[doc. web n. 9025666]

Ordinanza ingiunzione nei confronti di Telefonika s.r.l.s - 9 maggio 2018

Registro dei provvedimenti
n. 280 del 9 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che, a fronte di diverse segnalazioni pervenute all’Autorità, con cui veniva lamentata la ricezione di numerose telefonate di carattere promozionale, l’Ufficio avviava un’attività istruttoria all’esito della quale accertava che l’utenza telefonica utilizzata per l’effettuazione delle chiamate promozionali indesiderate era attribuita alla società Telefonika s.r.l.s., ora in liquidazione, già con sede in Roma, via della Moletta n. 36, e attualmente con sede in Giugliano in Campania (NA), via G. Marconi n. 31, P.I. 12311961002;  

CONSIDERATO che l’Ufficio, con l’ausilio del Nucleo privacy della Guardia di finanza, ha svolto, in data 17, 18 e 19 dicembre 2014, un accertamento ispettivo ai sensi dell’art. 157 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”), presso la sede operativa della società, sita a Napoli, in via Fiorentini n. 21, dal quale è risultato che:

- la società Telefonika s.r.l.s. (di seguito “la società”) svolge attività di telemarketing in outbound per conto di Vodafone, con la quale “non ha posto in essere alcun rapporto contrattuale diretto (…)”, ma sulla base di contratti di mandato stipulati con tre distinte società. La società ha, a sua volta, dato mandato per l’effettuazione delle chiamate promozionali ad altre società, le quali utilizzano la sua piattaforma informatica e la stessa numerazione in uscita;

 - la società, per l’espletamento dell’attività di telemarketing, utilizza liste di dati fornite dalla società XX s.r.l. la quale “ogni 15 giorni, fornisce una pen-drive custodita in busta protetta, ove è caricata la lista delle utenze, composta da almeno 100.000 numerazioni da contattare”;

- con riguardo agli obblighi di rendere l’informativa e di acquisire il consenso degli interessati, la società ha dichiarato che nel contratto stipulato con la XX s.r.l. è stabilito che “la XX s.r.l. resta titolare del trattamento dei dati personali in riferimento alle liste di contatti forniti, garantendo di aver preventivamente acquisito il consenso al trattamento degli stessi e la non iscrizione nel c.d. Registro delle opposizioni (…)”;

- nel corso dell’accertamento ispettivo, è stato verificato che le credenziali utilizzate per l’accesso alla piattaforma informatica erano costituite da user-id e password, quest’ultima composta da meno di 7 caratteri, in dispregio alla regola n. 5 del Disciplinare tecnico, di cui all’allegato B) del Codice;

PRESO ATTO della documentazione inviata dalla società in data 30 dicembre 2014, a scioglimento delle riserve formulate nel corso dell’accertamento ispettivo;

VISTO il verbale n. 9/2015 del 26 gennaio 2015, che qui integralmente si richiama, con cui sono state contestate alla società Telefonika s.r.l.s., ora in liquidazione, nella persona del legale rappresentante pro-tempore, le violazioni amministrative previste dagli artt. 161 e 162, comma 2-bis, del Codice, in relazione agli artt. 13 e 130, comma 3, del medesimo Codice per aver effettuato un trattamento di dati personali finalizzato al telemarketing in assenza dell’informativa e del consenso, nonché la violazione amministrativa prevista dall’art. 162. comma 2-bis, in relazione all’art. 33 del Codice, per non aver adottato le misure minime di sicurezza, per la quale non è prevista la definizione in via breve ai sensi dell’art. 16 della legge n. 689/1981; 

RILEVATO che dal rapporto predisposto dall’Ufficio ai sensi dell’art. 17 della legge 24 novembre 1981 n. 689 non risulta che siano stati effettuati i pagamenti in misura ridotta in relazione alle violazioni degli artt. 13 e 130 del Codice;

VISTI gli scritti difensivi, inviati in data 24 febbraio 2015 ai sensi dell’art. 18 della legge n. 689/1981, con cui la società ha rilevato che “in considerazione di quanto previsto dal contratto sottoscritto tra la Telefonika s.r.l. e la XX s.r.l., le modalità di cui all’art. 13 del Codice – informativa – sono tutte attività preliminarmente svolte dalla società XX che fornisce poi l’elenco di chi ha prestato il consenso alla Telefonika per svolgere la propria attività commerciale”. Pertanto, gli operatori della Telefonika contattano unicamente quegli utenti che, in base alle liste fornite da XX e aggiornate ogni 15 giorni, hanno prestato il loro consenso alla ricezione delle chiamate promozionali e sono stati già previamente informati di tale attività. Inoltre,  “ogni qualvolta un utente chiede di non essere più contattato viene inserito in una black list dello stesso database (…). (…) se, invece, dichiara di non essere interessato all’offerta viene richiamato (…)”. Per quanto concerne la violazione dell’art. 33 del Codice, in relazione all’impostazione di una password con meno di 8 caratteri, la parte ha osservato come il controllo eseguito dalla Guardia di finanza abbia interessato una sola postazione, mentre si sarebbe potuto verificare come per ogni altra postazione la password inserita rispettava i requisiti richiesti dalla normativa. In ogni caso, la parte ha dichiarato di aver immediatamente predisposto le misure necessarie a garantire che la password di accesso al sistema informativo fosse composta da 8 caratteri alfanumerici e modificata ogni 30 giorni;

CONSIDERATO che le argomentazioni addotte non permettono di escludere la responsabilità della parte in relazione a quanto contestato. Con riferimento all’attività di telemarketing, rispetto alla quale sono state contestate alla società le violazioni degli artt. 13 e 130 del Codice, si osserva che, a prescindere di quanto stabilito nel contratto stipulato con la società XX s.r.l., la società Telefonika deve essere individuata quale titolare del trattamento, ai sensi degli artt. 4 e 28 del medesimo Codice. Sulla base della documentazione agli atti, risulta che la parte acquisisce le liste di dati da contattare dalla società XX s.r.l. e, successivamente, li utilizza secondo modalità e per finalità che decide autonomamente. In particolare, le finalità del trattamento sono quelle legate all’effettuazione di chiamate promozionali svolte per conto di società terze (quale Vodafone, TeleTu e H3G in base a contratti di agenzia stipulati, come risulta dalle dichiarazioni rese nel corso degli accertamenti); le modalità, invece, attengono all’utilizzo di una piattaforma informatica che Telefonika mette a disposizione anche di altri soggetti per svolgere l’attività di telemarketing per suo conto. Ciò posto, a prescindere della circostanza che l’informativa sia stata resa agli interessati da XX s.r.l. (di cui non è stata fornita alcuna prova e, comunque, non oggetto di verifica) si osserva che la parte, una volta acquisiti i dati, ha l’obbligo di rendere essa stessa una informativa idonea e utile a informare gli interessati circa la titolarità, le finalità e le modalità del trattamento, nonché i diritti di cui all’art. 7 del Codice, come richiesto dall’art. 13, comma 4, in base al quale “se i dati personali non sono raccolti presso l’interessato, l’informativa (…) è data al medesimo interessato all’atto della registrazione dei dati, o quando è prevista la loro comunicazione, non oltre la prima comunicazione”. Inoltre, dal verbale di contestazione risulta che “la mancanza di un’informativa corretta e comprensiva dei diritti di cui all’art. 7 rende disagevole l’esercizio di tali diritti da parte dei contattati per evitare di essere nuovamente richiamati dagli operatori stessi e per un eventuale diniego del consenso al trattamento dei dati personali”. La violazione dell’art. 130 del Codice, in particolare, attiene alla situazione rappresentata in atti, in base alla quale diversi segnalanti hanno lamentato che la ricezione delle chiamate promozionali indesiderate (riconducibili all’attività di Telefonika) è avvenuta senza aver manifestato alcun consenso e, in alcuni casi, nonostante l’iscrizione delle rispettive utenze nel cd. Registro delle opposizioni. Considerato che Telefonika, come sopra detto, si configura quale autonomo titolare del trattamento, è necessario che, per l’espletamento della propria attività, verifichi che effettivamente le liste dei dati forniti da XX s.r.l. siano consensate e, una volta eseguite le chiamate promozionali, che registri la volontà degli interessati a non essere ricontatti, con particolare riferimento a quegli utenti che non hanno manifestato interesse all’offerta promozionale, rispetto ai quali la società ha dichiarato di non registrare il dissenso manifestato.

Per quanto riguarda, invece, la violazione dell’art. 33 del Codice, il controllo eseguito dal Nucleo privacy della Guardia di finanza ha evidenziato come l’accesso alla piattaforma informatica utilizzata per l’attività di telemarketing avvenga mediante l’inserimento di una password composta da soli 7 caratteri, a fronte degli 8 richiesti dal Disciplinare tecnico in materia di misure minime di sicurezza, di cui all’Allegato b) del Codice. Risulta irrilevante quanto argomentato dalla parte circa il fatto che le altre postazioni fossero dotate di sistemi di autenticazione conformi alle disposizioni del Codice, dal momento che quanto verificato viola le misure minime di sicurezza;

RILEVATO, pertanto, che Telefonika s.r.l.s. in liquidazione, in qualità di titolare del trattamento ai sensi degli artt. 4 e 28 del Codice, ha effettuato un trattamento di dati personali per finalità di telemarketing, omettendo di rendere l’informativa e di acquisire il consenso, in violazione degli artt. 13 e 130 del medesimo Codice;

RILEVATO, inoltre, che Telefonika s.r.l.s. in liquidazione ha omesso di adottare le misure minime di sicurezza, avendo impostato una password costituita da meno di 8 caratteri, in violazione dell’art. 33 del Codice;

VISTO l’art. 161 del Codice, che punisce la violazione dell’art. 13 del medesimo Codice con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 167 del Codice, tra le quali quella di cui all’art. 130 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l’art. 162, comma 2-bis, del Codice che punisce la violazione delle disposizioni indicate nell’art. 33 del Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

RILEVATO che sussistono i presupposti per l’applicazione dell’aggravante della sanzione di cui all’art. 164-bis, comma 3, del Codice, rispetto alle violazioni degli artt. 13 e 130 del Codice, in considerazione della circostanza che la violazione coinvolge numerosi interessati, come risulta dalle numerose segnalazioni pervenute all’Autorità;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della legge n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 12.000,00 (dodicimila) per la violazione di cui all’art. 161, e di euro 20.000,00 (ventimila) per la violazione di cui all’art. 162, comma 2-bis, in relazione all’art. 130, entrambe applicate in combinato disposto con l’art. 164-bis, comma 3, e di euro 10.000,00 (diecimila) per la violazione di cui all’art. 162, comma 2-bis, in relazione all’art. 33, per un ammontare complessivo pari a euro 42.000,00 (quarantaduemila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

ORDINA

a Telefonika s.r.l.s. in liquidazione, con sede in Giugliano in Campania (NA), via G. Marconi n. 31, P.I. 12311961002, nella persona del legale rappresentante pro-tempore, di pagare la somma di euro 42.000,00 (quarantaduemila) a titolo di sanzione amministrativa pecuniaria per le violazioni previste dagli artt. 161 e 162, comma 2-bis, (applicate in combinato disposto con l’art. 164-bis, comma 3, in relazione agli artt. 13 e 130 del Codice), e 162, comma 2-bis (in relazione all’art. 33 del Codice), come indicato in motivazione;

INGIUNGE

alla medesima società di pagare la somma di euro 42.000,00 (quarantaduemila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689. 

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 9 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia