Provvedimento del 30 novembre 2023 [9971433]
Provvedimento del 30 novembre 2023 [9971433]
Condividi
VEDI ANCHE Newsletter del 19 gennaio 2024
[doc. web n. 9971433]
Provvedimento del 30 novembre 2023
Registro dei provvedimenti
n. 561 del 30 novembre 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE il prof. Pasquale Stanzione;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
In data 20 ottobre 2022 è stato adottato il provvedimento n. 350 con il quale è stata comminata a Limit Call S.r.l.s. (di seguito «Limit Call» e «Società») la sanzione amministrativa di euro 10.000,00 per la violazione dell’art. 157 del Codice (in www.gpdp.it, doc. web n. 9832544), non avendo la Società fornito riscontro alla richiesta di informazioni del 10 febbraio 2022 (rif. prot. n. 9268/22) in relazione ad un reclamo proposto all’Autorità inerente alla ricezione di telefonate indesiderate in assenza del consenso dell’interessato.
Pertanto, al fine di acquisire un quadro di informazioni completo in ordine ai trattamenti effettuati dalla Società, l’Ufficio, nelle date del 23 e 24 maggio 2023, ha eseguito un accertamento ispettivo presso la sede legale di Limit Call finalizzato a verificare, in particolare, l’origine dei dati personali del reclamante, nonché la base giuridica che avrebbe legittimato le telefonate lamentate. Ad esito di tale accertamento è emerso quanto segue.
Limit Call, call center attivo nel settore del teleselling per contratti di energia elettrica, ha sostenuto di aver acquisito il contatto del reclamante da un list provider – XX – con sede in Moldavia (di seguito «XX» e «fornitore»). Da tale fornitore sono state acquisite 3 liste di anagrafiche “per un totale di 100.000 contatti” dai quali sarebbero scaturite 32.651 telefonate che hanno prodotto 294 contratti (v. scioglimento delle riserve del 12 giugno 2023).
Non è stato sottoscritto alcuno specifico contratto con tale list provider ma il rapporto commerciale con quest’ultimo è risultato certificato da un documento contabile, prodotto in sede di ispezione, nel quale sono indicate “le modalità di pagamento e le caratteristiche riassuntive della lista fornita” unitamente ad un allegato, denominato “Terms and conditions”, che contiene un’indicazione dei “ruoli privacy […] e [del]le istruzioni operative sull’utilizzo delle anagrafiche”.
La Società ha, inoltre, dichiarato di non aver intrattenuto rapporti con XX indicato dal list provider “quale soggetto che avrebbe originariamente acquisito il dato di contatto del reclamante” per poi cederlo a XX che, a sua volta, lo avrebbe fornito a Limit Call.
La Società ha rappresentato di non essere in grado di fornire informazioni ulteriori in merito al trattamento dei dati personali del reclamante, non avendo effettuato verifiche in ordine agli adempimenti dell’informativa (presumendo che la stessa sia stata rilasciata dal list provider) e del consenso. Peraltro, “a fronte delle numerose richieste da parte di limitcall, il list provider ha interrotto tutti i rapporti e si è reso irreperibile”.
Gli unici controlli posti in essere dalla Società hanno riguardato il riscontro delle utenze fornite dal list provider nel Registro Pubblico delle Opposizioni (c.d. RPO), con utilizzo dei medesimi dati per 15 giorni (v. verbale del 23 maggio 2023 pag. 3).
Infine, con riferimento alle richieste di esercizio dei diritti avanzate dagli interessati, Limit Call ha sostenuto di aver reso disponibile, per la loro evasione, l’indirizzo pec aziendale (limitcallsrls@legalmail.it) che, tuttavia, a seguito delle verifiche condotte in sede di accertamento ispettivo, non è risultato più attivo.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Il 7 settembre 2023 è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento. Con tale comunicazione (prot. n. 125354/23) sono state imputate a Limit Call le presunte violazioni delle seguenti disposizioni:
artt. 12, 13 e 14 del Regolamento, per non aver fornito l’informativa nel corso dei contatti promozionali;
artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento e art. 130 del Codice, per aver effettuato telefonate promozionali senza il consenso informato degli interessati;
artt. 12, parr. 2 e 3, 15 e ss. del Regolamento, per non aver adottato misure adeguate a consentire il riscontro alle istanze di esercizio dei diritti degli interessati, non risultando funzionante il canale di posta elettronica preposto alla relativa trattazione;
art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice, per aver svolto attività di telemarketing senza aver consultato il Registro Pubblico delle Opposizioni prima della campagna promozionale;
art. 31 del Regolamento (Cooperazione con l’Autorità di controllo), per aver offerto una insufficiente collaborazione all’Autorità di controllo, dal momento che è stato necessario eseguire un accertamento ispettivo presso la sede legale della Società per ottenere le informazioni originariamente richieste in ordine al trattamento dei dati personali degli interessati.
3. VALUTAZIONI DI ORDINE GIURIDICO
La Società non ha presentato memorie difensive né ha chiesto di essere ascoltata dall’Autorità. Pertanto, con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni rilasciate nel corso dell’accertamento ispettivo, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si confermano le violazioni di cui al punto 2 del presente provvedimento e, di conseguenza, si formulano le seguenti valutazioni di ordine giuridico.
Limit Call non ha fornito documentazione idonea a dimostrare la liceità dell’acquisizione delle liste anagrafiche da soggetti terzi (nel caso specifico dal list provider - XX).
Nondimeno i documenti che comproverebbero il rapporto commerciale con il list provider, prodotti nel corso dell’ispezione (v. All. 1 al verbale del 24 maggio 2023, p. 1), altro non sono che le fatture emesse in favore di due diverse società riconducibili al marchio “XX” - XX e XX – non consentendo, quindi, all’Ufficio di comprendere chiaramente l’effettiva titolarità della banca dati ceduta a Limit Call.
Ciò doverosamente osservato, al di là della titolarità della banca dati, si rappresenta che la Società non ha esercitato un potere di controllo sulle liste acquisite che andasse oltre le interlocuzioni funzionali all’accordo commerciale. Infatti, non risulta che Limit Call abbia richiesto al proprio partner commerciale la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento, quali l’origine dei dati, l’informativa resa e i consensi acquisiti dagli interessati destinatari della campagna promozionale, né che abbia effettuato tali verifiche in altro modo (v. verbale del 23 maggio 2023, p. 3).
A ciò si aggiunge il fatto che non è risultato agli atti il riscontro nell’RPO dell’utenza del reclamante già in occasione del primo contatto, confermando, pertanto, la violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3 del Codice.
Inoltre, dall’esame del documento sottoscritto con il list provider, alla voce “Terms and conditions”, la Società risulta chiaramente indicata quale autonomo titolare del trattamento dei dati acquisiti dal list provider (v. p. 2 “Terms and conditions”), con conseguente arricchimento del database societario da utilizzare nell’esclusivo interesse di Limit Call (v. p. 3). La Società, in base all’accordo, “si impegna a non divulgare”, a cedere e a mettere a disposizione di terzi, i dati personali così acquisiti (v. p. 4).
Indipendentemente dal dato formale – dal ruolo ricoperto dalla Società nel trattamento dei dati personali forniti dal list provider (titolare autonomo nell’acquisizione di liste di anagrafiche da terzi ovvero responsabile nei casi di utilizzo delle stesse per conto dei committenti) - non può escludersi una responsabilità in capo a Limit Call nella verifica dei presupposti di liceità dei dati raccolti; ciò in quanto la raccolta e la conservazione dei dati acquisiti da terzi attengono ad una fase del trattamento precedente e indipendente dall’eventuale promozione di servizi e prodotti dei committenti e consistente in un’attività svolta dalla Società in piena autonomia.
Ciò precisato, non è risultato in atti l’adempimento informativo in capo a Limit Call ai sensi degli artt. 13 e 14 del Regolamento. Lo script di chiamata utilizzato in occasione dei contatti promozionali, prodotto prima dell’accertamento ispettivo nell’interlocuzione con il reclamante (v. e-mail del 12/10/2021) e riproposto nel corso dell’ispezione unitamente ai file audio acquisiti in formato digitale su supporto informatico, è risultato privo di tutte le informazioni obbligatoriamente previste dall’art. 13 del Regolamento; il medesimo script, infatti, attiene esclusivamente alla richiesta all’utente di un ricontatto se interessato ai “servizi di consulenza per l’energia” della Società che non viene neppure menzionata nel corso delle telefonate.
Inoltre, Limit Call non ha verificato e, quindi, comprovato, il rilascio agli interessati dell’informativa del list provider, ai sensi dell’art. 14 del Regolamento; sicché, peraltro, non è stato possibile accertare se la stessa informativa prevedesse la comunicazione dei dati personali a terzi. Analogamente non è stato provato il consenso specifico per la comunicazione a terzi (fra cui Limit Call) per finalità di marketing.
Pertanto, si ritiene di dover confermare la violazione degli artt. 12, 13 e 14 del Regolamento emergendo, da quanto sopra rilevato, l’assenza di un’informativa da rendere nel corso dei contatti promozionali. In aggiunta, deve ritenersi integrata la violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento e dell’art. 130 del Codice, dal momento che il trattamento descritto ha dato luogo all’effettuazione di telefonate promozionali senza il consenso informato degli interessati non avendo la Società prodotto riscontri probatori atti a documentarne l’acquisizione.
In definitiva il trattamento in parola appare essere stato effettuato in assenza dei presupposti di legittimità dell’attività promozionale, non solo in relazione al caso di cui al reclamo, ma nel complesso dei trattamenti svolti da Limit Call.
Con riferimento alla circostanza descritta in premessa concernente il mancato funzionamento dell’indirizzo pec preposto alla trattazione delle richieste degli interessati, si osserva che tale impedimento si pone in contrasto con l’obbligo del titolare di agevolare, con misure appropriate, l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ritardo, le relative istanze; inoltre ciò non avrebbe consentito ai medesimi interessati un pieno controllo dei propri dati e dei trattamenti ad essi collegati, integrando la violazione dell’art. 12 parr. 2 e 3, nonché degli artt. 15 e ss. del Regolamento.
Infine non è risultata una sufficiente collaborazione nei confronti dell’Autorità dal momento che l’inerzia della Società (a fronte di una specifica richiesta dell’Ufficio alla quale è sottesa l’applicazione di sanzioni amministrative se non riscontrata, e anche dopo l’adozione del provvedimento sanzionatorio) ha determinando un appesantimento dell’istruttoria e un rallentamento dell’azione amministrativa, ritenendo necessario svolgere l’accertamento ispettivo presso la sede legale ed acquisire tutti gli elementi utili ad una valutazione di merito. Pertanto si ritiene integrata la violazione dell’art. 31 del Regolamento.
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Limit Call in ordine alle seguenti violazioni del Regolamento:
- art. 5 par. 1, lett. a);
- art. 6 par. 1, lett. a);
- art. 7;
- art. 12;
- art. 13;
- art. 14;
- art. 15;
- art. 31;
nonché art. 130 del Codice.
Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:
a) vietare il trattamento di dati personali in ordine ai quali non sia stato comprovato il rilascio agli interessati di un’idonea informativa e acquisito un consenso esente da vizi (ex artt. 6, 7, 12 e 14 del Regolamento, nonché 130 del Codice);
b) ingiungere di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di obblighi di legge o per eventuali ragioni contrattuali;
c) ingiungere, nel caso in cui la Società intenda in futuro rivolgere l’attività promozionale verso utenze telefoniche fornite da soggetti terzi:
- di rendere una trasparente e idonea informativa agli interessati, ai sensi degli artt. 12 e 13 del Regolamento;
- di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali, nonché riscontro delle utenze telefoniche nell’RPO), ai sensi degli artt. 6, 7, 12, 13 e 14 del Regolamento nonché dell’art. 130 del Codice;
- di garantire l’esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione, ai sensi degli artt. 12 e 15 del Regolamento;
- di adottare procedure adeguate volte a tenere traccia delle attività di trattamento anche nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali (artt. 5, par. 2, e 24 del Regolamento);
d) con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento, da applicare in aggiunta a quella
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
In base a quanto sopra rappresentato, risultano violate diverse disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Limit Call, per cui occorre applicare l’art. 83, par. 3, del Regolamento, in base al quale “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, con conseguente applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.
Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:
1. la gravità delle violazioni rilevate, dal momento che il trattamento, pur non essendo assistito dalle necessarie garanzie, ha riguardato numerosissime utenze telefoniche (100.000 contatti dai quali sarebbero scaturite 32.651 telefonate che hanno prodotto 294 contratti) (art. 83, par. 2, lett. a, del Regolamento);
2. il carattere quanto meno gravemente colposo della condotta, dal momento che le norme a protezione dei dati personali sono state del tutto ignorate e non sono state prese in considerazione neanche dopo l’intervento del Garante (art. 83, par. 2, lett. b, del Regolamento);
3. la totale assenza di misure volte ad attenuare il danno per gli interessati, nonostante le contestazioni mosse dall’Autorità e anche dopo il provvedimento sanzionatorio del 20 ottobre 2022 (art. 83, par. 2, lett. c, del Regolamento);
4. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing, con particolare riferimento all’informativa e al consenso (art. 83, par. 2, lett. k, del Regolamento).
Tenendo conto della sanzione di 10.000 euro già comminata con il provvedimento del 20 ottobre 2022, quale unico elemento attenuante da prendere in considerazione risulta la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (euro 667.613, come risultante dalla dichiarazione IVA 2022 relativa al periodo d’imposta all’anno 2021) (art. 83, par. 2, lett. k, del Regolamento).
Pertanto si ritiene che debba applicarsi a Limit Call la sanzione amministrativa del pagamento di una somma pari a euro 60.000,00 (sessantamila/00), pari allo 0,3% del massimo edittale di 20 milioni di euro e, in ragione degli elementi aggravanti rilevati, la sanzione accessoria della pubblicazione per intero del presente provvedimento nel sito web del Garante come previsto dall’art. 166, comma 7 del Codice e dall’art. 16 del regolamento del Garante n. 1/2019.
Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Limit Call S.r.l.s., con sede legale in Via Tertulliano, 70 – 20137 Milano, P.IVA 11508000962, e di conseguenza:
a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento di dati personali in ordine ai quali non sia stato comprovato il rilascio agli interessati di un’idonea informativa e acquisito un consenso esente da vizi (ex artt. 6, 7, 12 e 14 del Regolamento, nonché 130 del Codice);
b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di obblighi di legge o per eventuali ragioni contrattuali;
c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge, nel caso in cui la Società intenda in futuro rivolgere l’attività promozionale verso utenze telefoniche fornite da soggetti terzi:
- di rendere una trasparente e idonea informativa agli interessati, ai sensi degli artt. 12 e 13 del Regolamento;
- di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali, nonché riscontro delle utenze telefoniche nell’RPO), ai sensi degli artt. 6, 7, 12, 13 e 14 del Regolamento nonché dell’art. 130 del Codice;
- di garantire l’esercizio dei diritti degli interessati mediante il corretto presidio dei canali di comunicazione e, in particolare, dell’indirizzo pec preposto alla relativa trattazione, ai sensi degli artt. 12 e 15 del Regolamento;
- di adottare procedure adeguate volte a tenere traccia delle attività di trattamento anche nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali (artt. 5, par. 2, e 24 del Regolamento);
d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
ORDINA
ai sensi dell’art. 58, par. 2, lett. i) del Regolamento, a Limit Call S.r.l.s., in persona del suo legale rappresentante, di pagare la somma di euro 60.000,00 (sessantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 60.000,00 (sessantamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
quali sanzioni accessorie, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento nonché, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 30 novembre 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Stanzione
IL SEGRETARIO GENERALE
Mattei
