[doc. web n. 10040382]

Provvedimento del 20 giugno 2024

Registro dei provvedimenti
n. 401 del 20 giugno 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1) L’ATTIVITÀ ISTRUTTORIA SVOLTA

Premessa.

Con note n. 139761/133009 del 12 ottobre 2023 e n. 25538/133009 del 29 febbraio 2024 (notificati nelle medesime date di adozione mediante posta elettronica certificata), che qui devono intendersi integralmente richiamati e riprodotti, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5 del Codice, due procedimenti per l’adozione dei provvedimenti di cui all’art. 58, par. 2 e delle sanzioni amministrative pecuniarie di cui all’art. 83, parr. 4 e 5 del Regolamento nei confronti di Fastweb S.p.A., (di seguito “Fastweb” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, Piazza Adriano Olivetti n. 1, C.F. 12878470157.

Si tratta di procedimenti avviati a seguito di ricezione, da parte dell’Ufficio, di plurime segnalazioni e reclami.

In particolare il primo dei due procedimenti, n. 139761/133009, ha ad oggetto diversi contatti telefonici a scopo promozionale effettuati da parte di Fastweb e dalla sua rete di vendita per acquisire nuovi abbonamenti ai servizi di telefonia fissa, mobile e internet. Esso contiene anche ipotesi di violazioni relative a possibili carenze nella gestione dei dati degli ex-clienti, sotto il profilo della sicurezza dei sistemi di raccolta e conservazione degli stessi, al mancato riscontro a istanze di accesso, cancellazione, rettifica e di esercizio di altri diritti dell’interessato.

Anche il secondo atto di contestazione n. 25538/133009 muove da segnalazioni dell’ultimo tipo descritto, ossia di incompleta trattazione di interpelli in materia di esercizio dei diritti, che l’Ufficio ha ricevuto dopo il 12 ottobre 2023, data di notifica del primo atto di avvio del procedimento.

Quest’ultimo ricomprende anche ipotesi di violazioni derivanti da due segnalazioni (nn. 316604 e 331661) relative alla conservazione dei dati di contatto dei clienti per l’invio di comunicazioni a contenuto promozionale, anche successivamente alla disdetta del contratto e per ulteriori 24 mesi.

1.1.1) Il procedimento n. 0139761/133009. La richiesta di informazioni del 2 dicembre 2022 e il riscontro fornito da Fastweb.

Come detto, a seguito di 58 segnalazioni e reclami l’Autorità, con nota rif. prot. 75428 del 2 dicembre 2022, ha inviato a Fastweb una richiesta di informazioni cumulativa per diversi fascicoli riferiti al periodo dal 1°ottobre 2021 al 31 ottobre 2022, inerente l’ambito delle telefonate indesiderate (49 fascicoli), oltre a profili ulteriori riguardanti: comunicazioni inviate per errore a soggetti diversi dai clienti (2 fascicoli); insufficiente riscontro a istanze di esercizio dei diritti degli interessati (1 fascicolo); cattiva gestione dei dati dei clienti sotto il profilo della sicurezza (6 fascicoli).

Con nota del 20 gennaio 2023, la Società ha fornito un analitico riscontro dal quale si evince che:

- l’80% circa delle segnalazioni relative a contatti indesiderati risulterebbero riconducibili a chiamate effettuate da numerazioni non iscritte al Registro degli Operatori di Comunicazione (ROC) o comunque non appartenenti alla rete di vendita ufficiale della Società;

- al riguardo, la Società ha evidenziato di aver denunciato siffatte abusive condotte di terzi presso la Polizia Postale di Milano;

- per altri casi (5 fascicoli), ha affermato, in modo documentato, che i numeri chiamanti erano correttamente registrati nel ROC da alcuni partner autorizzati come Supermoney S.p.A. o Accueil s.r.l., che avrebbero raccolto i dati di contatto dei segnalanti in occasione di proprie iniziative veicolate tramite web, nell’ambito delle quali gli interessati avrebbero rilasciato il proprio consenso specifico al trattamento dei dati personali per finalità di marketing;

- in un caso la chiamata promozionale sarebbe avvenuta a seguito di richiesta di ricontatto da parte del segnalante.

Con riguardo all‘esercizio dei diritti degli interessati ex artt. 15-22 del Regolamento (UE) 2016/679, la Società ha rappresentato, nell’unico caso che ha determinato l’avvio di un’istruttoria, che “diversamente da quanto indicato nella segnalazione, nel corso del periodo indicato, il [segnalante, n.d.r.] ha avuto delle interazioni con il servizio assistenza clienti Fastweb che hanno portato poi nel Giugno 2022 alla chiusura della pratica con il rimborso di quanto dovuto” e che, pertanto “non si rilevano mancanze nell’ambito dell’esercizio dei diritti degli interessati”.

Con riguardo alle lamentate criticità nella sicurezza dei dati personali degli interessati destinatari di chiamate promozionali per prodotti e/o servizi XX, ha anzitutto specificato che i segnalanti erano stati – o erano, ancora, al tempo delle verifiche – clienti Fastweb, ad esempio su tecnologia ADSL_WS. Questo tipo di tecnologia prevede che la società di telecomunicazioni erogatrice del servizio, nel caso de quo Fastweb, per l’utenza del cliente si avvalga dell’infrastruttura fisica di proprietà – o in gestione – di altro operatore di telecomunicazione. Sicché, qualsivoglia intervento sulla rete, di attivazione o supporto (selezione di guasti o richieste di assistenza), richiede il necessario coinvolgimento del soggetto gestore o proprietario della rete. Di conseguenza, risulta necessario, che, in tali situazioni, i dati dell‘utenza su cui è necessario l’intervento vengano comunicati al proprietario o gestore della rete. Tale condivisione è operata per il tramite del portale messo a disposizione del gestore, i cui standard di sicurezza sono stati oggetto di appositi interventi su richiesta dell’AGCOM (v. fasc. nn. 175615; 1795557; 183763); nell’ambito di tali operazioni gli interessati lamentano infatti di aver ricevuto comunicazioni promozionali non solo dal gestore della rete ma anche da altre società. Inoltre, da approfondimenti condotti da Fastweb sulle anagrafiche di altri segnalanti, è emerso che queste erano state accedute e visionate da propri dipendenti diversi dal personale all’uopo incaricato. Fastweb dunque ha proceduto in via disciplinare nei confronti del personale di cui ha accertato le responsabilità.

Inoltre, la Società ha aggiunto (producendo la relativa documentazione) che i fatti in questione sono stati denunciati all’Autorità Giudiziaria, affinché la stessa potesse accertare l’eventuale coinvolgimento di estranei anche in altre fattispecie, in ipotesi, più gravi di quelle trattate internamente (v. es. fasc. nn. 175615; 1795557; 183763).

1.1.2) La successiva richiesta di documenti del 31 marzo 2023 e il riscontro di Fastweb del 30 aprile 2023.

Alla luce di quanto sopra, l’Ufficio con successiva nota prot. n. 1492653 del 31 marzo 2023 ha concentrato l’istruttoria sui contatti effettuati da quattro agenzie-partner che acquisiscono liste anagrafiche da propri list providers, invitando il titolare, ai sensi dell’art 157 del Codice, a chiarire, nello specifico:

- le modalità di acquisizione, da parte delle agenzie-partner, del consenso a fini commerciali oltre che le modalità di comunicazione a terzi dei dati personali così raccolti;

- se nella raccolta dei consensi essi hanno agito quali titolari o quali responsabili del trattamento;

- quali verifiche opera la Società sulle liste di anagrafiche così acquisite dai suoi partners;

- in particolare se la versione delle liste di anagrafiche, una volta trasmesse a Fastweb, è quella definitiva, o se anche dopo la trasmissione l’agenzia-partner può continuare a modificarla.

Oltre a ciò, si è fatto richiesta dell’elenco dei contatti promozionali operati nel periodo fra il 1° ottobre 2021 e il 31 ottobre 2022 mediante l’utilizzo di liste così acquisite, nonché il numero dei contratti e delle attivazioni realizzate a seguito dei predetti contratti.

Infine, l’Autorità ha chiesto informazioni:

- sul sistema di “blocco ordini”, richiedendo di quantificare i contatti bloccati nei tredici mesi selezionati e di specificare la causale di ciascun blocco (numerazione fuori lista, numerazione uscente non iscritta al ROC o non autorizzata), illustrando altresì a quali misure l’operatore sarebbe andato incontro.

- sullo stato di dismissione del canale delle chiamate outbound delle agenzie, come da progetto condiviso con l’Autorità nel corso dell’istruttoria del precedente provvedimento n. 112 del 2021 (in www.gpdp.it. doc. web n. 9570997);

- di produrre un elenco delle proposte di acquisto (PDA) provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi di comunicazione elettronica nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi (di seguito anche “settimana campione”), suddivise fra “consumer” e “business”, al fine di verificare la correttezza del contatto promozionale.

La Società ha fornito riscontro con nota del 30 aprile 2023 (rif. prot. 0070466/23) – della cui veridicità risponde ai sensi dell’art. 168 del Codice Privacy – producendo, previa richiesta (accolta) di proroga dei termini, l’elenco delle PDA perfezionate nella settimana campione e rappresentando altresì che:

- alcuni partner della rete vendita che svolgono a vario titolo contatti outbound (ed in particolare, quelli rimasti a seguito dell’attività di dismissione avviata nel corso del procedimento culminato con l’ordinanza ingiunzione n. 112 del 2021) hanno ricevuto autorizzazione dalla Società a raccogliere dati di contatto tramite portali propri o iniziative social proprie, ovvero ad acquistare liste anagrafiche relative a clienti business, per trattamenti a fini promozionali esclusivamente riferibili a Fastweb e nel rispetto delle istruzioni impartite dalla medesima Società. Tale ultima facoltà è riservata a quelle particolari Agenzie c.d. Business Partner che si occupano di promozione dei servizi Fastweb verso la sola clientela business. Le liste acquistabili in tal modo sono comunque solo quelle contenenti contatti la cui fonte è l’Elenco Telefonico Generale (ETG);

- al contrario, “nell‘ottica di garantire i migliori standard in merito a/ controlli svolti sui contatti/outbound e la legittimità rispetto il trattamento dei dati personali”, i partner di Fastweb non sono autorizzati in nessun caso all’acquisto diretto di liste di contatti relativi a clienti residenziali.

Ed infatti, come rappresentato a seguito del provvedimento n. 112/2021, quest’ultima attività viene svolta in maniera centralizzata esclusivamente dalla sola Fastweb. Le attività di raccolta leads, cioè le c.d. “Iniziative”, in ogni caso, devono essere preventivamente autorizzate dalla Società, e dette autorizzazioni si basano sulla presenza di tutti i fattori di compliance rispetto alla normativa vigente;

- nei casi in cui un partner di Fastweb sia stato autorizzato alla raccolta e uso di leads tramite un proprio portale web piuttosto che un’iniziativa social o liste proprie di clienti business, le stesse sono sottoposte a verifica da parte di Fastweb sia preventiva sia successiva.

Il processo con cui sono gestite le c.d. “Iniziative” ovvero le liste proprie di clienti business, prevede che, prima dello svolgimento dei contatti, Fastweb sia portata a conoscenza dei dettagli per poter svolgere le opportune verifiche ed autorizzare la raccolta e l’utilizzo delle liste. Solo all’esito positivo di queste, il partner può avviare la raccolta dei leads che, successivamente, vengono portati a conoscenza di Fastweb tramite il preventivo caricamento delle stesse sul portale XX all’uopo dedicato. A questo punto, è possibile avviare le attività di contatto sulle numerazioni presenti nella lista caricata, sulla quale, si ricorda, sono poi svolte altresì attività di controllo (cd. mistery calls);

- le suddette anagrafiche sono caricate sul portale XX, tramite il quale si procede:

i. alle attività di deduplica rispetto alle blacklist di Fastweb;

ii. alla gestione della sovrapposizione per scongiurare che una stessa anagrafica sia assegnata a più partner durante la medesima pianificazione, il che rende maggiormente efficaci i controlli realizzati;

iii. all’assegnazione al partner per svolgere il contatto outbound; con riferimento alle novità introdotte con riguardo al Registro pubblico delle opposizioni (di seguito anche “RPO”), la Società rappresenta che i contatti effettuati nel giorno stesso in cui sono raccolte le anagrafiche sono a tutti gli effetti leciti anche in assenza di previa verifica all’RPO. Diversamente, quando il contatto interviene in data successiva a quella di raccolta del consenso, esso viene sempre preceduto dalla verifica degli stessi presso l’RPO, il che è condizione di legittimità del trattamento.

- Come ulteriore misura la società ha poi previsto che il compenso per la vendita effettuata viene erogato al partner con il vincolo che la numerazione utilizzata per la sottoscrizione del medesimo appartenga a liste assegnate. Ad ulteriore controllo, Fastweb svolge tramite la società terza XX, attività di c.d. “Validazione PDA”, in base alla quale si contatta il numero assegnato al partner tramite piattaforma XX, sul quale sia stata dichiarata una vendita, e si verifica che alla chiamata risponda precisamente l’intestatario del contratto caricato nel sistema di Order Entry, oltre che l’esperienza di vendita abbia seguito il corso corretto.

- Allo stato dell’arte, sono verificati oltre il 50% dei contratti inseriti e, di questi, il 100% conferma la sottoscrizione e l’intestatario del contratto.

- L’adozione del c.d. sistema di “blocco ordini” consente di impedire l’inserimento e conseguentemente l’attivazione di contratti che non risultino conformi alle policy adottate da Fastweb per la tutela dei dati personali. La piattaforma di Order Entry verifica prima dell’inserimento dei dati personali che: i) il recapito telefonico chiamato sia stato assegnato da XX a quel partner prima del contatto; ii) il partner abbia inserito su XX una dichiarazione di vendita con il CF/P.IVA del contatto chiamato. Se si verificano queste condizioni, l’Agenzia può inserire il contratto; in alternativa, il sistema genera un “KO” ed il contratto non è inseribile.

Il tutto viene ulteriormente verificato anche con l’incrocio da parte del Tool Log sul quale sono caricati i LOG dei contatti outbound svolti dai partner. Ciò posto, nel periodo dal 1° ottobre 2021 al 31 ottobre 2022 tale sistema di blocco degli ordini ha generato 3324 KO relativi a tentativi di inserimento di contratti frutto di contatti outbound.

- Laddove il sistema blocchi un ordine inserito, Fastweb per prima cosa richiede necessari chiarimenti da parte dell’Agenzia che ne ha tentato l’inserimento in spregio di una delle regole imposte. Se tali chiarimenti non sono sufficienti e si tratta dunque di un caso fuori lista o fuori range o di utilizzo di un numero chiamante non censito, la vicenda viene sottoposta all’attenzione del Sales Privacy Committee, l’organo aziendale indipendente a ciò preposto.

- Per quanto riguarda il cliente, lo stesso viene informato dell’accaduto per raccogliere con modalità tracciabile l’intenzione di portare avanti l’attivazione.

1.1.3) La verifica presso il registro delle opposizioni gestito dalla Fondazione Ugo Bordoni.

Al fine di effettuare i necessari controlli in ordine alla correttezza delle suddette attività di telemarketing, il 28 settembre 2023 l’Ufficio ha inviato alla Fondazione Ugo Bordoni, gestrice del Registro Pubblico delle Opposizioni, un elenco di 6592 numerazioni telefoniche tratte dalle circa trentamila PDA portate in attivazione nel periodo campione 6-13 marzo 2023.

In tale ottica sono state richieste informazioni, ai sensi dell’art. 157 del Codice, su quali numeri di telefono dei clienti, alla data del 31 gennaio 2023, fossero state iscritte nell’RPO, chiedendo di includere nei risultati anche le iscrizioni antecedenti all’entrata in vigore del d.P.R. 27 gennaio 2022, n. 26 di istituzione del nuovo registro, e in particolare al 27 luglio 2022, data in cui le iscrizioni sul vecchio registro sono state trasferite sul nuovo (art. 7, co. 11 ibidem).

In data 2 ottobre 2023 la detta Fondazione ha inviato il proprio riscontro, dall’analisi del quale sono risultate iscritte al Registro Pubblico delle Opposizioni al tempo delle chiamate promozionali effettuate da codesta Società, n. 511 utenze telefoniche, pari a circa il 7,75% del numero totale delle utenze contattate nel periodo campione.

1.1.4) Contestazione delle violazioni e difese della Società.

L’Ufficio, alla luce di tutti gli elementi e documenti complessivamente acquisiti, ha adottato il sopra richiamato atto di avvio del procedimento n. 139761 del 12 ottobre 2023 nel quale, in sintesi, ha ritenuto la condotta della società in possibile contrasto con la disciplina in materia di dati personali sotto due profili:

- l’accesso di personale aziendale estraneo alla gestione delle pratiche aperte per la risoluzione di problematiche tecniche – e quindi non “autorizzato” ai sensi dell’art 29 del Regolamento – impone di valutare la possibile violazione degli artt. 5, par. 1, lett. f) e 32, par. 1. lett. b), del Regolamento;

- l’aver contattato 511 utenze telefoniche nell’ambito delle attività di telemarketing svolte nel periodo campione dal 6 al 13 marzo 2023, in costanza dell’iscrizione delle medesime utenze al RPO – con il conseguente vincolo di non contattabilità – comporta la ravvisabilità dei presupposti della violazione dell’art. 130, commi 3 e 3-bis del Codice, riguardanti le comunicazioni elettroniche, nonché, più in generale, dell’art 6, par. 1 lett. a) del Regolamento, con riguardo alla mancanza della necessaria base giuridica del consenso per legittimare il trattamento dei dati in questione per fini promozionali.

A fronte dell’avvio del procedimento, la Società in data 14 novembre 2023 ha presentato proprie memorie difensive (rif. prot. 153235/23), con cui, unitamente all’audizione, svoltasi nella sede dell’Autorità il 5 dicembre 2023 (rif. prot. interno 0162150/23), ha chiesto l’archiviazione del procedimento sulla base dei seguenti motivi.

Innanzitutto, sul presunto accesso di personale non autorizzato alla gestione delle problematiche tecniche alla base dell’asserita violazione degli artt. 5, par. 1 e 32, par. 1 lett. b) RGPD occorrerebbe, ad avviso della Società, operare dei distinguo.

Un conto sarebbe, infatti, il trattamento dei dati telefonici nei casi di cui a due dei tre fascicoli contestati, i nn. 175615 e 179555, effettuati, questi sì, da un sedicente operatore di rete terza, nella fattispecie XX. sulla base di accordi di interconnessione per la fornitura di servizi di terminazione su reti fisse e mobili.

In particolare, secondo tali accordi, l’operatore virtuale, nel caso in esame Fastweb, si avvale dell’infrastruttura fisica di proprietà – o in gestione – di altro operatore di telecomunicazione, nel caso de quo XX, per qualsivoglia intervento sulla rete, di attivazione o supporto (selezione di guasti o richieste di assistenza).

Con quest’ultima, in conformità alle disposizioni dell’AGCOM, Fastweb condivide informazioni necessarie all’esecuzione dei contratti di servizio, come i dati dell’utenza. Ciò avviene mediante sistemi informatici del cui funzionamento e rispetto degli standard di sicurezza risponde solamente l’operatore ospitante proprietario della rete, in veste di titolare autonomo del trattamento, cioè sempre XX.

Sul punto peraltro Fastweb richiama quanto già illustrato nel corso dell’istruttoria che ha condotto al precedente provvedimento n. 112 del 25 marzo 2021.

Infatti, già negli atti difensivi di quel procedimento la Parte lamentava, anche con denunce presentate a questa Autorità, la riconducibilità degli illeciti trattamenti di dati telefonici dei propri clienti ad accessi avvenuti illegalmente su banche dati tenute da XX, come attestavano anche procedimenti incardinati presso altre Autorità di controllo, per i profili di loro competenza, in relazione agli stessi fatti.

Quanto all’ambito concorrenziale, in particolare, la Società in sede di audizione ha ribadito la necessità, per il titolare della linea, di adottare condizioni standardizzate, anche alla luce delle disposizioni normative e regolamentari che regolano il settore, quali, rispettivamente, il Codice delle comunicazioni elettroniche (D. Lgs. 1° agosto 2003 n. 259) e le delibere AGCOM di regolazione dei servizi di interconnessione.

Tutt’altra vicenda, invece, riguarderebbe l’altro dei tre fascicoli contestati, il n. 175615, derivante da episodi di molestie e minacce per aver rifiutato offerte commerciali, ricevute da un cliente Fastweb e provenienti da ignoti.

A seguito di fondati sospetti su un operatore di un call-center la Società ha effettuato delle verifiche mirate e ha individuato, denunciato penalmente e sanzionato in via disciplinare il responsabile di tali illeciti.

Ciò ha evidenziato come gli invii di sms ingiuriosi e minatori, poi ricondotti al dipendente in questione, sia un fatto sì grave ma non ricollegabile alla Società attraverso il suo dovere di comprovare l’adozione di adeguati modelli di prevenzione della violazione dei dati personali nella propria organizzazione interna. Ciò in quanto l’autore dei fatti aveva diritto di trattare, tra i vari, anche quel dato, secondo il sistema di distribuzioni di incarichi e compiti interno all’azienda, e sia pure limitatamente alle finalità promozionali che connotavano la mansione dell’operatore in questione.

Nulla avrebbe potuto, però, la Società, nel caso in cui il dipendente autorizzato al trattamento di un dato personale per un certo scopo avesse deciso di utilizzarlo, come poi è stato, per inviare contenuti inappropriati: il fatto non rientra nel tipo di rischi dai quali normalmente l’azienda è tenuta, in generale, a cautelarsi mediante l’individuazione di misure di sicurezza.

A tale scopo, si sono rivelate peraltro adeguate quelle già predisposte in ottemperanza al precedente provvedimento correttivo e sanzionatorio n. 112 del 2021 (alle quali la parte rinvia) e che ordinava “l’adeguamento delle misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta.”.

Quanto alla contestazione di cui al punto n. 2), dal totale delle 511 numerazioni considerate nel periodo campione ne andrebbero preliminarmente escluse 285 in quanto, benché facenti capo a soggetti iscritti al Registro Pubblico delle Opposizioni da prima del giorno del contatto, comunque non utilizzati dal titolare a scopo promozionale o di ricontatto, trattandosi di clienti che hanno acquistato servizi Fastweb di persona, o presso un negozio o presso un punto vendita, e non mediante tele-selling.

L’indagine dell’Ufficio andrebbe quindi circoscritta alle sole numerazioni del periodo campione effettivamente contattate per l’acquisto a distanza dei servizi Fastweb, corrispondenti a 226 numerazioni, ossia il 3,43% circa del totale delle 6592 numerazioni campione.

In questo ambito occorrerebbe ulteriormente distinguere tra le chiamate da un lato (i) inbound e (ii) websales (queste ultime a loro volta divisibili tra call me-back e comparatori), effettuate in virtù di consenso dell’interessato successivo alla data di iscrizione nel Registro e dunque legittimo ai sensi dell’art. 1, co 6 della legge n. 5 dell’11 gennaio 2018.

Dall’altro, le chiamate (iii) outbound, richiederebbero una trattazione separata. Infatti, ove queste siano effettuate a numerazioni di soggetti non clienti, derivando da liste acquisite nel rispetto dei principi impartiti dal titolare, esse presupporrebbero l’acquisizione del consenso dell’interessato in maniera legittima.

Inoltre, il numero viene sempre verificato al Registro delle Opposizioni ogni volta che si prevede di effettuare una telefonata promozionale “a freddo”, ossia in un giorno successivo a quello di acquisizione del consenso.

Quanto invece alle telefonate sui numeri dei propri clienti, queste a detta di Fastweb sarebbe di per sé legittime anche in assenza di consenso marketing, in quanto frutto di legittimo interesse aziendale a proporre ai propri clienti servizi migliorativi o comunque collegati a quelli già acquistati.

1.2.1) Il secondo procedimento: la richiesta di informazioni del 28 novembre 2023 e il riscontro di Fastweb S.p.A. del 19 dicembre 2023.

Con successiva richiesta di informazioni del 28 novembre 2023, rif. prot. 0158998/23, l’Ufficio sottoponeva a Fastweb S.p.A. la segnalazione rif. prot. 167397/23 avente ad oggetto la presunta illegittimità del form-web di modifica dei consensi che la stessa aveva inviato via mail ai clienti in occasione delle modifiche all’informativa sul trattamento dei dati.

Dalla segnalazione emergeva infatti che in occasione dell’inserimento nella privacy policy delle nuove informazioni in ordine alla conservazione a scopo promozionale dei dati personali dei clienti, numeri telefonici compresi, fino a 24 mesi dalla cessazione del contratto, ai clienti veniva sottoposto un modello di consensi precompilato tale che, in assenza di qualsiasi selezione da parte dell’interessato, la conservazione dei dati (anche telefonici) a fini promozionali si considerava ammessa.

Viceversa, la procedura per apportare eventuali modifiche ai consensi appariva carente nella funzione di salvataggio, il che rendeva comunque non esercitabile il diritto di opposizione al trattamento.

La società con nota di riscontro del 19 dicembre 2023 (rif. prot. 167397/23) illustrava, innanzitutto, che l’opzione di salvataggio delle modifiche era regolarmente riconosciuta dall’apposita funzione posizionata in fondo alla pagina di modifica dei consensi.

In secondo luogo, la società negava la violazione del principio dell’opt-in in quanto non applicabile nel caso di specie: al contrario, quale base giuridica della conservazione dei dati di contatto degli ex clienti a fini promozionali vi sarebbe il mero legittimo interesse aziendale a trasmettere comunicazioni commerciali anche una volta cessati i contratti, per 24 mesi e fino a loro opposizione.

1.2.2) La contestazione delle violazioni e le difese della società.

L’Ufficio, alla luce di tutti gli elementi e documenti complessivamente acquisiti, ha adottato un nuovo atto di avvio del procedimento n. 25538 del 29 febbraio 2024 nel quale, in sintesi, ha ritenuto la condotta della società in possibile contrasto con la disciplina in materia di dati personali sotto i seguenti ulteriori profili:

- il trattamento dei dati dei clienti, in corso e cessati da meno di 24 mesi, per finalità promozionali, dichiaratamente operato sulla base del legittimo interesse non opposto, risulterebbe in violazione degli artt. 6 Regolamento (UE) n. 679/2016 e 130 Codice Privacy che individuano invece nel consenso preventivo e univocamente reso, per ciascun dato di contatto (numero di telefono compreso) l’unica base giuridica per l’invio di comunicazioni elettroniche a carattere promozionale, ancorché per servizi connessi o collegati a quelli già acquistati (con la sola eccezione dell’art 130 co. 4 del Codice, non invocabile nel caso in esame, come diffusamente infra);

- ferma restando l’inidoneità della base giuridica del legittimo interesse per il trattamento in questione, quanto all’esigenza di coltivare una relazione qualificata con i propri clienti cessati, al fine di ricondurla alla base giuridica del legittimo interesse, non pare giustificabile in ogni caso che essa si protragga indistintamente per tutti i dati di contatto conosciuti dalla società per un periodo tanto lungo quale quello di 24 mesi dalla cessazione, con possibile pregiudizio dei diritti e delle libertà degli interessati in base a quanto stabilito dagli artt. 5, par. 1, lett. c), e) e 2 del Regolamento rispettivamente in materia di minimizzazione dei dati, limitazione della conservazione  e responsabilizzazione;

- l’informativa privacy non rispetta i principi di chiarezza, trasparenza e facilità di comprensione di cui all’art. 12, co 1 del Regolamento. I trattamenti nell’ambito dell’esecuzione del contratto e quelli a scopo pubblicitario, cui sono ricollegate le rispettive basi giuridiche, sono elaborati in maniera incompleta. È risultato infatti che solo alcuni trattamenti a scopo promozionale sono ricollegati espressamente alla base giuridica del consenso: altri, come quello oggetto di contestazione (segnatamente l’aggiornamento dell’offerta e le promozioni che consentono di avere sconti o vantaggi su servizi già attivati), pur avendo la stessa natura giuridica, sono considerati al pari di forme di trattamento dati a fini contrattuali.

-  Fastweb ha omesso di riscontrare tempestivamente e in modo esaustivo diverse istanze di esercizio dei diritti da parte dei clienti, di cui essi hanno lamentato la lesione a vario titolo.

La società, previo differimento del termine di presentazione degli scritti difensivi di cui all’art. 166, comma 6 del Codice, che l’Autorità le ha riconosciuto in conformità alla previsione normativa di cui all’art. 13 del regolamento n. 1 del 2019 dell’Ufficio del Garante concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali (in www.gpdp.it, doc. web. n. 9107633, anche “il Regolamento n. 1/2019”), con memoria del 15 aprile 2024 (rif. prot. 47417/24) ha osservato innanzitutto che il fascicolo n. 133009 è lo stesso del procedimento che ha portato al provvedimento n. 112 del 25 marzo 2021, nonché del presente procedimento avviato con atto del 12 ottobre 2023 (rif. prot. 139761/23) e proseguito con atto del 29 febbraio 2024 (25538/23).

Quanto invece al nuovo trattamento di dati personali annunciato con l’aggiornamento dell’informativa inviata alla Customer Base e consistente nell’invio di informazioni circa i beni e/o servizi offerti da Fastweb per 24 mesi dalla cessazione del rapporto contrattuale e salva l’eventuale opposizione da parte dell’interessato, che costituisce l’oggetto principale della presente contestazione, la società ha offerto alcune precisazioni.

Innanzitutto, sia la programmazione della campagna, sia l’effettuazione dei singoli contatti verso i clienti e gli ex-clienti, sarebbero validamente sorretti dal legittimo interesse aziendale a portare a loro conoscenza le iniziative in questione, a prescindere dal loro consenso.

In ogni caso nessun invio di materiale promozionale, neanche quello in oggetto, è stato effettuato senza l’invio dell’informativa aggiornata, a riprova della massima attenzione alla protezione dei dati dei clienti nell’esercizio dell’attività di impresa.

La società, nel compiere una valutazione approfondita degli interessi in gioco, al fine di bilanciare equamente l’interesse aziendale con la salvaguardia dei diritti degli interessati ex-clienti, ha identificato precisi limiti nello svolgimento della promozione in questione, tra cui per esempio un congruo periodo di tempo per opporsi al trattamento e il remind alla facoltà di opposizione che, se esercitata, comporta l’esclusione dalle liste di contatto.

In particolare, Fastweb ha ritenuto legittima la procedura come sopra evidenziata in ragione di quanto stabilito dal considerando 47 del Regolamento in tema di marketing diretto, e la disciplina interna ne sarebbe una conferma: l’art. 130, co. 1 del Codice, che recepisce l’art. 13 della Direttiva 2002/58/CE, andrebbe interpretato come norma che, in via eccezionale, legittima le comunicazioni elettroniche a scopo promozionale sulla base del solo consenso dell’interessato quando queste sono svolte mediante l’uso di sistemi automatizzati o senza l’intervento di un operatore (regola che il comma successivo estende a posta elettronica, messaggi e comunicazioni automatizzate di altro tipo). Viceversa, le telefonate con operatore di cui al comma 3 del medesimo articolo ricadrebbero nella disciplina generale, in applicazione degli artt. 6 e 7 del Regolamento.

In questo quadro, il quarto comma sul c.d. soft spam, nel legittimare l’utilizzo, in assenza di consenso, delle coordinate di posta elettronica dei clienti per finalità di marketing diretto limitatamente a servizi o prodotti del titolare analoghi a quelli oggetto di una precedente vendita, sarebbe espressione di un principio generale, applicabile, sia pur nel solo ambito dei rapporti con la Customer Base, anche a dati di contatto diversi dall’e-mail, ad esempio il numero di telefono.

In tal senso viene richiamato anche un passaggio del provvedimento precedente n. 112 del 25 marzo 2021 dove non è escluso che “i contatti basati sul legittimo interesse possano riguardare proposte commerciali legate a servizi già offerti al cliente”, come anche un provvedimento a carattere generale dell’Autorità di controllo spagnola, il n. 1 del 26 giugno 2023, che ribadisce l’idoneità del legittimo interesse quale base giuridica, in generale, delle comunicazioni a scopo pubblicitario.

Con riferimento alla modalità di opposizione e gestione dei consensi (punto A.2 delle memorie), la società ha ritenuto il form-web sotto esame conforme al quadro normativo vigente, in quanto la base giuridica indicata per giustificare tutti i trattamenti oggetto di contestazione, ossia il legittimo interesse, sarebbe unica per tutti i dati di contatto trattati a scopo promozionale: dunque non occorrerebbe evidenziare al suo interno alcun distinguo poiché l’interessato può esercitare la propria opposizione ai richiamati trattamenti sia con riferimento alla complessiva finalità, sia optando per specifici canali di contatto (mail, telefono, sms).

Quanto poi alle comunicazioni con i clienti cessati (punto A.3 delle memorie), Fastweb ha deciso di non limitare la conservazione finalizzata agli invii dei contenuti promozionali al solo canale ritenuto meno invasivo, ossia la posta elettronica, in primo luogo perché l’art. 130 del Codice, nell’interpretazione offertane dalla parte, considererebbe il contatto via telefono meno invasivo e quindi da preferire all’indirizzo e-mail (il primo infatti conserverebbe margini di utilizzo anche in assenza di consenso, il secondo invece è assimilato ai sistemi automatizzati e utilizzabile solo previo consenso). In secondo luogo, anche in ottica di efficacia del messaggio promozionale, la società ritiene che un messaggio veicolato a voce, in quanto più “umano,” possa superare quello scritto, più freddo e asincrono, specie nel caso in questione dove l’offerta è formulata nel prevalente interesse del destinatario e verte solitamente sull’aggiornamento delle infrastrutture.

Anche sotto il profilo della data retention, Fastweb ha rappresentato che la conservazione dei dati personali di clienti cessati per un periodo di 24 mesi sarebbe legittima, ribadendo che la relazione qualificata fra titolare e responsabile non si esaurisce per effetto della conclusione del contratto e quindi il termine di conservazione individuato pare congruo alle finalità, anche nell’ottica di assicurare la miglior tecnologia infrastrutturale presente sul mercato e alla luce della giurisprudenza del Garante sui programmi di fidelizzazione dei clienti (provvedimento del 24 febbraio 2005, in www.gpdp.it, doc. web n. 1103045).

In ogni caso, coerentemente con il fatto che, secondo il titolare, la base giuridica del trattamento di entrambe le tipologie di dati è identica (cioè, ancora una volta, il legittimo interesse), anche il termine di conservazione dovrebbe essere lo stesso (peraltro, una differenziazione comporterebbe lo sviluppo di processi aziendali non sostenibili, in quanto la proposta o l’offerta del servizio non sarebbe astrattamente categorizzabile in base alla sua efficacia di trasmissione via email piuttosto che attraverso l’uso del numero di telefono).

Ribadita quindi l’esigenza, quanto al termine di conservazione per finalità promozionali, di allineare tutti i dati di contatto su una soglia comune, la società ha riconosciuto che il limite di conservazione pari a 24 mesi può essere soggetto a modifiche.

Con riferimento, poi, al punto B), relativo alla violazione dei principi di correttezza e trasparenza dell’informativa, già oggetto, per altri profili, del precedente provvedimento sanzionatorio n. 221 del 25 marzo 2021, Fastweb ha ribadito la correttezza del proprio operato: l’invio di comunicazioni per finalità di ”aggiornamento dell’offerta”, ancorché riconducibili, ad avviso della Società, alla gestione del rapporto contrattuale, è stata invece ricollegata alla diversa base giuridica del legittimo interesse, in ragione delle caratteristiche promozionali delle comunicazioni medesime.

Più precisamente, la società ha ritenuto non ingannevole questa formulazione in quanto, considerando corretto fondare quest’ultimo tipo di trattamento (ove svolto anche mediante contatto telefonico) sul legittimo interesse, non ha ritenuto di doverne separare la trattazione né di doverlo collocare nel paragrafo n. 6 dedicato ai trattamenti basati sul consenso.

In ordine poi al punto C), riguardante il mancato, incompleto o tardivo riscontro a istanze di esercizio dei diritti degli interessati ex artt. 15-22 del Regolamento, occorrerebbe distinguere:

- fascicolo n. 323331 – l’istante ha segnalato l’avvenuta modifica, a suo dire non richiesta, dei consensi marketing al contatto telefonico. Tuttavia era stato lo stesso istante a chiedere la revoca del consenso marketing proprio in occasione di un contatto indesiderato. Il riscontro è avvenuto con le successive comunicazioni provenienti dalla casella aziendale “no-reply” del titolare, di cui l’istante ha confermato la ricezione;

- fascicoli nn. 325741 e 317883 – a seguito della cessazione del contratto, il reclamante ha chiesto la cancellazione dei propri dati alla società; nel termine di 30 giorni dalla richiesta, Fastweb ha rappresentato un generico impedimento consistente nel malfunzionamento del sistema di chiusura della posizione del cliente. A seguito di numerosi solleciti, l’interessato, una volta scaduti i termini per riscontrare l’interpello, ha proposto reclamo all’Autorità. A seguito dell’apertura del fascicolo e nel corso dell’interlocuzione ormai avviata con l’Ufficio (nel caso del fascicolo n. 325741, anche con richiesta di informazioni e contestuale invito ad aderire nei confronti della società ex art. 157 del Codice dell’8 gennaio 2024, rif. prot. 1915/24), la società, sia pure tardivamente rispetto all’originaria richiesta (e, nel caso del fascicolo 325741, in adesione alle richieste dell’Ufficio), ha provveduto alla cancellazione dei dati personali dell’interessato;

- fascicolo n. 292562 – un cliente, a seguito della cessazione del contratto per il servizio di rete fissa, ha lamentato che i dati riportati sulla lettera di vettura per la restituzione del modem sono stati trascritti in maniera errata, su tutti il proprio indirizzo postale. All’istanza di rettifica la società ha risposto con un ritardo di oltre cinque mesi rappresentando che l’indirizzo riportato nella lettera (nel campo sia del destinatario sia del mittente) era quello del vettore incaricato da Fastweb di ricevere la consegna del modem, il cui trattamento era autorizzato per motivi contrattuali. Pertanto, nel caso in argomento, non vi era stato alcun errore ma una semplice indicazione operativa per il corretto dispacciamento del plico;

- fascicolo n. 316719 – la segnalante ha lamentato svariati contatti telefonici fraudolenti da sedicenti operatori Fastweb aventi come scopo la migrazione ad altro operatore. I numeri di telefono non sono riferibili in alcun modo alla Società, che infatti a seguito della segnalazione li ha immediatamente denunciati alla Procura della Repubblica. Sul presupposto che i trattamenti fossero stati realizzati per conto o con la partecipazione di Fastweb, la segnalante ha esercitato i propri diritti ai sensi degli artt. 15-22 del Regolamento, e la Società ha fornito riscontro direttamente tramite l’operatore di call center interpellato;

- fascicolo n. 331661 – il reclamante, a fronte di alcuni contatti promozionali indesiderati da parte della compagnia in questione, ha avanzato via PEC una richiesta di risarcimento danni, intendendo nel contempo revocare il consenso marketing rilasciato al momento della conclusione del contratto con Fastweb. La società, decorso più di un mese dal ricevimento dell’interpello ha riscontrato positivamente la richiesta dell’interessato.

2)  VALUTAZIONI DELL’AUTORITÀ

Deve premettersi che il presente provvedimento si occupa del complessivo fenomeno del marketing e telemarketing indesiderato, per il quale la Società è stata destinataria negli anni di numerosi provvedimenti provenienti dall’Autorità.

In particolare meritano menzione i provvedimenti nn. 300 del 18 ottobre 2012 (in www.gpdp.it, doc. web n. 2368171), 235 dell’18 aprile 2018 (in www.gpdp.it, doc. web n. 9358243), 441 del 26 luglio 2018 (in www.gpdp.it, doc. web n. 9040267) e 112 del 25 marzo 2021 (in www.gpdp.it, doc. web n. 9570997) che hanno imposto prescrizioni, divieti di trattamento e sanzioni amministrative in relazione a milioni di contatti tramite telefono e sms, che Fastweb e la propria rete di vendita hanno posto in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.

Proprio l’ultimo provvedimento n. 112 del 25 marzo 2121, in particolare, a seguito di un’approfondita istruttoria, è culminato con l’ingiunzione di molteplici misure, tra cui le prescrizioni ex art 58, par. 2 lett. d) del Regolamento di:

- adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione;

- riformulare l’informativa relativa al servizio “Call me back” indicando specificamente le modalità di ricontatto da parte di Fastweb S.p.A. e, sempre in relazione al predetto servizio, di prevedere una modalità automatizzata di disattivazione del servizio;

- adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;

Più in generale, in materia di telemarketing e di tele-selling l’Autorità ha adottato numerosi provvedimenti che hanno delineato il quadro regolamentare, anche di altre aziende operanti nel territorio nazionale, tra i quali si menzionano i provvedimenti nn. 143 del 9 luglio 2020, in www.gpdp.it, doc. web n. 9435753; 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681; 183 del 13 aprile 2023; 81 dell’8 febbraio 2024, in www.gpdp.it doc web n. 9988710).

2.1) Della riunione dei procedimenti

I due procedimenti avviati separatamente meritano di essere riuniti ai sensi del menzionato Regolamento del Garante n. 1/2019.

Essi hanno ad oggetto, per un verso, identità di questioni, ossia la programmazione e l’invio di comunicazioni elettroniche in assenza di idonea base giuridica, contestate sia nel primo che nel secondo atto di avvio del procedimento.

Per altro verso, gli addebiti ulteriori che caratterizzano il secondo procedimento riguardano il medesimo titolare, sia pure per diversi trattamenti di dati personali (art. 10, co 4 del Regolamento n. 1/2019).

Viceversa, preme osservare che la trattazione disgiunta dei procedimenti e la relativa definizione in via indipendente l’uno dall’altro darebbe luogo, oltre che a una duplicazione di provvedimenti su questioni strettamente connesse, alla possibile valorizzazione, a sfavore del titolare, dell’uno quale precedente violazione dell’altro, rilevante quale circostanza aggravante ai sensi dell’art. 83, par. 2 lett. e) del Regolamento.

2.2) con riferimento al primo procedimento;

Con riferimento alla prima delle due contestazioni (punto D1), le difese di Fastweb paiono fondate. In particolare, di recente la CGUE nella pronuncia della III Sezione, 25 gennaio 2024 (causa C-687/21, BL contro MediaMarktSa-turn Hagcn-Iscrlohn GmbH) ha ribadito che le misure tecniche e organizzative attuate dal titolare necessitano di una valutazione di adeguatezza in concreto: in quel caso, il fatto che un dipendente del titolare, mediante una condotta isolata, avrebbe consegnato per errore a un terzo non autorizzato un documento contenente dati riservati di per sé non appare sufficiente a ritenere inidonee le misure di prevenzione adottate dal titolare.

A maggior ragione questo vale nel caso della dipendente di Fastweb in questione, che ha rivolto a un estraneo comunicazioni ingiuriose e non riguardanti il contesto di lavoro, e lo ha fatto non per mero errore ma di proposito.

Con riferimento alle violazioni oggetto della contestazione D2 in materia di telemarketing, occorre operare alcune distinzioni.

Innanzitutto deve rilevarsi, anche a seguito delle osservazioni difensive, che le numerazioni del periodo campione effettivamente contattate per l’acquisto a distanza dei servizi Fastweb ammontano a 226 e non 511: la Società infatti ha chiarito che le restanti si riferiscono a vendite “in presenza” all’interno dei negozi Fastweb.

Tra questi 226, occorre distinguere i contatti in tre categorie:

- 34 sono contatti inbound e costituiscono l’attività telefonica ricevuta sul numero verde.

- 139 sono contatti websales, ossia attività di ricontatto telefonico a seguito di una richiesta formulata via web sul sito della compagnia. Si tratta di un fenomeno molto diffuso presso le compagnie telefoniche, che Fastweb ha già dovuto correggere in seguito al menzionato provvedimento n. 226 del 25 marzo 2021 (sia pure per profili diversi da quelli in oggetto), in base al quale la Società in un primo momento riceve una manifestazione di interesse a un generico ricontatto, se del caso, anche con finalità promozionali, registrandola tramite un portale web dedicato e con tempi e modi previsti nell’informativa privacy, per poi provvedere in un secondo momento al ricontatto.

- 53 sono contatti outbound, attività di contatto telefonico solo in uscita su numerazioni di cui viene acquisito in un primo momento il consenso.

Quanto alla prima categoria, i consensi espressi mediante richieste di ricontatto al numero verde (telesales inbound) appaiono idonei a legittimare i successivi contatti avvenuti dopo il 31 gennaio 2023, data presa a riferimento da questa Autorità per verificare l’avvenuta iscrizione al RPO dei numeri contattati.

Infatti, l’art. 1, co 6 della legge n. 5 dell’11 gennaio 2018, recante nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato, afferma che l’iscrizione nel RPO annulla solo i consensi rilasciati in precedenza: quelli in esame invece, in quanto successivi, non subiscono l’effetto dell’iscrizione e quindi valgono a legittimare i successivi ricontatti a scopo promozionale.

Ciò è sufficiente a giustificare i contatti inbound, per i quali la manifestazione del consenso avviene contestualmente al contatto telefonico: non essendoci un intervallo tra i due momenti, non può neanche ipotizzarsi che una qualche richiesta di iscrizione al RPO intervenga nel periodo intermedio.

Viceversa, nel caso degli 82 contatti websales acquisiti attraverso la apposita funzione call me-back sui siti comparatori, se è pur vero che anche questi consensi sono successivi alla data di iscrizione nel RPO, residua tuttavia uno spazio temporale tra l’inserimento del numero di telefono e il ricontatto, che può iniziare il giorno stesso ma di solito si protrae su più giornate.

In questo arco temporale può accadere che l’interessato, per via di un ripensamento, rinnovi la sua iscrizione al RPO con effetto di travolgere, tra i nuovi consensi marketing, anche quello rilasciato tramite websales.

Infatti, da una parte vi è specificato che il consenso marketing è del tutto facoltativo: se il relativo box non viene spuntato, è comunque possibile inviare a buon fine la richiesta di ricontatto del numero a scopo solo precontrattuale.

Vieppiù, ai sensi dell’art. 6, co 1 lett. a) del Codice di condotta per le attività di telemarketing e tele-selling (provvedimento del Garante n. 70 del 9 marzo 2023, pubblicato in Gazzetta Ufficiale n. 73 del 27 marzo 2024 e che è invocabile come best practice a prescindere dalla sua diretta applicabilità al caso in esame) dovrebbe essere prevista una procedura di cui non vi è traccia nella pagina web del servizio in questione, ossia il c.d. double opt-in, in base al quale il consenso acquisito on line viene confermato dall’interessato in risposta a un messaggio automatico di verifica inviato immediatamente dopo la trasmissione del numero di telefono. Ciò consente di verificare che a venire ricontattato sia effettivamente qualcuno interessato all’offerta, e non un terzo estraneo.

Infine, dato che la procedura di iscrizione all’RPO si completa entro un giorno lavorativo, ove il ricontatto sia programmato e avvenga in un giorno successivo all’acquisizione del consenso marketing nelle descritte modalità (il che è ben possibile per quanto riportato dalle informazioni complessivamente presenti sul sito e qui sintetizzate) la società non ha dimostrato di adottare, per il periodo intermedio in questione, procedure di verifica delle iscrizioni al RPO.

Va osservato inoltre che, per quanto riguarda gli 82 ricontatti avvenuti con queste modalità dai c.d. comparatori (siti web che consentono all’interessato di confrontare diversi operatori in base al servizio richiesto, ad es. XX), la società nelle note integrative dell’audizione del 5 dicembre 2023 (rif. prot. in ingresso n. 168558/23, pag. 2), afferma che il periodo di tempo che intercorre tra la manifestazione di interesse e la sottoscrizione del contratto è solitamente di qualche giorno.

Deve osservarsi che il criterio sopra enunciato, in base al quale se il contatto avviene a distanza di tempo dall’acquisizione del consenso è necessario procedere a riscontro della numerazione con il Registro delle opposizioni, viene seguito ordinariamente da Fastweb in caso di chiamate outbound ad opera dei telesellers (pagina 4 delle medesime note integrative), per cui non vi è motivo che il medesimo criterio non sia applicato anche alle procedure di “Call me back”.

Di una verifica analoga (e del suo esito negativo) è pur vero che è stato dato conto nelle memorie difensive, tuttavia si è trattato di controlli una tantum appositamente eseguiti dopo la comunicazione di avvio del procedimento in questione: non vi è traccia, invece, di controlli ex ante.

Tale omissione risulta in contrasto con gli artt. 5 ss. del d.P.R. 27 gennaio 2022, n. 26 (Regolamento recante disposizioni in materia di istituzione e funzionamento del registro pubblico dei contraenti che si oppongono all'utilizzo dei propri dati personali e del proprio numero telefonico per vendite o promozioni commerciali, ai sensi dell'articolo 1, comma 15, della legge 11 gennaio 2018, n. 5) che sanciscono l’obbligo di consultazione del RPO in via preventiva rispetto al contatto telefonico; obbligo, quest’ultimo, strumentale all’applicabilità dell’art. 130 del Codice, in tema di comunicazioni elettroniche commerciali basate sul consenso.

Infine quanto proprio alle 53 chiamate outbound, i consensi sono raccolti dal teleseller il giorno stesso in cui i clienti vengono contattati. Nel caso in cui il contatto intervenga successivamente, è pur svolta una procedura di consultazione del RPO presso la FUB atta a consentire il trattamento del numero di telefono per cui è raccolto il consenso promozionale per un tempo più lungo.

Tuttavia, con particolare riferimento alle chiamate effettuate per proporre l’acquisto di servizi e prodotti analoghi a quelli acquistati, ossia 9 su 53, queste vengono considerate lecite pur in assenza di consenso marketing ove effettuate nei confronti degli attuali clienti (o, come esposto nel paragrafo precedente, anche ex-clienti cessati da meno di 24 mesi), ritenendosi sufficiente nel loro caso la non opposizione al legittimo interesse dell’impresa.

Risultano infatti effettuate telefonate promozionali con queste modalità a 9 dei 53 contatti outbound oggetto di contestazione: di questi risulta documentata solo l’iscrizione al RPO al 31 gennaio 2023. Non è stato provato nessun consenso marketing successivo a tale data.

Né, a tal proposito, merita accoglimento la tesi per cui le comunicazioni commerciali all’indirizzo dei propri clienti (tanto in corso quanto cessati) non necessiterebbero di consenso; ciò contrasta con l’art 130 del Codice.

L’art. 130 costituisce infatti la trasposizione dell’art. 13 della Direttiva 2002/58/CE, che a sua volta disciplina, in ambito europeo, le comunicazioni indesiderate mediante strumenti elettronici.

La norma sovranazionale afferma un principio duplice.

Da una parte è stabilito, a garanzia dell’interessato, che l’unica base giuridica ammessa per l’invio di materiale pubblicitario mediante strumenti elettronici è il consenso di questi (regola dell’opt-in), con ciò venendo escluse tutte le altre previste dagli artt. 6 e ss. del Regolamento.

Tale regola trova applicazione al menzionato art. 130, comma 1 del Codice, che disciplina così le telefonate senza l’intervento di un operatore.

Il co. 2 del medesimo articolo estende poi la medesima disciplina anche alle comunicazioni elettroniche di altro tipo quali la posta elettronica e gli SMS.

D’altra parte, per i contatti realizzati con mezzi diversi, tra cui il canale telefonico tradizionale/con operatore, la Direttiva menzionata lasciava agli Stati membri la facoltà di scegliere se mantenere la base giuridica del consenso (opt-in) oppure giustificare l’attività pubblicitaria del titolare solo sulla base del mancato rifiuto dell’interessato (opt-out), esercitabile, in Italia, mediante l’iscrizione dell’utenza al Registro Pubblico delle Opposizioni.

La regola dell’opt-out è considerata un punto di equilibrio tra l’attività di impresa, il marketing e il diritto dell’interessato di farvi opposizione, pertanto è adottata dal legislatore euro-unitario come unica alternativa per le comunicazioni meno invasive, come quelle non automatizzate/con operatore.

Nel dare attuazione alla normativa sovranazionale esaminata, l’art 130 del Codice adotta quindi l’opt-in come regola generale, recependo l’opt-out solo al co. 3-bis con riferimento all’impiego del telefono (evidentemente solo con operatore, perché le telefonate automatizzate, come detto, sono vincolate all’opt-in in base al primo comma) e della posta cartacea.

La previsione vale solo per le numerazioni e gli indirizzi postali pubblicati negli elenchi dei contraenti di cui agli artt. 129 s. del Codice.

Con riferimento, invece agli indirizzi postali riservati e alle numerazioni riservate, non avendo il legislatore italiano disposto espressamente alcunché, si applica la regola generale delle comunicazioni elettroniche a scopo pubblicitario, ossia l’opt-in.

Conferma di ciò si ravvisa anche nella disciplina particolare del citato RPO.

Infatti, la Legge 5/2018 - che ha sostanzialmente mutato l’impianto normativo conferito dal D.P.R. 7 settembre 2010 n. 178 e che disciplina l’istituzione e il funzionamento del RPO - fa riferimento esclusivamente a trattamenti basati su consensi precedentemente espressi che, con l’iscrizione nel detto Registro, sono revocati, “fatti salvi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, ovvero cessati da non più di trenta giorni” (v. art. 1, comma 5, della cit. Legge 5/2018). Da ciò si desume che:

- un titolare che abbia un rapporto contrattuale con un interessato può effettuare comunicazioni promozionali telefoniche nei confronti di quest’ultimo solo se può documentare il possesso di un idoneo consenso.

Questo, infatti, se mantiene validità nonostante l’iscrizione della numerazione nell’RPO, a maggior ragione vale a giustificare il trattamento in mancanza di qualsiasi opposizione.

- L’iscrizione nell’RPO non vale a revocare il consenso del cliente, per il quale, in ragione della propria posizione particolarmente qualificata, sono previste altre forme di revoca.

Ciò dimostra che il trattamento dei dati del cliente a scopo pubblicitario è sempre sorretto dal suo consenso, sia pure diversamente revocabile rispetto a chi, non essendo cliente, si avvale del RPO per opporvisi.

2.3) con riferimento al secondo procedimento;

Anche nel corso del secondo procedimento è emersa quale violazione principale l’aver portato i propri clienti a doversi attivare per rifiutare dei trattamenti che per legge dovrebbero essere sempre vietati in via predefinita.

Innanzitutto, sull’osservazione difensiva relativa all’identità del numero dell’odierno procedimento con quello che ha determinato l’adozione del richiamato provvedimento n. 112 del 25 marzo 2021, si evidenzia che il numero di fascicolo è un mero contenitore, che non identifica univocamente un solo procedimento ma serve all’Ufficio per classificare gli atti, essendo attribuibile anche a distinti procedimenti, alcuni conclusi e altri in corso di trattazione.

Con riguardo, poi, al punto A.1 delle memorie di parte, si rileva quanto segue.

Il considerando n. 47 menzionato, che non ha forza di legge, non è da riferire alle comunicazioni elettroniche, che sono invece disciplinate dal richiamato art. 130 del Codice e con il quale il descritto sistema dei consensi aziendale si pone in diretto contrasto.

La disciplina applicabile alla fattispecie illustrata richiede, come esaminato nel paragrafo precedente, il consenso quale unica base giuridica del trattamento del dato telefonico a scopo promozionale, a prescindere che si tratti di soggetti già clienti.

Non può essere invocato il legittimo interesse quale base giuridica dell’attività di marketing, come pur dichiarato dalla Società nel suo riscontro, in quanto, in deroga all’art. 130, comma 4, del Codice che disciplina le ipotesi del cosiddetto soft spam ammettendo, al ricorrere di specifiche condizioni, l’invio di comunicazioni promozionali senza il consenso dell’interessato esclusivamente attraverso il canale e-mail, ogni altra comunicazione promozionale effettuata al di fuori di tali condizioni e utilizzando un canale diverso ricade nella più generale disciplina dell’art. 130 del Codice, che prevede come base giuridica solamente il consenso dell’interessato.

Come illustrato nel paragrafo precedente, infatti, l’art. 1, comma 5, ult. periodo della legge n. 5 dell’11 gennaio 2018 nello stabilire che per i rapporti contrattuali in essere (o cessati da meno di trenta giorni) l’iscrizione al RPO non incide sulla revoca del consenso ai trattamenti per finalità di marketing, postula proprio tale consenso quale base giuridica dei trattamenti a scopo promozionale quand’anche questi siano riferiti ai propri clienti.

Fastweb commette l’errore interpretativo di considerare la disciplina dell’art 130, comma 4 del Codice come eccezionale solo rispetto ai primi due commi dell’articolo in commento, che dispongono il consenso come unica base giuridica delle telefonate automatizzate. Non riconoscendo, invece, che la norma ha portata speciale anche rispetto al comma 3 (che riguarda le telefonate con operatore verso numeri pubblici), erroneamente la considera, al pari di quest’ultima, una disposizione ulteriormente ricognitiva degli artt. 6 e 7 del Regolamento suscettibile di applicazione analogica alla totalità dei rapporti, a scopo promozionale, con la customer base, indipendentemente dalla scelta del mezzo di contatto, che sarebbe rimesso alla valutazione discrezionale del titolare anziché vincolato dal legislatore alla sola e-mail.

In forza di questa lettura, la società si ritiene autorizzata ad adottare il legittimo interesse quale base giuridica per l’attività promozionale tout court nei confronti dei propri clienti, non solo via email ma anche mediante il canale tradizionale.

Questa interpretazione risulta in ovvio contrasto con la legge in commento.

L’art 130, co. 4 non solo non rinvia alla disciplina generale degli artt. 6 e 7 del Regolamento, bensì pone una disciplina derogatoria con riferimento sia a questa sia a quella specifica in materia di comunicazioni elettroniche a scopo commerciale (artt. 130, commi 1-3-bis del Codice).

La norma infatti non individua una base giuridica diversa per il cd. “soft-spam” nei confronti dei propri clienti, semplicemente si limita a non ritenerne necessaria nessuna al ricorrere delle due condizioni ivi previste: l’una soggettiva riguardante la platea dei destinatari, ossia i clienti; l’altra, oggettiva, riguardante il mezzo di contatto, ossia l’indirizzo email e il contenuto del messaggio promozionale, che deve risultare analogo al servizio acquistato in precedenza, così da farne presumere l’interesse.

Solo in presenza di queste condizioni sussiste la ratio di privilegiare la relazione qualificata già instaurata per effetto dell’avvenuta conclusione di un contratto, potendosi prescindere dal consenso.

Proprio in ragione della portata sicuramente eccezionale della norma in commento, è da respingere ogni forma di analogia legis, motivo per cui ogni comunicazione promozionale effettuata, ancorché ai propri clienti, con mezzi diversi dalla mail, quali in ipotesi il numero di telefono, rende necessaria la scelta di un’apposita base giuridica, ricadendo così nella più generale disciplina dell’art. 130 del Codice e, in particolare, al principio dell’opt-in.

Peraltro il passaggio del provvedimento del Garante n. 112 del 25 marzo 2021 richiamato nelle memorie di parte è tratto dall’iter argomentativo a sostegno, in quel provvedimento, del giudizio di accertamento della violazione consistita nello svolgimento di attività di marketing sulla sola base del legittimo interesse riguardante servizi non provenienti dal titolare bensì da parte di terzi, nei confronti dei quali l’interessato è perfettamente estraneo e non vanta quella relazione qualificata che ha solo con il titolare e che ne farebbe presumere l’interesse alla ricezione delle offerte.

Invece in questo secondo procedimento il legittimo interesse è invocato non a proposito del contenuto o della provenienza del messaggio, bensì del mezzo di comunicazione elettronica usato per veicolarlo, dato che questo non può essere rappresentato dal numero di telefono dei clienti, ma solo dall’indirizzo email.

Dunque la violazione, che nel presente provvedimento è contestata quanto al canale prescelto per la trasmissione del contenuto promozionale, ossia lo svolgimento di attività di marketing ai propri clienti in assenza di consenso, è la stessa che nel precedente provvedimento era stata addebitata con riferimento alla provenienza del messaggio da un’azienda terza.

Per tutte le ragioni esposte l’impianto delle comunicazioni promozionali di Fastweb tramite mezzi di comunicazione elettronica nei confronti dei propri clienti è da considerarsi illegittimo per violazione dell’art. 6, par. 1, lett. a), 7 del Regolamento e dell’art. 130 del Codice, in quanto basato sull’opt-out e sulla indebita non opposizione al legittimo interesse, invece che sull’opt-in.

In tal senso, anche le modalità di opposizione e di gestione dei consensi risultano in contrasto con il quadro normativo in esame (punto A.2 delle memorie).

Infatti, essendo diversa la base giuridica del trattamento dei dati per finalità di telemarketing a seconda dello strumento con cui avviene la promozione (a mezzo telefonico con operatore, a mezzo telefonico senza operatore o con altri messaggi automatizzati, via posta elettronica o, infine, via posta cartacea), essa deve essere giustificata in modo differenziato per ciascuno di essi: il trattamento per scopi di cui all’art. 130 del Codice dei dati telefonici dei clienti/ex-clienti non può essere mai basato su valutazioni tout court circa il legittimo interesse del titolare, bensì occorre il consenso come unica condizione di legittimità e, a tal fine, anche il modulo di raccolta del consenso deve riprodurne questa regolamentazione.

Al contrario, il form di gestione dei consensi della Società permette all’interessato, da una parte, soltanto di opporsi tout court alla ricezione di comunicazioni promozionali e dall’altra, in caso di mancata opposizione, di formulare preferenze sul canale di contatto.

Di conseguenza, il descritto modello contrasta con l’art. 130 del Codice sia perché configura quella alla ricezione delle comunicazioni elettroniche promozionali come un’opposizione anziché un consenso preventivo al trattamento sia perché, per le sole comunicazioni elettroniche via telefono, non vi ricollega espressamente il consenso quale unica base giuridica prevista dall’art. 130 del Codice, con ciò distinguendole da quelle che avvengono con altri canali.

Con specifico riguardo alle comunicazioni verso i clienti cessati (A.3 delle memorie), la scelta di una base giuridica diversa da quella prevista dalla legge è, di per sé, sufficiente a dimostrare l’illegittimità dei trattamenti in questione.

In aggiunta, con riguardo all’applicazione del principio di minimizzazione, per cui ad avviso di Fastweb e al contrario da quanto sostenuto dall’Ufficio, il dato da conservare sarebbe il numero di telefono, in quanto meno invasivo delle credenziali e-mail del cliente, si rileva quanto segue.

Non l’Autorità, ma l’art 130 del Codice in commento considera le credenziali di posta elettronica come dato meno invasivo nel momento in cui vi ricollega maggiori possibilità di trattamento, che infatti è lecito anche senza consenso (cfr soft-spam); invece, via telefono nessuna comunicazione pubblicitaria è mai legittima in assenza di previo regolare consenso al trattamento, come diffusamente illustrato.

Peraltro anche a sostenere, per assurdo e a contrario, più adeguata e pertinente la conservazione dei soli numeri di telefono dei clienti, la società non ha argomentato perché, in tale ipotesi, non ha conseguentemente escluso dalla conservazione altri dati ritenuti superflui.

Infatti è pur vero che nell’ambito della minimizzazione l’azienda è chiamata ad adeguare il trattamento alla finalità concreta che persegue, tuttavia il momento della valutazione deve culminare, all’atto pratico, nell’auto-limitazione di determinati trattamenti, ritenuti non soddisfacenti dal punto di vista del rapporto invasività/efficacia e per questo evitati.

Questa conclusione Fastweb non la rassegna, riservandosi comunque la conservazione di dati ritenuti meno utili, ossia le a-mail, sia pure in via sussidiaria, il che costituisce un’ulteriore violazione del principio di minimizzazione.

Anche quanto al fatto che la scelta del canale da preferire sarebbe sempre rimessa all’interessato, perché questo è interpellato solo per opporsi a ciascuno di questi canali, non si tratta di un’affermazione fondata: infatti, si ribadisce che, pur in assenza di qualsiasi scelta, Fastweb considera lecito l’invio di pubblicità, indifferentemente, mediante ciascun mezzo di contatto, compreso il numero di telefono, il che torna ad essere in contrasto con la disciplina richiamata.

Per completezza, e ferme restando le criticità sopra evidenziate, deve rappresentarsi che, quanto al periodo di conservazione dei dati degli ex clienti, il richiamato provvedimento del Garante n. 24 febbraio 2005 sui programmi di fidelizzazione all’art. 8 rubricato “tempi di conservazione” individua, in astratto, un termine massimo di 12 mesi per l’attività di profilazione e di 24 mesi per l’attività di marketing entro cui, per tali scopi, possono essere conservati e altrimenti trattati i dati dei clienti. Va tuttavia osservato che si tratta di termini astratti, da concretizzarsi secondo i principi di responsabilizzazione, minimizzazione e limitazione delle finalità (si veda anche l’ordinanza-ingiunzione n. 20 ottobre 2022 (www.gpdp.it, doc. web. 9825667) e che in ogni caso non possono trovare applicazione ad ipotesi di trattamento sorrette da basi giuridiche diverse dal consenso dell’interessato.

Peraltro, proprio per via della rapida obsolescenza delle tecnologie (che, a detta della società a pagina 22 delle sue memorie è anche la ragione per cui non è possibile classificare le offerte in base alla efficacia di trasmissione, al fine di individuare un mezzo solo per la loro comunicazione), un tempo di conservazione troppo lungo può comportare un numero sempre maggiore di promozioni indesiderate.

Sub punto B), in materia di chiarezza e trasparenza dell’informativa ex art. 13 del Regolamento, nel precedente provvedimento del 2021 questa era risultata carente per i menzionati profili connessi alla provenienza delle offerte da parte di terzi anziché dal titolare, che non potevano giustificare il trattamento dei dati dei clienti sulla base del legittimo interesse.

Al contrario, l’odierna contestazione è riferita a trattamenti in proprio di Fastweb, non di terzi e viene ritenuta infondata sulla base del fatto che, a suo avviso, non il consenso ma il legittimo interesse è stato ritenuto idoneo a giustificare attività di telemarketing, il che giustifica la trattazione di queste operazioni separatamente dal paragrafo dedicato alla base giuridica del consenso.

La conclusione non può essere condivisa, per le medesime ragioni di cui sopra.

Quanto al fatto (che la parte solleva) che il punto 1 dell’informativa, in cui è collocabile questa attività, sia esplicito nel riferirsi a trattamenti non solo contrattuali, ma anche pubblicitari, deve rimarcarsi che l’informativa, nel volersi espressamente riferire a entrambi, è equivoca anche per non ricollegarvi altrettanto chiaramente le basi giuridiche previste dalla legge, che si ribadisce sono diverse: nel caso dei trattamenti pubblicitari a mezzo di comunicazioni elettroniche (email escluse) è il consenso e non il legittimo interesse.

Per quanto, poi, sia condivisibile la tesi della società per cui più è oggettivamente vantaggiosa una proposta più sarà facilmente presumibile che l’interessato acconsenta a che sia avanzata a mezzo comunicazione elettronica (anche tradizionale o via telefono), essa per il solo fatto di avere ad oggetto un contratto diverso da quello in essere, ricade comunque nella disciplina comune dell’art. 130 Codice, per cui la promozione telefonica presuppone il consenso.

In altre parole, il fatto che siano trattati nello stesso paragrafo, ma distinti in fornitura del servizio e aggiornamento dell’offerta, non toglie che i trattamenti in questione necessitavano di essere distinti anche quanto alla base giuridica del trattamento, che per i contatti via telefono non può essere il legittimo interesse.

Quanto invece alla contestazione sub punto C, in materia di mancato riscontro alle istanze di esercizio dei diritti degli interessati ex artt. 15-22 del Regolamento, paiono fondate le difese riferite al fascicolo n. 323331, la cui segnalazione era carente della previa richiesta (rimossa dall’interessato in sede di presentazione all’Autorità) di modifica dei consensi nei confronti del titolare, e n. 316719, dove la segnalante ha potuto verificare, mediante confronto a voce, che il contatto illecito proveniva da soggetti estranei alla società, ovviamente non autorizzati al trattamento dei dati per suo conto.

Con riferimento, invece, ai fascicoli nn. 325741, 317883, 292562 e 331661, tutti hanno in comune che il riscontro da parte della società alle istanze di esercizio dei diritti degli interessati (vertenti rispettivamente sulla cancellazione dei dati ex art. 17 nei primi due casi, sulla rettifica dei dati ex art. 16 e sull’opposizione al trattamento ex art 21 del Regolamento negli altri due casi) è pervenuto tardivamente, ossia una volta decorso il termine che l’art. 12, co 3 del Regolamento assegna al titolare per fornire riscontro.

Infatti, nel caso di cui al fascicolo n. 325741, all’istanza dell’interessato presentata il 21 agosto 2023, la società ha risposto solo l’8 gennaio 2024 (peraltro successivamente all’avvenuta proposizione, nel frattempo, del reclamo dell’interessato e del conseguente invito dell’Ufficio ad aderirvi).

Non è da considerare la risposta, meramente interlocutoria, pervenuta in data 21 settembre 2023, il cui contenuto riferito a generici malfunzionamenti di sistema non equivale a riscontro idoneo.

Quest’ultimo, benché tempestivo, è illegittimo in quanto non fondato su nessuno dei motivi di cui all’art. 17, co 2 del Regolamento.

Nel caso, poi, di cui al fascicolo n. 317883, alla richiesta di cancellazione dei dati personali dell’interessato del 2 ottobre 2023 la società ha risposto solo il 19 gennaio 2024, con un ritardo di oltre tre mesi.

Nel caso di cui al fascicolo n. 292562, poi, all’istanza di rettifica dei dati personali presenti sulla lettera di vettura per riconsegnare il modem al termine del contratto presentata il 19 luglio 2023, la società risponde soltanto il 27 novembre 2023, oltre quattro mesi dopo, senza giustificare il ritardo. L’istanza in questione, infatti, benché infondata nel merito perché frutto di una confusione dell’interessato tra l’indirizzo della propria abitazione con quello di consegna, necessita pur sempre di una trattazione e di un riscontro nei suddetti termini di legge (a maggior ragione se si pensa alla facilità con cui poteva essere risolta).

Infine, anche il fascicolo n. 331661 vede un’istanza di opposizione al trattamento presentata il 4 dicembre 2023 e riscontrata soltanto in data 9 gennaio 2024.

Infatti, pur se l’istanza era infondata nella misura in cui il consenso marketing, contrariamente a quanto affermato dall’istante, era sì stato rilasciato al tempo della conclusione del contratto (sia pure in forma di mancata opposizione, dunque in maniera irregolare, come ampiamente illustrato nel paragrafo precedente), esso era immediatamente riqualificabile come revoca di quel consenso e come tale era riscontrabile tempestivamente entro il termine di legge decorrente dalla sua presentazione.

Per le ragioni ampiamente illustrate, deve quindi confermarsi la responsabilità di Fastweb S.p.A. in ordine alle violazioni contestate mediante le comunicazioni di avvio dei procedimenti ai sensi dell’art. 166, comma 5, del Codice del 12 ottobre 2023 e del 29 febbraio 2024.

3) CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Fastweb in ordine alle seguenti violazioni:

a) art. 130 del Codice (in relazione all’art. 5 del DPR n. 26 del 2022), e artt. 5, par. 2, 24, par. 1 del Regolamento per aver omesso di consultare il Registro Pubblico delle Opposizioni, in relazione a 82 numeri contattati successivamente al giorno di acquisizione del consenso all’invio di comunicazioni a scopo promozionale con la modalità websales;

b) art. 4 n. 11), 5, co 2, 6, 7, 24 e 25 del Regolamento e 130 del Codice per aver previsto l’invio di comunicazioni commerciali al numero di telefono dei propri clienti in permanenza del rapporto contrattuale e financo a 24 mesi dalla cessazione, sulla base del mero legittimo interesse invece che del consenso.

d) art. 5, par. 1 lett. a), lett. c) e lett. e); art. 5 par. 2; art. 6; art. 21, co 2; art. 24, par. 1; art. 25 del Regolamento e 130 del Codice, tutte per aver effettuato i sopra descritti trattamenti di dati personali dei propri clienti in contrasto con i principi di liceità, correttezza e trasparenza del trattamento, con riferimento alla minimizzazione dei dati, limitazione delle finalità, responsabilizzazione, in assenza di un’idonea base giuridica, mettendo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato, in ogni suo aspetto e in qualsiasi stadio e/o livello, conformemente al Regolamento;

e) art. 12, comma 1, e 13 del Regolamento per aver fornito un’informativa carente in punto di chiarezza, trasparenza e idoneità con riferimento alle basi giuridiche del trattamento dei dati di contatto dei clienti a scopo promozionale;

f) artt. 12, par. 3; 15-22 del Regolamento per non aver riscontrato nei termini l’interpello degli interessati di cui ai fascicoli 325741, 317883, 292562 e 331661.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto al trattamento di tutti i numeri il cui consenso marketing risulta acquisito nelle modalità websales;

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. e) del Regolamento di informare massivamente tutti i titolari di numerazione acquisita con queste modalità della violazione perpetrata mediante il loro ricontatto avvenuto sulla base di un consenso marketing non informato, non specifico e non inequivocabile;

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di adottare un procedimento di consultazione del Registro Pubblico delle Opposizioni con riferimenti ai numeri di telefono ricontattati a partire dal giorno successivo a quello in cui i consensi marketing websales sono acquisiti, vigilandone sull’osservanza anche con riferimento ai responsabili del trattamento;

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di impiegare un sistema di double opt-in, in base al quale il consenso acquisito on line viene sempre confermato dall’interessato in risposta a un messaggio automatico di verifica inviato immediatamente dopo la trasmissione del numero di telefono;

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di riformulare l’informativa con riferimento ai trattamenti che compongono “l’aggiornamento dell’offerta”, trattandola separatamente dal capitolo sulla fornitura del servizio e basandola su tante basi giuridiche quanti sono quelle previste dalla legge per i canali di contatto prescelti per l’attività promozionale, specificando che, per il telemarketing verso numerazioni riservate l’unica base giuridica ammessa è quella del consenso;

- ingiungere a Fastweb S.p.A., ai sensi dell’art 58, par. 2, lett. d) del Regolamento, di adeguare il modulo “consensi e preferenze di contatto” di modo che, nei casi in cui il consenso sia l’unica base giuridica, come quello delle telefonate a scopo di marketing verso numerazioni riservate, l’interessato venga posto in condizione di manifestarlo nelle forme previste dalla legge, in particolare: precedente rispetto a qualsiasi operazione di trattamento, inclusa la conservazione; in forma espressa, e non per mancato rifiuto o per non opposizione; sia specificamente riferito alla tipologia di comunicazione elettronica da adottare, sia essa SMS, telefonata automatizzata o con operatore; sia formulato in modo da consentire all’interessato di acconsentire o di negare una specifica attività, e non semplicemente di preferirla o non preferirla;

- ingiungere a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di informare gli istanti di cui ai quattro fascicoli n. 325741, 317883, 292562 e 331661 di aver riscontrato con ingiustificato ritardo e di essere stati perciò destinatari del presente provvedimento;

- ingiungere a Fastweb S.p.A., ai sensi dell’art 58. par. 2, lett. d) del Regolamento di concludere l’esame degli interpelli in materia di esercizio di diritti degli interessati entro il termine previsto dalla legge, con un provvedimento espresso e motivato;

-  adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento;

4) ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Fastweb della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Fastweb, come ricavato dall’ultimo bilancio d’esercizio disponibile (31 dicembre 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 106.444.795,00 pari al 4% del fatturato indicato nel bilancio ordinario di esercizio relativo all’anno 2023.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto dell’oggetto e delle finalità dei dati trattati, riconducibili al fenomeno complessivo del telemarketing indesiderato, in ordine al quale l’Autorità ha adottato, in particolare negli ultimi quattro anni, numerosi provvedimenti che hanno compiutamente preso in esame i molteplici elementi di criticità fornendo ai titolari numerose indicazioni per adeguare i trattamenti alla normativa vigente e per attenuare l’impatto delle chiamate di disturbo nei confronti degli interessati, da ultimo il Codice di condotta in materia di telemarketing e tele-selling pubblicato in Gazzetta Ufficiale il 27 marzo 2024;

2) la circostanza che, nel precedente provvedimento sanzionatorio adottato dal Garante (n. 112 del 25 marzo 2021), Fastweb ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 83, par. 2, lett. e, del Regolamento;

3) quale fattore attenuante il grado e la qualità della cooperazione mostrata con l’Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi (art. 83, par. 2, lett. f) del Regolamento);

4) quale fattore attenuante il rispetto del precedente provvedimento del Garante n. 221 del 25 marzo 2021 disposto nei confronti di Fastweb (art. 83, par. 2, lett. i) del Regolamento);

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene debba applicarsi a Fastweb la sanzione amministrativa del pagamento di una somma di euro 1.000.000,00 pari allo 0,93 % della sanzione massima edittale e allo 0,03 % del fatturato annuo.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti e delle condotte della Società, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento il divieto al trattamento di tutti i numeri il cui consenso marketing risulta acquisito nelle modalità websales;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. e) del Regolamento di informare massivamente tutti i titolari di numerazione acquisita con queste modalità della violazione perpetrata mediante il loro ricontatto avvenuto sulla base di un consenso marketing non informato, non specifico e non inequivocabile;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di adottare un procedimento di consultazione del Registro Pubblico delle Opposizioni con riferimenti ai numeri di telefono ricontattati a partire dal giorno successivo a quello in cui i cui consensi marketing websales sono acquisiti, vigilandone sull’osservanza anche con riferimento ai responsabili del trattamento;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di impiegare un sistema di double opt-in, in base al quale il consenso acquisito on line viene sempre confermato dall’interessato in risposta a un messaggio automatico di verifica inviato immediatamente dopo la trasmissione del numero di telefono;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di riformulare l’informativa con riferimento ai trattamenti che compongono “l’aggiornamento dell’offerta”, trattandola separatamente dal capitolo sulla fornitura del servizio e basandola su tante basi giuridiche quanti sono quelle previste dalla legge per i canali di contatto prescelti per l’attività promozionale, specificando che, per il telemarketing verso numerazioni riservate l’unica base giuridica ammessa è quella del consenso;

- ingiunge a Fastweb S.p.A., ai sensi dell’art 58, par. 2, lett. d) del Regolamento di adeguare il modulo “consensi e preferenze di contatto” di modo che, nei casi in cui il consenso sia l’unica base giuridica, come quello delle telefonate a scopo di marketing verso numerazioni riservate, l’interessato venga posto in condizione di manifestarlo nelle forme previste dalla legge, in particolare: precedente rispetto a qualsiasi operazione di trattamento, inclusa la conservazione; in forma espressa, e non per mancato rifiuto o per non opposizione; sia specificamente riferito alla tipologia di comunicazione elettronica da adottare, sia essa SMS, telefonata automatizzata o con operatore; sia formulato in modo da consentire all’interessato di acconsentire o di negare una specifica attività, e non semplicemente di preferirla o non preferirla;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento di informare gli istanti di cui ai quattro fascicoli n. 325741, 317883, 292562 e 331661 di aver riscontrato con ingiustificato ritardo e di essere stati perciò destinatari del presente provvedimento;

- ingiunge a Fastweb S.p.A., ai sensi dell’art 58. par. 2, lett. d) del Regolamento di concludere l’esame degli interpelli in materia di esercizio di diritti degli interessati entro il termine previsto dalla legge, con un provvedimento espresso e motivato;

- ingiunge a Fastweb S.p.A., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

a Fastweb S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Piazza Adriano Olivetti n. 1 Milano, C.F. e P.IVA. 12878470157 di pagare la somma di euro 1.000.000,00 (unmilione/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 1.000.000,00 (unmilione/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 20 giugno 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei