[doc. web n. 10084158]

Provvedimento del 17 luglio 20204

Registro dei provvedimenti
n. 576 del 17 luglio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

Con reclamo del 15 maggio 2023, regolarizzato e integrato il successivo 18 luglio, il signor XX ha lamentato la ricezione di email promozionali da parte di Iliad Italia S.p.A. (di seguito Iliad o la Società). Il reclamante, precisando di essere cliente della Iliad con diverse schede telefoniche intestate, ha dichiarato di non aver mai conferito alcun consenso alla Società per finalità promozionali ed ha allegato, per ogni utenza attivata, i print screen della propria area cliente da cui risultava effettivamente negata ogni volontà di acconsentire al trattamento dei dati per finalità promozionali (marketing/ Profilazione/ Arricchimento/ Localizzazione).

Il sig. XX infine ha rappresentato che, in calce alle email ricevute, era presente un link per opporsi alla ricezione di ulteriori messaggi.

Con nota del 20 settembre 2023 Iliad, in risposta alla richiesta di informazioni dell’Ufficio, ha descritto le procedure adottate per le proprie attività di marketing specificando che, conformemente all’informativa privacy adottata dal 7 marzo 2023, i dati degli interessati vengono trattati per finalità promozionali solo previo espresso consenso che può essere conferito all’atto della sottoscrizione del contratto e successivamente modificato accedendo alla propria area personale nel web. La stessa ha inoltre aggiunto che, con specifico riguardo all’invio di email ai propri clienti per promuovere prodotti o servizi analoghi a quelli acquistati, il trattamento avviene in virtù di quanto previsto dall’art. 130, comma 4, del Codice (soft spam). Tale trattamento, come descritto nella menzionata informativa, sarebbe basato sul legittimo interesse del titolare e l’interessato può opporsi inviando una richiesta all’indirizzo email privacy@it.iliad.com. Infine, con riguardo alle comunicazioni indesiderate ricevute dal sig. XX, la Società ha dichiarato di aver registrato l’opposizione del reclamante dopo che questi si era avvalso del link in calce alle email interrompendo immediatamente l’invio delle email promozionali qualificate come soft spam.

A tale risposta il reclamante ha replicato facendo notare che egli non aveva mai conferito alcun consenso al trattamento dei suoi dati per finalità promozionale e tale volontà sarebbe stata espressa sin dall’origine attraverso la negazione di tutti i consensi nella propria area personale. Questi ha altresì confermato di aver anche manifestato la propria opposizione cliccando sul link in calce alle mail pur non ritenendo necessaria tale operazione dal momento che la sua volontà doveva ritenersi già chiaramente espressa; tra i consensi non conferiti, e come tali registrati nell’area personale, vi era anche quello così descritto (e non selezionato): “Finalità di marketing: desidero ricevere comunicazioni marketing su prodotti e servizi offerti da Iliad tramite mezzi di comunicazione automatizzati e/o tradizionali”.

L’Ufficio pertanto ha provveduto a richiedere a Iliad un’integrazione delle informazioni con riguardo alla documentazione di consensi e dinieghi registrati nei propri sistemi per le utenze del reclamante. La Società, con nota del 22 dicembre 2023, ha prodotto documentazione attestante la registrazione dei consensi dalla quale risulta che viene tenuta traccia, in maniera distinta, della volontà dell’interessato rispetto alle finalità di marketing (identificata alla voce “consent_marketing”) e dell’opposizione al soft spam (identificata come “consent_legitimate”). In particolare, con riguardo al sig. XX, per tutte le utenze registrate a suo nome risultava negato il consenso al marketing sin dall'origine e, con riguardo al soft spam, risultavano le date in cui erano state espresse le singole opposizioni. La Società ha comunque confermato che, successivamente a tali date, il sig. XX non è stato più inserito in nessuna campagna promozionale basata sul soft spam.

Da ultimo, in replica a questo secondo riscontro, il sig. XX – con pec del 29 dicembre 2023 indirizzata anche a Iliad - ha ribadito che la sua volontà di non ricevere contatti promozionali era sempre stata espressa chiaramente. Inoltre, proprio al fine di dare atto del percorso seguito dall’utente per l’attivazione di un servizio telefonico, ha allegato i print screen relativi all’attivazione on line di un’offerta. Il processo di attivazione si sarebbe concluso con la schermata seguente:

Come si vede dalla schermata allegata, il sig. XX non ha selezionato la seconda casella per consentire alla ricezione di offerte promozionali. Eppure, in relazione a tale procedura risulta aver ricevuto un’email contenente l’invito a riprendere il percorso per ultimare la sottoscrizione. Anche in calce a detta email era presente l’informazione “Ricevi questa e-mail sulla base del cd. Legittimo interesse di iliad a promuovere prodotti e/o servizi analoghi a quelli da te acquistati”.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

L’Ufficio ha contestato le violazioni rilevate con l’atto di avvio del procedimento del 22 febbraio 2024, prot. n. 21680/24, notificato via pec, osservando quanto segue.

Da quanto acquisito in atti è risultato che la Società effettuava trattamenti per finalità di marketing dei propri clienti utilizzando due diverse basi giuridiche (così descritte nell’informativa privacy):

a) il consenso dell’interessato “per l’invio, previo consenso, di comunicazioni di marketing sui prodotti e servizi, attività ed eventi organizzati da o in collaborazione con Iliad Italia (ad esempio, tramite l’invio di materiale pubblicitario, l’esecuzione di ricerche di mercato). Le comunicazioni di marketing possono essere inviate sia tramite strumenti di comunicazione tradizionale quali la posta cartacea o la telefonata da parte di un operatore che tramite strumenti di comunicazione automatizzati quali a titolo esemplificativo: e-mail, SMS, chiamata, sistemi di comunicazione automatizzata interattiva” (cfr. punto L dell'informativa);

b) il legittimo interesse “per inviare, ai sensi dell'articolo 130 commi 3 bis e 4 del Codice Privacy, comunicazioni di marketing tramite e-mail e/o posta cartacea su servizi e/o prodotti analoghi a quelli che Iliad Italia fornisce all'Utente…” (cfr. punto I dell'informativa).

L'Ufficio ha osservato che, con esclusivo riguardo all’invio di email promozionali, se pure tali due eventualità (email di marketing e email di soft spam) erano entrambe descritte nell’informativa privacy, non pareva esservi in concreto alcuna distinzione tra i due trattamenti descritti, dal momento che si tratta sempre di invio di comunicazioni promozionali con canali automatizzati (email), con l’unica differenza che le email inviate sulla base del legittimo interesse sarebbero afferenti a prodotti analoghi a quelli acquistati dai clienti. Ne è derivato che – stante la formulazione generica e ampia dell’informativa descritta al punto a) nonché della formula di richiesta del consenso per il marketing presente nell’area personale(1) – non vi sarebbe alcuna distinzione, di fatto, fra i due trattamenti essendo essi in mero rapporto di genere a specie (la generalità delle comunicazioni promozionali inviate via email e la specialità delle stesse comunicazioni inviate via email per prodotti analoghi). E infatti il reclamante non è stato in grado di distinguere le due circostanze continuando a fare affidamento sul fatto che il titolare avesse recepito i dinieghi già espressi.

Del resto la possibilità di gestire in autonomia i consensi nell’area personale è una misura che consente all’interessato di avere il controllo sui propri dati abilitando, contemporaneamente, il titolare a tenere traccia di tale volontà (come infatti documentato dalla Iliad).

L'Ufficio pertanto ha ritenuto che il diniego manifestato nell’area personale - per la genericità e ampiezza della formulazione - non potesse essere considerato distinto da quello formulato per opporsi al soft spam, né tantomeno che potesse essere aggirato avvalendosi della deroga concessa dall’art. 130, comma 4 del Codice. Si è ricordato infatti che tale disposizione, che costituisce un’eccezione alla regola generale, opera solo al ricorrere di determinati requisiti tra cui la necessità che “l’interessato, adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni”. Il termine temporale dell’avverbio “inizialmente” deve essere interpretato come ricadente in un momento anteriore all’invio delle email, analogamente a quanto previsto per la fase informativa, disciplinata dall’ultimo capoverso dell’art. 130, comma 4: “l’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione … è informato della possibilità di opporsi”. Tale opposizione iniziale, dunque, può benissimo essere espressa dall’interessato anche accedendo alla propria area personale dopo la sottoscrizione del contratto, come difatti ha fatto il sig. XX ritenendo ciò sufficiente.

Nell'atto di avvio del procedimento è stato comunque dato atto che Iliad ha correttamente previsto la possibilità di opporsi in qualsiasi momento comunicando nella nuova informativa privacy il canale email privacy@it.iliad.com; si è però ritenuto che questa misura non consentisse al titolare di ignorare eventuali manifestazioni di volontà che l’interessato avesse comunicato attraverso l’area personale. Ciò anche in ragione della necessità di consentire all’interessato di esercitare agevolmente il diritto di opposizione e di revocare i consensi con la stessa facilità con cui erano stati eventualmente conferiti.

L'Ufficio ha altresì precisato che il particolare trattamento qualificato come “soft spam” è consentito dalla disposizione di carattere speciale di cui all’art. 130, comma 4 del Codice che, pur costituendo nei fatti il riconoscimento ex lege di un legittimo interesse del titolare, dal punto di vista normativo costituisce una mera deroga all’obbligo del consenso. È stato infatti ricordato che l’invio di comunicazioni promozionali tramite strumenti di comunicazione elettronica è disciplinato dall’art. 130 del Codice, in recepimento dell’art. 13 della direttiva 2002/58/CE, che costituisce una lex specialis dove l’unica base giuridica ammessa è il consenso dell’utente salvo alcuni casi, tassativamente descritti, di deroga. Una di queste deroghe è stata recepita nella disposizione di cui all’art. 130, comma 4 del Codice che consente l’invio di comunicazioni promozionali esclusivamente tramite e-mail. In questo caso, il titolare può non richiedere il consenso dell'interessato, se si tratti di servizi analoghi a quelli oggetto della vendita e se l'interessato, adeguatamente informato, non rifiuti tale uso inizialmente o in occasione di successive comunicazioni. Su tale specifico aspetto il Garante si è espresso con il provvedimento dell’11 gennaio 2023 (in www.garanteprivacy.it, doc web 9861941).

Per tali ragioni l'Ufficio ha ritenuto che l’indicazione nell’informativa privacy del legittimo interesse quale base giuridica risultasse scorretta, essendo più appropriato comunicare che il trattamento in questione è effettuato in virtù della deroga concessa dall’art. 130, comma 4, del Codice.

Da ultimo, sono stati formulati alcuni rilievi in sede di contestazione circa la liceità del trattamento per finalità promozionali con invocazione della deroga di cui all’art. 130, comma 4 del Codice.

In particolare, si è avuto riguardo all'email ricevuta dal sig. XX dopo il tentativo di attivazione di un’offerta non portata a buon fine. Come visto sopra, tale email era stata inviata per spingere l’utente a concludere la procedura avviata e acquistare definitivamente l’offerta. Dal disclaimer in calce alla stessa email si evinceva che la Società l’aveva inviata basandosi sul proprio legittimo interesse a “promuovere prodotti e/o servizi analoghi” a quelli acquistati. Tuttavia in questo caso non vi era stata alcuna vendita di prodotti o servizi dal momento che l’interessato aveva fatto unicamente un tentativo non portato a termine(2). Per tali ragioni l’esimente del soft spam non poteva trovare applicazione e, non avendo il sig. XX spuntato la casella del consenso a conclusione della procedura, nessun’altra base giuridica aveva giustificato l’invio di detta email.

Tutto ciò premesso, sono state contestate a Iliad le seguenti violazioni:

1) art. 6, par. 1, lett. a) del Regolamento e art. 130, commi 2 e 4 del Codice in quanto le email inviate al sig. XX senza tenere conto del diniego espresso nell’area personale, se pur afferenti ad un servizio analogo a quello oggetto di vendita, devono considerarsi inviate in assenza di consenso, non essendo stata considerata la volontà in ordine al trattamento anteriormente manifestata dall’interessato. Con riguardo invece all’email inviata dopo il tentativo di attivazione, non si ritiene applicabile la deroga prevista dall’art. 130, comma 4 e, in assenza di uno specifico consenso, non sono invocabili altre basi giuridiche;

2) art. 5, par. 1, lett. a) del Regolamento poiché l'invio di email, basato sulla gestione distinta dei consensi e delle opposizioni, non aveva consentito all’interessato di veder rispettata la volontà già chiaramente manifestata né, soprattutto, di comprenderne le ragioni dal momento che la formulazione della richiesta di consenso, cui volutamente non aveva acconsentito, era evidentemente comprensiva anche dell’eventualità di ricevere email promozionali. Tale formulazione è stata pertanto considerata contraria ai principi di liceità, correttezza e trasparenza;

3) art. 13, par. 1, lett. c) del Regolamento poiché l’informativa resa agli interessati, con riguardo al punto i) delle finalità, è risultata inidonea poiché richiamava la base giuridica del legittimo interesse e perché non chiariva che il cliente ha facoltà di manifestare le proprie volontà in ordine al trattamento anche tramite la propria area personale oltre che utilizzando il canale email indicato.

3. LA DIFESA DELLA SOCIETÀ

Con la memoria del 22 marzo 2024 la Società ha articolato la propria difesa rappresentando quanto segue.

Innanzitutto essa ha ricordato di aver iniziato a fornire i propri servizi sul mercato italiano a partire dal 29 maggio 2018, in concomitanza con la piena vigenza del Regolamento, adottando sin da subito un approccio privacy by design che, richiamando anche il carattere della trasparenza verso il cliente, ne ha caratterizzato il modello di business e l'immagine aziendale. Per tali ragioni, anche l'attività promozionale dell'azienda si è sempre sviluppata utilizzando prevalentemente il canale dei mass media tradizionali evitando ogni attività di marketing diretto che potesse risultare invasivo (come il telemarketing). Essa effettua solo una limitata attività di comunicazione commerciale verso propri clienti veicolata tramite email o sms. In concreto la Società ha effettuato un totale di 13 campagne marketing dall'inizio del 2022 ad oggi con una media di 6 campagne all'anno.

Nel merito, la Società ha ritenuto che l'adozione di due diversi canali, distinti tecnicamente, per gestire le comunicazioni basate sul consenso dalle comunicazioni basate sul soft spam, fosse una misura adeguata a tenere traccia della volontà degli interessati e a garantire ad essi opportuni canali per cambiare idea. Al riguardo ha altresì precisato che gli interessati che vogliano opporsi alla ricezione di messaggi promozionali hanno a disposizione, oltre all’indirizzo email privacy@it.iliad.com, anche il canale telefonico e il link unsubscribe in calce alle email. Ogni opposizione viene tracciata immediatamente all'interno del CRM aziendale interrompendo l'invio di email promozionali (come avvenuto anche per il signor XX). Per tali ragioni, la Società ha ritenuto di non poter condividere l'interpretazione dell'Ufficio circa il rapporto di genere a specie delle email promozionali inviate, rispettivamente, sulla base del consenso e sulla base dell'art. 130, comma 4 del Codice; al riguardo ha osservato altresì che, qualora si osservasse tale interpretazione - che basa la distinzione unicamente sul fatto che vengano promossi o meno servizi analoghi - si avrebbe un vantaggio commerciale anticoncorrenziale a favore delle aziende operanti in più settori merceologici a discapito di quelle mono-settoriali.

La Società ha comunque evidenziato che l'informativa è stata redatta con chiarezza -avvalendosi anche della più avanzata modalità di redazione per icone e simboli grafici - dando notizia agli interessati della possibilità di ricevere email di soft spam, dichiaratamente basate sul legittimo interesse, e della possibilità di ricevere più genericamente comunicazioni promozionali con modalità automatizzate sulla base del consenso.

Con riguardo all'invio dell'email contenente l’invito a riprendere il percorso per ultimare l'acquisto, la Società ha ritenuto che tale tipologia di messaggio non potesse inquadrarsi nelle comunicazioni aventi finalità promozionale ma dovesse piuttosto essere considerata come un'attività di "basket recovery" o "recupero carrello" basata su un presupposto giuridico diverso dal consenso perché finalizzata "a fornire supporto e facilitare la fase di sottoscrizione di SIM via web da parte di potenziali clienti". Al riguardo essa ha precisato che tale circostanza era descritta al punto P) dell'informativa(3) al fine di rendere edotto l'interessato della possibilità di ricevere questo tipo di comunicazioni sulla base del legittimo interesse del titolare. Tale scelta sarebbe stata adottata all'esito di un test di bilanciamento, considerato che tale modalità di interfacciamento con gli utenti è piuttosto usuale nelle vendite on line ed è unicamente volta a ricordare agli utenti che è in corso un processo da loro stessi avviato. Tali comunicazioni sono inviate solo quando l'utente ha quasi concluso il processo di acquisto e sono del tutto generiche.
Con riguardo alla contestata illiceità dell'informativa che menzionava il legittimo interesse in luogo della più appropriata deroga dell'art. 130, comma 4 del Codice, la Società, pur non ritenendo la condotta del tutto scorretta, si è resa disponibile a modificare il testo dell'informativa al fine di precisarne meglio l'ambito come da indicazioni del Garante.

Da ultimo la Società è stata ascoltata in sede di audizione il 14 maggio 2024 dove ha aggiunto di aver esaminato ulteriormente le doglianze di XX e di poterle considerare come prevalentemente frutto di malintesi; essa ha altresì precisato che ogni decisione che comporti il trattamento di dati personali è condivisa sia con l'Ufficio privacy che con il responsabile per la protezione dei dati della Società; infine ha prodotto copia della nuova informativa privacy resa disponibile nel proprio sito internet a partire dal mese di aprile 2024, dalla quale risulta essere stato aggiornato il punto I) relativo al soft spam che ora fa riferimento alla base giuridica dell'art. 130, comma 4 del Codice per l'invio via email o posta cartacea di comunicazioni afferenti a prodotti o servizi analoghi a quelli forniti al cliente.

4. VALUTAZIONI DI ORDINE GIURIDICO

In fase di esercizio del diritto di difesa la Società ha precisato meglio alcuni aspetti del trattamento e, pur non potendo far venire meno i rilievi mossi dall'Ufficio, ha consentito di comprendere meglio la condotta e di qualificare più propriamente le conseguenti responsabilità del titolare.

Richiamando, dunque, sia gli argomenti oggetto di contestazione dell'Ufficio sia le osservazioni difensive della Società, si può concludere quanto segue.

4.1 Invio di comunicazioni promozionali via email e trasparenza

La Società effettua periodiche attività di marketing, utilizzando sia canali tradizionali che automatizzati, previo ottenimento del consenso degli interessati. Oltre a ciò Iliad invia comunicazioni promozionali, esclusivamente via email avvalendosi della deroga al consenso prevista dall'art. 130, comma 4 del Codice. Tali due diverse modalità sottostanno ad altrettante tipologie di registrazioni nei sistemi con l'attivazione di conseguenti procedure, rispettivamente, per la gestione/revoca dei consensi o per l'opposizione. Nel corso del procedimento la Società è stata in grado di documentare le registrazioni fatte e di comprovare che il sistema ha registrato immediatamente l'opposizione del reclamante al soft spam. Nonostante ciò, questi ha subìto un trattamento contrario alla sua volontà di non ricevere contatti promozionali perché - non potendo comprendere il sistema di Iliad sotteso alla gestione dei trattamenti - non ha percepito altro che la ricezione di email indesiderate nonostante la volontà già chiaramente espressa sin dalla sottoscrizione dei contratti. Il signor XX, infatti, non aveva mai rilasciato alcun consenso per finalità promozionali e aveva da subito impostato nella propria area cliente il diniego a ogni trattamento per tali finalità confidando nel fatto che ciò fosse sufficiente ad impedire la ricezione di contatti indesiderati. A giustificare la sua interpretazione dei fatti si aggiunge anche la formulazione della richiesta di consenso presente nell'area personale, che era omnicomprensiva (“Finalità di marketing: desidero ricevere comunicazioni marketing su prodotti e servizi offerti da Iliad tramite mezzi di comunicazione automatizzati e/o tradizionali”), nonché la formulazione presente al punto l) dell'informativa privacy ("Le comunicazioni di marketing possono essere inviate sia tramite strumenti di comunicazione tradizionale quali la posta cartacea o la telefonata da parte di un operatore che tramite strumenti di comunicazione automatizzati quali a titolo esemplificativo: e-mail, SMS, chiamata, sistemi di comunicazione automatizzata interattiva"), esplicitamente riferita anche al canale email e correlata alla base giuridica del consenso. In tale contesto ha poco rilievo il fatto che, nella stessa informativa, venisse menzionata, in una sezione distinta (al punto I), anche l'ipotesi di ricevere email promozionali sulla base dell'art. 130, comma 4 (allora qualificato come legittimo interesse). Ciò in quanto, nonostante gli sforzi fatti da Iliad per semplificare l'informativa, difficilmente un interessato può comprendere a priori la differenza fra un'email genericamente promozionale e una di soft spam e, nella costruzione impostata dalla Società, di fatto non c'è una significativa differenza se non a livello di registrazione nei sistemi del titolare; infatti, stando a quanto un interessato può leggere nell'informativa privacy e nella formula di richiesta di consenso, le email promozionali e le email di soft spam stanno in un rapporto di genere a specie tale per cui la negazione del consenso alla ricezione di generici messaggi promozionali con modalità automatizzate quali sms, email, ecc., di fatto dovrebbe assorbire anche l'opposizione a specifici messaggi di soft spam.

Mettendosi dunque nella prospettiva dell'interessato (che, in quanto parte debole, è quella che occorre valorizzare), la condotta di Iliad ha comportato, nella sostanza, il recapito di comunicazioni indesiderate nonostante l'opposizione che questi riteneva di aver correttamente manifestato. La prospettazione dei fatti dell'interessato è comprensibile visto che aveva risposto "no" alla richiesta di fornire il consenso per marketing con mezzi automatizzati; dal suo punto di vista quel "no" era più che sufficiente, non essendo stato messo in condizione di comprendere la sottile differenza tra le comunicazioni cui si era opposto (TUTTE le email di marketing senza distinzione) e quelle di soft spam.

Un modello così impostato, dunque, comporta che la volontà correttamente espressa dall'interessato di non ricevere comunicazioni promozionali, viene di fatto aggirata veicolandogli comunque email indesiderate.

Spetta dunque al titolare individuare la giusta misura per bilanciare le esigenze del suo business con la necessità di farsi comprendere dall'utente e di rispettarne la volontà. Al riguardo si ricorda che le esigenze dei titolari di semplificare le modalità di raccolta del consenso sono state considerate dal Garante nel provvedimento del 15 maggio 2013(4) ai cui principi e suggerimenti, mutatis mutandis, si rinvia.

Tutto ciò premesso e tenuto conto che la procedura posta in essere ha comportato che le email destinate al reclamante sono state inviate in assenza del suo consenso a riceverle, si conferma la violazione dell'art. 130, comma 2 del Codice e, in ragione del fatto che il modello impostato è contrario ai principi di liceità, correttezza e trasparenza, si ritiene integrata la violazione dell'art. 5, par. 1, lett. a) del Regolamento. Di conseguenza, si ritengono sussistenti i presupposti per l'applicazione di una sanzione amministrativa pecuniaria, ai sensi dell'art. 58, par. 2, lett. i) del Regolamento.

Inoltre, come indicato al punto 2, l'Ufficio ha mosso un rilievo rispetto alla qualificazione, nell'informativa privacy, della base giuridica utilizzata per le attività di soft spam (cfr. punto I dell'informativa datata 7 marzo 2023 prodotta da Iliad con la nota di risposta del 20 settembre 2023). In particolare, nell'atto di avvio del procedimento, è stato osservato che l’art. 130, comma 4 del Codice non può essere considerato analogo al legittimo interesse ma costituisce una mera deroga all’obbligo del consenso. Ciò in quanto, data la disciplina speciale cui soggiace l’invio di comunicazioni promozionali via email, la base giuridica del trattamento va ricercata tra quelle indicate dall’art. 130 del Codice, che recepisce l'art. 13 della direttiva 2002/58/CE, e non tra i presupposti di liceità di cui all'art. 6 del Regolamento.

Per tali ragioni è stata contestata a Iliad tale imprecisione nell’informativa privacy.

Nel corso delle successive interlocuzioni, avendo compreso il rilievo mosso, la Società ha provveduto a correggere il testo dell'informativa indicando correttamente l'art. 130, comma 4 in luogo del legittimo interesse (cfr. informativa prodotta nel corso dell'audizione del 14 maggio 2024). Si osserva tuttavia che in tale passaggio si fa riferimento alla posta cartacea che però non può rientrare tra i mezzi ammessi dal soft spam.

Ricordando che, in conformità a quanto previsto dall'art. 130, commi 3 e 3-bis del Codice, per canali diversi da quelli ricadenti nel perimetro della direttiva 2002/58/CE è sempre possibile avvalersi di una delle basi giuridiche di cui all'art. 6 del Regolamento, anche in questo caso spetta al titolare collocare correttamente nell'informativa il trattamento (in questo caso l'invio di promozioni tramite posta cartacea), qualora intenda avvalersene, facendo eventualmente riferimento alle modalità di semplificazione indicate dal Garante nel citato provvedimento del 15 maggio 2013.

Per tali ragioni si ritiene di dover rivolgere alla Iliad un ammonimento, ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, con riguardo al fatto che, nell'attuale versione dell'informativa privacy, l'invio di posta cartacea per finalità promozionali è impropriamente indicato come un trattamento basato sul presupposto giuridico di cui all'art. 130, comma 4 del Codice. Di conseguenza, ai sensi dell'art. 58, par. 2, lett. d) del Regolamento, si ingiunge a Iliad di correggere l'informativa.

Non si rinvengono invece, relativamente a questo profilo, i presupposti per l'applicazione di una sanzione pecuniaria tenuto conto che in base all'art. 83, par. 2, del Regolamento le sanzioni sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure correttive o in luogo di tali misure, considerato che tali sanzioni sono applicate solo se necessarie, proporzionate e dissuasive. Nel caso di specie, è verosimile ipotizzare che l'attuale formulazione, adottata all'esito delle interlocuzioni con il Garante, sia frutto di un refuso: Iliad infatti ha provveduto a correggere la qualificazione giuridica del soft spam ma non ha contestualmente espunto il riferimento alla posta cartacea che, nella precedente versione, veniva fatto ricadere unitamente al soft spam nel perimetro del legittimo interesse. Le richiamate circostanze, dunque, inducono a qualificare il caso come “violazione minore”, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

4.2 Attività di basket recovery o "recupero carrello"

L'Ufficio ha contestato a Iliad di aver inviato un'email al signor XX per invitarlo a completare il processo di acquisto avviato on line e non concluso. La Società si è giustificata precisando che tale attività non deve essere qualificata come avente finalità promozionale ma rientrerebbe più propriamente tra le attività comunemente note come basket recovery o "recupero carrello" e servirebbe solo a facilitare i potenziali clienti nella fase di acquisto.

Allo stato degli elementi in atti, tuttavia, non risulta possibile escludere la connotazione promozionale della comunicazione inviata per le seguenti ragioni:

a) innanzitutto è la stessa Iliad a qualificare il messaggio come promozionale (facendo intendere di avvalersi del soft spam) poiché in calce all'email è presente il seguente avviso "ricevi questa e-mail sulla base del cd. legittimo interesse di Iliad a promuovere prodotti e/o servizi analoghi a quelli da te acquistati" (giova però ricordare che il signor XX non aveva ancora acquistato nulla ma aveva fatto un mero tentativo);

b) dal tenore della comunicazione, essa pare fortemente orientata a incoraggiare il potenziale cliente a completare l'acquisto, ricordandogli la convenienza dell'offerta, ciò anche in ragione del fatto che, in base all'informativa privacy, tale comunicazione viene reiterata per 3 volte entro 7 giorni dal tentato acquisto.(5)

Se tali premesse potrebbero portare a concludere che la pratica abbia una finalità esclusivamente promozionale, non si può tuttavia ignorare che essa possa avere anche un'utilità per il potenziale cliente. Infatti, nel caso in cui questi abbia dovuto suo malgrado interrompere il processo di acquisto o abbia avuto un successivo ripensamento, per acquistare il servizio dovrebbe avviare una nuova richiesta compilando nuovamente tutti i campi necessari. In tali termini dunque può essere considerata utile la procedura di basket recovery se, come nel caso di specie, contiene un link per recuperare il carrello senza dover reinserire tutti i dati. Però, affinché la pratica sia riconducibile davvero alla sola funzionalità di recupero carrello e non ingeneri il dubbio che essa abbia anche una finalità latamente promozionale, è sufficiente che l'utente riceva una sola comunicazione di questo tipo (e non tre come dichiarato da Iliad nella memoria difensiva e nell'informativa privacy); per la stessa ragione, non è pertinente l'avviso posto in calce all'email riguardante il legittimo interesse alla promozione di servizi analoghi perché una simile dizione rinvia giuridicamente all'istituto del soft spam che non è invocabile nel caso di specie. Diversamente, qualora la Società intendesse affiancare alla funzionalità del recupero carrello anche un'attività di marketing, essa dovrebbe premurarsi di ottenere il consenso dell'interessato e, anche in questo caso, non sarebbe pertinente il richiamo alla promozione di servizi analoghi.

Ne consegue che l'email inviata al sig. XX dopo il tentativo di attivazione ha integrato un trattamento in violazione dell'art. 6, par. 1, lett. a) del Regolamento e dell'art. 130, comma 2 del Codice.

Pertanto, si ritiene di dover rivolgere alla Iliad un ammonimento, ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, con riguardo al fatto che l'invio di molteplici comunicazioni dopo il mancato acquisto on line, con le modalità sopra descritte, riveste anche finalità promozionale (oltre all'utilità connessa al recupero carrello) senza essere assistita dal consenso dell'interessato (in caso di mancata spunta della specifica opzione).

Di conseguenza, ai sensi dell'art. 58, par. 2, lett. d) del Regolamento, si deve ingiungere a Iliad di conformare i trattamenti come segue:

a) nel caso in cui la Società intenda utilizzare la funzionalità di basket recovery senza alcun intento promozionale, deve limitarsi all'invio di una sola email all'utente con il link per il recupero carrello; diversamente, nel caso in cui essa intenda utilizzare tale mezzo anche per effettuare attività di marketing, dovrà attenersi alla volontà manifestata dall'interessato durante il processo di attivazione (spunta della casella di consenso);

b) dovrà modificare di conseguenza sia l'informativa, sia l'avviso presentato in calce alle email con la precisazione che, in ogni caso, tale attività non può rientrare nel perimetro del soft spam.

Non si rinvengono invece i presupposti per l'applicazione di una sanzione pecuniaria tenuto conto che in base all'art. 83, par. 2, del Regolamento le sanzioni sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure correttive o in luogo di tali misure, considerato che tali sanzioni sono applicate solo se necessarie, proporzionate e dissuasive. Anche in questo specifico caso, infatti, come fatto per la qualificazione di servizi analoghi, si deve avere riguardo al carattere di novità che riveste la presente pronuncia rispetto ad un'attività, come quella del recupero carrello, che è prassi molto diffusa nell'e-commerce ma che non era stata ancora esaminata dal Garante. Si deve inoltre ricordare che, nel caso di specie, la condotta è emersa perché il reclamante ha fatto un tentativo di attivazione di nuova utenza, non avendo intenzione di portarlo a termine, appositamente per far emergere le modalità operative di Iliad, senza dunque che potesse a lui derivare alcun danno; tenuto anche conto del fatto che la Società aveva comunque adottato misure tecniche e organizzative volte a contenere il disturbo per gli interessati, in un contesto che, come detto, non si connota unicamente per la finalità promozionale, si può ricondurre anche questo caso a una violazione minore, ai sensi dell’art. 83, par. 2, e del considerando 148 del Regolamento.

ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

In base a quanto sopra rappresentato, risultano violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da Iliad, per cui occorre applicare l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave con conseguenziale applicazione della sola sanzione prevista dall’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

In adempimento di tale previsione, ipotizzato, sulla base delle informazioni rinvenibili nell'ultimo bilancio (registrato al 31 dicembre 2022), il ricorrere della seconda ipotesi prevista dal citato art. 83, par. 5 e quantificato quindi in 40.556.271 euro il massimo edittale applicabile, devono essere considerate le seguenti circostanze:

a) quale aggravante, il numero di interessati coinvolti dal trattamento poiché le violazioni rilevate, pur emerse dall'esame di un caso singolo, hanno portata generale dal momento che le misure scelte dalla Iliad riguardano tutti i suoi clienti (art. 83, par. 2, lett. a), del Regolamento);

b) quali elementi attenuanti, si ritiene di poter tener conto:

1) del fatto che la condotta non pare essere stata idonea ad arrecare danno all'interessato, che ha ricevuto solo alcune email promozionali subito interrotte dopo la sua opposizione; si tiene inoltre in conto che Iliad effettua una contenuta attività promozionale, rivolta solo ai propri clienti che, a quanto è riportato nel reclamo avrebbe preso avvio ad aprile 2023 (lo stesso reclamante ha affermato che "prima di tale data la società Iliad non era mai venuta meno al rispetto dei consensi privacy" aggiungendo in corso di istruttoria: "a dispetto delle ragioni di questo contendere, riconosco ad Iliad di aver sempre marciato nella giusta direzione (almeno finora), sposando presupposti etici di notevole caratura verso i quali è sempre stata leale e coerente, qualità che non sono passate inosservate e che hanno contribuito a farla amare da tanti, me compreso. Il mio augurio, qualunque sarà la decisione dell'Autorità, è che questa Azienda possa riflettere sul mio disappunto quel tanto che basta per capire se è veramente questa la nuova impostazione commerciale che si vuole adottare" (art. 83, par. 2, lett. a), del Regolamento);

2) del grado di responsabilità del titolare, tenuto conto che la Società aveva comunque adottato misure tecniche e organizzative con l'intenzione di garantire il rispetto dei diritti degli interessati, e si è resa disponibile a considerare ogni eventuale miglioria che il Garante intenda suggerire; essa è stata inoltre in grado di documentare tutti i trattamenti fatti e ha già apportato alcune modifiche all'informativa privacy (art. 83, par. 2, lett. d), del Regolamento);

3) del grado di cooperazione con l'Autorità di controllo (art. 83, par. 2, lett. f), del Regolamento);

4) delle categorie di dati interessati dalla violazione, che ha riguardato unicamente dati comuni come i dati anagrafici e l'indirizzo email (art. 83, par. 2, lett. g), del Regolamento);

5) delle perdite economiche registrate a bilancio (art. 83, par. 2, lett. k), del Regolamento).

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative e funzionali della Società, si ritiene debba applicarsi a Iliad la sanzione amministrativa del pagamento di una somma di euro 50.000,00 (cinquantamila/00) pari allo 0,12% della sanzione massima edittale.

In tale quadro si ritiene, altresì, che, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16, comma 1, del regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente capo contenente l'ordinanza ingiunzione sul sito Internet del Garante. Tale misura si ritiene ragionevole e dissuasiva, unitamente alla quantificazione della sanzione pecuniaria, in ragione della portata potenzialmente ampia del trattamento.

Si rileva che ricorrono i presupposti di cui all’art. 17 del Regolamento del Garante n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione effettuato dalla Iliad Italia S.p.A., con sede in viale Francesco Restelli 1/A, Milano, P.IVA n. 13970161009; di conseguenza:

a) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, rivolge a Iliad un ammonimento con riguardo al fatto che, nell'attuale versione dell'informativa privacy, l'invio di posta cartacea per finalità promozionali è impropriamente indicato come un trattamento basato sul presupposto giuridico di cui all'art. 130, comma 4 del Codice (come descritto al punto 4.1 della motivazione);

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, rivolge a Iliad un ammonimento con riguardo al fatto che l'invio di molteplici comunicazioni dopo il mancato acquisto on line, con le modalità descritte al punto 4.3 della motivazione, riveste anche finalità promozionale (oltre all'utilità connessa al recupero carrello) senza essere assistita dal consenso dell'interessato (in caso di mancata spunta della specifica opzione);

c) ai sensi dell'art. 58, par. 2, lett. d) del Regolamento, ingiunge a Iliad di correggere l'informativa specificando la base giuridica su cui si fonda l'invio di comunicazioni promozionali tramite posta cartacea, qualora essa intenda avvalersi di tale canale di comunicazione;

d) ai sensi dell'art. 58, par. 2, lett. d) del Regolamento, con riguardo all'attività di recupero carrello, ingiunge a Iliad di conformare i trattamenti come segue: I) nel caso in cui la Società intenda utilizzare la funzionalità di basket recovery senza alcun intento promozionale, deve limitarsi all'invio di una sola email all'utente con il link per il recupero carrello; diversamente, nel caso in cui essa intenda utilizzare tale mezzo anche per effettuare attività di marketing, dovrà attenersi alla volontà manifestata dall'interessato durante il processo di attivazione (spunta della casella di consenso); II) dovrà modificare di conseguenza sia l'informativa, sia l'avviso presentato in calce alle email con la precisazione che, in ogni caso, tale attività non può rientrare nel perimetro del soft spam;

e) ai sensi dell’art. 157 del Codice, ingiunge a Iliad di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte e indicate ai precedenti punti d) e e); l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla Iliad Italia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 50.000,00 (cinquantamila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate al punto 4.1 della motivazione in relazione all'invio di comunicazioni promozionali via email; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 50.000,00 (cinquantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

f)ai sensi dell’art. 154-bis, comma 3 del Codice, la pubblicazione del presente provvedimento sul sito web del Garante (cfr. anche art. 37 del regolamento del Garante n. 1/2019);

g) ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione dell'ordinanza ingiunzione sul sito web del Garante, a titolo di sanzione accessoria;

h) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 17 luglio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei

__________

1) Le schermate inviate dal reclamante mostrano la seguente formula: “Finalità di marketing: desidero ricevere comunicazioni marketing su prodotti e servizi offerti da Iliad tramite mezzi di comunicazione automatizzati e/o tradizionali”.

2) Al riguardo si richiama una recente pronuncia della Corte di Cassazione che ha chiarito come il concetto di “vendita” debba essere interpretato in senso restrittivo potendo applicarsi la deroga del soft spam solo ai casi in cui tra il titolare e l’interessato sia già stato concluso un contratto a titolo oneroso, non rilevando a tal fine il mero tentativo fatto dall’utente (cfr. Cass. II sez. civile, sentenza del 15 marzo 2023, n. 7555).

3) Si riporta il testo del punto P) dell'informativa vigente al 14 luglio 2023, allegata da Iliad alla memoria difensiva: "per inviare comunicazioni di promemoria tramite e-mail, anche per conto di società che offrono nell’interesse degli Utenti servizi di credito al consumo per l’acquisto dei Prodotti, in merito al processo di acquisto di Prodotti e/o Servizi sul sito internet di Iliad avviati e non conclusi dagli Utenti medesimi, fermo restando che, in qualsiasi momento, l'Utente ha la possibilità di opporsi alla ricezione di tali comunicazioni tramite le modalità di cui alla Sezione 8 di seguito. Iliad invierà agli Utenti non più di 3 comunicazioni di promemoria via e-mail – in caso di mancato completamento dell’ordine di acquisto a seguito del primo invio – a distanza di 24 ore ciascuna ed entro e non oltre i 7 giorni successivi alla data di avvio del processo di acquisto da parte dell’Utente (“Finalità di Basket Recovery”)".

4) Cfr. provvedimento relativo al Consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto - 15 maggio 2013 - Pubblicato sulla Gazzetta Ufficiale n. 174 del 26 luglio 2013 - disponibile in www.garanteprivacy.it, doc web n. 2543820.

5) Al punto P) dell'informativa viene indicato che Iliad si baserà sul legittimo interesse "per inviare comunicazioni di promemoria tramite e-mail...in merito al processo di acquisto di prodotti e/o servizi sul sito internet di Iliad avviati e non conclusi dagli Utenti medesimi, fermo restando che, in qualsiasi momento, l'Utente ha la possibilità di opporsi alla ricezione di tali comunicazioni...Iliad invierà agli Utenti non più di 3 comunicazioni di promemoria via e-mail - in caso di mancato completamento dell'ordine di acquisto a seguito del primo invio - a distanza di 24 ore ciascuna ed entro e non oltre i 7 giorni successivi alla data di avvio del processo di acquisto da parte dell'Utente".