Provvedimento del 18 luglio 2023 [9921112]
Provvedimento del 18 luglio 2023 [9921112]
CondividiVEDI ANCHE Newsletter dell'11 settembre 2023
[doc. web n. 9921112]
Provvedimento del 18 luglio 2023
Registro dei provvedimenti
n. 322 del 18 luglio 2023
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;
RELATORE l’avv. Guido Scorza;
PREMESSO
1. L’ATTIVITÀ ISTRUTTORIA
Con il reclamo del 15 dicembre 2022, presentato a questa Autorità ai sensi dell’art. 77 del Regolamento, il signor XX ha lamentato la ricezione “quasi giornaliera” di telefonate indesiderate da parte di Compara Facile S.r.l. (di seguito anche «Società» o «Comparafacile») sulla propria utenza iscritta al Registro Pubblico delle Opposizioni (c.d. «RPO»), in assenza del preventivo consenso informato. Il reclamante, nel rappresentare che i citati contatti sarebbero continuati anche dopo le richieste di cancellazione di dati e di opposizione all’ulteriore trattamento avanzate nel corso delle telefonate, ha lamentato il mancato riscontro all’istanza di esercizio dei diritti di cui agli artt. 15, 17 e 21 del Regolamento, inoltrata via e-mail il 9 novembre 2022 agli indirizzi indicati nell’informativa privacy della Società (rinvenibile al link https://www.comparafacile.biz/privacy-policy/) e rinnovata nelle date del 14 novembre e 7 dicembre 2022. Peraltro, anche dopo tale richiesta, il reclamante avrebbe ricevuto un’ulteriore telefonata promozionale indesiderata da parte di Comparafacile (v. e-mail del 14/11/2022).
A seguito di un primo riscontro fornito in data 13 gennaio 2023 alla richiesta di informazioni del 22 dicembre 2022, l’Ufficio - al fine di chiarire alcuni aspetti e di acquisire elementi utili ad una compiuta valutazione dei profili legati alla liceità dei trattamenti - ha formulato una nuova richiesta di informazioni, ai sensi dell’art. 157 del Codice, alla quale la Società ha risposto il 18 febbraio 2023 nei termini che seguono, confermando gran parte dei contenuti espressi in precedenza.
I dati personali del reclamante, non sottoposti dalla Società alla necessaria verifica presso il Registro Pubblico delle Opposizioni per ragioni connesse all’ottenimento delle abilitazioni per la consultazione, sono stati acquisiti da un data provider con sede in Moldavia – XX (di seguito «XX») – al quale l’interessato avrebbe rilasciato un consenso alla comunicazione dei medesimi dati a soggetti terzi per finalità promozionali. La banca dati acquisita dal Provider è stata concessa in licenza d’uso alla Società per un periodo di 90 giorni nel corso dei quali la stessa ha potuto procedere, in qualità di responsabile del trattamento, con attività di duplicazione ed estrazione di dati “necessari ad effettuare il contatto telefonico [finalizzato] a fornire informazioni commerciali” di Comparafacile (v. p. 2.4. della Scrittura privata tra Comparafacile e XX). Per la concessione in licenza d’uso di 40.000 anagrafiche la Società ha pattuito un compenso a XX di euro 2.600 (v. p. 5.1. “Modalità di pagamento” – Scrittura privata cit.).
Inoltre, nel riscontro in parola, la Società ha sottolineato di essere stata sollevata da XX dall’obbligo di verificare la validità delle liste acquisite, dal momento che, nell’accordo siglato tra le parti il 27/10/2022 e prodotto a corredo del riscontro del 18 febbraio 2023, è prevista una specifica manleva nei confronti di Comparafacile “dall’analisi dei consensi prestati dai singoli contatti inclusi nel database concesso in uso temporaneo” (v. pag. 7 del riscontro del 18 febbraio 2023; p. 3.3. “Obblighi e garanzie della XX” della Scrittura privata cit.). “Gli utenti presenti nel database”, ha precisato, “sono contattati dalla Società per verificare la correttezza dei dati e per raccogliere un’eventuale disponibilità al ricontatto commerciale” (v. p. 2.6. del riscontro del 18 febbraio 2022). In particolare, il contatto in questione è finalizzato a “raccogliere uno specifico consenso […] a ricevere informazioni commerciali relative all’attività della Società […] e, solo in caso di autorizzazione del soggetto contattato, viene inviato un sms al cellulare dello stesso nel quale è presente un link a una cd. landing page in cui sono elencati, in maniera granulare, i consensi liberamente selezionabili”, comportando la registrazione dei dati personali, così acquisiti, nei sistemi informativi di Comparafacile (v. pagg. 2 e 3 del riscontro del 30 gennaio 2023; v. p. 2.3. del riscontro del 18 febbraio 2023).
Con riferimento alle informazioni fornite al momento del primo contatto telefonico, la Società, nel produrre lo script di chiamata utilizzato per le telefonate promozionali, ha affermato di inviare, su richiesta dell’utente, se interessato, un sms riportante il link alla c.d. “landing page” accedendo al quale è possibile consultare l’informativa privacy.
2. LA CONTESTAZIONE DELLE VIOLAZIONI
Con nota del 19 aprile 2023 (prot. n. 65411/23) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, e, in primo luogo, è stato riconosciuto in capo a Comparafacile il ruolo di titolare autonomo rispetto al trattamento delle liste acquisite da XX in quanto le attività di estrazione e di duplicazione dei dati appaiono finalizzate all’effettuazione di campagne promozionali di propri prodotti e servizi, con conseguente arricchimento del database societario. Del resto, l’utilizzo dei dati forniti da XX nel trattamento in parola ha comportato - come dichiarato dalla Società – la “sottoscrizione di n. 1686 contratti”.
Pertanto, a Comparafacile sono state imputate le presunte violazioni delle seguenti disposizioni:
2.1. artt. 12, 13 e 14 del Regolamento per non aver fornito l’informativa nel corso dei contatti promozionali, subordinando la sua visione, mediante invio di un sms, alla manifestazione di interesse degli utenti ai servizi di Comparafacile;
2.2. artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento e art. 130 del Codice, per aver effettuato telefonate promozionali senza il consenso informato degli interessati, non avendo prodotto documentazione idonea a comprovarne l’acquisizione sia da parte del provider XX che propria;
2.3. artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento per aver trattato i dati personali raccolti mediante la c.d. “landing page” in assenza di un consenso libero e specifico per le diverse finalità di trattamento. Al riguardo, l’Ufficio ha osservato che, in occasione della registrazione dei dati degli utenti alla c.d. “landing page”, è richiesto un consenso generico (1. “per le finalità espresse nella Privacy Policy”) che non agevola la comprensione dei trattamenti ai quali il medesimo si riferisce; infatti, mentre per il marketing e la comunicazione dei dati a terzi sono richiesti consensi specifici (2. “per finalità di marketing”; 3. “per ricevere comunicazioni commerciali da partner di Comparafacile, mediante condivisione dei dati a terzi”), per la profilazione (di cui al punto E della citata informativa) non risulta richiesta alcuna autorizzazione al trattamento dei dati personali, potendo ritenere, dunque, che il suindicato consenso generico possa accorpare, in una formula unitaria e inscindibile, la diversa finalità contrattuale (erogazione di servizi di cui al punto A dell’informativa privacy) con l’ulteriore finalità di profilazione, determinando, pertanto, una coazione della volontà dell’interessato. Inoltre, la formulazione di cui al punto 3 (cit. “Acconsento per ricevere comunicazioni commerciali da partner di Comparafacile, mediante la condivisione dei dati a terzi”) non chiarisce se i dati personali, così raccolti, siano utilizzati per attività promozionali di soggetti terzi (a cui i medesimi sono comunicati) oppure nell’interesse della stessa Comparafacile (che li acquisisce). Anche nell’informativa privacy le due distinte finalità di trattamento (comunicazione a soggetti terzi e attività promozionale della Società) parrebbero coesistere (v. punto D della citata informativa).
2.4. artt. 12, parr. 2 e 3, 15, 17 e 21, par. 2, del Regolamento per non aver riscontrato l’istanza di esercizio dei diritti formulata dall’interessato e per non aver tempestivamente registrato la relativa opposizione;
2.5. art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice, per aver svolto attività di telemarketing senza aver consultato il Registro delle opposizioni a cadenza mensile o comunque prima di ogni campagna promozionale;
2.6. artt. 5, par. 2, 24, parr. 1 e 2, e 25 del Regolamento per non aver adottato adeguate misure organizzative volte a tenere traccia delle attività di trattamento e a comprovare il rispetto delle norme.
Inoltre, con la medesima comunicazione del 19 aprile 2023, la Società è stata invitata a comunicare quante anagrafiche sono risultate registrate nei sistemi aziendali a seguito della compilazione del citato form on-line di registrazione alla “landing page”.
3. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ
3.1. Memoria difensiva
La Società, nell’esercizio del diritto di difesa, ha fatto pervenire una memoria in data 19 maggio 2023 ed è stata ascoltata dall’Autorità il 14 giugno 2023, producendo, in tale occasione, un’ulteriore documentazione integrativa, con la quale ha chiesto l’archiviazione del procedimento avviato a suo carico o, in subordine, l’applicazione della sanzione per violazione minore come individuata nelle linee guida 4/2022 dell’EDPB. Dalle argomentazioni difensive, delle quali si fa completo rinvio, è emerso quanto segue.
3.1.1. I dati del reclamante sono stati acquisiti in occasione della registrazione ad un form di raccolta dati on line – https://www.listeprofilate.com/it/tr_iphone/privacy.html - associato ad un concorso a premi riconducibile a XX, in qualità di titolare del trattamento. Nell’informativa resa da XX l’interessato è stato espressamente informato che i suoi dati personali “saranno utilizzati dal Titolare al fine esclusivo di accertare l’identità dell’Utente […] evitando così possibili truffe o abusi e contattare [il medesimo utente] per le sole ragioni di servizio”. In relazione a tale trattamento è stato acquisito uno specifico consenso del reclamante, del quale è stata prodotta evidenza, unitamente allo screenshot delle formulazioni utilizzate a tal fine. In aggiunta, la Società ha precisato che XX era autorizzata a trattare i dati per il tramite di soggetti terzi, siano essi responsabili (come nel caso di Comparafacile nell’attività di ricontatto e verifica dei dati) ovvero autonomi titolari per finalità proprie.
Pertanto, Comparafacile ha disconosciuto il ruolo di titolare nel trattamento dei dati acquisiti da XX avendo svolto, come responsabile, esclusivamente attività di “data quality”, finalizzata ad una revisione qualitativa delle liste fornite e non all’arricchimento del database societario, né all’effettuazione di campagne promozionali dei propri servizi. A conferma di ciò, “nessuna campagna di marketing veniva svolta nel contesto del primo contatto e solo quando l’utente manifestava l’interesse a possibili attività di ricontatto, veniva indirizzato sulla landing page della Società”.
Non avendo agito, quindi, in qualità di titolare, non sarebbero spettati alla Società gli adempimenti inerenti agli obblighi informativi ex ante né al controllo delle utenze nel Registro Pubblico delle Opposizioni, anche in ragione della manleva riconosciutale dal Provider.
Ad ogni modo, l’informativa di Comparafacile veniva resa al momento di invio dell’sms contenente il link alla “landing page”, link che veniva inviato dalla Società a seguito della manifestazione di interesse degli utenti a ricevere offerte commerciali della medesima per le quali era già stato prestato il consenso a XX. Non era possibile per Comparafacile assolvere all’obbligo informativo in un momento antecedente al primo contatto (vista la vasta platea dei destinatari dei contatti) e “i consensi raccolti con la successiva attività di reindirizzamento dell’utente nella landing page della società, abilitavano quest’ultima a svolgere trattamenti di fatto realizzati”.
Infine, la Società ha comunicato di aver raccolto mediante il form on-line di registrazione alla “landing page” 1.100 anagrafiche che hanno generato un fatturato di lieve entità pari a euro 79.200,00.
3.1.2. Con riferimento alla contestazione di cui al punto 2.5 del presente provvedimento, la Società, nel confermare le difficoltà incontrate nell’accesso al Registro pubblico delle Opposizioni prima del contatto con il reclamante, ha rappresentato che l’iscrizione dell’utenza dell’interessato nel menzionato Registro, è intervenuta solo il 15 dicembre 2022, quindi successivamente ai contatti operati da Comparafacile e lamentati nel reclamo.
3.1.3. Relativamente al mancato riscontro all’istanza di esercizio dei diritti dell’interessato, la Società ha dichiarato di aver operato in buona fede e in assenza di dolo.
3.1.4. In merito al trattamento dei dati effettuati mediante sito internet e al consenso non correttamente richiesto per la profilazione, la Società ha precisato che “l’unica finalità indicata in informativa e per la quale era espressamente previsto il consenso oltre a quelli raccolti nella landing page era correlato all’attività di profilazione che […] la Società non svolge”.
Inoltre la Società ha eccepito il rilievo sollevato dall’Autorità in merito all’acquisizione di un consenso che tende ad accorpare due distinte finalità (attività promozionale di Comparafacile e comunicazione a soggetti terzi), sostenendo che per tali trattamenti sono richiesti due specifiche autorizzazioni (una per l’attività di marketing – consenso n. 2 – e l’altra per la comunicazione ai partner terzi differenti dalla Società – consenso n. 3). Peraltro, la Società ha precisato di non aver “mai comunicato né comunica i dati raccolti a terzi”.
3.2. Valutazioni di ordine giuridico
Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.
3.2.1. La principale argomentazione esposta dalla Società a difesa della propria posizione attraverso il richiamo all’esclusiva attività di data quality svolta in qualità di responsabile del trattamento dei dati acquisiti da XX, non può ritenersi condivisibile in quanto non corrispondente alla concreta esecuzione della condotta.
Dall’analisi dell’informativa fornita da XX in occasione della registrazione al form on-line (https://www.listeprofilate.com/it/tr_iphone/privacy.html), è emerso, in primo luogo, che l’attività di contattare gli utenti partecipanti al concorso a premi, al fine di verificarne l’identità, non sarebbe prevista in capo a soggetti terzi (come Comparafacile) ai quali i dati potranno essere comunicati, ma può essere effettuata dal titolare (Provider) “per le sole ragioni di servizio”. Inoltre, al punto 2 della citata informativa, rubricato “Ulteriori finalità di trattamento: comunicazione dei dati ai Partner del Titolare”, è chiaramente indicato come titolare autonomo il soggetto che riceve i dati da XX per effettuare proprie attività di marketing, precisando che “Una volta avvenuta la cessione, sarà onere del Partner del Titolare fornire agli Utenti […] tutte le informazioni previste dallo stesso art. 14 del Regolamento”.
Pertanto la richiamata attività di data quality non può essere invocata dalla Società in quanto le anagrafiche sono entrate nella disponibilità di quest’ultima a fronte di un compenso al Provider e i contatti telefonici sono prodromici all’effettuazione di campagne promozionali di Comparafacile(1) e non invece alla verifica dell’esattezza dei dati di XX per la partecipazione al concorso a premi, con conseguente arricchimento della propria banca dati (come dimostrano i sopra indicati 1.686 contratti sottoscritti a seguito di contatti telefonici).
In tale quadro XX, proprietaria della banca dati, avrebbe agito in qualità di titolare autonomo, dal momento che le attività svolte dal medesimo Provider (raccolta, conservazione e trasmissione a terzi dei dati) sono precedenti e del tutto indipendenti dal trattamento effettuato da Comparafacile. Ne consegue che la Società - avendo in concreto determinato lo scopo per cui è stato posto in essere il trattamento (la promozione dei propri servizi), il canale utilizzato a tal fine, con ciò definendo anche i mezzi essenziali, e avendo selezionato nel mercato il soggetto fornitore delle liste – è da ritenersi titolare del trattamento, ai sensi dell’art. 4 del Regolamento (v. provv. 26 ottobre 2017, doc. web n. 7320903; provv. 15 gennaio 2020, doc web n. 9256486; provv. 25 novembre 2021, doc. web n. 9736961; provv. 25 novembre 2021, doc. web n. 9737185; provv. 2 dicembre 2021, doc. web n. 9731682; provv. 2 dicembre 2021, doc. web n. 9731664; provv. 16 dicembre 2021, doc. web. n. 9742704).
A Comparafacile sono, dunque, direttamente riconducibili tanto gli adempimenti posti dalla normativa in materia di protezione dei dati personali quanto la responsabilità per le presunte violazioni riscontrate, sia in ragione della già evidenziata veste giuridica di titolare del trattamento che la Società ha assunto, sia perché a nulla rileva la previsione pattizia di clausole di manleva a cui ha fatto ricorso la medesima Società nel riscontro del 18 febbraio 2023 e che ha valore solo con riguardo ai rapporti contrattuali tra le parti e non rispetto alle garanzie da prestare all’interessato in relazione ai trattamenti dei suoi dati, né, tantomeno, con riferimento alla distribuzione delle responsabilità nell’ambito del trattamento.
Ciò posto, non è risultato in atti l’adempimento informativo in capo alla Società in occasione del primo contatto, ai sensi dell’art. 14 del Regolamento, poiché la presa visione dell’informativa privacy era subordinata alla manifestazione di interesse degli utenti ai servizi di Comparafacile. Peraltro, non può considerarsi idoneo, e quindi legittimo, un meccanismo che costringa l’utente a dichiararsi interessato ai servizi della Società per poter acquisire tutte le informazioni obbligatoriamente previste dall’art. 13 del Regolamento, contravvenendo, così, anche al requisito di facile fruibilità delle informazioni sotteso all’art. 12 del Regolamento, nel più ampio contesto del basilare principio di trasparenza (v. provv. 27 maggio 2021, doc. web n. 9689375; v. cit. provv. provv. 15 gennaio 2020).
Pertanto, si ritiene di dover confermare quanto osservato nell’atto di avvio del procedimento in merito alla sussistenza della violazione degli artt. 12, 13 e 14 del Regolamento per l’assenza del rilascio di una idonea informativa nel corso dei contatti promozionali, non solo in relazione al caso di cui al reclamo ma nel complesso dei trattamenti svolti da Comparafacile.
Ne consegue che in assenza di informazioni sul trattamento anche l'espressione di volontà dell’interessato risulta irrimediabilmente viziata e inidonea a costituire condizione di liceità per il trattamento stesso. Pertanto, il consenso per finalità promozionali richiesto in occasione della prima telefonata all’interessato, non risultando informato, non può essere considerato un presupposto valido per l’attività di marketing della Società. Né sembrerebbe che la Società, al momento del contatto con l’interessato, abbia verificato l’originario consenso acquisito da XX alla ricezione di offerte commerciali da parte di terzi cui i dati sarebbero stati comunicati, dal momento che la richiesta di un ricontatto per lo svolgimento di attività di marketing di Comparafacile non sarebbe giustificata se si avesse contezza di una preventiva espressa autorizzazione in tal senso. Peraltro, dall’esame della Scrittura privata perfezionata con XX, è emerso che non ricade su Comparafacile l’onere di verificare la validità della lista entrata nella sua disponibilità e i relativi consensi acquisiti in fase di registrazione. Ciò confermerebbe la realizzazione del descritto trattamento senza che la Società abbia accertato il necessario fondamento giuridico dell’attività commerciale. Anche in questo caso deve osservarsi che non ha rilevanza la clausola di manleva con la quale XX avrebbe inteso esonerare Comparafacile dall’attività di verifica della corretta acquisizione dei consensi. Deve pertanto confermarsi la responsabilità di Comparafacile in ordine alla violazione di cui agli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento nonché art. 130 del Codice.
3.2.2. Con riferimento all’iscrizione dell’utenza dell’interessato al Registro Pubblico delle Opposizioni - che la Società sostiene sia avvenuta solo il 15 dicembre 2022, quindi successivamente ai contatti lamentati - si rappresenta preliminarmente che, da puntuali verifiche effettuate dall’Ufficio, la numerazione del reclamante è risultata registrata dal 2 agosto 2022 e più volte rinnovata sino alla data del 15 dicembre 2022. Ciò doverosamente precisato, seppure al momento dei contatti lamentati l’iscrizione dell’utenza dell’interessato fosse temporaneamente sospesa, la Società avrebbe dovuto sottoporre la lista di anagrafiche ormai transitata nella propria disponibilità al riscontro del Registro Pubblico delle Opposizioni ed escludere dal novero dei soggetti contattabili coloro che avevano correttamente formulato la propria opposizione.
Risulta invece che il riscontro al RPO non sia stato effettuato e a nulla rileva, al riguardo, la circostanza che tale mancato riscontro sia dipeso da problematiche tecniche connesse alla iscrizione della Società nell’elenco degli operatori ai quali è consentita la consultazione del Registro né che l’opposizione al trattamento dell’utenza del reclamante non risultasse in quel momento registrata. Infatti, l’iscrizione al RPO e la consultazione dello stesso devono considerarsi quali pre-condizioni per poter svolgere correttamente attività di telemarketing e l’impossibilità tecnica di accedere al Registro non può che determinare l’impossibilità di avviare qualsivoglia campagna promozionale per la quale è previsto l’utilizzo del mezzo telefonico.
Va pertanto confermata la sussistenza della violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice.
3.2.3. Come descritto al punto 1 del presente provvedimento, la Società avrebbe effettuato attività telefonica in modo insistente e concentrato verso la medesima utenza, iscritta al RPO, anche successivamente alla formale diffida del reclamante del 9 novembre 2022, più volte sollecitata (nelle date 14 novembre e 7 dicembre 2022). Pertanto la Società non risulta aver registrato tempestivamente l’opposizione manifestata dall’interessato né aver riscontrato le istanze di esercizio dei diritti di cui agli artt. 15, 17 e 21 del Regolamento - formulate dallo stesso - nei termini previsti dall’art. 12, par. 3, del Regolamento, né ancora ha fornito spiegazioni in ordine alla mancata risposta. Comparafacile ha evaso le richieste avanzate solo dopo essere stata in tal senso sollecitata dall’Autorità con nota del 22 dicembre 2022.
Emerge, quindi, una condotta omissiva, non coerente con l’obbligo del titolare di agevolare, con misure appropriate, l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” (v. provv. n. 431 del 15 dicembre 2022, doc. web n. 9856345). Si ritiene, dunque, di dover confermare la violazione dell’art. 12 parr. 2 e 3, nonché degli artt. 15, 17 e 21, par. 2, del Regolamento.
3.2.4. In base a quanto dichiarato dalla Società, in sede difensiva, le attività di profilazione e di comunicazione dei dati a terzi, sebbene indicate nell’informativa privacy, non risultano concretamente svolte. Per tale ragioni non risulterebbe sussistente la violazione relativa alla mancata raccolta di uno specifico consenso per le predette attività.
Al riguardo si deve preliminarmente osservare che lo scollamento fra il piano formale - relativo alla citata informativa del sito internet - e il piano fattuale delle attività, è idoneo ad ingenerare il ragionevole dubbio su quali siano gli effettivi trattamenti svolti da Comparafacile.
Il Garante ha più volte declinato il principio della trasparenza quale agevole comprensibilità del messaggio informativo, con specifico riguardo alle modalità e finalità del trattamento corrispondenti non soltanto con i consensi richiesti ma, ancor prima, con gli scopi effettivamente perseguiti. Sussiste l’esigenza di corrispondenza fra informativa ex art. 13 del Regolamento ed effettività dei trattamenti posti in essere, al fine di dare piena attuazione anche all’art. 12 del Regolamento, vale a dire proprio al principio della trasparenza, che si pone come fondamentale ed innovativo criterio di legittimità dei trattamenti stessi (v. provv. cit. n. 7 del 15 gennaio 2020; v. cit. provv. n. 431 del 15 dicembre 2022).
A ciò si aggiunge che, in ogni caso, la raccolta di dati personali per una specifica finalità rappresenta un’operazione di trattamento anche laddove tale finalità non sia ancora stata in concreto perseguita e, seppur per la mera conservazione, è pertanto necessario acquisire un idoneo consenso.
Dall’esame degli atti e dalle osservazioni difensive della parte emerge che la Società non ha acquisito il consenso specifico per la finalità di profilazione. Pertanto, alla luce di quanto sopra, si conferma la sussistenza della contestata violazione degli artt. 5, par. 1, lett. a), 6, par. 1, lett. a), 7 del Regolamento, con riferimento ai trattamenti di dati personali finalizzati allo svolgimento di attività di profilazione, per i quali è comunque stata effettuata la raccolta dei dati stessi.
4. CONCLUSIONI
Per quanto sopra esposto si ritiene accertata la responsabilità di Comparafacile in ordine alle seguenti violazioni del Regolamento:
- art. 5, parr. 1, lett. a) e 2
- art. 6
- art. 7
- art. 12
- art. 13
- art. 14
- art. 15
- art. 17
- art. 21, par. 2
- art. 24, parr. 1 e 2
- art. 25, par. 1
nonché art. 130 del Codice.
Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:
a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento di dati personali raccolti mediante sito internet in assenza di un idoneo consenso degli interessati all’attività di profilazione, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice, dal momento che tale finalità, anche se è risultata in concreto non perseguita dalla Società, ha determinato una raccolta senza consenso di dati personali;
b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Comparafacile di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per la difesa di un diritto in sede giudiziaria nonché per ogni altra finalità che non richieda un consenso informato, libero, specifico, documentato e inequivocabile dell’interessato;
c) nel caso in cui la Società intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, prescrivere, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di porre in essere tutte le misure necessarie affinché le stesse siano conformi alle disposizioni in materia di protezione dei dati personali, ossia, fra le altre:
- rendere un’idonea informativa agli interessati, fornendo tutti gli elementi obbligatoriamente previsti dagli artt. 12 e 13 del Regolamento;
- individuare un’idonea base giuridica per i trattamenti in questione che, allo stato, appare concretizzabile nell’acquisizione di un consenso informato, libero, specifico, documentato e inequivocabile per ciascuna delle finalità concretamente perseguite (artt. 6 e 7 del Regolamento);
- porre in essere ogni misura organizzativa necessaria al fine di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);
- adottare idonee procedure volte a tenere traccia delle attività di trattamento nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali, con particolare riferimento a quelle applicabili all’invio di comunicazioni commerciali (artt. 6, 7, 13, 14 del Regolamento e 130 del Codice);
d) con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.
5. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA
Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Comparafacile della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni - avendo ad oggetto anche l’esercizio dei diritti degli interessati - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.
Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.
Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:
1. l’elevato numero dei soggetti coinvolti nei trattamenti contestati: 40.000 anagrafiche acquisite da XX; 1.686 contratti sottoscritti con le citate anagrafiche comunicate dal Provider rispetto alle quali la Società non risulta aver verificato i presupposti giuridici che ne legittimerebbero il trattamento; 1.100 anagrafiche registrate al form on-line presente nella “landing page” e che ricomprendono dati per i quali non è stato acquisito un consenso specifico alla profilazione né, a detta della Società, è in corso alcun trattamento (art. 83, par. 2, lett. a);
2. la gravità delle violazioni rilevate con particolare riferimento all’assenza di verifiche a campione delle numerazioni da contattare fornite dal partner, alla non adeguata gestione del diritto di opposizione degli interessati, nonché all’inidoneità dell’informativa resa sul sito internet e alla carenza della stessa in occasione delle telefonate promozionali (art. 83, par. 2, lett. a);
3. il carattere negligente delle condotte posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo (art. 83, par. 2, lett. b);
4. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing con particolare riferimento all’informativa e al consenso (art. 83, par. 2 lett. k);
5. la complessiva valutazione sulla capacità economica della Società, tenendo in considerazione l’ultimo fatturato societario disponibile (art. 83, par. 2 lett. k).
Quali elementi attenuanti, si ritiene di dover tener conto:
1. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2 lett. e);
2. del grado di cooperazione nell’interazione con l’Autorità di controllo tale da rendere agevole lo svolgimento delle attività di indagine (art. 83, par. 2, lett. f).
In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Comparafacile – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 40.000,00 (quarantamila/00), pari allo 0,2% del massimo edittale.
Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.
Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.
Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.
TUTTO CIÒ PREMESSO, IL GARANTE
ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Compara Facile S.r.l., con sede legale in Via Tivoli 8, 00156 Roma, P.IVA 15474891007, e di conseguenza:
a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento di dati personali raccolti mediante sito internet in assenza di un idoneo consenso degli interessati all’attività di profilazione, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice, dal momento che tale finalità, anche se è risultata in concreto non perseguita dalla Società, ha determinato una raccolta senza consenso di dati personali;
b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Comparafacile di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per la difesa di un diritto in sede giudiziaria nonché per ogni altra finalità che non richieda un consenso informato, libero, specifico, documentato e inequivocabile dell’interessato;
c) nel caso in cui la Società intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, prescrive, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, di porre in essere tutte le misure necessarie affinché le stesse siano conformi alle disposizioni in materia di protezione dei dati personali, ossia, fra le altre:
- rendere un’idonea informativa agli interessati, fornendo tutti gli elementi obbligatoriamente previsti dagli artt. 12 e 13 del Regolamento;
- individuare un’idonea base giuridica per i trattamenti in questione che, allo stato, appare concretizzabile nell’acquisizione di un consenso informato, libero, specifico, documentato e inequivocabile per ciascuna delle finalità concretamente perseguite (artt. 6 e 7 del Regolamento);
- porre in essere ogni misura organizzativa necessaria al fine di facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);
- adottare idonee procedure volte a tenere traccia delle attività di trattamento nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali, con particolare riferimento a quelle applicabili all’invio di comunicazioni commerciali (artt. 6, 7, 13, 14 del Regolamento e 130 del Codice);
d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.
ORDINA
ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Compara Facile S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 40.000,00 (quarantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;
INGIUNGE
alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 40.000,00 (quarantamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;
DISPONE
quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.
Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.
Roma, 18 luglio 2023
IL PRESIDENTE
Stanzione
IL RELATORE
Scorza
IL SEGRETARIO GENERALE
Mattei
___
(1) In merito al contatto telefonico volto a registrare l’interesse o meno del contraente all’offerta commerciale, il Garante ha in più occasioni precisato che questo tipo di telefonata, finalizzata ad ottenere il consenso per attività di marketing, è da considerarsi «comunicazione commerciale», come stabilito dalla giurisprudenza di legittimità (Cass. civ., Sez. I, ord. 26 aprile 2021, n. 11019) che – nel confermare la validità del provvedimento dell’Autorità del 22 giugno 2016 n. 275 (doc. web 5255159) sulla l’illiceità delle telefonate per il “recupero del consenso” degli interessati - ha evidenziato che “La finalità alla quale è imprescindibilmente collegato il consenso richiesto per il trattamento non può non concorrere a qualificare il trattamento stesso, ragione per cui il trattamento dei dati dell'interessato per chiedere il consenso per fini di marketing è esso stesso un trattamento per finalità di marketing” (v. nel medesimo senso, le Linee guida in materia di attività promozionale e contrasto allo spam - 4 luglio 2013, doc. web n. 2542348).
