministrativa solo quando esso risulti inevitabile, e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall’interessato con l’ordinaria diligenza. Tale elemento non è stato fornito dalla Società. Inoltre, in base a quanto stabilito in termini generali dall’art. 25 del Regolamento e, più nello specifico, dall’art. 12, par. 1, in tema di trasparenza, un’adeguata strutturazione di sistemi, organizzazione e cicli lavorativi dovrebbe portare a escludere la ricorrenza di siffatta tipologia di errori.

Aggiungasi che, come già rilevato in sede di contestazione, in alcuni dei suddetti casi, sono trascorsi anche anni per la risoluzione delle problematiche sollevate.

Nei casi come sopra individuati, si conferma pertanto la sussistenza della violazione delle disposizioni di cui agli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento.

In merito al numero dei casi oggetto di contestazione che rappresenterebbero una percentuale modesta rispetto alla mole di richieste di esercizio dei diritti che Fastweb evade mensilmente, si ribadisce che: i) il numero si riferisce solo ai casi portati all’attenzione dell’Autorità, non escludendo chiaramente che ve ne siano molti altri; ii) le segnalazioni sono esemplificative di una problematica rilevata nel sistema di riscontro di Fastweb, che potrebbe potenzialmente coinvolgere centinaia di migliaia di utenti; iii) in ogni caso, tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria.

Neppure è condivisibile la tesi di Fastweb secondo cui “essendo cambiato il meccanismo di sanzionatorio” non si “ragion[erebbe] più in termini di ‘microsanzioni’” fondate “su singoli ‘microadempimenti’” bensì “di sanzioni calcolate sul fatturato complessivo dell’impresa” fondate “sulla visione complessiva dell’accountability”. Contrariamente a quanto sostenuto da Fastweb, il nuovo sistema sanzionatorio non vieta affatto (tantomeno lo vietava in passato) di ragionare per singola violazione, e nel contempo, per violazione dei sistemi. Esiste uno strumento, l’art. 83 par. 3 che consente di unificare le violazioni, facendo sì che le singole condotte possano rilevare per la valutazione complessiva della sanzione.

2.2.6.  Con riferimento alla contestazione di cui al punto 7), risulta accertata la violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).

Per quanto concerne le osservazioni difensive di Fastweb, si condivide quanto rappresentato in ordine al fatto che “il consenso per i trattamenti commerciali […] riguarda proposte individuate nelle categorie merceologiche [...] che [...] non devono essere collegate ai servizi già offerti al cliente” e che “potrebbero anche prescindere dall’esistenza di un rapporto contrattuale in corso”; diversamente, i contatti basati sul legittimo interesse possono riguardare solo proposte commerciali legate a servizi già offerti al cliente, e non possono prescindere dall’esistenza di un rapporto contrattuale in corso.

Tuttavia, la ricostruzione prospettata dalla Società appare smentita dalle fattispecie in esame. In tali casi, le attività promozionali sono effettuate in partnership con un altro soggetto per cui le stesse non possono essere ricomprese né fra quelle compatibili con l’originario scopo della raccolta (l’esecuzione di un contratto di cui l’interessato è parte), né fra quelle per le quali può essere utilizzata la base giuridica del legittimo interesse. Gli operatori, infatti, non si limitano a presentare proposte commerciali legate a servizi già offerti al cliente, bensì a promuovere iniziative commerciali addirittura per altri soggetti. Le predette attività sono pertanto lecite solo in presenza di un espresso consenso dell’interessato al trattamento dei propri dati per finalità di marketing che, nei casi evidenziati, non risulta essere stato rilasciato. Si aggiunga che, gli interessati, proprio per aver negato espressamente il consenso ai trattamenti finalizzati ai contatti promozionali, non potevano avere alcuna “legittima aspettativa” di essere oggetto di contatti promozionali per giunta riferiti a prodotti e/o servizi di soggetti diversi. A tale riguardo la prospettazione di uno sconto nei servizi già sottoscritti con Fastweb appare essere un mero espediente commerciale che non può in alcun modo determinare il mutamento della base giuridica dei trattamenti di cui sopra.

Quanto all’informativa (compresa quella trasmessa a tutti i clienti dal Febbraio 2019), pur non essendo stata oggetto di specifiche contestazioni da parte dell’Autorità, per completezza di trattazione si evidenzia che la stessa non appare, in riferimento all’indicazione della base giuridica del legittimo interesse e delle modalità di opposizione, sufficientemente chiara e direttamente comprensibile all’interessato in conformità a principi di correttezza e trasparenza dei dati personali individuati negli artt. 5, par. 1, lett. a, e 12 del Regolamento.

In aggiunta, anche nel contenuto, l’informativa indica trattamenti la cui base giuridica risiederebbe nel legittimo interesse e che non sembrano potersi ricondurre, per le suesposte ragioni, a tale istituto (ad es., l’utilizzo di dati di contatto per “per informarti di […] promozioni nostre o di nostri partner che ti consentono di avere sconti e altri vantaggi sui servizi già attivi”) posto che il mero riconoscimento di uno sconto riferito ai servizi già attivi non costituisce un legame pertinente per consentire di vincolare le nuove promozioni al complessivo profilo del cliente tantomeno in caso di promozioni relative a soggetti terzi.

3. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Fastweb in ordine alle seguenti violazioni:

1. violazione degli artt. 5, parr. 1 e 2, 6 par. 1, 7, 24 e 25, par. 1, del Regolamento, poiché Fastweb S.p.A. non ha provveduto a implementare sistemi di controllo della “filiera” di raccolta dei dati personali fin dal momento del primo contatto del potenziale cliente, idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi o sottoscrizione di contratti poi confluiti nei database di Fastweb. La violazione coinvolge l’intera base clienti della società e i reclami di cui ai fascicoli 117698, 144450, 152962, 138241, 151747, 154404, 144577, 149829, 150096, 150853, 151543, 152330, 152792, e 154231;

2. violazione dell’art. 5, parr. 1 e 2, dell’art. 6, par. 1, e dell’art. 7 del Regolamento, poiché Fastweb S.p.A. ha acquisito liste di anagrafiche da parte di soggetti terzi (i partner della propria rete di vendita) che, a loro volta li avevano acquisiti in qualità di autonomi titolari del trattamento e che li hanno riversati nei sistemi di Fastweb. Il trasferimento dei dati verso Fastweb è avvenuto in carenza del prescritto consenso per la comunicazione dei dati personali fra autonomi titolari del trattamento. La violazione ha coinvolto almeno 7.542.000 interessati nell’anno 2019;

3. violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me back”;

4. violazione degli artt. 24 e 32 del Regolamento, in relazione agli accessi plurimi e sistematici ai database societari contenenti dati anagrafici, numeri di telefono, traffico telefonico e dati di pagamento, per aver omesso di porre in essere misure di proporzionata efficacia per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento, per assicurare su base permanente la riservatezza e l’integrità dei sistemi e dei servizi di trattamento e per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento (fascicoli 147286, 154212, 146491, 146238, 146260, 139824, 148138);

5. violazione dell’art. 33, par. 1, e 34 del Regolamento, per aver omesso di presentare al Garante e agli interessati la notificazione di una violazione di dati personali, con riferimento agli accessi plurimi di cui al punto che precede;

6. violazione degli artt. 5, par. 1, lett. d), con riferimento al principio di “esattezza” dei dati trattati, in relazione agli artt. 15-22 del Regolamento, in relazione alle diverse istanze di esercizio dei diritti proposte dagli interessati per le quali sono stati riscontrati errori di sistema e ritardi nel riallineamento e correzione dei dati (fascicoli 136409, 146607, 148287, 147619, 152006, 137155);

7. violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso e attesa l’inidoneità della base giuridica del legittimo interesse (fascicoli 149390, 153360).

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;

- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;

- prescrivere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;

- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;

- imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a Euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Fastweb S.p.A., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in Euro 90.037.367,00; 

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1. la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) con riferimento alle contestazioni di cui ai punti 1), 2), 4), 5), e 7) in ragione della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza); del livello di danno effettivamente subito dagli interessati, che con riferimento alle violazioni di cui al punto 1) sono stati esposti a chiamate di disturbo; delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno; della molteplicità delle condotte poste in essere da Fastweb S.p.A. in violazione di più disposizioni del Regolamento e del Codice; degli episodi di illecita acquisizione dei dati dei contraenti, con rifermento alle violazioni di cui al punto 4), che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi; 

2. quale fattore aggravante, la durata delle violazioni (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere permanente e ancora in essere delle violazioni di cui ai punti 1), 2), 3), e 7) nonché della durata superiore a sei mesi delle violazioni di cui ai punti 4), 5) e 6);

3. quale fattore aggravante, l’elevatissimo numero dei soggetti coinvolti (art. 83, par. 2, lett. a) del Regolamento) che, per la violazione di cui al punto 1) deve tenere conto dell’intera base clienti di Fastweb S.p.A. e per la violazione di cui al punto 2) annovera gli oltre 7 milioni di interessati presenti nelle liste acquisite da soggetti terzi;

4. quale fattore aggravante il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento) in considerazione dell’ampia e costante interlocuzione con il Garante su tutti gli aspetti del telemarketing, nonché della rilevante attività provvedimentale dell’Autorità, elementi che avrebbero dovuto costituire un valido supporto nelle scelte organizzative della Società ma che invece, in particolare con riferimento alle violazioni di cui ai punti 1), 2) e 7) sono risultati in massima parte disattesi. Carattere significativamente negligente assumono anche le violazioni di cui ai punti 4) e 5) in ragione delle gravi vulnerabilità riscontrate nei database aziendali, allo stato non ancora del tutto risolte, e del grave ritardo nella notificazione di un importante “data breach”;

5. quali fattori aggravanti la reiterazione specifica delle condotte (art. 83, par. 2, lett. e) del Regolamento) e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori con riferimento a trattamenti della stessa specie (art. 83, par. 2, lett. i) del Regolamento);

6. quale fattore attenuante, l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare alle attività di controllo e di contenimento delle anomalie nei contatti promozionali operati dalla rete di vendita; all’implementazione di nuove piattaforme per adeguare i trattamenti con finalità promozionali alla normativa e alla indicazione dell’Autorità; alla progressiva dismissione delle attività di telemarketing che non presentano requisiti di affidabilità; al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali; e all’adeguamento delle informative e delle procedure di riscontro agli interessati;

7. quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare;

8. quale fattore attenuante, la partecipazione a tavoli di lavoro per il contrasto a fenomeni riconducibili alle attività di marketing selvaggio (art. 83, par. 2, lett. j) del Regolamento) nel corso dell’istruttoria preliminare;

9. quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), l’ampio margine temporale concesso a tutti i titolari del trattamento al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; la particolare attenzione che il legislatore ha dedicato alla regolamentazione del fenomeno del telemarketing, anche con interventi normativi di recente adozione (ad es., legge n. 5/2018); la significativa posizione di mercato di Fastweb S.p.A. nel settore delle telecomunicazioni e il valore economico complessivo della Società.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Fastweb S.p.A. la sanzione amministrativa del pagamento di una somma di Euro 4.501.868,00 pari al 5 % della sanzione massima edittale, in linea con i recenti provvedimenti adottati dall’Autorità in materia di telemarketing.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società, dei propri partner, nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a)  prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel termine di 30 giorni dalla notifica del presente provvedimento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;

b) prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;

c)  prescrive a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto a), di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;

d) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunicazione dei propri dati a Fastweb S.p.A.;

e) impone, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Fastweb S.p.A. il divieto di ogni ulteriore trattamento di prodotti o servizi in partnership con la società Eni Gas e Luce S.p.A. nei confronti di interessati che non abbiano espresso un consenso libero, specifico e informato al trattamento dei propri dati per finalità promozionali da parte di Fastweb S.p.A.;

f)  ingiunge a Fastweb S.p.A., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Fastweb S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti 1, C.F. e P. IVA: 12878470157, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di Euro 4.501.868,00 (quattromilioni cinquecentounomila ottocentosessantotto/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981

DISPONE

l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 25 marzo 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei