g-docweb-display Portlet

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 15 gennaio 2020 [9256486]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: comunicato del 1° febbraio 2020

 

[doc. web n.  9256486]

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 15 gennaio 2020

Registro dei provvedimenti
n. 7 del 15 gennaio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i numerosi reclami e segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di dati personali effettuati da parte di TIM S.p.A. (di seguito indicata anche come: “TIM” o “la Società”);

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1.  L’ATTIVITÀ ISTRUTTORIA SVOLTA

Sono pervenute all’Autorità, dal 1° gennaio 2017 ai primi mesi del 2019, numerosissime segnalazioni e reclami (nell’ordine di alcune centinaia secondo una dinamica costantemente confermatasi prima e anche dopo il predetto intervallo temporale), riguardanti trattamenti di dati aventi ad oggetto la ricezione di chiamate promozionali indesiderate, nell’interesse TIM S.p.A. (di seguito anche “la Società”), effettuate in assenza di consenso degli interessati; oppure nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero anche dopo l’esercizio del diritto di opposizione nei confronti della Società; o ancora nell’ambito di procedure finalizzate alla soluzione di guasti tecnici inerenti ai servizi di telefonia erogati agli altri interessati da altre compagnie telefoniche.

Ulteriori doglianze hanno inoltre evidenziato il mancato riscontro alle istanze formulate dagli interessati con riguardo ai diritti sanciti dalla normativa in materia di protezione dei dati personali, e in particolare a quelli di accesso ai propri dati e di opposizione al trattamento per finalità promozionali, nonché la richiesta di un consenso, da rilasciare obbligatoriamente per il trattamento a fini di marketing, in sede di attivazione del programma “TIM Party” nell’ambito del sito web della Società e la raccolta di un consenso unico e indistinto al trattamento dei dati per svariate finalità - anche ulteriori all’esecuzione del contratto - nell’ambito della modulistica predisposta per l’autocertificazione di possesso di linea prepagata.

TIM ha poi trasmesso, nel periodo considerato, diverse notifiche relative a violazioni di dati personali (c.d. “data breach”) che, in particolare, hanno evidenziato alcuni disallineamenti fra i sistemi che trattano i dati personali della clientela tali da provocare, ad esempio, l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e i dati di contatto utilizzati dalla Società.

Muovendo da tali elementi, questo Ufficio ha svolto, ai sensi dell’art. 10 del Regolamento del Garante n. 1/2019 (in www.garanteprivacy.it, doc. web n. 9107633), una complessa attività istruttoria, formalizzata attraverso richieste di informazioni rivolte alla Società, accertamenti ispettivi condotti presso la stessa, a partire dal mese di novembre 2018 fino al mese di febbraio 2019.

Ulteriori attività ispettive sono state inoltre svolte, anche mediante il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, fra il marzo e il giugno 2019, presso talune società affidatarie dell’attività promozionale della Società stessa (c.d. “partner”), quali XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l..

All’esito di tali attività, in data 25 luglio 2019, si è proceduto a comunicare alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, contenente l’invito a far pervenire eventuali osservazioni entro 30 giorni dal ricevimento della stessa, concedendo alla Società, su richiesta della medesima, una proroga al 10 ottobre 2019 per fornire riscontro.

Nell’ambito dell’attività istruttoria, è stata accolta la richiesta di TIM ad accedere, a fini difensivi, alla documentazione istruttoria, inclusa quella relativa agli accertamenti effettuati presso i partner della medesima (v. determinazione dirigenziale del 12 settembre 2019). Si è poi proceduto all’esame della memoria difensiva di TIM datata 10 ottobre 2019, del verbale dell’audizione del 5 novembre 2019, nonché degli ulteriori atti difensivi integrativi del 12 novembre 2019, sia pur tardivamente prodotti (oltre il termine del 10 ottobre 2019).

Tutta la documentazione fornita da TIM si intende integralmente richiamata e considerata – per una compiuta rappresentazione delle fattispecie, nonché a beneficio del diritto di difesa della Società – nelle valutazioni contenute nel presente provvedimento.

2. ESITI DELL’ISTRUTTORIA

Al termine dell’attività ispettiva e dall’esame della documentazione prodotta dalla Società, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei dati personali richiamate a seguire e illustrate in dettaglio nei successivi paragrafi. Nello specifico:

- contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect” (ossia a soggetti non clienti), in assenza del consenso degli interessati; numerazioni contattate fino a 155 volte in un mese; assenza di controllo da parte della Società sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali (cfr. par. 2.1.);

- errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black list)”; mancato aggiornamento delle black list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari; incongruenze, non sufficientemente chiarite, dei dati presenti nelle black list di TIM rispetto a quelli delle black list dei suoi partner; utenze inserite nelle black list molti giorni dopo l’espressione del diniego al marketing; utenze presenti nelle black list dei partner ma non inserite in quelle della Società (cfr. par. 2.1);

- telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica; telefonate commerciali verso numerazioni “fuori lista” per le quali il provvedimento dell’Autorità del 22 giugno 2016 (in www.gpdp.it. doc. web n. 5255159) aveva vietato alla stessa TIM il trattamento per finalità di marketing (cfr. par. 2.2);

- contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati ovvero effettuati nel quadro di contatti di servizio o ancora senza dare tempestivo riscontro agli interessati o recepire nei propri sistemi l’avvenuto esercizio del diritto di opposizione (cfr. par. 2.3);

- casi di conservazione, nel CRM (Customer Relationship Management),  della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni); casi di utilizzo abusivo di dette numerazioni per finalità promozionali (cfr. par. 2.4);

- acquisizione del consenso promozionale nell'ambito del programma “TIM Party” con modalità che non ne assicurano la libera manifestazione (cfr. par. 2.5);

- rispetto ad alcune App destinate alla clientela, il rilascio agli interessati di indicazioni non corrette, né trasparenti sul trattamento dei dati, nonché modalità di acquisizione del consenso non conformi alla disciplina vigente (cfr. par. 2.6);

- utilizzo di modulistica cartacea di raccolta di dati personali con richiesta di un unico consenso per diverse finalità (cfr. par. 2.7);

- gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati; inadeguata gestione della Società dei sistemi che trattano dati personali, in violazione, in particolare, dei principi di esattezza dei dati, nonché di riservatezza e integrità dei sistemi (cfr. par. 2.8).

2.1. Le campagne promozionali rivolte a soggetti c.d. “prospect”, la gestione delle black list e dei dinieghi espressi dagli interessati nel corso di un contatto commerciale

Per quanto concerne le campagne di telemarketing per offerte di telefonia fissa e di telefonia mobile effettuate dalla Società nel periodo luglio 2018-febbraio 2019, rivolte a clienti (registrati nel Customer Base TIM) e non clienti (i c.d. prospect), TIM ha dichiarato che l’elenco acquisito dall’Ufficio in sede ispettiva “contiene gli identificativi delle 650 campagne realizzate, con associate per ciascuna di esse la data di validazione e la quantità delle numerazioni” per un totale di 50 milioni di numerazioni presenti nelle liste di TIM (cfr. p. 9, riscontro 8/3/2019).

Di tali 650 campagne, effettuate nel suddetto limitato periodo, 484 sono state rivolte a clienti coinvolgendo 15 milioni di numerazioni, mentre le restanti 166, secondo quanto prospettato da TIM, sono state rivolte a 13 milioni di prospect raggiungendo circa 5,2 milioni di numerazioni, poiché “le campagne Prospect” avrebbero “una soglia di 'raggiungibilità media' nell’ordine del 40% circa” (memoria 10/10/2019). Con specifico riferimento alle campagne commerciali indirizzate nei confronti dei menzionati prospect, da un confronto fra le liste di c.d. contattabilità (cioè le liste di numeri contattabili per fini promozionali predisposte e fornite ai partner da TIM), e quelle associate alle chiamate in uscita registrate sui sistemi automatizzati di chiamata di alcuni call center oggetto di attività ispettiva (in particolare: XX, con riferimento alle telefonate effettuate per conto di TIM nei mesi di novembre-dicembre 2018 e gennaio 2019 e XX relativamente agli “IDLista” forniti nel corso delle attività ispettive del 14 maggio 2019), sono state riscontrate le seguenti anomalie:

- le chiamate effettuate dai citati call center sono risultate associate a liste di contattabilità di TIM, che non figurano fra le liste fornite dalla Società all’Ufficio; al riguardo, TIM ha dichiarato che “allo stato” poteva “esclusivamente supporre che le discrepanze contestate [fossero] essenzialmente dovute: all’utilizzo di criteri di codifica dei flussi di dati distinti da parte dei Partner, che generano nomenclature diverse; [al] confronto effettuato su liste parziali nella disponibilità dei Partner; (al) confronto rispetto a codici campagna diversi in quanto le liste fornite da TIM riportano la codifica dell’ID Lista Marketing, mentre quelle fornite dai Partner ID Lista Sales” (memoria 10/10/2019, cit.).

In proposito, si rileva quindi che TIM - in quanto committente dei trattamenti in questione - dimostra di non avere contezza sufficiente dei criteri di codifica dei flussi utilizzati dai partner ovvero delle modalità di denominazione delle liste di contattabilità, anche al fine di un proprio miglior controllo;

- un medesimo numero di telefono, nell'arco di un mese, è stato contattato fino a 155 volte ed è risultato censito in diverse liste di contattabilità, in contrasto con le stesse policy dichiarate da TIM, secondo cui: “le regole di richiamata impartite ai partner prevedono che ogni numerazione in lista possa essere oggetto di un contatto utile al mese, intendendo per contatto utile una telefonata con risposta con esito OK (adesione alla proposta contrattuale), KO (mancata adesione), diniego (opposizione al trattamento). Per tale motivo, un numero raggiunto da un contatto utile non viene più richiamato nell’ambito di una stessa campagna” (v. verbale 5/2/2019, p. 4);

- sono risultati presenti nel campo “esito” delle chiamate promozionali (effettuate dal partner XX) diciture non riconosciute dalla Società, secondo la quale le stesse rientrerebbero esclusivamente nell’autonomia imprenditoriale del partner medesimo (es. “Diniego Clienti CB TI NON CONSENSATI”; “Recupero Consenso su ex-TIM ed ex TI (OK)”; v. memoria 10/10/2019).

Con specifico riferimento a XX, la Società, oltre ad ammettere le telefonate fuori dalle liste di contattabilità (cfr. infra par. 2.1), ha ammesso anche le gravi difformità operative della frequenza dei contatti promozionali effettuati da tale partner rispetto a quanto astrattamente stabilito nelle proprie policy (la “condotta risulta apertamente in spregio delle regole di produzione delle liste di contattabilità di TIM per l’esecuzione di campagne commerciali”), negando la propria responsabilità, in ragione di una propria presunta estraneità alle modalità operative di XX (v. memorie 10/10/19 e 12/11/19 cit.).

Così però TIM - trascurando il proprio fondamentale ruolo di committente - ha dimostrato di non avere la necessaria consapevolezza in ordine a tale condotta, né di aver adeguatamente vigilato sull’operato del partner.

La Società ha rappresentato che, per escludere dalle liste di contattabilità numerazioni appartenenti a interessati non clienti (c.d. “prospect”) che abbiano manifestato la volontà di non ricevere comunicazioni promozionali, utilizza due diverse black list:

1. una prima (“black list marketing”), alimentata manualmente e caricata sul sistema di campaign management sulla base dell’opposizione al trattamento per scopi promozionali inviate dagli interessati al Customer Care aziendale; comprende un totale di 2.272.226 numerazioni, di cui, però, ben 2.232.935 inserite dalla Società a seguito del divieto di trattamento dei dati a fini promozionali impartito dal Garante con il provvedimento del 22 giugno 2016 (doc. web n. 5255159) e solo 39.291, quindi, riferibili ad interessati la cui opposizione al trattamento è stata registrata dalla Società;

2. una seconda (“black list dinieghi”), alimentata automaticamente sul sistema di campaign management, costituita dagli esiti di diniego (cioè le “opposizioni al trattamento per finalità di marketing”) espressi dai c.d. prospect nel corso delle telefonate commerciali effettuate dai partner; comprende 6.215 numerazioni.

In totale quindi, gli interessati che, complessivamente, risultano aver manifestato la volontà di non ricevere comunicazioni promozionali di TIM e che questa ha provveduto a registrare sono 45.506.

Tale dato quantitativo – peraltro relativamente esiguo soprattutto considerato il primario ruolo di TIM nel mercato nazionale degli operatori telefonici – è risultato non allineato con la ben maggiore consistenza delle complessive liste di esclusione utilizzate dai partner commerciali di TIM (ad esempio, la black list acquisita da XX S.r.l. è risultata composta da circa 260.000 numerazioni).

La Società, al 10 ottobre 2019, con riguardo alle perplessità espresse dal Garante con la comunicazione di avvio del procedimento del 25 luglio scorso, pur fornendo alcuni elementi di chiarimento, si è dichiarata “non pienamente in grado di chiarire le ragioni della discrepanza riscontrata dall’Autorità fra le proprie black list e le analoghe black list utilizzate dai Partner” Ciò, in quanto “le black list detenute dai Partner” non rientrerebbero, a dire di TIM, “nell’alveo del processo di gestione dinieghi definito da TIM” e “tutti i dinieghi ricevuti dai Partner, quando operano per conto di TIM, devono necessariamente essere inseriti in Thin Client, unico sistema aziendale deputato alla gestione dei dinieghi espressi dai soggetti contattati dal Partner.”

Inoltre, dal confronto fra le predette black list della Società e gli esiti caricati dai partner nei sistemi della Società e indicati come “diniego” relativi a campagne svolte dalla Società stessa nel periodo sopra individuato, nonché le black list dei partner, pur considerata necessariamente la possibile diversa composizione di tali liste – è emerso che (all. 6 al riscontro 8/3/2019):

a) sono 3.442 i contatti commerciali con esito “diniego” registrati dai partner in occasione delle menzionate campagne prospect;

b) dei suindicati 3.442 contatti, solo 1.026 sono riportati nella black list dinieghi di TIM, mentre i restanti 2.415 non sono presenti in tale lista, che dovrebbe essere proprio “costituita dagli esiti di diniego (cioè le ‘opposizioni al trattamento per fini di marketing’) espressi da prospect nel corso delle telefonate commerciali effettuate dai partner” (cfr. p. 8, riscontro 20.2.2019).

TIM, senza fornire idonei elementi di prova, ha dichiarato che tali 2.415 dinieghi non sono stati riportati nelle sue black list in quanto sono stati censiti nei sistemi di CRM della Società (che registra l’esistenza o meno del consenso dei clienti) proprio perché riferibili a numerazioni di clienti, ad eccezione di 5 numerazioni, che sono state scartate in fase di caricamento.

In ogni caso, pur tenendo conto delle molte eccezioni rappresentate dalla Società, occorre notare che alcune numerazioni, riferite sia a clienti TIM di rete fissa o mobile sia a prospect, sono state inserite nelle liste di contattabilità molti giorni dopo l’espressione del diniego (ovvero oltre 300 giorni dopo per alcuni prospect; oltre 200 giorni dopo per alcuni clienti di rete fissa o mobile; v.  atti 12/11/2019).

La Società (v. note 8 marzo e 12 novembre 2019) ha rappresentato che “in conseguenza della … anomalia nell’aggiornamento dell’archivio DWH Consenso Prospect e conseguentemente della Black List Dinieghi usata dalle funzioni marketing”, 184 numerazioni univoche sono state erroneamente incluse nelle liste di contattabilità per le campagne promozionali. La Società – ad attestare la presa di consapevolezza di una gestione non adeguata dei dinieghi - ha fatto altresì presente l'intenzione di introdurre un nuovo sistema, che comporterebbe la registrazione dei dinieghi delle linee fisse attive TIM nell’archivio destinato alla gestione del consenso (nella specie il “DWH Consenso”: v. nota integrativa 12/11/2019);

c) 862 numerazioni presenti nella black list dinieghi risultano avere un “esito diniego” successivo alla data del loro inserimento, in contrasto con quanto indicato dalla Società circa l’automatica esclusione dalle campagne commerciali delle numerazioni presenti nelle black list (cfr., ad esempio, p. 8 riscontro 20/2/2019 e pp. 3 e 5, verbale 5/2/2019). Al riguardo, la Società (v. nota integrativa 12/11/2019) ha rappresentato ciò è imputabile “all’erronea operatività di alcuni propri partner, che hanno registrato il “diniego tramite THIN Client …. con ritardi anche prolungati rispetto agli “esiti 49” (i.e. il sistema di monitoraggio degli esiti) ed hanno così “disatteso le procedure definite da TIM” al riguardo. Secondo TIM “Accortesi di tali mancanze, i Partner hanno recuperato i caricamenti dei dinieghi tramite THIN Client in modalità massiva nelle date …. concentrate nel mese di novembre 2018 per i dinieghi acquisiti da XX e nei mesi successivi di dicembre e gennaio per quelli acquisiti da XX”. TIM risulta, peraltro aver preso contezza di tali ritardi nel caricamento dei dinieghi solo in occasione degli accertamenti avviati dal Garante a febbraio 2019;

d) nella black list utilizzata dal partner XX S.r.l. (acquisita nel corso dell’accertamento ispettivo del 28/3/2019), sono risultate presenti 1.645 opposizioni al trattamento recepite nel corso di telefonate commerciali effettuate per conto di TIM; tuttavia, nessuna delle relative numerazioni è risultata presente nella black list dinieghi della Società;

e) nella black list utilizzata dal partner XX S.r.l. sono risultate presenti quasi 200.000 numerazioni che non hanno trovato corrispondenza nella black list della Società (cfr. p. 2, verbale 23/4/2019); tuttavia, ciò risulta difficilmente comprensibile se si considera che il detto partner è monomandatario di TIM, e dunque le due liste dovrebbero essere, perlopiù, corrispondenti o comunque contenere quantitativi analoghi fra loro;

f) nella black list utilizzata da XX, riferita a dinieghi espressi nel corso di telefonate commerciali effettuate per conto di TIM, sono risultate presenti 2.401 numerazioni; tuttavia, di queste solo 3 sono risultate presenti nella black list marketing TIM e nessuna è risultata presente nella black list dinieghi di TIM. Ciò risulta difficilmente comprensibile in quanto tali numerazioni dovevano essere tutte riportate in tale lista, proprio in quanto dinieghi espressi durante le campagne promozionali della Società;

g) nella black list inviata da TIM a XX (cfr. all.  11, verbale 7/5/2019) risultano 22.296 numerazioni; tuttavia, di queste solo 19.488 sono presenti nella black list marketing e 6 sono presenti nella black list dinieghi fornite da TIM all’Autorità.

In vero, le suindicate differenze possono ritenersi riconducibili solo in parte ai diversi criteri di composizione ed implementazione delle black list o alla diversa denominazione/classificazione di liste e degli esiti dei contatti (v. memoria di TIM 10/10/2019 e nota integrativa 12/11/2019, cit.) che TIM non risulta aver concordato con i propri partner o ancora alla sussistenza di committenti-mandanti diversi da TIM, per alcuni di tali partner. Proprio l’utilizzo di criteri e denominazione diversi fa sì che nella fattispecie – oltre a prassi scorrette poste in essere dai partner con riferimento alle modalità di gestione dei dinieghi – emerga anche la mancata adeguata implementazione da parte della Società stessa di procedure gestionali condivise, che - pur garantendo opportuna attenzione alle eventuali specifiche esigenze aziendali delle imprese coinvolte - consentissero un adeguato controllo da parte di TIM quale committente ed anche fornitrice di liste di contattabilità sulla complessiva gestione del trattamento per finalità promozionali, nonché  il correlato obbligo di render conto delle proprie attività in linea con il principio di accountability.

Inoltre, gli eventi in questione evidenziano un funzionamento, in parte fallace, del sistema automatizzato di esclusione dalle liste di contattabilità, peraltro confermato da diverse anomalie sui sistemi ammesse in più occasioni dalla Società (v. note del 8/3/2019, 3/4/2019 e 12/11/2019), che non hanno garantito una corretta e coerente rappresentazione, nei sistemi informatici a ciò dedicati, della volontà negativa degli interessati, comportando , a seconda delle fattispecie sopra rappresentate, un trattamento di dati personali a fini di marketing effettuato senza ottemperare al legittimo esercizio dei diritti degli interessati, in particolare quello di opposizione.

2.2. Telefonate nei confronti di utenze non presenti nelle liste di contattabilità di TIM (c.d. “chiamate fuori lista”)

Numerose doglianze sulla persistenza di chiamate promozionali indesiderate hanno riguardato utenze non inserite nelle liste di contattabilità di TIM (c.d. “fuori lista”).

Al riguardo, la Società ha dichiarato che “…ai partner è vietato contrattualmente l’utilizzo di liste di contattabilità autonomamente reperite e non autorizzate da TIM”, tuttavia “…nel corso del contatto utile con la linea … presente nella lista di contattabilità fornita da TIM, può avvenire che la persona contattata richieda di essere richiamata su un’altra numerazione oppure indichi un’altra persona del nucleo familiare a cui rivolgersi per l’offerta in questione, fornendone la numerazione [c.d. referenze]…”. Sempre con riferimento alle “chiamate fuori lista”, TIM ha affermato che queste “…non possono essere note alla Società in quanto eseguite dai partner tramite i loro sistemi telefonici/CRM…” se non quando “il cliente/prospect accetti l’offerta commerciale, [che] viene tracciata obbligatoriamente nel sistema di ‘Verbal Order’” (di seguito anche “VO”) di TIM (cfr. pp. 7 e 8, riscontro 14/3/2019). Ciò sia che la numerazione contattata derivi dalle liste di contattabilità fornite dalla Società, sia se rientri fra i c.d. “fuori lista”.

La Società non è stata quindi in grado di quantificare le chiamate “fuori lista” effettuate dai propri partner commerciali, né di fornire l’elenco delle numerazioni contattate, e ha quantificato, solo in via parziale e indiretta, tale informazione, fornendo le numerazioni non presenti nelle liste di contattabilità consegnate ai partner che, nel periodo 1° luglio 2018- 28 febbraio 2019, risultavano, sul sistema di gestione delle campagne associate ad un verbal orderl la cui presenza è rivelatrice solo dei contatti commerciali effettuati che si sono conclusi con la sottoscrizione di un contratto, ratificato appunto dal Verbal Order. Pertanto, “…la Società ha applicato una metodologia di calcolo basata sul confronto tra le informazioni conservate nel sistema di “Verbal Order” rispetto alle numerazioni contenute nelle liste di contattabilità fornite ai partner, potendo calcolare solo i “fuori-lista” associati ad un ordine verbalizzato…”, ossia in totale, 116.461, e ben 184.655 a partire dal 1° marzo 2018 (v. memoria TIM 10/10/2019). Anche al fine di comprendere l’ampiezza del fenomeno dei contatti “fuori lista”, può essere utile evidenziare che il numero di Verbal Order fornisce un’indicazione per difetto delle chiamate sottostanti: ad esempio, nel corso degli accertamenti ispettivi, XX ha dichiarato che, su clientela presente nel customer base, il numero dei contratti stipulati rappresenta circa il 9 % delle chiamate promozionali effettuate nel caso di campagne upselling, mentre solo il 3% in caso di campagne destinate ad attivare nuove linee. Tale tasso di adesione, peraltro, risulta in genere ancora più basso nel caso di campagne promozionali rivolte a soggetti “prospect” in ragione della minore accuratezza dei dati (es. numerazioni non più attive o soggetti che hanno in essere abbonamenti più vantaggiosi di quelli proposti).

Peraltro, nei contratti stipulati da TIM con i propri partner, è emerso che l’incarico a svolgere contatti telefonici promozionali riguardava non solo liste di contattabilità fornite da TIM, ma anche numerazioni c.d. “lead” ovvero acquisite dai partner a seguito della richiesta degli interessati di essere ricontattati per ricevere una specifica offerta commerciale (v. art. 2 “Oggetto” del contratto TIM-3G s.p.a., allegato ai verbali ispettivi), mentre nel contratto non risultano istruzioni e misure organizzative e tecniche con specifico riguardo alla particolare categoria di “fuori lista” rappresentata dai c.d. “referenziati”. Ciononostante, la Società non poteva non avere contezza del fatto che i partner effettuassero contatti “fuori lista” al di fuori delle numerazioni “lead”, in quanto ciò era concretamente rilevabile dal disallineamento delle numerazioni associate ai Verbal Order, caricate dai partner nei sistemi della Società, rispetto alle numerazioni inserite nelle liste di contattabilità, fornite da TIM ai propri partner. Invero, nel corso degli accertamenti ispettivi, solo due partner hanno dichiarato che i contatti “fuori lista” provenivano da liste lead; negli altri casi, è emerso che i contatti “fuori lista” effettuati hanno riguardato invece soggetti c.d. “referenziati”.

L’analisi delle numerazioni c.d. “fuori lista” e delle black list detenute dalla Società, ha inoltre evidenziato quanto segue:

- 1.504 numerazioni contattate erano presenti nella black list marketing al momento della registrazione del verbal order (e quindi al momento dell’effettuazione del contatto commerciale telefonico);

- di queste 1.504, 1.464 sono state contattate nonostante fossero state inserite dalla Società nella black list marketing a seguito del provvedimento del 22 giugno 2016 cit., il quale – come sopra evidenziato - ne aveva vietato il trattamento per finalità di marketing;

- 15 utenti avevano espresso un diniego al marketing prima della registrazione del Verbal Order (e quindi prima dell’effettuazione del contatto commerciale telefonico).

Riguardo alle citate 1.504 numerazioni, la Società ha ipotizzato che queste “siano state autonomamente reperite dai Partner con il meccanismo delle lead e delle referenze, e quindi utilizzate ai fini del contatto commerciale sulla base … del consenso fornito dall’interessato stesso oppure del bilanciamento di interesse sussistente per i referenziati”, ma non ha fornito alcun elemento ulteriore, né ha documentato tale assunto, come invece richiesto dal principio di accountability.

Inoltre, poiché 1.464 utenze risultano inserite da TIM nella sua black list marketing a seguito del citato provvedimento del 22 giugno 2016, per non incorrere in una ripetuta violazione del predetto provvedimento, la Società stessa avrebbe dovuto fornire tale black list ai suoi partner, vigilando sull’attività dei propri partner, al fine di poter consentire un opportuno match con i dati acquisiti o comunque in possesso dei partner, e così evitare un nuovo ulteriore contatto indesiderato.

Al fine di un opportuno approfondimento del fenomeno dei c.d. “fuorilista”, l'Autorità ha svolto accertamenti ispettivi anche presso alcuni partner.

Nella prassi operativa è risultata, di fatto, ammessa la modalità di composizione manuale delle numerazioni oggetto di contatto, modalità che non è risultata disciplinata da TIM nei contratti con i propri partner al fine di limitarne i possibili abusi. Si è potuto rilevare che, in genere, i sistemi di gestione delle chiamate in uscita utilizzati dai call center tengono traccia di tali chiamate, elemento che ha permesso all’Autorità di effettuare alcuni riscontri rispetto ai dati forniti da TIM in merito ai citati Verbal Order, accertando ancora una volta evidenti incongruenze quantitative (v. comunicazione di avvio del procedimento del 25 luglio 2019). In particolare, i dati forniti da TIM riguardo ai Verbal Order (v. riscontro 8/3/2019) sono apparsi quantitativamente e qualitativamente (essendo differenti i numeri risultati oggetto di contatto) diversi da quelli acquisiti presso i citati operatori di call center, ad evidenziare un inadeguato governo del fenomeno in questione da parte della Società.

Le verifiche effettuate hanno evidenziato altresì che - con riferimento ad alcuni call center (XX; XX; XX; XX) – sono state contattate numerazioni di soggetti “referenziati” sebbene in presenza di una precedente opposizione al trattamento espressa dall’interessato, nonché numerazioni inserite nella black list marketing a seguito del citato provvedimento 22 giugno 2016 (in particolare, ciò è stato riscontrato per: 258 chiamate “referenziate” effettuate da XX; 250 chiamate “referenziate” effettuate da XX; nonché una chiamata “referenziata” effettuata da XX).

Appare evidente che TIM - pur conoscendo ed accettando il fenomeno delle chiamate verso utenze “referenziate”, di cui ha costantemente introitato i relativi profitti, come attestato dai Verbal Order sopra citati - non lo abbia disciplinato con apposite e dettagliate istruzioni in modo da garantirne la conformità alla normativa vigente (in questi termini, v. anche nota XX del 18/10/2019). Ciò ha comportato un trattamento di dati personali a fini di marketing effettuato in assenza di un comprovato e idoneo presupposto giuridico (non risultando che per essi sia stato acquisito un consenso idoneo, quale ad es. per delega, mail, registrazione della telefonata), ovvero senza tenere conto del diritto di opposizione precedentemente manifestato dagli interessati.

Con specifico riguardo ai Verbal Order - nonché alla composizione delle liste di contattabilità - la Società, dopo un asserito confronto con i partner del 7 novembre 2019, ha fornito elementi (come l’ “utilizzo di criteri di codifica dei flussi di dati distinti da parte dei Partner, che generano nomenclature diverse”; il confronto effettuato su liste parziali nella disponibilità dei Partner”; la diversa denominazione della tipologia di contatti “fuori lista”, riferiti da alcuni partner anche ad utenze “Lead”, acquisite direttamente dai medesimi partner, e non solo a utenze “referenziate”; il diverso concetto di VO, utilizzato in concreto), in base ai quali la Società ritiene di poter ragionevolmente circoscrivere e ridurre il fenomeno in questione (v. memoria 10/10/2019 e nota integrativa 12/11/2019, cit.).Tuttavia, tali elementi non risultano giustificare in modo compiuto e puntuale la notevole diversità dei dati quantitativi, in particolare dei VO.

Ancora oggi non risulta adeguatamente dimostrata e rendicontata la gestione delle liste e dei VO - oltre che dei contatti “fuori lista” - da parte di TIM, anche in ragione di evidenti disomogeneità nei criteri utilizzati e non condivisi con i partner, tanto che la Società stessa è giunta a rappresentare che “sono ancora in corso le verifiche puntuali per raffrontare numericamente e riscontrare con i Partner in questione gli elenchi dei fuori lista e dei correlati Verbal Order” e a segnalare “che gli interventi avviati ….e rappresentati (nella memoria 12.11.19) permetteranno di adottare metodi di controllo dei fuori lista basati su riscontri più strutturati e previsti dagli obblighi contrattuali”, a riprova delle lacune emerse.

2.3.  Ulteriori comunicazioni promozionali indesiderate emerse dai riscontri forniti da TIM riguardo a segnalazioni e reclami e gestione dei diritti degli interessati

Ad esito dell’analisi dei riscontri forniti da TIM (6/12/2018; 13/2/2019 e 1/3/2019) riguardo alle richieste formulate dall’Autorità il 7 novembre 2018 e il 14 gennaio 2019, relativamente a molteplici segnalazioni; ad alcuni reclami (riscontri TIM 25/10/2018; 8/1/2019; 5 e 16/9/2019), nonché ad integrazione degli accertamenti ispettivi suindicati (riscontri 8/3/2019, 20/3/2019 e 2/5/2019), è emerso quanto segue:

1) per la quasi totalità delle segnalazioni e reclami, TIM ha negato i contatti promozionali indesiderati, affermando l’estraneità delle utenze dei segnalanti rispetto alle liste utilizzate per finalità promozionali nonché delle utenze chiamanti rispetto alla propria forza vendita;

2) cionondimeno le seguenti segnalazioni sono risultate fondate; in particolare la Società:

a. con riguardo a XX, nonostante l’opposizione da questi esercitata, ha ammesso di averlo erroneamente inserito in liste di contattabilità e di averlo effettivamente contattato, mediante il call center XX s.r.l.;

b. con riferimento a XX, nonostante l’opposizione da questi esercitata, ha rappresentato di aver continuato ad inserirlo nelle liste di contattabilità e quindi a chiamarlo, in quanto XX s.r.l., call center autore della chiamata, non ha recepito “per disguidi interni al …. back office” la volontà negativa dell’interessato “nei sistemi del marketing”, sicché l’utenza in questione è stata inserita in successive liste di contattabilità (v. riscontro TIM 13/2/2019);

3) con riguardo alle istanze di altri interessati (XX; XX; XX; XX; XX; XX; XX; XX; XX), i call center affidatari dell’esecuzione delle telefonate promozionali hanno ammesso (come, peraltro, TIM stessa: v. memoria 10 ottobre 2019) i contatti indesiderati adducendo, genericamente, presunte “sviste” o errori di digitazione dell’utenza telefonica da contattare oppure occasionali iniziative di contatto “in modalità manuale”, non autorizzate, effettuate dal proprio personale e non ulteriormente circostanziate e chiarite (v. anche specifici riscontri di: XX s.r.l. e XX s.r.l. del 30/1/2019: XX s.r.l. e XX s.r.l.s del 30/11/2018; XX s.p.a. del 5/12/2018; XX s.r.l.s. del 19/3/2019 - quest’ultima con complessivo riguardo a 4 segnalazioni, oggetto di distinto riscontro; tutti allegati ai citati riscontri di TIM). Spiegazione generica risulta anche quella fornita da XX s.p.a., la quale adduce, a motivare un ulteriore contatto promozionale indesiderato, “una duplicazione del dato su (proprio) CRM (errore tecnico) accertato in seguito al controllo della reportistica …” (riscontro XX 22/11/2018, allegato al riscontro TIM del 6/12/2018, cit.);

4) nei casi delle telefonate c.d. “ibride”, il contatto promozionale effettato dalla Società è risultato effettuato, nonostante il diniego già espresso al trattamento per finalità anche promozionali, nel contesto di comunicazioni “endocontrattuali” o comunque “di servizio” (in un primo caso, segnalante XX, mediante telefonata con operatore: v. riscontro TIM 6/12/2018, cit.; in un secondo caso, reclamante XX, mediante sms: v. riscontro TIM 8/1/2019, cit.). In tale secondo caso, secondo la Società, il tardivo riscontro all’istanza del segnalante e l’inserimento in black list – a fronte di più opposizioni effettuate dal reclamante, anche a mezzo di documentata comunicazione a mezzo pec - sarebbe avvenuto per una non meglio circostanziata “…errata operatività da parte degli operatori di customer care”;

5) sono altresì emerse le seguenti criticità con riguardo alle istanze presentate dagli interessati, con particolare riferimento all’opposizione al trattamento per finalità promozionali:

a) la mancanza di un riscontro scritto, o altrimenti documentato, alle richieste di più interessati (XX; XX; XX; XX: v. riscontro 2/5/2019); il mancato riscontro ad istanze pervenute a mezzo di posta certificata (v. per segnalazione di XX: riscontro 2/5/2019, cit.; v. per reclamo di XX: riscontro 25/10/2018). Nel primo caso, l’istanza “non risulta tracciata nei sistemi … di archiviazione della corrispondenza pervenuta”; nel secondo caso, si adduce una “presunta perdita di informazioni … nel processo di trasferimento dalla PEC alla documentazione cartacea …”). Analoga mancanza è stata riscontrata per: la segnalazione di XX, la cui istanza è risultata stampata ed inviata all’outsourcer incaricato per la ‘tipizzazione’, ma non riscontrata per un problema relativo alla detta procedura (riscontro 20/3/2019, cit.); per la segnalazione di XX, gestita, con l’inserimento in black list, solo in occasione del riscontro fornito alla richiesta d’informazioni formulata dall’Autorità (riscontri 8/3/19 e 5/11/2018); nonché per il reclamo di XX, in relazione al quale più richieste formulate alla Società - pur inviate, più volte via pec e posta elettronica ordinaria - non risultano rilevate nei sistemi per anomalie tecniche oppure gestite tardivamente e la cui opposizione al trattamento di tipo promozionale risulta inserita a sistema solo decorso un periodo maggiore di 4 mesi dalla richiesta originariamente formulata (riscontri 5/9/2019 e 10/10/2019);

b) l’avvenuto riscontro a istanze di opposizione, ma senza fattivo recepimento nei sistemi societari, del diniego al trattamento espresso da ulteriori interessati (XX; XX; XX: v. riscontro 2/5/2019, cit.).

A fronte di alcune suesposte criticità sottoposte a TIM da questa Autorità, la Società (v. memoria 10/10/2019), ha fatto presente che “è attualmente in fase di valutazione l’integrazione del testo degli i-sms con le informazioni circa le modalità tramite cui il cliente può opporsi alla ricezione dei predetti messaggi.”

Tali condotte evidenziano ancora una volta l’effettuazione di chiamate promozionali indesiderate in mancanza di idoneo consenso o addirittura in presenza di un espresso diniego da parte degli interessati.

2.4. Il trattamento dei dati dei clienti c.d. “OLO” (Other Licensed Operator)

Nel corso degli accertamenti ispettivi, è emersa la conservazione, nel CRM della Società, di dati personali appartenenti a soggetti non clienti (nome, cognome o ragione sociale; codice fiscale o partita IVA; linea telefonica; indirizzo; dati di contatto).

In particolare, in relazione ad alcuni eventi di data breach, uno dei quali aveva coinvolto i dati personali di un “soggetto” mai appartenuto alla clientela TIM, la Società ha rappresentato che il trattamento dei relativi dati era necessario in quanto lo stesso interessato, pur essendo cliente di un altro operatore telefonico (Other Licensed Operator- OLO/Alternative Network Operator), risultava usufruire di un servizio “wholesale line rental” (WLR), venduto da TIM agli OLO e da questi ultimi offerto ai propri clienti.

La Società ha dichiarato altresì che “nella categoria generale dei “clienti” rientrano anche i clienti dei servizi di telefonia fissa residenziale a cui sono assimilati anche i clienti dei servizi WLR. Per questa tipologia di interessati sono definiti i criteri generali di disponibilità dei dati personali che prevedono […] la visibilità dei dati per 5 anni dalla cessazione (a meno dei casi in deroga, es. contenziosi, specificati in policy) per le finalità espletate da parte del customer care” e “la disponibilità massima per 10 anni ai fini della gestione fiscale e degli adempimenti tributari (a meno di deroghe, es. contenziosi), tra cui la conservazione delle fatture del servizio erogato.” (cfr. p. 9, riscontro 13/12/2018 e del 14/12/2018, p. 8).

Invece, le risultanze degli accertamenti ispettivi hanno evidenziato – diversamente da quanto disposto nella citata policy di TIM – che l’accesso ai dati dei clienti OLO era consentito agli operatori di customer care anche oltre il periodo di 5 anni. A tal proposito, la Società ha precisato che soltanto a seguito degli accertamenti ispettivi ha provveduto a modificare “la visibilità dei dati anagrafici dei clienti dei servizi WLR da parte degli operatori del customer care” inibendo ai medesimi “la visibilità dei dati di anagrafica dei clienti dei servizi WLR se cessati da oltre 5 anni.” (cfr. p. 8, riscontro 13/12/2018, cit.).

Inoltre, è stata verificata la presenza dell’anagrafica di un segnalante nel CRM (vale a dire il sistema di gestione della clientela) della Società, pur essendo trascorsi addirittura più di 10 anni dalla data di cessazione del contratto con TIM. A tal proposito la Società ha dichiarato che le “…anagrafiche dei clienti rimangono visibili agli operatori del Customer Care di TIM fintanto che la linea telefonica sottostante è attiva con un altro Operatore (OLO) e per i successivi 5 anni dalla cessazione (disattivazione tecnica) della linea” (cfr. riscontro 14/3/2019, p. 6). Tuttavia, per la linea in questione - passata da oltre 10 anni nella gestione di un altro Operatore telefonico - non è risultato attivo alcun servizio WLR (v. relazione allegata al riscontro inviato il 2/5/2019).

Peraltro la risultanza relativa alla presenza nel CRM di TIM di 23.298 assegnatari di linee WLR gestite da altro OLO (complessivamente riferiti a 23.428 linee telefoniche), risulta di dubbia compatibilità con legittime finalità del trattamento ascrivibili a TIM, tenuto conto che – secondo quanto previsto dal portale on line della Società, “il servizio WLR permette agli Operatori di virtualizzare il collegamento del cliente alla propria rete e di provvedere direttamente a gestire il cliente stesso per quanto riguarda” varie funzioni contrattuali o comunque connesse all’esecuzione del servizio. Inoltre, nel manuale delle procedure relative a siffatto servizio (all. G al riscontro 13/12/2018), viene indicato che “L'Operatore WLR gestisce in maniera completa il proprio cliente per la tassazione e la fatturazione dei corrispettivi economici di abbonamento e di consumo da quest’ultimo utilizzati…”.

Nonostante la Società abbia dichiarato l’intenzione di un riassetto del CRM che porterebbe a rivedere anche i dati dei clienti OLO (memoria 10/10/2019), ad oggi tali dati sono conservati nel CRM della Società oltre il limite previsto dei 10 anni. Ciò rappresenta un lasso di tempo eccessivamente ampio che non trova alcuna giustificazione alla luce delle asserite finalità perseguite da TIM.

Sotto altro profilo, ad esito di verifiche interne condotte dalla Società, la stessa ha dichiarato che sono emersi “comportamenti anomali nell’accesso e nella consultazione della banca dati relativa ai ‘guasti’ asseritamente da parte di dipendenti OLO … oggetto di denuncia alla Procura della Repubblica … in data 1° ottobre 2019, affinché la stessa possa svolgere gli approfondimenti investigativi ritenuti necessari …” (v. nota del 12/11/2019).

Con la medesima nota, la Società ha rappresentato che, “con riferimento alle 23.428 linee corrispondenti a linee attive alla data di clienti “nativi” di OLO per il servizio WLR … solo 2.410 sono state inserite nelle Liste di contattabilità delle campagne prospect per il periodo dall’1 luglio 2018 al 28 febbraio 2019 …”; delle 2410 citate utenze, 414 sarebbero state “acquisite da elenco telefonico e verificate rispetto al Registro delle Opposizioni e 2 invece, sarebbero successivamente rientrate in TIM” (v. memoria 10/10/2019). Ciononostante, la Società non è stata in grado di circostanziare e comprovare - per le 414 utenze - la menzionata attività di verifica e - per le restanti 2 - la circostanza dell’eventuale acquisizione del valido consenso a fini promozionali (come, ad es.: copia di moduli cartacei oppure on line; registrazione audio; file di log riguardo ad eventuali raccolte on line).

Riguardo alle restanti 1.995 numerazioni, la Società ha rappresentato, che “le successive analisi tecniche, nel frattempo concluse” avrebbero ”confermato che le campagne promozionali su linee fisse attive rivolte ai c.d. “prospect” possono essere destinate anche a ex-clienti TIM di telefonia fissa registrati nel sistema CRMR che abbiano fornito un consenso al contatto valevole per 5 anni dalla cessazione”, e che tali analisi – evidenziando un nuovo elemento di criticità - “hanno individuato una anomalia nella procedura di estrazione dal CRMR tale per cui la procedura non era in grado di discriminare due casistiche inerenti: (i) le numerazioni di linee cessate e successivamente riattivate e assegnate ad un diverso utente (cliente di OLO) per attivare un nuovo impianto con il servizio WLR … e (ii) le linee attive migrate per il passaggio del cliente TIM ad un OLO. In conseguenza di tale anomalia, 1.995 numerazioni assegnate a clienti OLO e corrispondenti a numerazioni precedentemente utilizzate da clienti ex-TIM con consenso al contatto sono state inserite nelle Liste delle campagne prospect. Tale anomalia è stata corretta eliminando dalle estrazioni effettuate da CRM … tutte le linee intestate a clienti OLO” (v. nota 12/11/2019). In altri termini, la predetta anomalia ha comportato, con riferimento alle campagne promozionali svolte dalla Società nei confronti di ex-clienti, l’inserimento nelle liste di contattabilità di numerazioni appartenute a clienti della Società, quindi disattivate e, successivamente, riassegnate, in quanto disponibili, a clienti di altri operatori. Ciò ha determinato un trattamento illecito dei dati relativi alle numerazioni telefoniche di clienti di altri operatori, essendo il contatto commerciale avvenuto in assenza del previo consenso degli interessati o di altro presupposto giuridico idoneo. Peraltro va tenuto in considerazione che la quantificazione del fenomeno (1.995 numerazioni) è riferita soltanto alle campagne promozionali svolte da TIM nel periodo luglio 2018-febbraio 2019, mentre l’anomalia in questione ha ragionevolmente riguardato un arco di tempo molto più lungo.

A ciò si aggiunge che, le argomentazioni rappresentate dalla Società non sono adeguatamente comprovate in atti. In alcuni casi (213 numerazioni e 638 contatti commerciali) la data di attivazione del servizio WLR è risultata infatti precedente di oltre 5 anni rispetto alla data di effettuazione della campagna commerciale: trascorsi i 5 anni anche l’eventuale consenso al marketing fornito dall’ex-cliente cessato - erratamente attribuito, a detta della Società, ad un diverso soggetto, cliente OLO - avrebbe dovuto essere considerato - in base alla stessa policy TIM - non più valido per l’effettuazione del contatto commerciale.

Le condotte sopra descritte denotano un trattamento illecito in quanto effettuato in assenza di idoneo consenso da parte degli interessati oltre che in difformità ai principi di limitazione della conservazione e dell’obbligo di garantire e comprovare il rispetto della disciplina di protezione dei dati in ottemperanza al principio di accountability (cfr. infra par. 3.8).

2.5. Il programma on line “TIM Party”

La Società, come è risultato dall'analisi del sito www.tim.it, prospetta ai suoi clienti la possibilità di aderire al programma “TIM Party”, che consente di accedere a vantaggi e sconti, nonché la partecipazione a concorsi a premi, rappresentando agli stessi che “Se ancora non lo hai rilasciato, ti sarà richiesto il consenso per finalità di marketing da parte di Telecom”. Il cliente, dunque, per accedere a tale programma e ai connessi benefici, deve manifestare il consenso alle finalità promozionali. Peraltro, risulta elevatissimo il numero dei clienti che hanno aderito a tale programma (circa 2.000.000 di linee telefoniche, fino a dicembre 2018: v. verbali 5 e 6/2/2019).

Al riguardo, TIM ha rappresentato (v. memoria 10/10/2019) che “le offerte dedicate costituiscono non già una attività promozionale ... ma bensì la funzione e finalità specifica e propria del programma stesso, ossia il c.d. oggetto del contratto ... Così, il cliente TIM che intenda aderire al programma compie una consapevole ed informata scelta e manifesta, attraverso l’iscrizione, la propria volontà di ricevere le comunicazioni relative a offerte, vantaggi e concorsi, che rappresentano l’unica finalità di TIM Party. Per tale ragione, l’iscrizione a TIM Party comporta necessariamente la modifica dei consensi registrati nel CRM, in quanto l’iscrizione al Programma risulta ictu oculi incompatibile con il diniego alle offerte commerciali...”. La Società, nella medesima sede, lasciando trapelare qualche proprio ragionevole dubbio sulla legittimità di tale prassi, ha aggiunto che “Qualora tale indicazione non venga condivisa, si rileva in subordine che la 'cessione del consenso' a fronte di vantaggi rimane comunque una libera scelta del consumatore, non espressamente preclusa dal Regolamento.” e ha fatto riferimento ad un presunto, e non identificato, parere richiesto in materia da questa Autorità.

In tal modo, la Società subordinando la partecipazione al programma di fidelizzazione “TIM Party” al rilascio del consenso al trattamento per attività promozionali, risulta condizionare la volontà degli interessati in ordine alla (generalizzata e indifferenziata) ricezione di comunicazioni promozionali da parte della stessa e con le modalità più diverse (automatizzate e tradizionali). Ciò, sebbene il predetto trattamento non sia necessario alle finalità di esecuzione del contratto stipulato dall’interessato mediante l’adesione al programma, il quale ha ad oggetto il conseguimento di premi e sconti. Né risulta doverosamente chiarito nell’informativa resa agli interessati che tale manifestazione di volontà comporti automaticamente la modifica di eventuali dinieghi manifestati dagli stessi precedentemente all’adesione al Programma. Pertanto, la Società, in violazione dei principi di correttezza e trasparenza del trattamento, ha raccolto il consenso degli interessati a fini promozionali con modalità tali da non garantirne la libera, specifica e consapevole manifestazione.

2.6. App messe a disposizione dei clienti

La Società offre ai propri clienti la possibilità di installare alcune applicazioni on line sui propri dispositivi mobili. In sede ispettiva è emerso che, in particolare, “My TIM”, “TIM Personal” e “TIM Smart Kid” prevedevano che l’utente, per poter usufruire delle varie previste funzionalità, al momento dell’installazione delle stesse, dovesse ‘accettare’ unitamente ai “termini di servizio” anche l’“informativa privacy”, la quale peraltro faceva riferimento a finalità promozionali, di geolocalizzazione e di comunicazione a terzi per finalità promozionali.

Considerato l’elevatissimo numero dei clienti che hanno installato tali applicazioni (7.000.000, “My TIM”; 400.000, “TIM Personal”; 10.000, “TIM Smart Kid”: v. all. 1 al verbale 6/2/2019 cit.), e che per un segnalante (XX) è emersa la valorizzazione del consenso al marketing nonostante l’originario diniego espresso in sede contrattuale, la Società, su specifica richiesta, ha negato che l’accettazione dei “termini di servizio” unitamente all’“informativa privacy” comportasse una modifica delle manifestazioni di volontà precedentemente espresse dai clienti in sede di attivazione delle Sim (v. verbale 6/2/2019).

Relativamente all’informativa, TIM ha negato di utilizzare i dati raccolti con tali App per lo svolgimento delle menzionate attività promozionali, di geolocalizzazione e di comunicazione a terzi per finalità promozionali. Con specifico riferimento all’App “My TIM”, peraltro la Società ha successivamente prodotto all’Autorità una nuova informativa rivista alla luce della criticità sopra evidenziata (v. verbali 6, 14 e 28/2/2019; nonché riscontro 20/2/2018).

Più in generale, la medesima – nell’invocare la propria “buona fede”, a suo dire, comprovata proprio dalle seguenti modifiche apportate alla configurazione delle App “My TIM”, “TIM Personal” e “TIM Smart Kid” - ha rappresentato che (v. memoria 10/10/2019):

- “l’attivazione delle App in esame non richiede un espresso consenso per l’uso né consente la modifica dei consensi per finalità di marketing del cliente, che possono essere gestiti dallo stesso attraverso i canali relativi alla gestione della linea TIM (i.e. tramite il portale web My TIM e, dall’agosto 2019, tramite l’App My TIM)”;

-  di aver “preso atto dei rilievi sollevati dell’Autorità circa la potenziale equivocità testuale delle informative in relazione ai possibili effetti derivanti dall’installazione delle App in esame, e ha provveduto a modificare”, nel periodo compreso fra febbraio e agosto 2019, “di conseguenza il testo delle informative medesime”;

- di aver modificato, coerentemente con le criticità emerse in sede ispettiva, anche la procedura relativa all’ “accettazione dei Terms&Conditions e la presa visione Informativa Privacy”, impostando “la necessaria selezione di due pulsanti separati”.

Inoltre le App “My TIM”; “TIM Personal”; “TIM Smart Kid”, al tempo degli accertamenti, non prevedevano l’acquisizione di un consenso libero e specifico degli interessati per il trattamento dei dati personali a fronte di più finalità e di più operazioni di trattamento (fra le quali, in particolare, attività “statistiche”; di “dimensionamento del servizio”; “diagnostica”), tra loro eterogenee e non tutte apparentemente necessarie ai servizi erogati agli interessati mediante le App.

In sintesi, riguardo alle App sopra indicate, non risulta dunque effettuato un trattamento corretto e trasparente; è emersa altresì la mancata acquisizione di un consenso libero e specifico degli utenti in relazione ad ogni singola finalità perseguita. 

2.7. Moduli utilizzati per la “autocertificazione possesso linea prepagata”

L’Autorità ha ricevuto una segnalazione evidenziante la somministrazione al segnalante dei suindicati moduli da parte di TIM, ove, a fronte di svariate finalità di trattamento (statistiche; promozionali; di profilazione), veniva richiesto un unico indistinto consenso. La Società al riguardo ha rappresentato che: “il modulo di autocertificazione in oggetto (ed. marzo 2009), utilizzato dal Customer Care Business, non era stato aggiornato e pertanto presentava contenuti non più adeguati, tra cui la declaratoria dei consensi privacy ... non è possibile risalire al numero di clienti business che hanno sottoscritto tale modulo, in quanto non è prevista una specifica tracciatura per questa tipologia di modulo (utilizzato solo per intestazione della linea mobile prepagata a terza persona rispetto al titolare del contratto di telefonia mobile business)”, aggiungendo che “E’ in corso la revisione del modulo … , che, una volta ultimata, sarà diffuso a tutte le strutture del Customer Care Business …” (v. riscontro 20/3/2019).

La Società ha successivamente presentato (il 10/10/2019) documentazione relativa a nuovi moduli preposti alla medesima funzione e già distribuiti, presentanti la richiesta di consensi liberi e specifici in base alle diverse finalità del trattamento perseguite, segnalando che i dati raccolti dal segnalante e dagli altri interessati non sarebbero stati utilizzati per le finalità indicate nell'informativa (fra cui quelle promozionali), confermando così, tuttavia, l’avvenuta raccolta di un inidoneo consenso.

2.8. Gestione dei data breach - anomalie e disallineamenti relativi ai dati personali della clientela

In base alle risultanze degli accertamenti ispettivi nonché dell’esame di alcune delle più significative notifiche di data breach presentate dalla Società, si è potuto rilevare che:

- in alcuni casi la Società ha provveduto tardivamente alla individuazione e corretta gestione degli episodi di violazione occorsi, attivando il DPO solo alcuni mesi dopo il rilevamento del problema, nonché all’effettuazione delle comunicazioni a questa Autorità prescritte dalla normativa vigente;

- i sistemi che trattano i dati personali della clientela vanno frequentemente incontro a “disallineamenti”, “anomalie” ed “errate associazioni”.

Tali eventi risultano essere stati la causa di inconsistenze dei dati, che hanno provocato, ad esempio l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e dati di contatto (si vedano, ad esempio i data breach n. 170, 171, 175 e 186). Da ciò sono derivate comunicazioni, indebite, di dati personali a soggetti diversi dall’interessato, ad esempio nel momento dell’invio della fattura e dei dati di traffico telefonico e telematico ad essa associati. Inoltre, sono risultati accessi, da parte di clienti, a dati di altri soggetti, visualizzati nella propria area di self-care del portale per la clientela.

I disallineamenti, idonei a pregiudicare l’esattezza dei dati trattati, risultano aver avuto impatto anche sui consensi privacy riportati nelle schede anagrafiche della clientela. A tal proposito, nel corso degli accertamenti ispettivi, è stata constatata la presenza di un’inconsistenza fra i consensi privacy riportati nell’anagrafica di un cliente e il dato desumibile dall’esame dello storico dei consensi (cfr. p. 5, verbale 14/2/2019; p. 7, verbale 28/2/2019).

La Società ha precisato che il disallineamento indicato ha riguardato ulteriori 2.894.292 linee ed è avvenuto a seguito del verificarsi di una “anomalia” nel corso di un’attività di bonifica massiva, che ha riguardato tutte le linee mobili della clientela consumer di TIM, effettuata, a partire dal 14/1/2019, sul sistema DWH-Consenso (v. riscontro 20/3/2019).

Per tali linee quindi, dalla data di effettuazione della bonifica al 18/3/2019 (data in cui la Società ha dichiarato di aver risolto l’anomalia), era presente un’inconsistenza fra i consensi presenti nella scheda anagrafica e lo stato dell’ultima variazione del consenso. Pertanto l’espressione dell’ultima modifica del consenso effettuata dall’interessato, durante il periodo indicato, non veniva correttamente “propagata” nel CRM consumer, la cui scheda anagrafica continuava a mostrare i valori dei consensi precedenti all’ultima espressione di volontà.

Un’anomalia ha riguardato anche la black list dinieghi, in particolare interessando la data di inserimento delle numerazioni nella black list stessa. La Società risulta averne preso coscienza solo quando, nel corso dei detti accertamenti ispettivi relativi al telemarketing, ha dovuto spiegare i motivi per i quali quasi la metà delle numerazioni inserite nella citata lista di esclusione presentasse la medesima data di inserimento (cfr. p. 2, verbale 28/2/2019; riscontro 3/4/2019). La Società, precisando che il malfunzionamento software aveva preso avvio il 30/1/2018 ed era durato fino al 14/2/2019, ha assicurato di aver “risolto in modo strutturale l’anomalia a far data dal 8/3/19…”, e di aver inserito in black list “tutti i dinieghi 'bloccati' e solo temporaneamente non risultanti su tutti i database e, pertanto, la black list risulta, attualmente, completa e corretta”, così ammettendo che tale black list presentava precedentemente alcune inconsistenze nei dati (v. memoria 10/10/2019). La Società, nella stessa memoria ha evidenziato che tali disallineamenti non hanno “comportato la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ma unicamente il disallineamento tra diversi database e/o interfacce”, poiché “i dati aggiornati ed esatti erano comunque presenti nel DWH-Consenso, ossia dal sistema master sul quale si basano tutte le attività condotte da TIM in virtù dei consensi privacy dei clienti ..”. Si osserva altresì che tale ultima affermazione risulta parzialmente in contrasto con quanto rappresentato dalla Società, nella memoria del 12 novembre 2019, in cui ha affermato che: “l’anomalia già rappresentata al Garante nel Riscontro del 3 aprile 2019, che ha temporaneamente bloccato l’aggiornamento dell’archivio di DWH Consenso Prospect e che è stata ripristinata l’anomalia a partire dal 15 febbraio 2019, alcuni dinieghi sono stati registrati nel DWH Consenso Prospect a partire da quella data. […] Come già rappresentato in Memoria e nel Riscontro del 8 marzo 2019”, secondo TIM, si sarebbe verificata una “anomalia nell’aggiornamento dell’archivio DWH Consenso Prospect e conseguentemente della Black List Dinieghi usata dalle funzioni marketing…” da cui parrebbe evincersi che anche nel sistema DWH Consenso erano presenti anomalie relative allo stato dei consensi degli interessati.

Le predette anomalie rivelano un trattamento non corretto e non idoneo a garantire l’esattezza dei dati personali, nonché l’integrità e la riservatezza dei sistemi, e quindi la mancata adozione di misure tecniche e organizzative adeguate a tali fini.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1. Telefonate effettuate nei confronti di utenze “fuori lista

Con specifico riguardo alle telefonate effettuate, nei confronti di utenze “fuori lista”, da alcuni call center partner di TIM, è risultato che sono stati contattati soggetti “referenziati”, in base a una costante prassi operativa riconducibile a una cosciente scelta aziendale della Società e non riferibile ad eccezionali iniziative non autorizzate intraprese - ad insaputa del committente – e call center incaricata delle attività promozionali - dal personale (cfr. par. 2.1).

Al riguardo, TIM avrebbe dovuto, direttamente o tramite i propri partner, sottoporre a verifiche le informazioni raccolte sui c.d. “referenziati”, specie in relazione all’origine e alle concrete modalità di acquisizione dei dati (in particolare, l’esistenza del necessario previo consenso per il fine promozionale ovvero la presenza dell’utenza in un elenco pubblico e, in pari tempo, la sua mancata iscrizione nel Registro pubblico delle opposizioni, cfr. provv. 18 aprile 2018, doc. web n. 9358243). Infatti, lo status di “referenziato” non può surrogare il necessario adempimento dell’obbligo della previa acquisizione di un consenso specifico, documentato ed inequivocabile dell’interessato. Ciò, in quanto il terzo referenziante non è (di regola) legittimato a prestare alcun valido consenso per conto dell’interessato destinatario della chiamata (v. provv. 26 luglio 2018, doc. web n. 9358243).

In aggiunta è risultato che nelle utenze “fuori lista” contattate figuravano anche 1.464 utenze che, in ottemperanza al citato provvedimento del 22 giugno 2016, erano state collocate in black list e che quindi non avrebbero potuto essere contattate a fini promozionali.

Inoltre, non può invocarsi quale base giuridica - come ha fatto TIM, peraltro, solo con la nota del 13 maggio 2019 e la memoria del 10 ottobre 2019, provando a scostarsi da quanto già emerso e cristallizzato in sede ispettiva - quella del “legittimo interesse” di TIM e dei suoi partner alle attività di marketing, magari unitamente al presunto interesse del soggetto “referenziante”, che coinvolge nella promozione l’amico o il parente.

In proposito, giova ribadire anzitutto che TIM non ha circostanziato né dimostrato lo status di “referenziato” per le singole utenze contattate “fuori lista” (inclusi, fra gli elementi, l’origine e le modalità esatte, anche temporali, di acquisizione dei dati in questione), ma si è limitata a presumere, genericamente ed indistintamente, che potesse trattarsi di utenze “referenziate”.

Va poi evidenziato che il legittimo interesse, di cui all'art. 6, par. 1, lett. f), del Regolamento - già previsto sia dall'abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) - non può surrogare - in via generale - il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) - lo ammette solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”. Inoltre, il medesimo Regolamento (v. considerando 47), con specifico riguardo all'applicabilità del legittimo interesse al marketing esige – con un approccio rigoroso quanto prudente - che si tengano in debito “conto le ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del titolare del trattamento qualora i dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali”. L'applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall'Autorità di controllo) di quest'ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l'attenta ponderazione dell'impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato, v., da ultimo, Relazione annuale 2018, p. 107; anche provv. 22 maggio 2018, doc. web n. 8995274), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione (in questo senso, cfr. già il Parere del Gruppo Art. 29, n. 6/2014, sul concetto di interesse legittimo – WP 217, p. 35: l'istituto del legittimo interesse “garantisce una maggiore protezione dell’interessato; in particolare, stabilisce che si tengano in considerazione non solo i diritti e le libertà fondamentali dell’interessato, ma anche il suo “interesse” - mero e non qualificato. … tutte le categorie di interessi dell’interessato devono essere prese in considerazione e valutate comparativamente rispetto a quelle del responsabile del trattamento, nella misura in cui siano pertinenti nell’ambito del campo di applicazione della direttiva”).

Peraltro, “il titolare del trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati” (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01). 

Pertanto – qualora non ricorrano i sopra delineati presupposti per il legittimo interesse e ad eccezione delle ipotesi del c.d. “soft  spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici – si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo consenso informato, libero, specifico e documentato degli interessati (come sottolineato anche dalle Linee Guida del Garante in materia promozionale, 4 luglio 2013, cit., e ancor prima dal provv. gen. 19 gennaio 2011,“Prescrizioni per il trattamento di dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”, doc. web n. 1784528, che - nel ricordare la necessità, anche rispetto alle utenze di imprese o liberi professionisti reperibili in elenchi o albi pubblici, l’ulteriore stringente limite, nel rispetto del principio di ‘finalità’, della stretta e diretta funzionalità fra le offerte promozionali telefoniche e oggetto specifico dell’attività imprenditoriale/professionale - ha chiarito che, al di fuori dei summenzionati casi, il trattamento per finalità promozionali dei “dati contenuti in banche dati comunque formate è consentito solamente nel rispetto dei principi generali del Codice e quindi solo previo rilascio di una idonea informativa e l´acquisizione dello specifico consenso…..”); principi, come noto, confermati e anzi resi più stringenti dal Regolamento mediante le previsioni di cui agli artt. 6, 7, 12 e 13.

Riguardo alle utenze “fuori lista” (in particolare, quelle “referenziate”), la responsabilità “generale” del trattamento promozionale effettuato va ascritta – diversamente da quanto ritenuto da TIM – anche a quest’ultima, alla luce anche di quanto rilevato dal Gruppo Art. 29, in ordine al concetto di titolare del trattamento, il quale “è funzionale, finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale”. In particolare, ai fini dell’individuazione della titolarità concretamente esercitata, occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità" (cfr. Parere n. 1/2010).

Invero, in base agli elementi raccolti, la Società infatti costituisce di fatto il soggetto committente per conto del quale viene svolta l’attività di telemarketing (inclusa quella di reperimento e di contatto dei “fuori lista”), sulla base anzitutto del contratto ma anche nella prassi operativa dei call center, impegnati costantemente ad utilizzare il nome e l’ immagine di TIM, nonché gli script dei messaggi promozionali della medesima Società; peraltro la medesima è chiaramente il soggetto cui sono principalmente destinati i vantaggi economici derivanti dai contratti stipulati con gli interessati che aderiscano all'offerta telefonica. A fronte di ciò, non risulta che TIM abbia in origine adeguatamente disciplinato, né monitorato adeguatamente tali modalità di gestione del contatto telefonico, né sia intervenuta per disciplinarla o dissuaderla successivamente alla stipula dei contratti con i partner (almeno fino alla lettera inviata il 9 ottobre 2019 ai detti partner, invitandoli a sospendere siffatta attività di contatto promozionale in attesa della definizione del procedimento avviato dal Garante il 25 luglio 2019).

Al riguardo, si noti altresì che, dai contratti stipulati con i partner, emerge come TIM abbia incaricato tali soggetti di svolgere l’attività promozionale utilizzando non solo le proprie liste di contattabilità, ma anche utenze “fuori lista”, quali quelle “lead”.Tuttavia, TIM nei contratti con i partner non ha ben circoscritto la nozione di “lead”, né ha indicato specifiche modalità procedurali di acquisizione delle relative numerazioni, accettando così il rischio di contatti non conformi alla normativa, anzi incoraggiando, già nelle previsioni contrattuali, tali attività e incamerando nei propri sistemi informativi i dati dei contatti commerciali - effettuati in assenza del consenso degli interessati, ma andati a buon fine - nonché introitando le conseguenti utilità economiche (derivanti dalla stipula di contratti di fornitura di servizi - cfr., ad esempio, l’art. 7 del contratto tipo TIM-3G s.p.a., in base al quale per “lead” si intende l’ “autorizzazione ad essere ricontattato fornita dal Cliente che rilascia i propri dati personali (nominativo completo e corretto, numero di telefono corretto ed attivo e/o indirizzo e-mail corretta ed attiva) … in accordo con le norme di legge vigenti, raccolta in forma cartacea, vocale o digitale)” dove inoltre si stabilisce che per “il calcolo dei corrispettivi, saranno presi in considerazione i Contatti utili effettuati ed i contratti acquisiti ed attivati secondo i dati risultanti dai sistemi informativi di Telecom”, in cui di fatto sono rientrati a far parte anche i c.d. “referenziati”). Inoltre, nonostante dati delle numerazioni “fuori lista” – fossero stati raccolti dai partner in violazione della disciplina vigente – e non potessero quindi essere utilizzati (art. 2-decies del Codice), TIM ne ha comunque costantemente accettato la registrazione nei propri sistemi per la gestione dei contratti stipulati, senza preoccuparsi di verificarne l’origine e, in particolare, la legittima acquisizione.

Considerata l’ampiezza del fenomeno dei contatti promozionali indesiderati nei confronti dei “fuori lista” ascrivibile, come sopra illustrato, anche alle perduranti e gravi mancanze della Società, quest’ultima deve ritenersi responsabile della menzionata violazione del consenso rispetto alle utenze “referenziate”, in quanto non risulta che abbia posto in essere “misure adeguate ed efficaci, in considerazione della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche” per garantire, ed essere in grado di comprovare, la conformità del trattamento alla disciplina di protezione dei dati personali, così violando gravemente e ripetutamente gli obblighi di accountability (v. artt. 24 e 28, specie par. 3, del Regolamento). In particolare, non risultano adottate misure atte ad impedire l’effettuazione di chiamate promozionali non lecite rispetto alle utenze “referenziate”, ovvero a garantire l’acquisizione di un previo valido consenso degli interessati a fini promozionali o la presenza di altro idoneo presupposto giuridico (come nel caso in cui fossero state poste in essere adeguate verifiche in ordine alla rinvenibilità della c.d. “referenza”  in un elenco pubblico e la sua contestuale assenza nel Registro pubblico delle opposizioni).

Ciò, a tacere del fatto che proprio per le utenze “referenziate” presenti negli elenchi pubblici e al contempo nel Registro pubblico delle opposizioni, l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che: “Il titolare del trattamento dei dati personali è responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l'effettuazione delle chiamate telefoniche.”.

Va precisato altresì che la presente impostazione giuridica non risulta smentita, come invece affermato da TIM, dalla richiamata ordinanza-ingiunzione adottata da questa Autorità l’11 aprile 2019, nei confronti di XX s.r.l.s. (doc. web n. 9116053), tenuto conto della diversità sostanziale della fattispecie oggetto della suindicata ordinanza, riguardante un’articolata filiera del trattamento che discendeva dal committente fino ad una società albanese tramite più soggetti e passaggi intermedi.

Peraltro, non può escludersi nei fatti che si possa giungere a qualificare il rapporto tra TIM e i suoi partner in termini di contitolarità. Risulta, infatti, che detti partner hanno individuato e contattato utenze “fuori lista” al di fuori delle liste di contattabilità e del contratto formalmente stipulato con TIM, eccedendo, di fatto, il ruolo di meri responsabili del trattamento formalmente affidato loro per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM (v. provv. 1° febbraio 2018, doc. web n. 7810723). Ciò anche in considerazione della circostanza inconfutabile, che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica. In tal modo, anche TIM ha sostanzialmente influito sul trattamento dei dati posto in essere dai partner partecipando la determinazione delle finalità e dei mezzi di tale trattamento.

In questo quadro, l’attività di telemarketing effettuata per conto di TIM nei confronti dei “fuori lista” deve ritenersi un’attività economica sostanzialmente unitaria, non risultando possibile, né corretto, disgiungere e separare i relativi connessi obblighi e responsabilità (per analoghe considerazioni sulla responsabilità del committente rispetto alla condotta dei propri partner nonché degli altri soggetti eventualmente coinvolti nella “filiera del trattamento”, v. provv. 26 ottobre 2017, doc. web n. 7320903; provv. gen. 15 giugno 2011, doc. web n. 1821257, che, nell’argomentare la titolarità del trattamento in capo ai committenti, evidenzia alcuni precisi elementi: qualora, come nel caso di specie, i contatti promozionali sono effettuati in nome, per conto e nell´interesse della società preponente, “negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi; … - il mandato, spesso con rappresentanza, di volta in volta conferito vincola l´agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest´ultimo”. Inoltre, in base al citato provv. generale 15 giugno 2011, “i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità” …. “sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto: - assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi”. Per analoghe argomentazioni, v. anche: le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 2542348; provv. gen. 18 aprile 2019, in materia di propaganda elettorale e comunicazione politica, doc. web n. 9105201; in tal senso v. Trib. Milano, sez. I civ., 28 marzo 2019, n. 2629, che conferma l’orientamento espresso dal Garante nel provv. 26 ottobre 2017, doc. web 7320903, sulla contitolarità del trattamento in capo al committente; ord. ingiunzione 18 giugno 2015, doc. web n. 4253116; parere n. 1/2010 WP n. 169 del 16 febbraio 2010, che ha evidenziato, già in linea con la direttiva 95/46/CE, che, ai fini dell´individuazione della titolarità concretamente esercitata, occorra esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l´immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità". V., in tal senso anche l’orientamento della giurisprudenza comunitaria, rispetto alla quale vige l’obbligo di interpretazione conforme delle norme: sent. CGUE, Causa C-131/12 – Google Spain SL, Google Inc./Agencia Española de Protección de Datos, Mario Costeja Gonzáles, sul noto caso “Google Spain”, dalla quale può desumersi che le responsabilità non possono essere scisse dai vantaggi, quali i profitti economici, derivanti dalla medesima attività di trattamento; sent. CGUE, 5 giugno 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein, facente riferimento ad un concetto ampio di (con)titolarità nel trattamento, includendo anche il soggetto che, in qualche modo, ha contribuito alla determinazione anche delle sole finalità del trattamento. Sulla contitolarità, cfr. sent. CGUE, 10 luglio 2018, C-25/17, Tietosuojavaltuutettu; CGUE, 29 luglio 2019, C-40/17, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV).

Tanto considerato, poiché i predetti trattamenti sono avvenuti in assenza del necessario consenso degli interessati o di altra idonea base giuridica, TIM risulta aver violato gli artt. 5, par. 1, lett. a), e par. 2, 6, 7, 24 e 28 del Regolamento, nonché l’art. 130 del Codice.

3.2. Comunicazioni promozionali “ibride” e violazione delle disposizioni in materia di esercizio dei diritti degli interessati

Variegata si presenta la casistica riguardo il mancato adeguato rispetto dei diritti degli interessati (cfr. par. 2.2 e 2.3).

Risulta accertato il mancato riscontro alle istanze di esercizio dei diritti previsti in materia formulate da parte di alcuni interessati, di cui alcune inviate a mezzo di posta certificata, e quindi una condotta non coerente con l’obbligo del titolare di agevolare con misure appropriate l’esercizio dei diritti degli interessati previsti dalla normativa in materia e di soddisfare senza ritardo le medesime (v. art. 12, par. 1, 2 e 3, Regolamento; v. peraltro già art. 8, comma 1, Codice previgente, ad attestare il carattere costante di tale obbligo).

Al riguardo si deve però osservare che le lacune emergenti dai riscontri ad alcuni interessati (v. XX, XX, XX, XX, XX, XX, XX, XX) e in particolare il lasso di tempo intercorrente tra la data di esercizio dei diritti e la data d’inserimento nella black list societaria, risultano riferibili al periodo antecedente all’adozione del citato provvedimento del 2016 “e pertanto rispecchia(no) fisiologicamente l’anomalia già rilevata a suo tempo dal Garante… (tanto da essere oggetto di apposite prescrizioni con il citato provvedimento e del successivo piano di adeguamento posto in essere dalla Società ed ampiamente documentato alla stessa Autorità …” (in questi termini, il riscontro 2/5/2019). Confermando (v. nota dell'Autorità 25 luglio 2019) che le dette lacune non possono essere quindi contestate, risultano, tuttavia, successive al citato provvedimento – e quindi meritevoli di censura - le analoghe lacune acclarate nei confronti delle istanze di XX; XX; XX; XX; XX; XX; e, da ultimo, XX, ravvisandosi la violazione del diritto di revoca del consenso e di opposizione di cui, rispettivamente, agli artt. 7, par. 3, e 21, par. 2 e 3, del Regolamento (diritto, quello all’opposizione, già sancito dall’art. 7, comma 4, lett. b, Codice previgente).

Una carente gestione della volontà oppositiva degli interessati risulta anche con riferimento al malfunzionamento del software che non ha consentito per un ampio periodo (v. sopra par. 2.8) il tempestivo caricamento dei dinieghi in black list e la loro tempestiva e corretta risultanza su tutti i database societari.

Non risulta, inoltre, che la Società abbia correttamente gestito il trattamento dei dati dei c.d. “fuori lista” e le eventuali opposizioni effettuate dagli stessi (v. par. 2.1), né che abbia adeguatamente monitorato la corretta gestione dei dinieghi e la corretta implementazione delle black list da parte dei propri partner, essendo emerso, in particolare, che vari dinieghi sono stati registrati nei sistemi societari anche 451 giorni dopo la data del diniego (v. tabella allegata – n.1- a nota del 12/11/2019), e comunque ben al di là del riscontro dovuto per legge (senza ingiustificato ritardo o, tutt’al più, entro un mese dal ricevimento dell’istanza, come stabilito dall’art. 12, par. 3, Regolamento) (v. par. 2.1). La gravità della condotta di TIM emerge tanto più alla luce del fatto che nell’ordinamento vigente, il dissenso espresso one to one (dal singolo interessato al singolo titolare) prevale sul generico meccanismo autorizzatorio al marketing telefonico in regime di opt-out previsto dal Registro pubblico delle opposizioni rispetto alle utenze presenti negli elenchi pubblici (v. provv. gen. 19 gennaio 2011, cit.). 

Anche in base a quanto già detto riguardo alla responsabilità di TIM, quale contitolare riguardo a siffatte chiamate o comunque committente delle campagne promozionali, una ancor più grave violazione risulta riscontrabile rispetto alle utenze telefoniche che - pur poste nella black list marketing a seguito del citato provvedimento 22 giugno 2016, il quale ne aveva vietato il trattamento per finalità di marketing – tuttavia, risultano contattate nell’ambito delle chiamate “fuorilista” effettuate dai call center, in assenza di un’adeguata attività di monitoraggio e “filtro” di tali contatti promozionali che va rimproverata alla Società, quanto ai call center autori dei contatti. Né risulta che la Società, per tutti gli interessati in questione abbia comprovato, producendo idonea documentazione, il necessario consenso. Ciò, ferma restando la non applicabilità al caso di specie dell'istituto dell’interesse legittimo, ancorché prospettato dalla Società.

Peraltro non risulta in linea con il diritto di opposizione, né con il principio di correttezza, la prassi, talora emersa, di rivolgere, nell’ambito di una medesima campagna promozionale, un numero elevatissimo (anche 155 volte, tanto più considerato il periodo - mensile - del loro svolgimento) di telefonate alla medesima utenza; eccesso che può ritenersi agevolato da TIM nel momento in cui non risulta aver adottato misure organizzative e tecniche adeguate ad evitare, magari con adeguata vigilanza in loco, ricontatti promozionali indesiderati.

Anche con specifico riguardo alle comunicazioni effettuate da TIM, anche via sms, per finalità asseritamente endo-contrattuali, ma contenenti anche un’offerta promozionale nonostante il diniego degli interessati a ricevere comunicazioni promozionali (cfr. par. 2.3), è ravvisabile la violazione dei principi di finalità e correttezza del trattamento, nonché del diritto di opposizione al trattamento per fini promozionali (sanciti, rispettivamente, dall’art. 5, par. 1, lett. a e b, e dall’art. 21, par. 2 e 3, del Regolamento), nonché la violazione delle norme sulle comunicazioni promozionali automatizzate (artt. 6, 7, del Regolamento, e 130 Codice). Infatti, non rileva se l’offerta promozionale, in concreto, non avvantaggi l’impresa ma l’interessato (v. memoria TIM 10/10/2019), rilevando invece unicamente il contenuto, anche solo in parte, promozionale di prodotti e/o servizi.

Infine, con riferimento alle telefonate indesiderate causate da asseriti “sviste o errori” commessi da alcuni partner di TIM (cfr. par. 2.3), si ritiene che questi ultimi, oltre a rivelare, in capo ai call center, la possibile violazione di regole di diligenza tecnica e professionale, facciano emergere anche la responsabilità della Società, che non ha provato di aver sufficientemente operato per impedirli. Risulta, in particolare, riconosciuta alla medesima una culpa in vigilando, in quanto non emerge che TIM abbia adeguatamente verificato, anche con audit in loco, che non si effettuassero telefonate nei confronti di utenze in difetto di una idonea base giuridica, violando così l’art. 28, par. 3, lett. a), del Regolamento.

3.3. Dati clienti c.d. “OLO” e dati presenti in black list

Per maggiore chiarezza (anche rispetto a quanto indicato dalla Società al fine di ridurre il numero delle chiamate effettuate, facendo presente la percentuale di “raggiungibilità” delle stesse), occorre, preliminarmente, osservare che costituisce trattamento rilevante già l’inserimento del dato di utenza in liste di contattabilità nonché la telefonata promozionale effettuata, anche se non “raggiunga” l’interessato (perché magari questi non risponda o blocchi il tentativo di contatto).

Con specifico riferimento al quantitativo di clienti OLO inseriti nelle liste delle campagne prospect (cfr. par. 2.4), la Società non ha fornito prova che il trattamento per finalità promozionale sia stato effettuato in base a un preventivo idoneo consenso per l’attività di marketing dei singoli interessati, violando così gli artt. 6 e 7; considerando 32, 40, 42 e 43, del Regolamento, nonché art. 130 Codice (come già sancito dagli artt. 23-130, Codice previgente). In proposito cfr. altresì Linee guida in materia di trattamento di dati personali per profilazione on line - 19 marzo 2015), né risulta aver circostanziato e documentato altre diverse ed alternative basi giuridiche, con riferimento ai medesimi interessati.

La Società al riguardo (v. memorie 10/10/2019 e 12/11/2019, cit.), si è limitata a prospettare sull’origine dei dati riferiti agli OLO inseriti in campagne commerciali, che alcune utenze sarebbero ricavate dagli elenchi telefonici pubblici, ma senza documentare la necessaria attività di preventiva verifica presso il Registro pubblico delle opposizioni; altre sarebbero utenze rientrate in TIM, senza però circostanziare tale evenienza (in particolare: tempi; canale di raccolta), né fornire prova degli adempimenti dell’informativa e dell’avvenuta raccolta del consenso specifico al fine promozionale. Per le restanti, ha fatto espresso riferimento (solo nella nota 12/11/2019) ad un’anomalia della procedura che avrebbe determinato il conseguente inserimento nelle liste per la campagna promozionale. Pertanto, la Società ha altresì violato l’obbligo di cui agli artt. 5, par. 2, e 24 del Regolamento, posto in capo del titolare del trattamento di dimostrare la conformità del trattamento ai principi del Regolamento medesimo.

Per tali dati (clienti OLO) - come per i dati presenti in black list, oggetto di disallineamento sistematico - comunque, è opportuno ricordare che, a prescindere dal loro utilizzo o meno a fini promozionali, il relativo trattamento, per quanto detto, deve ritenersi illecito già in base alla non conformità ai principi di correttezza, limitazione della finalità, limitazione della conservazione, nonché esattezza ed integrità di cui all’art. 5, par. 1, lett. a), b) ed e), del Regolamento.

3.4. Il programma on line “TIM Party”

Con riferimento a “TIM Party” (cfr. par. 2.5), il fatto che la Società abbia subordinato l’adesione del cliente alle varie funzionalità del servizio all’acquisizione del consenso al trattamento dei dati che lo riguardano per finalità di marketing, unendo in una formula unitaria e inscindibile le diverse finalità contrattuali (erogazione di vantaggi e sconti; partecipazione a concorsi a premi) con le finalità promozionali, determina anche in questo caso una coazione della volontà dell’interessato, con conseguente violazione, da parte di TIM, dei principi di correttezza del trattamento, e della libertà di manifestazione del consenso (artt. 5, par. 1, lett. a, e 7, par. 4; considerando 32, 40, 42 e 43, Regolamento; principio peraltro già sancito dall’art. 23 del Codice previgente. Sulla necessità di un consenso libero e informato, cfr. altresì: Linee guida sul consenso ai sensi del Regolamento (UE) 2016/679, elaborate dal Gruppo Art. 29 e adottate dal Comitato europeo per la protezione dei dati nella versione del 10 aprile 2018; Parere n. 15/2011 sulla definizione di consenso – WP 187, adottato dal Gruppo Art. 29 il 13 luglio 2011; Raccomandazione CM/Rec(2010)13 del Comitato dei Ministri del Consiglio d’Europa agli Stati Membri sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto dell’attività di profilazione, 23 novembre 2010).

Infatti, non può definirsi libero, e risulta indebitamente necessitato, il consenso al trattamento dei dati personali che l’interessato deve prestare, accettando (nel caso di specie quale condizione per conseguire i vantaggi dell’operazione a premi) l’utilizzo di propri dati personali conferiti ad altri scopi per l’invio di comunicazioni pubblicitarie (ovviamente, il consenso a fini promozionali così acquisito al momento dell’adesione dell’interessato al programma “TIM Party” viene a sovrascriversi sul diniego eventualmente presente nei sistemi della Società). Gli interessati debbono essere invece messi in grado di esprimere (consapevolmente e) liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso (per così dire, ’modulare’) per ciascuna distinta finalità perseguita dal titolare, ulteriore rispetto all’adesione al programma di fidelizzazione “TIM Party” e alla fruizione dei relativi vantaggi. Mentre il trattamento di dati preordinato alla fidelizzazione in senso stretto può infatti ritenersi necessario all’esecuzione di un contatto del quale l´interessato è parte, per cui non necessita di alcun consenso per la sua esecuzione (art. 6, par. 1, lett. b, del Regolamento), ogni altra finalità di trattamento (es. profilazione, marketing, etc.) necessita, invece, del consenso libero, specifico, informato e distinto per ciascuna di esse (art. 6, par. 1, lett. a, del Regolamento). Tale capacità di autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un’autonoma valutazione e determinazione dell’interessato.

Orientamento, questo, che trova piena e costante corrispondenza anche nei provvedimenti di questa Autorità (v. in merito, provv. gen. 24 febbraio 2005, doc. web n. 1103045, nonchè fra i tanti, provv. 3-2-2005, doc. web n. 1109503; provv. 9-3-2006, doc. web n. 1252220; provv. 22-2-2007, doc. web n. 1388590; provv. 5-3-2009, doc. web n. 1615731; provv. 15-7-2010, doc. web n. 1741998; provv. 22-7-2010, doc. web n. 1741988; provv. 7-10-2010, doc. web n. 1763037; provv. 20 dicembre 2012, doc. web n. 2223607; provv. 24-1-2013, doc. web n. 2433614; provv. 21-11-2013, doc. web n. 2830611; provv. 9-1-2014, doc. web n. 2904350; provv. 25-9-2014, doc. web n. 3457687; 1° ottobre 2015, doc. web n. 4452896; provv. 27 ottobre 2016, n. 439, doc. web n. 5687770; provv. 10 marzo 2016, doc. web n. 4988238; provv. 11 febbraio 2016, doc. web n. 4885578; provv.  22 maggio 2018, doc. web n. 8995274).

L’orientamento medesimo è stato confermato dall'Autorità, anche dopo la piena operatività del Regolamento (v. provv. 12 giugno 2019, doc. web n. 9120218). Similmente risultano essersi espresse anche le Autorità di controllo degli altri Stati membri dell’Unione europea (v. ICO, Direct marketing guidance, version 1.124 ottobre 2013; CNIL, Délibération nº 2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux Cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978).

Si consideri altresì che la procedura relativa a “TIM Party”, in caso di mancato rilascio del consenso alle finalità promozionali, risulta in radice impedire di accedere a tale programma e, con ciò, la partecipazione a più servizi e funzionalità tutte riunite e condizionate, indistintamente, alla prestazione del detto consenso. In particolare, tale siffatta procedura risulta così pregiudicare l’interessato che intenda rimanere libero nelle scelte rispetto al trattamento dei dati che lo riguardano, al contempo discriminandolo - rispetto ai soggetti che si lasciano persuadere a rilasciare il detto consenso - riguardo all'accesso a più diversi benefici di apprezzabile contenuto economico. Tale preclusione, con specifico riferimento ai concorsi a premio indicati dal programma in questione, in una visione più sistematica, si pone in contrasto anche con i principi di gratuità e parità di trattamento che dovrebbero presidiare questa tipologia di iniziative (v. circolare 28 marzo 2002 n. 1/AMTC, “Prime indicazioni esplicative ed operative in merito alla nuova disciplina sulle manifestazioni a premio (D.P.R. n. 430 del 26 ottobre 2001)”.

La violazione della libertà degli interessati risulta ancor più grave perché realizzata massivamente rispetto a un numero elevatissimo di persone e perché il detto vincolo al consenso non risulta assistito né da una previa idonea ed apposita informativa per il trattamento dei dati dedicata al programma “TIM Party” (bensì, nella fattispecie, da una sintetica scheda di presentazione, ove non correttamente si afferma la ‘gratuità’ del programma), né dalla possibilità di revoca del consenso coartato in sede di adesione, con conseguente violazione degli artt. 7, par. 4, e 13 del Regolamento.

Non va poi sottovalutato che la Società avrebbe potuto sviluppare il proprio business e trarre utilità economiche (diverse dalla coartazione del consenso) a fronte dei benefici erogati (come la scontistica) e dei benefici potenziali (come per i concorsi a premio) in modi alternativi, peraltro diffusi nelle prassi consumeristiche, ad esempio prevedendo procedure che attribuiscano sconti riservati, oppure maggiori punti e sconti dedicati a chi più spenda o proceda a regolari acquisti, o analoghe forme di fidelizzazione tese a premiare i clienti più costanti ed alto-spendenti, tali da preservare il fondamentale diritto al consenso, che è peraltro fondamentale garanzia del potere di controllo sui dati rilasciati e sulle finalità del trattamento.

3.5. Le criticità riguardanti le App oggetto di istruttoria

In relazione alle App “My TIM”, “TIM Personal” e “TIM Smart Kid” (cfr. par. 2.6), è emersa la non conformità del trattamento agli artt. 5, par 1, lett. a), e 12, par. 1, del Regolamento, con specifico riferimento all’obbligo di informativa con modalità corrette e trasparenti, al fine di rendere consapevoli gli interessati del trattamento avente ad oggetto i dati che li riguardano. Invero sono risultate indicate, nella relativa informativa, attività di trattamento per finalità promozionali di geolocalizzazione e/o di comunicazione a terzi per finalità promozionali, pur non venendo in concreto svolte, secondo quanto dichiarato dalla Società.

Né è risultato che tali informative contenessero elementi adeguati, in termini di contenuto e di chiarezza della formulazione, riguardo agli effettivi trattamenti di dati effettuati dalla Società mediante tali App. Esigenza di correttezza e trasparenza, intesa anzitutto come agevole ed effettiva comprensibilità, che risulta evidentemente ancor maggiore quando si tratti di App (quale la “TIM Smart Kid”) rivolte (anche) a minori e altri soggetti vulnerabili, che andrebbe assicurata in concreto anche con idonei mezzi grafici, quali, ad esempio, icone “standardizzate” (v. considerando 60, Regolamento, e anche Linee guida del Gruppo Art. 29 sulla trasparenza, adottate il 29 novembre 2017 ed emendate l’11 aprile 2018).

Inoltre, la versione utilizzata da TIM, con riguardo alle App “My TIM”; “TIM Personal”; “TIM Smart Kid, al tempo degli accertamenti non richiedeva agli interessati un idoneo consenso per il trattamento dei dati personali a fronte di più finalità e di più operazioni di trattamento (fra le quali, in particolare: attività “statistiche”; di “dimensionamento del servizio”; “diagnostica”), pur indicate nell’informativa resa agli utenti, tra loro eterogenee e peraltro apparentemente non necessarie per l’erogazione dei servizi agli interessati mediante le App.

Si consideri altresì che la Società ha previsto una procedura ove risultava necessaria l’accettazione - congiunta e inscindibile - di “termini di servizio” e informativa privacy. Anche tale impostazione non può ritenersi né corretta né trasparente, in quanto - anche in assenza di un’effettiva capacità di modificare i consensi privacy precedentemente espressi dall’interessato – ingenera comunque il ragionevole dubbio negli utenti riguardo a una possibile interferenza della menzionata accettazione con la gestione dei consensi degli utenti ai trattamenti indicati nell’informativa.

Carenze particolarmente rilevanti in considerazione del fatto che tramite le App il titolare è in grado di acquisire (e quindi trattare) svariate tipologie di informazioni personali (v. rapporto ENISA “Privacy and data protection in mobile Applications. A study on the App development ecosystem and the technical implementation of GDPR, novembre 2017) e, proprio per tale peculiarità, l’interessato deve essere posto in grado di esprimere un consenso consapevole, libero, informato e specifico, in relazione al trattamento che si intende effettuare (v. inoltre, il Parere n. 2/2013 del Gruppo Art. 29 sulle applicazioni per dispositivi intelligenti - WP 202, del 27 febbraio 2013; le sopra citate Linee guida adottate dal Comitato europeo per la protezione dei dati in materia di consenso, specie p. 6; nonché il menzionato Parere 15/2011 sulla definizione di consenso del Gruppo Art. 29, pp. 35-37).

Pertanto, oltre ad un trattamento non corretto né trasparente, sono emerse modalità di acquisizione del consenso non conformi ai principi di libertà e specificità dello stesso in relazione ad ogni singola finalità perseguita (artt. 4, punto 11 e 7, par. 4 del Regolamento).

3.6. Modulo di autocertificazione del possesso di linea prepagata

Anche con riferimento al modulo di autocertificazione del possesso di linea prepagata (cfr. par. 2.7), si rileva la violazione del art. 7, par. 1 e 2, in combinato disposto con lart. 4, par. 1, punto 11, e del Regolamento per mancata acquisizione del consenso libero e specifico degli interessati, già sancito dagli artt. 23 e 130, Codice previgente. Ciò in quanto, con riferimento al detto modulo risulta acquisito un consenso unico per finalità contrattuali e finalità distinte e diverse per le quali sarebbe stato necessario un ulteriore e specifico consenso (promozionali e/o profilazione). Peraltro, a ulteriore conferma della loro non conformità, la Società ha comunicato, con la memoria del 10 ottobre 2019, di aver provveduto ad emendare gli stessi.

Al riguardo, quanto affermato dalla Società riguardo al mancato utilizzo, per finalità ulteriori (a quelle contrattuali), dei dati raccolti con tale mezzo contrattuale – peraltro in vero affermato, ma non adeguatamente dimostrato, non avendo prodotto la Società alcuna evidenza, tratta dai propri sistemi informativi, dai report delle campagne promozionali o aliunde, del mancato inserimento di tali dati in campagne promozionali condotte, direttamente o tramite terzi - non rileva in ragione di un’ulteriore necessaria considerazione. Ossia, che la raccolta e la successiva conservazione di dati personali realizzate in assenza del necessario consenso libero e specifico per la finalità promozionale, come effettuate dalla Società, costituiscono di per sé due operazioni di trattamento rilevanti ai fini della normativa in materia (v. provv. 12 giugno 2019, doc. web n. 9120218 nonché provv.ti 27 ottobre 2016, cit.; 20 novembre 2014, doc. web n. 365793), e quindi – diversamente da quanto sostenuto da TIM - sono da ritenersi illeciti trattamenti.

3.7. Disallineamenti e data breach

Con riguardo ai menzionati data breach (cfr. par. 2.8) emerge la violazione delle disposizioni tese a garantire, tramite adeguate misure tecniche ed organizzative, l’integrità e la riservatezza dei sistemi, l’esattezza dei dati, nonché a consentire la tempestiva attivazione delle procedure di verifica da parte dell’Autorità (v. artt. 5, par. 1, lett. d ed f); 32, par.1; 33, par.1, Regolamento).

Sono emersi, altresì, varie anomalie e disallineamenti relativi a un numero elevatissimo di dati personali della clientela. Tali disallineamenti, idonei a pregiudicare l’esattezza dei dati trattati, risultano aver avuto impatto anche sui consensi privacy riportati nelle schede anagrafiche della clientela. A tal proposito, nel corso degli accertamenti ispettivi, è stata constatata la presenza di un’inconsistenza fra i consensi privacy riportati nell’anagrafica di un cliente e il dato desumibile dall’esame dello storico dei consensi, anche qui con violazione dei principi di esattezza dei dati e integrità dei sistemi di cui all’art. 5 del Regolamento (cfr. p. 5, verbale 14/2/2019; p. 7, verbale 28/2/2019).

3.8. Violazione dei principi di accountability e privacy by design

Sono risultate non correttamente congegnate - e quindi non idonee a garantire una corretta gestione del diritto di opposizione - le procedure di caricamento dei dinieghi nei vari archivi, e, seppur in modo circoscritto, quelle atte ad impedire l’inserimento in campagne promozionali di utenze già presenti in black list. Ciò in quanto tali procedure non sono risultate, in particolare, idonee a consentire né una tempestiva registrazione dei consensi/dinieghi nei sistemi societari, né un corretto aggiornamento delle black list, considerata altresì la mancanza di criteri di codifica univoci e condivisi (v. par. 2.1). Inoltre, la policy di TIM è risultata gravemente carente riguardo alla gestione dei contatti effettuati dai partner nei confronti dei c.d. “fuori lista” e dei relativi dinieghi.

In tale quadro, la Società risulta aver così violato, sotto più aspetti, il principio di privacy by design, in quanto “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento” non risulta aver messo in atto adeguate “misure tecniche e organizzative adeguate … volte ad … integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati” (v. art. 25, par. 1; considerando 75 e 78, Regolamento).

Sotto un diverso profilo, TIM ha rivelato di non avere sufficiente contezza e capacità di render conto di vari fondamentali aspetti dei trattamenti effettuati dalla medesima direttamente o mediante soggetti terzi propri partner, e quindi ha evidenziato una non adeguata capacità di comprovare l’esatto adempimento della normativa in materia, risultando così aver violato il fondamentale principio di accountability (artt. 5, par. 2 e 24, par. 1 e 2, Regolamento).

In particolare, TIM - pur dando impulso, conoscendo e avallando la prassi instaurata dai partner, nonché traendo profitto, riguardo alle chiamate fuorilista effettuate dai propri partner commerciali - non è stata in grado, in sede di ispezione, di quantificare precisamente le stesse, né di fornire l’elenco delle numerazioni contattate, eccetto quelle andate a buon fine e, quindi, associate ad un Verbal Order. Inoltre, TIM ha avuto notevoli difficoltà nel chiarire persino il funzionamento della registrazione dei dinieghi e quindi delle black list, esplicitandone un più articolato funzionamento solo con la nota del 12 novembre 2019.

Peraltro, sempre con riguardo a tali chiamate, come sopra indicato, risultano gravi incongruenze – dal confronto di dichiarazioni e risultanze rispettivamente relative alla Società e ai suoi partner commerciali – in merito alla quantificazione sia delle chiamate fuorilista, incluse quelle “referenziate”, sia dei Verbal Order relativi a tale tipologia di contatti.

Si aggiunga che, talora (v. sopra, par. 2.1), si è rilevata, mediante verifica, in alcuni casi puntuale in altri a campione, una notevole divergenza fra le liste di contattabilità esibite da TIM e asseritamente fornite ai call center e quelle in concreto in possesso dei medesimi call center, per lo svolgimento delle campagne promozionali per suo conto, nonché fra le black list di TIM e quelle di alcuni call center, pur riferite alle campagne promozionali effettuate per tale Società. Divergenza che è stata solo parzialmente chiarita e documentata da TIM (v. memorie del 10/10/2019 e del 12/11/2019, nonché audizione del 5/11/2019).

Con riguardo al comportamento dei propri partner, per i quali TIM ha uno specifico obbligo di vigilanza (art. 28 del Regolamento), la Società - anche nel corso dell’audizione del 5 novembre 2019 e da ultimo con la nota del 12/11/2019 - non è stata in grado di chiarire compiutamente il mancato/tardivo inserimento nella black list dinieghi da parte dei partner nonché indicare e documentare le tempistiche relative all’effettivo inserimento dei dinieghi nei sistemi societari, manifestando un faticoso esercizio dell’obbligo di accountability.

La Società inoltre risulta aver preso adeguata contezza, solo in occasione dei citati accertamenti, dell’inadeguatezza dei moduli di autocertificazione del possesso di linea prepagata, peraltro risalenti al 2009, e non ha saputo fornire il numero di clienti business sottoscrittori di tale modulo, poiché non ha previsto “una specifica tracciatura per questa tipologia di modulo …”  Peraltro, a ulteriore conferma della loro non conformità, la Società ha comunicato, con la memoria del 10 ottobre 2019, di aver provveduto ad emendare gli stessi.

4. VIOLAZIONI RILEVATE

Il trattamento dei dati personali effettuato da TIM risulta ancor più grave se si considera che la medesima Società è stata, anche in tempi recenti (2016 e 2017), già destinataria di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni (marketing indesiderato; inadeguata gestione dei diritti degli interessati; data breach; cfr. provv. 22 giugno 2016, doc. web n. 5255159; 30 maggio 2007, doc. web n. 14125989; provv. 21 luglio 2016, doc. web n. 5436585). Ciò, senza considerare che, pur sotto un diverso profilo (telefonate indesiderate anche non a contenuto promozionale), è stata acclarata (v. provv. 6 aprile 2017, doc. web n. 6376175) l’ingiustificata attivazione da parte di TIM, a nome di un reclamante e a sua insaputa, di un numero elevato di linee di telefonia residenziale (oltre 800), trattamento di dati personali che ha interessato numerosi altri clienti.

Numerose sono poi anche le ordinanze ingiunzione adottate per le violazioni suindicate ed altre analoghe; a solo titolo esemplificativo, si richiamano le ordinanze ingiunzione del 3 ottobre 2013 (doc. web n. 2726332); del 16 maggio 2018, doc. web nn. 9370105 e 9370122); del 18 gennaio 2018 (doc. web n. 7665804).  

Si rileva - a conferma dell’ampiezza e del protrarsi delle criticità riscontrate - la persistenza di numerose segnalazioni e reclami, pervenuti all’Autorità anche in tempi successivi alla data delle operazioni ispettive effettuate presso TIM S.p.A. e i suoi partner commerciali fino alla data odierna, e contenenti doglianze analoghe a quelle accertate, su cui questa Autorità si riserva di svolgere ulteriori attività istruttorie.

Ad esito dell’analisi della documentazione complessivamente acquisita in atti, in considerazione di alcuni elementi emersi (quali, in particolare, fra gli altri, il numero elevatissimo di interessati coinvolti dai trattamenti in questione nonché la varietà e gravità delle violazioni riscontrate in capo a TIM), questa Autorità – valutate anche alcune misure di cui la Società ha prospettato la prossima implementazione - ritiene necessario un intervento ad ampio spettro (inibitorio, prescrittivo e sanzionatorio), al fine di garantire la conformità alla normativa vigente dei trattamenti oggetto del presente provvedimento.

Le sopra indicate violazioni accertate nei confronti di TIM, infatti, rappresentano la riprova, da un lato, di una politica attuata dalla Società in grave difformità dalla disciplina vigente, peraltro sotto molteplici profili; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate. Tale fenomeno è oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da costanti attività di controllo da parte dell’Autorità, capillarmente condotte con riferimento a tutti gli aspetti del fenomeno, dai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, dalla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center. I numerosi provvedimenti adottati in materia sono stati tutti pubblicati e ripresi con attenzione dai media, senza che ciò abbia comportato una sensibile contrazione del fenomeno, tanto da indurre l’Autorità, nell’aprile 2019, ad inviare una informativa generale alla Procura della Repubblica presso il Tribunale di Roma volta ad evidenziare le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.

Sulla base degli elementi sopra esposti, rilevate le violazioni indicate al par. 3 del presente provvedimento, si ritiene, ai sensi dell’art. 58, par. 2, lett. d) ed f), del Regolamento, di dover conseguentemente adottare nei confronti di TIM S.p.A. le misure correttive della limitazione definitiva di alcuni trattamenti, ingiungendo altresì di conformarli alla disciplina vigente come dettagliato nel dispositivo, nonché di dover adottare nei confronti della medesima Società un’ordinanza ingiunzione, ai sensi degli artt. 58, par. 2, lett. i), del Regolamento, 166, comma 7, del Codice, e 18 della legge n. 689/1981, per l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

Risultano infatti violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati da TIM S.p.A. a fini di marketing, per cui si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale, se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave (di cui all’art. 83, par. 5, lett. a, del Regolamento) assorbendo così le violazioni meno gravi (v. art. 83, par. 4, lett. a, e 5, lett. a e b, del Regolamento). Pertanto, le suindicate violazioni avendo ad oggetto, tra gli altri, i presupposti di liceità del trattamento di cui agli artt. 6 e 7, Regolamento, e 130 del Codice, sono da ricondursi, ai sensi dell’art. 83, par. 3 dello stesso Regolamento, nell’alveo della violazione più grave prevista per l’inosservanza dei predetti presupposti di liceità con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, lett. a), del Regolamento.

Ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento, che, nel caso di specie, assumono rilevanza sotto i seguenti profili:

1. l’ampia portata dei trattamenti, riguardanti quasi sempre (ad es., fanno eccezione i moduli per l'autocertificazione possesso linea prepagata, riservati a clienti business) la generalità di clienti ed utenti del servizio di telefonia e dei connessi servizi, nonché l’elevato numero degli interessati coinvolti, alla data degli accertamenti in loco (febbraio 2019), e in particolare: 2.894.292 linee coinvolte da disallineamenti dei sistemi informatici; i clienti che hanno scaricato le App “My TIM”; “TIM Personal”; “TIM Smart Kid” (rispettivamente: 7.000.000; 400.000; 10.000); i circa 2.000.000 clienti aderenti al programma “TIM Party “(art. 83, par. 2, lett. a) del Regolamento);

2. la gravità delle violazioni rilevate, in ragione: dei contatti illegittimi, e in particolare indesiderati, effettuati nell’ambito delle attività di telemarketing e teleselling (potenzialmente lesive di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, del diritto alla tranquillità individuale e del diritto alla riservatezza); di procedure di raccolta dei dati, come quelle previste per le App “My TIM”, “TIM Personal” e “TIM Smart Kid”, per i moduli di autocertificazione possesso linea prepagata e per il programma “TIM Party”, tali, di fatto, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e quindi anche da minare il fondamentale diritto all’autodeterminazione degli interessati (a prescindere da eventuali effettivi utilizzi degli stessi per le finalità non adeguatamente consensate, quali quella promozionale o di geolocalizzazione: v. App “My TIM”, “TIM Personal” e “TIM Smart Kid”); dell'accesso a diversi benefici di apprezzabile contenuto economico (fra cui scontistiche varie e concorsi a premio), precluso dal programma “TIM Party” agli interessati (già, naturalmente, gravati, in qualità di consumatori, dall'asimmetria informativa riguardo a moduli e clausole predisposti unilateralmente) che non vi hanno potuto aderire per salvaguardare la libertà del proprio consenso, anche in violazione dei principi di gratuità e parità di trattamento in materia di concorsi a premi; delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato, anche considerata l’inadeguata gestione del diritto di opposizione per il tramite delle black list; della molteplicità e varietà delle condotte (attive e passive) riferibili a TIM in violazione di più disposizioni del Regolamento e del Codice; delle riscontrate gravi carenze organizzative che hanno determinato un’inadeguata attuazione dei fondamentali principi di protezione dei dati fin dalla progettazione (privacy by design) ed accountability; della violazione dei fondamentali principi di esattezza dei dati, nonché di integrità e di riservatezza dei sistemi, come attestati da vari data breach, peraltro gestiti da TIM con notevole ritardo, e soprattutto dai vari disallineamenti dei sistemi che hanno interessato un numero elevatissimo di interessati (art. 83, par. 2, lett. a, del Regolamento);

3. la durata significativa delle violazioni e, in assenza di elementi precisi per alcune, prudenzialmente circoscritta da questa Autorità, anche se l'elevatissimo numero degli interessati coinvolti indurrebbe a retrodatare l'inizio delle stesse rispetto alla data di seguito individuata: per alcune (come quelle relative ai principi di privacy by design e accountability, nonché alla conservazione eccedente dei dati OLO), iniziate perlomeno dal 25 maggio 2018, data della piena operatività del Regolamento e non risultanti ancora compiutamente disciplinate e risolte; per altre (come il telemarketing indesiderato, protratte perlomeno fino al 9 ottobre 2019, quando TIM ha inviato ai propri partner nota in cui invitava gli stessi a non contattare i c.d. “referenziati”); per altre ancora (come la procedura prevista per l’installazione delle App individuate) perlomeno dal 25 maggio 2018 fino al febbraio 2019 (App “My TIM”, in vero, ulteriormente aggiornata nell'agosto 2019, e “XX Kid”) o al luglio 2019 (App “TIM Personal”); per i disallineamenti dei sistemi - che hanno impedito la completezza e correttezza della black list dinieghi e la loro corretta rappresentazione in tutti i data base societari- il malfunzionamento software risulta iniziato il 30/1/2018 e durato fino al 14/2/2019, nonché risolto il 8/3/2019; per “TIM Party” invece, la violazione risulta ancora in essere (art. 83, par. 2, lett. a, del Regolamento);

4. il carattere doloso delle seguenti condotte, con particolare riguardo alla loro ideazione e attuazione, in relazione ai seguenti profili: le scorrette informazioni rese agli interessati nell’ambito della procedura di installazione delle predette App e le modalità di acquisizione del consenso degli interessati che non ne hanno assicurato la libera manifestazione; le modalità di raccolta del consenso, non libero né specifico, mediante i moduli di autocertificazione del possesso di linea prepagata per finalità diverse quanto invasive (come marketing e profilazione); il servizio “TIM Party”, con riguardo all’acquisizione di un consenso non libero al marketing; il trattamento, mediante alcuni partner, dei dati di numerosi soggetti “referenziati”, in difetto del necessario preventivo consenso per le finalità promozionali, nonostante i precedenti provvedimenti inibitori e prescrittivi di cui TIM, proprio in materia di telemarketing indesiderato, era stata già destinataria e in contrasto con obblighi consolidati tanto nella codificazione legislativa quanto nell'orientamento del Garante (art. 83, par. 2, lett. b, del Regolamento);

5. il carattere gravemente negligente, più propriamente colposo, di altri trattamenti, come: la non adeguata attuazione dei fondamentali principi di privacy by design ed accountability, comprovate anche da varie anomalie procedurali e dalle evidenti difficoltà emerse nel fornire ricostruzioni certe e precise di alcune problematiche riscontrate; i numerosi data breach; la conservazione eccedente dei dati degli OLO e l’utilizzo, di una parte di questi, per finalità promozionali non consensate; la non adeguata gestione delle black list; la non adeguata attività di controllo dell'operato dei propri partner rispetto a contatti verso utenze digitate manualmente o frutto di asserite sviste/errori; ciò, anche tenuto conto dell’utilizzo di procedure in palese contrasto con il vigente quadro normativo e l’interpretazione fornita dal Garante con diversi provvedimenti generali e specifici; o, come per i dati degli OLO, tenuto conto che trattasi di trattamenti e prassi, in parte, non conformi, oltre che alla normativa vigente, alle procedure interne alla Società (art. 83, par. 2, lett. b, del Regolamento);

6. l’esistenza di numerosi precedenti provvedimenti - adottati da questa Autorità nei confronti di TIM - inibitori, prescrittivi e sanzionatori, questi ultimi definiti con pagamenti in misura ridotta o con ordinanze ingiunzione, fra cui quelle sopra citate, del 3 ottobre 2013; del 16 maggio 2018; del 18 gennaio 2018 nella quale, peraltro già si evidenziava che “TIM S.p.A. ha intrapreso una attività di contatto telefonico rivolta a soggetti che avevano espresso una chiara volontà di segno contrario, raggiungendoli con comunicazioni indesiderate o di disturbo … ha svolto la predetta attività sulla base di una scelta consapevole e non per mera negligenza, avendo acquisito, nel corso degli anni, attraverso la costante interlocuzione con il Garante, tutti gli elementi interpretativi che le avrebbero dovuto consentire di assumere delle decisioni in linea con l´ordinamento vigente e con gli orientamenti dell´Autorità, espressi in molteplici provvedimenti fra i quali quello indirizzato alla stessa TIM S.p.A. del 30 maggio 2007” (v. provvedimenti inibitori e prescrittivi del 22 giugno 2016, doc. web n. 5255159; del 21 luglio 2016, doc. web n. 5436585; del 6 aprile 2017, doc. web n. 6376175, aventi ad oggetto alcune violazioni analoghe a quelle accertate con il presente provvedimento) (art. 83, par. 2, lett. e, del Regolamento);

7.  la sussistenza di rilevanti vantaggi economici, perlopiù attuali o anche potenziali, derivanti dalle attività – in particolare, di telemarketing e teleselling indesiderato e da quelle connesse al programma “TIM Party” (con specifico riferimento al risparmio di risorse in termini di utilità negate, premi e sconti, ai clienti che non si sono iscritti al programma per non soggiacere all’obbligo di ricevere offerte promozionali) - svolte in violazione del Regolamento e del Codice, avuto riguardo sia al fatturato come indicato nel bilancio d’esercizio di TIM S.p.A. per l’anno 2018, ultimo disponibile (euro 13.901.473.076), sia alla primaria posizione di mercato del gruppo Telecom, e, in particolare, di TIM nel settore delle telecomunicazioni (art. 83, par. 2, lett. k, del Regolamento);

8.  quale attenuante, l’adozione di misure - pur limitate, se considerate rispetto alla varietà e alla gravità delle violazioni rilevate - per mitigare o eliminare le conseguenze delle violazioni. In particolare, TIM ha dichiarato (con nota del 10/10/2019) di aver modificato la procedura di installazione (inclusa informativa e consensi) dell’App “My TIM” e “TIM Smart Kid” a febbraio 2019 e delle App “TIM Personal” nel luglio 2019; con la nota del 10/5/2019, ha comunicato di aver risolto i contratti con due dei partner che hanno evidenziato criticità nella gestione di telefonate promozionali e di aver applicato penali contrattuali ad un altro partner, a causa di analoghe criticità. Con la memoria del 10 ottobre 2019, la Società ha rappresentato di aver modificato i suddetti moduli di autocertificazione del possesso di linea prepagata – senza che risulti in atti però aver fatto verifiche riguardo all’eventuale utilizzo di moduli con analoghe (non corrette) modalità di raccolta del consenso - nonché di aver sollecitato i propri partner a sospendere i contatti promozionali dei soggetti “referenziati”, prospettando loro possibili sanzioni come previste dai contratti intercorsi. La Società risulta altresì aver prospettato, perlopiù fra il 10 ottobre e il 12 novembre 2019 – ma non ancora attuato – alcuni rimedi, anche con specifico riguardo alle chiamate verso le utenze “referenziate” (in particolare: selezione e riorganizzazione della propria rete di vendita con meccanismi incentivanti, inclusa la compliance normativa; richiesta ai partner di fornire documentazione idonea a comprovare l’effettivo espletamento degli adempimenti in materia, come quelli relativi ad informativa e consenso; verifiche periodiche del loro operato, anche con accesso ai loro sistemi informativi). Tuttavia, ad oggi non risulta aver fatto alcun intervento sull’acquisizione non libera del consenso per il trattamento a fini promozionali di “TIM Party” (art. 83, par. 2, lett. c, del Regolamento);

9. quale attenuante, la cooperazione fornita nell’ambito degli accertamenti in loco e nel corso successivo dell’istruttoria, pur dimostrando, nel complesso, evidenti difficoltà nel rendere conto all’Autorità delle proprie effettive attività di trattamento e relativi adempimenti (art. 83, par. 2, lett. f, del Regolamento);

10. quale attenuante - nonostante l’invasività delle violazioni riscontrate, la tipologia di dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, ossia dati identificativi e di contatto (utenze telefoniche) degli interessati coinvolti nelle vicende di data breach; dati di contatto di soggetti “referenziati” e di altri interessati (clienti e prospect) non consensati per le invasive finalità promozionali (art. 83, par. 2, lett. g, del Regolamento);

11.  quale attenuante, la prospettata “partecipazione a tavoli di lavoro con associazioni di categoria per la definizione di regole e di codici di condotta applicabili agli operatori di mercato (teleseller)” (v. memoria TIM 10/10/2019; art. 83, par. 2, lett. j, del Regolamento);

12. quale attenuante, la perdita di fatturato conseguito nel 2018 rispetto all’anno precedente (2017), unitamente alla dichiarata contrazione della propria quota di mercato (art. 83, par. 2, lett. k, del Regolamento), nonché la prospettata situazione occupazionale della Società, che ha dichiarato che il proprio personale è in regime di solidarietà dal 2011 (art. 83, par. 2, lett. k, del Regolamento).

Peraltro, in applicazione dei principi di effettività, proporzionalità e dissuasività ai quali la presente Autorità deve attenersi nella determinazione dell’ammontare della sanzione (art. 83, par. 1, del Regolamento), si rende ulteriormente necessario prendere in considerazione i seguenti ulteriori elementi:

- l’ampio margine temporale concesso a tutti gli operatori del settore al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla nuova normativa europea, in vigore già dal 25 maggio 2016 e pienamente operativa dal 25 maggio 2018; adeguamento che TIM non risulta aver effettuato in maniera idonea;

- che la citata attività provvedimentale, con la quale sono stati forniti indicazioni e chiarimenti in materia (v. provvedimenti generali e Linee Guida citati nel presente provvedimento), e la costante interlocuzione dell’Autorità con i soggetti che operano nel settore del telemarketing, e in particolare con TIM (in quanto operatore più segnalato e, dunque, destinatario di numerose istruttorie) – possono ragionevolmente far ritenere raggiunta da tutti gli operatori (inclusa TIM), una sufficiente consapevolezza delle disposizioni che devono essere indefettibilmente osservate;

- quindi, alla luce di quanto sopra, la non adeguata dissuasività delle sanzioni sinora contestate a TIM, tenuto conto anche del fatto che il fenomeno delle chiamate indesiderate nell’ambito del telemarketing è stato oggetto di costante e puntuale attenzione da parte del legislatore (v., da ultimo, l. n. 5/2018) e del Garante, nonché di doglianze da parte dei cittadini;

- l’attuale persistenza di numerose segnalazioni e reclami, pervenuti all’Autorità in tempi successivi alla data degli accertamenti effettuati presso la Società fino alla data odierna, analoghi a quelli oggetto del presente provvedimento.

Tuttavia, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, occorre valutare prudentemente i suindicati vari criteri, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società.

Pertanto si ritiene che - in base al complesso degli elementi sopra indicati, a fronte della sanzione edittale massima (556.058.923,00 euro, pari al 4% del fatturato di TIM, ossia 13.901.473.076 euro, e non del più elevato fatturato del gruppo Telecom) - debba applicarsi alla medesima Società la sanzione amministrativa del pagamento di una somma pari allo 0,2% del suindicato fatturato corrispondente a euro 27.802.946,00 ventisettemilioniottocentoduemilanovecentoquarantasei).

Si rileva che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In tale quadro, si ritiene altresì – anche in considerazione dell’invasività dei trattamenti illeciti contestati rispetto ai diritti fondamentali degli interessati; dell’elevato numero degli stessi, anche potenzialmente, coinvolti; dei gravi disallineamenti rilevati nei sistemi informativi della Società; dell’inadeguato controllo della stessa nei riguardi dei propri partner e, infine, della scarsa dissuasività dei provvedimenti fino ad ora adottati da parte del Garante nei confronti della Società medesima - che, ai sensi dell’art. 166, comma 7, del Codice, e dell’art. 16, comma 1, del Regolamento del Garante n. 1/2019, si debba procedere alla pubblicazione del presente provvedimento sul sito web del Garante, a titolo di sanzione accessoria.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di limitazione definitiva del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento; inoltre, il mancato rispetto dell’ingiunzione impartita è sanzionata amministrativamente ai sensi dell’art. 83, par. 5, lett. e), Regolamento.

TUTTO CIÒ PREMESSO

rilevata l’illiceità, nei termini di cui in motivazione dei trattamenti nei termini effettuati da TIM S.p.A., con sede legale in Via Gaetano Negri n.1, Milano, C.F. 00488410010:

1)  ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, dispone la limitazione definitiva del trattamento entro 60 giorni dalla ricezione del presente provvedimento:

a) per finalità di marketing, di numerazioni dei soggetti già raggiunti da contatti commerciali con esito “diniego”, nonché di quelli presenti in black list;

b) per finalità di marketing, di numerazioni relative a soggetti “referenziati” in assenza di un idoneo consenso;

c) per finalità di marketing, dei dati della clientela OLO presenti nel CRM residenziale, in assenza di un idoneo consenso;

d) per finalità diverse dall’erogazione dei servizi mediante le suindicate App, dei dati della clientela che siano stati raccolti mediante le applicazioni “My TIM”, “TIM Personal” e “TIM Smart Kid” - anteriormente alle modifiche apportate dalla Società - in assenza di un idoneo consenso;

e) per finalità di marketing, dei dati della clientela che, prima di aderire al programma “TIM Party”, risulta aver espresso un diniego alla medesima finalità o non aver espresso alcuna volontà;

f) per finalità di marketing e profilazione, dei dati raccolti mediante i moduli di autocertificazione del possesso di linea prepagata, in assenza di un idoneo consenso;

2) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge alla medesima Società di effettuare, entro 180 giorni dal ricevimento del presente ricevimento:

a) la puntuale verifica della consistenza delle black list utilizzate, sia rispetto all’inserimento delle numerazioni di soggetti che si sono opposti o si oppongano al trattamento tramite il Customer care, sia rispetto all’inserimento delle numerazioni di coloro che si sono opposti o si oppongano al trattamento nel corso di un contatto commerciale attraverso i partner;

b) la tempestiva acquisizione delle eventuali black list utilizzate dai partner ai fini del successivo pronto riversamento, nella c.d. black list dinieghi, delle numerazioni ivi presenti, relative a contatti commerciali effettuati per conto della Società;

c) la verifica documentabile, ad intervalli regolari, dell’effettiva e tempestiva modifica della valorizzazione del consenso per attività di marketing e dell’effettivo inserimento in black list, relativamente alle numerazioni raggiunte da contatti commerciali con esito “diniego” che appartengano a clienti attivi presenti nel CRM della Società o a soggetti non clienti;

d) l’implementazione di misure tecniche ed organizzative riguardo alla gestione delle istanze di esercizio dei diritti degli interessati - e in particolare il diritto di opposizione alle finalità promozionali - che consentano di dar riscontro agli interessati, nonché individuare e recepire correttamente la loro effettiva volontà, senza ingiustificato ritardo, e comunque, al più tardi, entro 30 giorni dal ricevimento della richiesta, fatti salvi motivi legittimi prevalenti e fatta salva la necessità, tempestivamente comunicata agli interessati, di un’eventuale proroga per il riscontro;

e) l’implementazione di una procedura tecnica ed organizzativa, nel sistema di campaign management, che consenta alla Società di conoscere e governare correttamente, nonché di documentare adeguatamente, il fenomeno delle chiamate rivolte ad utenze c.d. ““fuori lista””, nonché di garantire che tali utenze vengano contattate per fini promozionali solo qualora si disponga di un idoneo consenso o sulla base di altra circostanziata e documentabile base giuridica ai sensi degli artt. 6 e 7 del Regolamento;

f) l’adozione di misure organizzative e tecniche atte a documentare e rispettare i dinieghi dei soggetti “fuori lista”, nonché a far circolare tali dinieghi anche presso i propri partner, affinché questi non procedano a contattare le utenze interessate;

g) l’implementazione di una procedura organizzativa, regolarmente verificata e documentata, finalizzata ad una più efficiente gestione delle eventuali future violazioni di dati personali, garantendo, in particolare, la relativa comunicazione senza ingiustificato ritardo al Responsabile per la protezione dei dati personali di codesta Società per le necessarie valutazioni e comunicazioni al Garante, nonché, ove ricorrano i presupposti, agli interessati i cui dati personali risultino coinvolti nelle violazioni; 

h) l'adozione di misure organizzative e tecniche, tali da assicurare, costantemente ed efficacemente, la conservazione dei dati dei clienti OLO nel rispetto dei principi di correttezza, legittimità, finalità e minimizzazione del trattamento, al fine di procedere al trattamento dei soli dati adeguati, pertinenti e limitati a quanto necessario per il perseguimento delle finalità legittime, nonché l'accesso ai medesimi dati esclusivamente al personale specificatamente autorizzato;

i) la cancellazione dei dati dei clienti OLO, qualora siano decorsi i termini espressamente previsti dall'ordinamento (inclusi i provvedimenti di AGCOM e di questa Autorità) e/o siano state esaurite le legittime finalità di trattamento, purché non sia ravvisabile alcun motivo legittimo prevalente per procedere con la conservazione;

l) il rafforzamento delle misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della Società;

m) l’effettuazione di specifici e documentati test di regressione volti a verificare, per ogni modifica (correttiva o evolutiva) riguardante i sistemi che trattano dati personali della clientela, che l’impatto della modifica stessa non riduca la qualità dei trattamenti effettuati e l’esattezza dei dati trattati;

n) la revisione della procedura relativa a tutte le App che, eventualmente, presentino lacune analoghe a quelle sopra rilevate, in modo tale che risultino compiutamente descritti - con linguaggio chiaro ed agevolmente comprensibile e, se del caso, anche mediante mezzi grafici - quali trattamenti sono effettivamente svolti dalla Società con indicazione specifica delle finalità perseguite e delle modalità di trattamento concretamente utilizzate; venga acquisito un libero e specifico consenso - distinto dall’accettazione dei “termini di servizio” - per ciascuna delle finalità diverse dall’erogazione del servizio, nonché dalle finalità amministrative e contabili;

o) la modifica della procedura di adesione del programma “TIM Party”, integrando l’informativa resa al riguardo, con l’indicazione delle modalità di trattamento a fini promozionali (es.: posta cartacea; telefonate con operatore; modalità automatizzate, quali posta elettronica, sms e/o telefonate preregistrate) e rendendo libera l’acquisizione del consenso per tali finalità;

p) la modifica di tutti gli eventuali moduli analoghi a quello di autodichiarazione possesso linea prepagata affinché venga raccolto un idoneo consenso per finalità diverse da quelle contrattuali, amministrative, contabili;

3) ai sensi dell’art. 157 del Codice, richiede a TIM S.p.A. di comunicare, entro 30 giorni dalla ricezione del presente provvedimento, quali iniziative siano state intraprese o che si intendono intraprendere al fine di dare attuazione a quanto ivi prescritto e di fornire comunque riscontro adeguatamente documentato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento;

4) ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, alla predetta TIM S.p.A., in persona del suo legale rappresentante pro-tempore, di pagare la somma di euro 27.802.946,00 (ventisettemilioniottocentoduemilanovecentoquarantasei), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 27.802.946,00 (ventisettemilioniottocentoduemilanovecentoquarantasei), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante.

Ai sensi degli artt. 152 del Codice e 78 del Regolamento, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 15 gennaio 2020

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia