VEDI ANCHE Newsletter del 3 maggio 2024

[doc. web n. 10007895]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 159 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 28 dicembre 2023, n. 170449/2023 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Sigma s.r.l., (di seguito anche “Sigma” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Trento (TN), corso Tre Novembre, n. 84, c.f. 02314590221.

Il procedimento trae origine da un appunto informativo trasmesso dal Nucleo speciale Tutela privacy e Frodi tecnologiche della Guardia di finanza, iscritto al protocollo con n. 119438 del 10 agosto 2023, inviato dal Nucleo di Polizia economico-finanziaria di Trento del medesimo Corpo, con il quale si riferivano gli esiti delle indagini di polizia giudiziaria di cui al proc. pen. n. 2023/20-21 della Procura della Repubblica presso il Tribunale di Trento.

L’appunto, al quale risulta allegata l’annotazione di P.G. del 22 marzo 2023 e i relativi file a corredo, perveniva a seguito di nulla-osta rilasciato dal P.M. di Trento il 14 aprile 2023, al fine di consentire all’Autorità di valutare l’eventuale sussistenza di violazioni amministrative con riferimento al trattamento di dati personali effettuato da titolari e dipendenti di Sigma s.r.l. per l’attivazione di schede, servizi telefonici a marchio Vodafone e per la vendita di dispositivi mobili.

Come riferito nell’appunto, le attività di indagine sono state poste in essere a seguito di una denuncia-querela presentata il 10 marzo 2022 da una cliente della compagnia telefonica Vodafone Italia S.p.A., che lamentava di aver rilevato nel 2021 alcuni addebiti sulla propria carta di credito da parte della compagnia, derivanti dall’attivazione, in data 2 febbraio 2021, di un nuovo contratto per servizi telefonici a nome del proprio marito, deceduto l’8 novembre 2020.

Dal complesso delle indagini, per la parte che qui interessa, emergeva un’attività sistematica svolta da titolari e dipendenti di Sigma, la quale gestisce due punti-vendita Vodafone in Trento e in Pergine Valsugana (TN), univocamente finalizzata all’attivazione di schede SIM e ulteriori servizi telefonici, oltre che alla vendita e all’associazione di apparati telefonici mobili ad utenze attive, all’insaputa di clienti e utenti del settore della telefonia.

In particolare, a seguito delle perquisizioni operate il 18 maggio 2022 presso la sede di Sigma in Trento, e presso le abitazioni dei soci amministratori, venivano posti sotto sequestro n. 238 telefoni cellulari e altri apparecchi mobili provvisti di codice IMEI e n. 1119 schede SIM. Da una verifica effettuata nel corso delle attività di perquisizione, si aveva modo di rilevare che diversi telefoni sequestrati risultavano abbinati ad utenze telefoniche, nonostante fossero disponibili alla vendita presso il negozio, e numerose schede SIM erano già attive e quindi collegate a schede anagrafiche di clienti Vodafone.

Le indagini hanno coinvolto anche la compagnia telefonica Vodafone, la quale, a seguito di richieste di elementi formulate dalla Guardia di finanza il 5 luglio 2022, ha rappresentato che i rapporti fra la predetta Compagnia e Sigma sono regolati da un contratto di franchising sottoscritto il 23 gennaio 2014, dal quale si evince che la Società, nei trattamenti di dati personali connessi all’attivazione delle schede SIM, assume la veste giuridica del Titolare del trattamento, fermi restando gli obblighi, espressi contrattualmente, di effettuare le nuove attivazioni sulla base di un iter di identificazione e di raccolta di dati specificamente previsto da Vodafone.

Tale iter prevede, come rappresentato da Vodafone con nota del 12 gennaio 2023 (allegato 77 dell’annotazione di P.G.), che “i punti vendita autorizzati Vodafone operanti sul territorio nazionale (Dealers e Point affiliati al distributore nazionale di prodotti e servizi Vodafone VND S.p.A.), sono tenuti ad identificare i sottoscrittori, anche se già clienti Vodafone Italia ed acquisirne copia della documentazione d’identità in caso di attivazione di nuovi prodotti e servizi. […] Nel rispetto della normativa vigente e delle direttive aziendali (o degli obblighi contrattuali stipulati con la scrivente), il punto vendita è tenuto a: identificare tutti i clienti che richiedono l’attivazione e/o la sostituzione di una nuova SIM attraverso l’esibizione dell’originale del proprio documento di identità (carta di identità, patente, passaporto, permesso di soggiorno); far visionare al cliente l'Informativa ai sensi del D.Lgs. n. 196/2003; verificare la corrispondenza del cliente con il documento di identità presentato; verificare la validità del documento stesso; verificare la modulistica conservare la documentazione (modulo, copia del documento di identità ed eventuali documenti a corredo) presso il punto vendita per 24 mesi e trasmetterla a Vodafone in forma telematica o cartacea tramite corriere. […] L’inserimento dei dati e l’attivazione di offerte e servizi vengono effettuati dagli addetti del punto vendita attraverso la postazione informatica […] che collega i locali ove opera il rivenditore ai sistemi Vodafone oppure tramite l’utilizzo del nuovo sistema […], che prevedono la compilazione obbligatoria dei seguenti campi: 1. Tipo documento 2. Numero documento 3. Data di rilascio. In caso di richiesta di attivazione di una nuova SIM o sostituzione da parte di un cliente già identificato da Vodafone, attraverso l’utilizzo del nuovo sistema […], il Dealer potrà procedere all’inserimento dei dati del documento di identità esibito in sede di nuova identificazione”.

Con riferimento alle indebite attivazioni operate da Sigma, Vodafone ha evidenziato, fornendo diversi elenchi in riscontro alle richieste formulate dalla Guardia di finanza, che delle SIM rinvenute presso la sede della Società e sequestrate il 18 maggio 2022, 931 risultavano attive e/o associate all’anagrafica di un cliente, mentre per quanto riguarda i telefoni cellulari e gli altri apparecchi, anch’essi oggetto di sequestro, ben 62 di essi erano associati ad un’utenza attiva, con addebiti in fattura rateizzati fino a 48 mesi.

I riscontri documentali di cui si è fatto cenno sono stati corroborati da un’ampia attività di raccolta testimoniale che ha riguardato sia alcuni clienti, sia dipendenti dei punti vendita gestiti da Sigma.

In particolare, con riferimento ai dipendenti dei punti vendita, merita interesse quanto dichiarato da un dipendente, assegnato prevalentemente al punto-vendita di Pergine Valsugana il quale ha rappresentato che “le Sim vengono attivate, all’insaputa dei clienti, per raggiungere i target, normalmente mensili, stabiliti da Vodafone e/o per raggiungere i bonus. […] Le schede Sim attivate venivano trattenute presso il punto vendita ed in alcuni casi cedute a clienti diversi dal primo intestatario. […] Per le nuove attivazioni delle Sim o di nuovi servizi, tutti attivati all'insaputa dei clienti, i dati personali venivano attinti prevalentemente dal sistema informativo della Vodafone […]. Il sistema […] è un applicativo della Vodafone dal quale si può estrapolare tutta la situazione contrattuale in essere del cliente.

In alcuni casi, i dati venivano estrapolati sulla base di contratti cartacei presenti presso il nostro punto vendita. Anche i dati bancari, in particolare il codice lban, vengono gestiti direttamente dalla banca dati Vodafone, […]. Per le nuove attivazioni delle Sim o di nuovi servizi veniva acquisito, con il contratto, il consenso al trattamento dei dati personali. […] Posso dire che in molte occasioni le firme per conto dei clienti venivano apposte da [un amministratore e da altri dipendenti] della Sigma. Per i terminali formalmente venduti ad un cliente ed in realtà mai consegnati a tale cliente, venivano conservati in un cubo (di colore rosso) e poi venduti a clienti successivi ignari della provenienza di quel telefono. Poteva succedere, in alcuni casi, che il primo cliente, una volta accortosi degli addebiti in fattura per telefoni mai ricevuti, smettessero di pagare”.

Le stesse pratiche sono state confermate da una dipendente del punto-vendita di Trento, il quale ha dichiarato che “in quel periodo ho preso atto che abitualmente attivavano contratti a nome di clienti che erano totalmente ignari di tale attivazione. In particolare, per clienti che già avevano una linea fissa attiva, per il telefono fisso di casa, [i due amministratori] o altro dipendente provvedevano ad attivare all'insaputa del cliente nuove linee mobili o fisse, con l'aggiunta della vendita di telefoni cellulari sottoscrivendo loro i relativi contratti. Per tali operazioni venivano utilizzati i dati dei clienti già censiti e le loro relative carte di credito o altri metodi di pagamento. Il sistema centralizzato Vodafone, dove sono memorizzati tutti i dati dei clienti con le relative carte di credito o altri mezzi di pagamento, permette l'attivazione di successivi contratti, pescando i dati già presenti e quindi permette gli addebiti automatici in funzione dei metodi di pagamento registrati. I cellulari venduti ai clienti ignari, che si trovavano addebitate le relative rate, venivano in realtà rivenduti “sottobanco" ad altri clienti. […] Questi telefoni cellulari, venduti "sottobanco" ed ufficialmente con prezzo scontato, erano tantissimi e conservati nei posti più disparati, come ad esempio in bagno. In caso di ispezione da parte [di] Vodafone, la vetrina contenente questi telefoni cellulari destinati alla vendita sottobanco, veniva fatta spostare in un luogo non accessibile […]. Succedeva inoltre che nel caso di clienti che si presentavano con un telefono cellulare per problematiche varie, con la scusa di “pulire il telefono” dalle problematiche lamentate, [un amministratore] o altro dipendente provvedevano ad attivare nuove opzioni a pagamento, sempre all’insaputa del cliente. […] In un cassetto del bancone conservavano moltissime carte d’identità in formato cartaceo, ancora non scadute”.

Le circostanze riferite dai due dipendenti appaiono confermate anche dai numerosi messaggi che titolari e dipendenti di Sigma si scambiavano che sono stati rinvenuti nei computer della Società e nei telefoni cellulari personali a seguito delle perquisizioni e dei sequestri del 18 maggio 2022. Ad esempio, in una chat del 1° febbraio 2022, un socio di Sigma, ricorda ai dipendenti che “a Pergine nella cassettiera ci sono documenti next e documenti per etnici turistici già separati e pronti per fare SIM nei tempi morti ci aiuteranno a tenere la media giornaliera!”. In una chat del 9 maggio fra due dipendenti si fa ancora riferimento ai c.d. “documenti etnici”: “hai su documenti etnici? … Qualcosina sì perché? … Perché li ho quasi terminati … Ahahah … Casomai mandami due foto che se servono li ho”. In alcune chat sono chiarite le modalità operative e la quantità di attivazioni da raggiungere nel corso di una giornata: “Per chi viene a Pergine nel weekend sto facendo un piccolo file con indirizzi fittizi che cerco su […] per chi ne avesse bisogno nell’immediato per l’inserimento, per non usare sempre gli stessi che non è il massimo … lo trovate sul desktop … Quante schede faccio oggi? … Quante schede hai lì? ... Fino ad adesso ho fatto 3 a uno che già non riesco a farli più … Fanne una decina … Quante sim faccio oggi? … 10 se riesci … Sono già a 5”. Sulla questione degli indirizzi, molto spesso nelle chat ci si accorda affinché le indebite attivazioni non possano essere oggetto di controlli e quindi si evita di inserire recapiti reali “Metto indirizzo del cliente? … No … Metti via Roma via Milano Piazza Venezia tn … Messo di un’altra cliente alla peggio “abbiamo sbagliato” … Sì … Ho messo anche mail togliendo una lettera così non arriva nulla … Faccio anche io così.” Negli apparecchi sequestrati sono presenti anche molti messaggi di clienti che si lamentano per le indebite attivazioni.

Proprio con riferimento ai clienti, deve evidenziarsi che nel corso delle attività di indagine la Guardia di finanza ha acquisito 12 atti di denuncia-querela, oltre a quello originariamente prodotto dalla originaria denunciante, e raccolto sommarie informazioni testimoniali di 34 clienti che hanno tutti riferito di indebite attivazioni non soltanto di SIM (alcuni in numero di 14, 12 e 10) ma anche di servizi quali Vodafone TV, Now TV, Vodafone Casa, Vodafone Sport e di addebiti nelle proprie fatture Vodafone per acquisto di telefoni cellulari e tracker GPS non richiesti e dei quali non sono mai venuti in possesso. I clienti hanno spesso affermato di essere stati invitati, all’interno dei punti-vendita Sigma, ad apporre proprie firme tramite tavolette elettroniche, senza che fosse fornita una specifica motivazione rispetto a tali raccolte di sottoscrizioni.

Nel complesso, la Guardia di finanza ha evidenziato che le attività di indebita attivazione di SIM ha consentito a Sigma di acquisire provvigioni pari a € 73.413,70 mentre le provvigioni acquisite dalla medesima Società per indebite associazioni di SIM a dispositivi mobili ammontano a € 6.085,31. Gli importi addebitati ai clienti esaminati per l’acquisto di telefoni cellulari e altri dispositivi mobili poi mai effettivamente consegnati sono pari a € 4.730,54.

1.2. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, ha adottato il sopra richiamato atto di contestazione n. 170449/2023 nei confronti di Sigma, ritenendo che la stessa abbia agito quale titolare dei trattamenti di dati personali di clienti del settore della telefonia fissa e mobile, realizzando condotte in violazione delle disposizioni del Regolamento.

Nello specifico, l’Ufficio ha contestato alla società, la presunta violazione delle seguenti disposizioni:

a) art. 5, parr. 1, lett. a), e 2; art. 6; art. 24, par. 1 e 25, par. 1 del Regolamento; per aver effettuato i trattamenti come sopra descritti di dati personali di utenti e contraenti del settore della telefonia fissa e mobile in contrasto con i principi di liceità, correttezza e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative volte ad eludere, fin dalla progettazione, i principi di liceità, correttezza e responsabilizzazione;

b) art. 5, parr. 1, lett. a), e 2; art. 13 del Regolamento; per aver effettuato i sopra descritti trattamenti senza aver rilasciato agli interessati un’idonea informativa e quindi in contrasto con i principi di correttezza e trasparenza.

2. VALUTAZIONI DELL’AUTORITÀ

Va premesso che Sigma, a seguito della ricezione dell’atto di contestazione sopra richiamato, comprovata dalle attestazioni di accettazione e consegna del relativo messaggio di posta elettronica certificata, non ha inteso esercitare il proprio diritto di difesa e, pertanto, non ha prodotto memorie, né ha fatto richiesta di essere ascoltata dall’Autorità.

Sotto questo profilo, è il caso di ribadire che la comunicazione di avvio del procedimento, contenente la contestazione delle violazioni amministrative, è stata  inviata all’indirizzo di posta elettronica certificata di Sigma così come risultante dal sistema informativo delle Camere di Commercio e che il d.l. 76/2020 (c.d. “decreto semplificazioni”), convertito con modificazioni dalla L. 120/2020, ha qualificato, all’art. 37, l’indirizzo di posta elettronica certificata delle aziende quale “domicilio digitale” valido ai fini delle comunicazioni elettroniche aventi valore legale.

Alla luce di tale circostanza, deve in ogni caso affermarsi che le indagini svolte dalla Guardia di finanza, in assenza di controdeduzioni della parte, formano piena prova e consentono di affermare la responsabilità di Sigma in relazione alle condotte contestate.

È emerso infatti che la società Sigma, per mezzo dei suoi soci amministratori, fornendo disposizioni univoche ai propri dipendenti operanti nei punti-vendita di Trento e Pergine Valsugana, ha trattato i dati personali dei quali conservava la disponibilità, relativi a clienti che erano entrati in rapporto con i propri negozi, attivando a nome dei medesimi senza consenso schede SIM, servizi Vodafone, servizi Now TV e addebitando agli stessi il costo dell’acquisto di dispositivi mobili, segnatamente telefoni cellulari e tracker GPS, mai richiesti e mai consegnati ai clienti medesimi.

Nello specifico, con riferimento all’attivazione delle schede SIM, deve evidenziarsi che la compagnia telefonica Vodafone con la quale Sigma risultava legata da un contratto di franchising, ha dettato delle specifiche regole, in linea con la normativa vigente, per l’identificazione della persona che richiede una nuova attivazione anche se la stessa risulti già propria cliente.

La prassi operativa sopra richiamata, in aderenza con le disposizioni del Regolamento, doveva essere seguita anche in relazione all’attivazione di servizi a corredo del contratto telefonico o per l’acquisto di dispositivi cellulari per il quale era previsto l’addebito nella fattura relativa al conto Vodafone, poiché tali attività, comportando un ampliamento della complessiva offerta della compagnia telefonica, doveva essere preceduta da chiari adempimenti connessi al rilascio di una esaustiva informativa sui trattamenti svolti e dalla acquisizione di elementi idonei a legittimare e comprovare la idoneità della base giuridica (contrattuale) dei trattamenti medesimi.

Ciò, a quanto risulta dall’attività svolta dalla Guardia di finanza, non solo non è avvenuto, ma sono emersi elementi concordanti che restituiscono un quadro di condotte di estrema gravità realizzate da Sigma s.r.l. per: a) attivare illecitamente delle schede SIM utilizzando dati personali di clienti e documenti di identità estrapolati dai sistemi Vodafone o indebitamente conservati dal punto-vendita; b) attivare servizi non richiesti acquisendo la temporanea disponibilità dei dispositivi utilizzati dai clienti, ovvero inducendo i medesimi ad apporre firme, di regola tramite tavoletta elettronica, senza chiarire il valore e le conseguenze di tali sottoscrizioni; c) realizzare vendite di dispositivi mobili che non erano stati richiesti né effettivamente acquisiti dai clienti, i quali però riscontravano in fattura addebiti mensili legati all’acquisto dei predetti dispositivi; d) eludere i controlli da parte della compagnia telefonica Vodafone, come descritto da alcuni dipendenti e documentato nell’appunto informativo del 10 agosto 2023 e nei relativi atti a corredo.

In sostanza, Sigma non avrebbe soltanto omesso di dare attuazione alle disposizioni in materia di protezione dei dati personali per attivare schede SIM, servizi telefonici e vendite rateizzate di dispositivi mobili, ma avrebbe progettato le proprie attività proprio con l’intento di utilizzare la base di dati personali a sua disposizione per acquisire contratti di telefonia non richiesti ovvero ampliare indebitamente l’offerta contrattuale a suo tempo sottoscritta dai propri clienti.

Quanto alla titolarità di Sigma in relazione ai trattamenti presi in esame, al di là delle specifiche previsioni contrattuali stabilite nel contratto di franchising stipulato con Vodafone, occorre richiamare il recente provvedimento del Garante, n. 405 del 14 settembre 2023 (in www.gpdp.it, doc. web n. 9936215), nonché il provvedimento generale in materia di servizi telefonici non richiesti, adottato dall’Autorità il 16 febbraio 2006 e pubblicato nella G.U. n. 54 del 6 marzo 2006 (doc. web n. 1242592), nella parte in cui evidenzia che “agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell´attivazione dei servizi quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito”, e poi, fra gli altri, il provvedimento adottato nei confronti di un dealer di Vodafone operante nella provincia di Brescia (provv. n. 293 del 13 maggio 2015, doc. web n. 4210697), laddove si rappresenta che “con riferimento alle operazioni volte all´attivazione di schede telefoniche in assenza dell´intestatario e senza l´acquisizione di un suo valido documento, la società ha svolto trattamenti di dati personali esercitando un potere decisionale del tutto autonomo e svincolato dalle disposizioni che la legavano al gestore telefonico e al Master dealer, assumendo la veste giuridica di titolare del trattamento, così come delineato dal richiamato provvedimento del Garante del 16 febbraio 2006”. Tale ultimo provvedimento è stato sottoposto al vaglio della Prima sezione civile della Corte di Cassazione che, con Ordinanza n. 21234 del 23 luglio 2021, ha ribadito “che può far valere la qualità di “responsabile del trattamento” solo il soggetto che sia stato preposto al trattamento dal “titolare” e che si sia attenuto alle istruzioni da questi impartitegli in esplicazione del suo potere decisionale; ne consegue che ove ciò non avvenga, il “responsabile” potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare””.

Appare pertanto confermata la responsabilità di Sigma, accertata dalle univoche risultanze del sequestro e delle analisi dei reperti (computer, telefoni cellulari e schede SIM) e dalle informazioni testimoniali rese dai dipendenti e dai clienti della Società, in ordine alla violazione delle disposizioni del Regolamento che impongono al titolare di trattare i dati lecitamente, secondo correttezza e trasparenza e comprovare il rispetto di tali principi (art. 5, parr. 1, lett. a), e 2, 24, par. 1 e 25, par. 1), di trattare i medesimi dati in relazione ad un’idonea base giuridica (art. 6) e dopo aver rilasciato agli interessati un’idonea informativa (art. 13)

3. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Sigma in ordine alle seguenti violazioni:

a) art. 5, parr. 1, lett. a), e 2; art. 6; art. 24, par. 1 e 25, par. 1 del Regolamento; per aver effettuato i trattamenti come sopra descritti di dati personali di utenti e contraenti del settore della telefonia fissa e mobile in contrasto con i principi di liceità, correttezza e responsabilizzazione, in assenza di un’idonea base giuridica e mettendo in atto misure tecniche e organizzative volte ad eludere, fin dalla progettazione, i principi di liceità, correttezza e responsabilizzazione;

b) art. 5, parr. 1, lett. a), e 2; art. 13 del Regolamento; per aver effettuato i sopra descritti trattamenti senza aver rilasciato agli interessati un’idonea informativa e quindi in contrasto con i principi di correttezza e trasparenza.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Sigma, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei clienti finalizzato a realizzare attivazioni all’insaputa dei medesimi di schede SIM o servizi telefonici e televisivi, nonché alla vendita e all’addebito del costo dell’acquisto di dispositivi mobili, segnatamente telefoni cellulari e tracker GPS, mai richiesti e mai consegnati ai clienti medesimi;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sigma della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sigma della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, nonché delle condotte riconducibili al fenomeno complessivo delle attivazioni illecite di carte telefoniche, potenzialmente idoneo a creare ulteriori e ben più allarmanti indotti di illiceità e a costituire un ostacolo alle attività di prevenzione e repressione di reati anche di natura associativa; dell’ulteriore finalità connessa all’attivazione illecita di servizi telefonici e televisivi a pagamento e alla vendita e indebita associazione alle utenze dei clienti di dispositivi elettronici mai richiesti e mai consegnati ai medesimi, attività riconducibili anche a specifiche ipotesi di reato penale; dell’elevato numero di interessati coinvolti (931 destinatari delle attivazioni illecite di SIM e 62 clienti le cui utenze sono state associate ad apparecchi elettronici mai richiesti e mai consegnati, con addebiti in fattura rateizzati fino a 48 mesi); del profitto illecito accertato con le attivazioni e le vendite non richieste (pari a € 79.499, corrispondente al danno patito da Vodafone per il versamento di provvigioni non dovute) e del danno arrecato ai clienti per l’addebito in fattura di dispositivi mobili mai consegnati (pari a € 4.730,54);

2) quale fattore aggravante, il carattere doloso della violazione (art. 83, par. 2, lett. b) del Regolamento), come emerso dalla ricostruzione dei fatti e delle condotte poste in essere che fanno escludere la natura meramente colposa della violazione, posto che il dealer non solo ha disatteso le disposizioni della compagnia telefonica in ordine alla necessità di identificazione dei clienti, sia per le attivazioni delle SIM che per la vendita di altri servizi e di apparecchi elettronici, ma ha anche pianificato le complessive attività, nelle quali ha coinvolto i dipendenti della Società, per incrementare le vendite e le attivazioni e per eludere i controlli della compagnia telefonica e dei clienti medesimi;

3) quale fattore aggravante, la mancanza di iniziative, da parte di Sigma, volte ad attenuare il danno subito dall’interessato (art. 83, par. 2, lett. c) del Regolamento);

4) quale fattore aggravante (art. 83, par. 2, lett. g) del Regolamento), la categoria dei dati trattati, conferiti in ambito contrattuale e riguardanti anche informazioni sulla fatturazione e sui sistemi di pagamento;

5) quale fattore aggravante, la mancata collaborazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento), evidenziata anche dalla decisione di non fornire chiarimenti in ordine alle condotte contestate.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene debba applicarsi a Sigma la sanzione amministrativa del pagamento di una somma di euro 150.000, pari al 0,75% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati, oltre che dell’elevato numero di interessati effettivamente o potenzialmente coinvolti.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Sigma, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati dei clienti finalizzato a realizzare attivazioni all’insaputa dei medesimi di schede SIM o servizi telefonici e televisivi, nonché alla vendita e all’addebito del costo dell’acquisto di dispositivi mobili, segnatamente telefoni cellulari e tracker GPS, mai richiesti e mai consegnati ai clienti medesimi;

b) ingiunge a Sigma, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Sigma s.r.l., in persona del legale rappresentante pro tempore, con sede legale in Trento (TN), corso Tre Novembre, n. 84, c.f. 02314590221, di pagare la somma di euro 150.000,00 (centocinquantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 150.000,00 (centocinquantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei