[doc. web n. 10107938]

Provvedimento del 9 maggio 2024

Registro dei provvedimenti
n. 574 del 9 maggio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE il prof. Pasquale Stanzione;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto del 18 dicembre 2023, n. 167287/228410 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Vodafone Italia S.p.A., (di seguito “Vodafone” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017.

Il procedimento trae origine da una istruttoria avviata d’ufficio dall’Autorità nell’ambito dei compiti di sorveglianza individuati dall’art. 57, par. 1, lett. a) del Regolamento, in diretta connessione con gli esiti del provvedimento n. 224 del 12 novembre 2020 (in www.gpdp.it, doc. web n. 9485681) con il quale, fra l’altro, sono state impartite delle prescrizioni ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, in particolare per “adeguare i trattamenti in materia di telemarketing al fine di prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione”. Successivamente, con nota dell’8 febbraio 2021, Vodafone forniva riscontro in ordine alle misure implementate al fine di dare adempimento alla sopra richiamata prescrizione, rappresentando di aver “sviluppato un processo di raccolta dei cartellini delle chiamate effettuate dai Partner che consente alla Scrivente di ricevere nel sistema VDL su base oraria, al fine di effettuare un controllo mensile”, le informazioni relative al Partner che ha eseguito ciascun contatto, alla numerazione telefonica utilizzata dal Partner per il contatto, al numero chiamato dal Partner, alla data, ora e durata del contatto e all’esito del contatto (contratto concluso/contratto non concluso/cliente non risponde/ecc.). Vodafone rappresentava inoltre di aver avviato un “processo di detect finalizzato ad assicurare che tutte le numerazioni chiamate siano tra quelle precedentemente autorizzate da Vodafone in modo da arginare il fenomeno delle chiamate indesiderate” attraverso una verifica della corrispondenza: tra il numero portato dal cliente ed una numerazione validata da Vodafone quale numerazione contattabile dal Partner che ha effettuato la chiamata; tra il numero scelto dal cliente per ricevere la One Time Password con cui confermare la propria volontà in merito all’attivazione del servizio ed una numerazione validata da Vodafone quale numerazione contattabile dal Partner che ha effettuato la chiamata; tra il numero inserito dall’operatore del Partner quale numerazione oggetto del contatto che ha generato la vendita ed i cartellini di traffico ricevuti dai sistemi informativi del Partner. Tali misure sono apparse, prima facie, in linea con quanto prescritto dall’Autorità, nonostante permanessero dubbi sulla tipologia di “reazione” che il sistema implementato da Vodafone prevedeva in caso di accertamento di un contatto illecito, reazione che si attestava, come in passato, nell’addebitare “al Partner una penale pari a 250€ per ogni singola vendita per la quale non si siano verificate una o più delle condizioni di cui sopra”, ma che tuttavia veniva rafforzata dalla applicabilità di “misure previste contrattualmente ed ex lege”, in particolare “la possibilità, in caso di più inadempimenti e tenendo conto della relativa gravità, di procedere anche alla risoluzione di diritto dei contratti con i Partner”.

1.2. Le richieste di informazioni formulate dall’Autorità

L’Ufficio, con nota del 26 luglio 2022, inviava a Vodafone una richiesta di informazioni cumulativa, in massima parte incentrata sulla materia del telemarketing indesiderato (94 fascicoli), con la quale si invitava la Società a fornire “ogni elemento e informazione (anche con riferimento alle misure implementate a seguito del provvedimento del 12 novembre 2020 e comunicate a questa Autorità con note del 16 dicembre 2020/8 febbraio 2021)” utili alla valutazione dei singoli casi. Vodafone forniva riscontro con nota del 10 ottobre 2022, con la quale in linea generale sottolineava che i contatti indesiderati lamentati dagli interessati si riferiscono al fenomeno del “telemarketing non autorizzato e che Vodafone stessa, considerate anche le misure implementate a seguito del provvedimento del 12/11/2020, si è adoperata e si impegna costantemente a contrastare, non prestando alcuna acquiescenza a vendite che non provengano da numerazioni in liste “consensate” e reprimendo molto duramente, sino alla risoluzione del contratto, eventuali comportamenti di propri partner da cui emerga che non siano stati pedissequamente rispettati gli obblighi contrattuali e le procedure Vodafone”. Nello specifico, poi, con riferimento ai 94 fascicoli sopra richiamati, emergeva che in ben 70 casi le chiamate indesiderate (in numero di complessive 160) erano state realizzate da numerazioni non riconducibili alla rete di vendita di Vodafone ovvero con identificativo oscurato. Solo in un caso è stato possibile attribuire una chiamata indesiderata alla rete di vendita ufficiale di Vodafone e, in quello specifico caso, il call-center responsabile è risultato essere stato raggiunto da un provvedimento sanzionatorio interno pari al triplo della commissione prevista, a seguito del sopra descritto processo di detect autonomamente intrapreso da Vodafone.

Successivamente alla richiesta cumulativa dell’Autorità e al riscontro della Società, Vodafone faceva pervenire al Garante una nota (iscritta al protocollo con n. 25323 del 13 marzo 2023) avente ad oggetto “Implementazioni Vodafone relative all’accountability nello svolgimento e controllo dell’attività di teleselling” con la quale si illustravano gli ulteriori processi implementati e le misure tecniche realizzate “nel corso degli ultimi due anni successivi al provvedimento n. 224 del 12 novembre 2020 in coerenza con i principi del Regolamento UE 2016/679 GDPR a dimostrazione del livello di accountability rispetto all’intero processo di vendita noto come teleselling”. Per la parte che qui, nello specifico, interessa, merita menzione quanto riportato al punto C - “Riconciliazione dal contratto al contatto per ciascuna vendita a distanza” – della richiamata nota, nel quale si rappresenta che “a partire dal 2021 la Scrivente ha sviluppato un controllo sistematico sul 100% delle vendite a distanza effettuate dai propri partner al fine di garantire per ciascuna vendita la legittimità della stessa a partire dalla raccolta del consenso. Tale controllo sistematico è stato reso possibile da opportuni sviluppi tecnici che hanno centralizzato sul sistema VDL le seguenti informazioni: i. numerazioni su cui i partner sono abilitati ai contatti (i.e. legittimità del consenso); ii. cartellini di traffico inviati su base oraria da parte dei partner per ogni singola chiamata […]; iii. metadati provenienti dal sistema di provisioning di Vodafone (Eagle) utilizzato dai partner per inserire ciascuna vendita a distanza[...]; iv. metadati provenienti dal sistema di firma digitale di Vodafone utilizzato dai partner per la raccolta della firma digitale sui contratti recanti il numero mobile con cui è stata inserita la firma digitale dal cliente. Attraverso i dati presenti su VDL, Vodafone sviluppa per ciascuna vendita a distanza un controllo […] laddove riscontra elementi di incongruenza procede, a seguito di ulteriori approfondimenti, ad inviare formali diffide e penali ai propri partner in modo proporzionale rispetto alla gravità del comportamento scorretto ed eventuale recidività della violazione. A dimostrazione dell’effetto educativo e deterrente è possibile rilevare come a parità di processo la Scrivente abbia erogato penali ai propri partner per circa 40 mila euro nel 2021 e per circa 18 mila euro nel 2022”. A ciò si aggiunge il sistema implementato per i c.d. Vodafone Store, “una piattaforma in house per la gestione a distanza dei contatti denominata “DIGI”. Tale piattaforma interamente gestita da Vodafone consente ai Vodafone Store di effettuare contatti a distanza garantendo la completa conformità rispetto a: iscrizione al ROC delle numerazioni chiamanti: le numerazioni utilizzate dalla piattaforma sono di proprietà di Vodafone che verifica automaticamente la corretta iscrizione al ROC di ogni singolo punto vendita; contattabilità delle numerazioni: l’assegnazione diretta da parte di Vodafone a ciascun singolo Vodafone Store delle liste di clienti da contattare consente a Vodafone di centralizzare su sé stessa la verifica del consenso commerciale dei propri clienti; legittimità delle chiamate uscenti: il controllo totale da parte di Vodafone di tutte le comunicazioni entranti ed uscenti dalla piattaforma DIGI consente di applicare by default le relative policy di contatto (i.e. la piattaforma non consente contatti al di fuori delle regole stabilite da Vodafone) e di tenere traccia di ogni contatto uscente per verificarne il relativo consenso; legittimità delle vendite a distanza: la raccolta diretta da parte di Vodafone di tutti i metadati necessari consente l’applicazione verso i Vodafone Store del medesimo modello di controllo descritto dal diagramma di cui sopra per i Teleseller”. Gli interventi realizzati da Vodafone, sulla base delle dichiarazioni dalla stessa rese nella richiamata nota, hanno determinato “un’importante razionalizzazione del canale di vendita. Nell’ambito di tale attività sono stati risolti i contratti con quattro Teleseller e con tutte e 24 le agenzie operanti nell’attività di vendita a distanza per la clientela residenziale riducendo il numero totale dei partner esterni a 17 soggetti tutti Teleseller”.

L’Ufficio, per una compiuta verifica delle attività di telemarketing e teleselling svolte dalla rete di vendita di Vodafone, inviava quindi alla Società una richiesta di informazioni ed esibizione di documenti ai sensi dell’art. 157 del Codice, n. 55079 del 31 marzo 2023, invitando la medesima a “fornire a questa Autorità un elenco delle proposte di acquisto provenienti dalla propria rete di vendita che hanno determinato l'attivazione di servizi telefonici nel periodo dal 6 marzo 2023 al 13 marzo 2023 compresi, suddivise fra “consumer” e “business”” oltre che a “far conoscere il numero di “vendite non corrette” rilevate nell’anno 2021 e 2022, nonché l’elenco nominativo dei partner che le hanno realizzate, con l’indicazione del numero di vendite non corrette poste in essere da ciascun partner”. La Società dava riscontro nei termini, con nota iscritta al protocollo n. 65655 del 20 aprile 2023, con la quale forniva la documentazione richiesta e, con riferimento alle cd. “vendite non corrette” per gli anni 2021 e 2022, evidenziava che le attività di detect svolte permettevano di intercettare 551 attività non conformi o realizzate mediante numerazioni non iscritte al ROC, che hanno determinato l’adozione di provvedimenti sanzionatori interni per complessivi 36.875 euro.

Per quanto riguarda le vendite effettuate nel periodo 6-13 marzo 2023, i riscontri forniti da Vodafone consentivano di inviare alla Fondazione Ugo Bordoni una richiesta volta a conoscere l’eventuale iscrizione delle numerazioni oggetto di contatto, poi conclusosi in una vendita di servizi telefonici da parte della filiera della Società, nel Registro pubblico delle opposizioni antecedente al 1° febbraio 2023. La Fondazione forniva riscontro con nota iscritta al protocollo n. 110373 del 19 luglio 2023, nella quale si evidenziava, fra l’altro che “le numerazioni per cui è stata fornita come risposta “Sì” corrispondono alle utenze telefoniche che sono state iscritte nel Registro pubblico delle opposizioni dall’intestatario tra il 27 luglio 2022 e il 31 gennaio 2023, per le quali sono stati annullati di conseguenza i consensi pregressi per telemarketing, teleselling e ricerche di mercato”. Dall’esame dell’allegato file compresso, contenente i riscontri forniti dalla Fondazione Bordoni, emergeva che su complessive 5515 numerazioni sottoposte a controllo, 442 (pari all’8,01%) risultavano con risposta valorizzata a “Sì” e quindi per le stesse, in base a quanto rappresentato dalla Fondazione medesima, i contraenti o utenti avrebbero proceduto all’iscrizione nel Registro pubblico delle opposizioni fra il 27 luglio 2022 e il 31 gennaio 2023.

1.3. Contestazione delle violazioni

L’Ufficio, all’esito dell’istruttoria, adottava il sopra richiamato atto di contestazione n. 167287/228410 nel quale, in primo luogo, si dava atto a Vodafone della rilevante attività volta a far emergere e a contrastare il fenomeno del telemarketing indesiderato, in uno con le altrettanto doverose considerazioni relative alla proficua interlocuzione e collaborazione che la Società ha intrapreso da lungo tempo con l’Autorità.

Nella contestazione tuttavia si osservava che gli esiti della verifica condotta mediante il riscontro delle numerazioni contattate con il Registro pubblico delle opposizioni, restituiva un quadro di perdurante criticità posto che, a fronte di 5515 contatti a seguito dei quali era stata realizzata una vendita di servizi telefonici da parte di Vodafone, 442 numerazioni erano risultate iscritte al Registro nel periodo 27 luglio 2022 – 31 gennaio 2023, iscrizione che, come osservato dalla stessa Fondazione Bordoni, determina la decadenza di ogni consenso acquisito per l’effettuazione di attività di telemarketing.

A tale dato si accompagnava quello altrettanto rilevante relativo alle segnalazioni e ai reclami pervenuti all’Autorità, oggetto della richiesta cumulativa riscontrata da Vodafone il 10 ottobre 2022, da cui emerge che su 94 casi di contatti indesiderati, 70 di essi (pari al 74,4%) risultavano essere stati realizzati da numerazioni estranee alla rete di vendita di Vodafone, non iscritti al ROC ovvero da numerazioni con l’identificativo celato, mediante l’effettuazione di 160 chiamate (che restituivano una media di 2,28 contatti indebiti per interessato). I due dati, dunque, sebbene cronologicamente non sovrapponibili né soggettivamente collegati, rappresentavano tuttavia due indici importanti la cui contestuale analisi e rappresentazione portava a evidenziare, nonostante l’impegno profuso dalla società nel contrasto al telemarketing selvaggio, un quadro di non piena conformità alla normativa di riferimento, che appariva connesso alla scelta di Vodafone di non introdurre nelle pur penetranti attività di controllo introdotte, una procedura volta a impedire l’attivazione di un contratto originato da un contatto illecito, in base a quanto stabilito anche dal Codice di condotta per le attività di telemarketing e teleselling, approvato dall’Autorità con provvedimento n. 70 del 9 marzo 2023 (in www.gpdp.it, doc. web n. 9868813) che, pur non dispiegando ancora (all’epoca della contestazione) la sua piena efficacia, individuava sul punto delle “best practices” condivise da tutti gli operatori del settore.

L’Ufficio, nell’atto di contestazione, osservava altresì che, alla luce di un consistente fenomeno di contatti non riconducibili direttamente alla rete di vendita di Vodafone, anche la meritoria attività di repressione delle condotte illecite operata nei confronti delle Agenzie, se limitata alla sanzionabilità della singola ed episodica “vendita non conforme”, senza spingersi a svolgere i necessari approfondimenti anche con accertamenti svolti nel corso delle attività dei Partner, non appariva idonea a far emergere il “modus operandi” costante attraverso il quale il cd. “sottobosco” del telemarketing individua le procedure che, in concreto, possono costituire la “porta d’ingresso” nei sistemi della Società dei contratti acquisiti illecitamente.

L’Ufficio, pertanto, contestava a Vodafone la seguente ipotesi di violazione:

• art. 5, parr. 1, lett. a), e 2; artt. 6 e 7; art. 24, par. 1 e 25, par. 1 del Regolamento;

• art. 130, commi 3 e 3-bis, del Codice, per aver effettuato i descritti trattamenti di dati personali di utenti e contraenti del settore della telefonia fissa e mobile (segnatamente le 442 attivazioni di servizi nel periodo 6-13 marzo 2023) in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e per aver messo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato, in ogni suo aspetto e in qualsiasi stadio e/o livello, conformemente al Regolamento.

2. LA DIFESA DEL TITOLARE

La parte, esercitando il proprio diritto ad essere ascoltata, ha presentato una memoria difensiva il 5 febbraio 2024 (n. protocollo 13903/228410) e ha fatto richiesta di audizione davanti all’Autorità, in base a quanto previsto dall’art. 166, comma 6, del Codice e dall’art. 13 del regolamento del Garante n. 1/2019, audizione che si è svolta il 9 aprile 2024.

Nella memoria Vodafone ha, in primo luogo, rappresentato, quanto ai 94 fascicoli di cui alla richiesta d’informazioni cumulativa del 26 luglio 2022, “come un gran numero di segnalazioni siano del tutto manchevoli delle indicazioni minime atte a consentire una completa ricostruzione degli eventi” e che, nella maggior parte dei casi “Vodafone non era stata realmente l’esecutrice (e quando lo era stata vi era una base di legittimità) dovendosi tali contatti solo presumibilmente ascrivere ad essa, non essendo peraltro affatto scontato che un chiamante, che inizialmente si presenti a nome di Vodafone, poi tenti effettivamente di vendere servizi di Vodafone (ad esempio quando i contatti hanno ad oggetto false comunicazioni circa spropositati aumenti dei prezzi al fine di sponsorizzare successivi contatti da parte di teleseller che offrono offerte di altri Operatori)”.

La Società ha quindi ribadito di aver intrapreso un percorso di razionalizzazione della rete di vendita, come delineato nella richiamata nota dell’ 11 febbraio 2023 (miglioramento delle funzionalità di un sistema di “detect” in grado di segnalare per ogni vendita a distanza eventuali anomalie in merito alla legittimità dei contatti effettuati; revisione dei testi e delle modalità di vocalizzazione al fine di accrescere la chiarezza delle informazioni fornite in fase di vocal recording; revisione dei testi e delle modalità di vocalizzazione con modifica della formula di raccolta del consenso inserita nel vocal order ed eliminazione delle modalità di contatto obsolete e non più utilizzate (FAX/MMS), anche coerentemente con i propri adempimenti a seguito del Provvedimento sanzionatorio n. 379 del 10 novembre 2022 – in www.gpdp.it, doc. web n. 9826417; implementazione, nel corso del secondo trimestre 2023 ed in ottemperanza al nuovo Codice di condotta, del processo di invio SMS informativi in opt-out nell’ambito delle attività di lead generation “Richiamami”, al fine di garantire la piena volontà degli interessati rispetto alla richiesta di ricevere un contatto commerciale da parte di Vodafone) e di averlo ulteriormente perfezionato mettendo in atto ulteriori azioni (modifica dei contratti con i Partner Vodafone che operano nelle attività di teleselling e telemarketing in modo da recepire tutte quante le prescrizioni previste dal nuovo Codice di condotta; modifica dell’Accordo quadro di appalto di servizi per le attività di telemarketing e teleselling verso la clientela consumer e del Mandato di agenzia per le attività di telemarketing rivolte alla clientela business; definizione di un processo di ricontatto dei clienti attivati a seguito di un’attività di contatto non conforme; creazione di un processo di ricontatto dei clienti oggetto di vendite “fuori lista” (vendite eseguite su numerazioni non autorizzate) per mettere al corrente questi ultimi di quanto accaduto ed ottenere conferma della volontà o meno di mantenere attivo il servizio con Vodafone; definizione di una pagina web nella quale sono fornite informazioni e semplici modalità per consentire agli interessati, siano essi clienti di Vodafone o meno, di distinguere i contatti legittimi dal telemarketing illecito, stimolando gli stessi a riconoscere e a non sottoscrivere contratti/offerte con soggetti che operano al di fuori delle regole; proseguimento nell’attività di razionalizzazione del canale di vendita con la chiusura del rapporto contrattuale con quattro teleseller negli ultimi 12 mesi).

Quanto alle contestazioni relative alla realizzazione di contatti che hanno determinato l’attivazione di forniture nei confronti di soggetti che risultavano aver iscritto la propria numerazione telefonica nel Registro delle opposizioni (5515 numerazioni contattate nel periodo 6-13 marzo 2023, di cui 442 iscritte nel Registro), Vodafone ha osservato che “non per tutte le tipologie di campagne commerciali che rientrano nell’ambito delle attività di teleselling e telemarketing, è necessaria l’attività di riscontro delle numerazioni con l’RPO” e che, nello specifico, la predetta attività di riscontro non si sarebbe resa necessaria per le seguenti categorie di contatto: richieste di contatto immediato “Chiamami ora” su siti e banner di Vodafone o di propri Partners, (226 numerazioni – “Per tali numerazioni evidentemente non è necessario alcun riscontro all’RPO, essendo i contatti effettuati quasi nell’immediatezza rispetto alla richiesta da parte dell’interessato”); chiamate entranti verso il centralino di Vodafone (180) per la richiesta di informazioni commerciali (115 numerazioni – “Anche in questo caso, trattandosi di chiamate entranti, non è di rilievo l’iscrizione delle numerazioni all’RPO”); chiamate uscenti verso numerazioni di clienti Vodafone attivi con consenso commerciale (78 numerazioni – “Anche per tale categoria di contatti non è necessario alcun filtro all’RPO […] ai sensi dell’articolo 1, comma 5 della legge n. 5 dell’11 gennaio 2018”); chiamate entranti verso numerazioni dei teleseller registrate al ROC, con prenotazione tramite IVR di una richiesta di ricontatto (15 numerazioni – “Trattandosi di richieste di ricontatto a seguito di prenotazioni di ricontatto, effettuate dalle numerazioni stesse, non è necessaria l’attività di riscontro all’RPO”); chiamate uscenti nell’ambito di attività di gestione del cliente (6 numerazioni – sono ricomprese le chiamate del Servizio Clienti verso coloro “che hanno richiesto la disattivazione di un servizio per la vocalizzazione della loro volontà e/o la revoca di tale scelta seguita dall’adesione ad un’offerta proposta” e le chiamate verso coloro che, “dopo aver sottoscritto un contratto per servizi di Vodafone, a causa di problemi tecnici non sono riusciti a completare l’attivazione”); chiamate uscenti frutto di una richiesta di contatto raccolta nell’ambito di un’attività di marketing di prossimità (definita di “pedonalità”) relativa ad offerte di tipo business (1 numerazione – “Appare evidente come in tal caso il consenso raccolto dall’agente, per le vie brevi, non fosse suscettibile di annullamento rispetto all’iscrizione della numerazione all’RPO”).

In base a tale ricognizione, la rete di vendita di Vodafone avrebbe realizzato soltanto un contatto (sui 442 segnalati) verso una numerazione iscritta al Registro delle opposizioni che, in base all’origine del dato, doveva effettivamente essere riscontrata presso il predetto Registro, tuttavia la Società ha osservato che anche in questo caso, essendo il consenso dell’interessato successivo all’iscrizione della numerazione al Registro medesimo, il contatto è stato realizzato in una cornice di legalità.

Con riferimento alle risultanze aggregate sopra richiamate, Vodafone ha allegato alla memoria difensiva alcuni file in formato excel, nei quali sono riportati nel dettaglio i contatti oggetto di contestazione e la correlata attività svolta della rete di vendita.

La Società ha altresì inteso rappresentare che le piattaforme Vodafone prevedono già da tempo l’automatico riscontro con il Registro delle opposizioni delle liste anagrafiche cd. “fredde” (liste acquisite da list editor, formate da dati di interessati che hanno espresso il proprio consenso al trasferimento a terzi, tra cui Vodafone, per la ricezione di contatti commerciali) e che, in ogni caso, è in corso una progressiva marginalizzazione dei contatti commerciali effettuati su tali liste: “prendendo a riferimento le vendite a distanza del mercato consumer, quelle effettuate utilizzando liste fredde rappresentavano già a marzo 2023 una quota inferiore al 3%, ulteriormente ridottasi a novembre 2023 a valori attorno all’1%. Negli stessi periodi, le quote delle vendite a distanza effettuate a seguito di richieste di ricontatto immediato o al 180 risultano rispettivamente attorno al 90% (marzo 2023) e attorno all’86% (novembre 2023), mentre le vendite effettuate attraverso contatti verso propri clienti attivi e con consenso commerciale, risultano incidere per valori attorno al 7% (marzo 2023) e al 13% (novembre 2023)”.

Nel corso dell’audizione del 9 aprile 2024 Vodafone ha illustrato con maggiore dettaglio le procedure di gestione dei contatti che avvengono a seguito di richiesta del cliente formulata tramite il sito di Vodafone o dei propri partner. La Società ha inteso precisare che “immediatamente dopo la richiesta stessa viene inviato un sms al cliente per consentirgli l'eventuale opt out. Questo per impedire che i contatti siano "giustificati" da operazioni massive e quindi non effettuate dal cliente stesso. Sul punto è stato precisato che il termine per ricevere il messaggio di opt-out da parte del cliente è stato individuato in tre minuti, successivamente portato a due. É stato inoltre evidenziato che la gestione degli opt-out e effettuata centralmente da Vodafone e che a seguito della richiesta di contatto il cliente può essere chiamato per un massimo di sei tentativi nell'arco di una giornata (prolungabile a 72 ore in caso di appuntamento telefonico). Nel caso in cui il tentativo vada a buon fine non sono previsti ulteriori ricontatti. Non è altresì previsto che sia utilizzata la richiesta di contatto per trasferire l'anagrafica del richiedente in una lista cd. "fredda" ovvero una lista utilizzabile per le campagne di telemarketing e teleselling gestite attraverso la piattaforma VDL. È stato inoltre precisato che il sistema così descritto è operativo dall'aprile 2023 per quanto riguarda i lead raccolti attraverso partner di Vodafone. Per i lead acquisiti direttamente da Vodafone il sistema di opt-out è operativo da circa tre settimane”.

Vodafone ha altresì illustrato le attività di verifica dei contratti introdotti nelle procedure aziendali evidenziando che “una volta inserito il contratto nei sistemi Vodafone, viene effettuato un controllo relativo alla corrispondenza fra il numero utilizzato per la firma [digitale, mediante OTP inviato per sms] e quello del contatto; viene altresì verificato se il numero del contatto è presente nelle liste utilizzate per le campagne promozionali in essere. Successivamente si procede ad un controllo di congruità tra cartellino di traffico e orari di gestione del contratto e, in caso di permanenza di incongruenze, si procede con formale contestazione nei confronti del partner. Il partner è tenuto ad inviare una relazione entro venti giorni su carta intestata e con firma di un responsabile qualificato. Se anche a seguito della relazione del partner permangono le criticità viene comminata una penale. Per ciò che riguarda la sorte del contratto attivato a seguito di contatto non regolare, di regola al termine della fase di detect (quindi circa dopo due-tre mesi dall'attivazione del contratto) si procede ad informare il cliente delle criticità mediante uno specifico script di chiamata e registrazione della chiamata. Il cliente, a seguito del contatto, può decidere se recedere gratuitamente dal contratto ovvero confermare la prosecuzione del rapporto con Vodafone. Tale procedura è ancora in fase di test e prevede verifiche anche nel caso in cui intervenga un recesso da parte del cliente prima dell'avvio o della conclusione della fase di detect”.

3. VALUTAZIONI DELL’AUTORITÀ

Dagli esiti del procedimento avviato nei confronti di Vodafone, relativo alla complessiva gestione delle attività di telemarketing e teleselling, emerge che la Società ha posto in essere interventi e procedure idonee a realizzare un quadro di significativo incremento delle garanzie nei confronti degli interessati, degli utenti e dei contraenti, rispetto a quello emerso a seguito del provvedimento n. 224 del 12 novembre 2020. Anche nelle attività che non hanno formato oggetto di specifica contestazione, il percorso intrapreso dalla Società è risultato in gran parte in linea con le prescrizioni del Garante, evidenziando una scelta di fondo chiaramente indirizzata verso una razionalizzazione dei processi per l’acquisizione dei cd. “lead”, ovvero dei dati di contatto di clienti e potenziali clienti e dei documenti atti a comprovare la loro volontà di essere contattati, nonché verso una rilevante responsabilizzazione della rete di vendita.

Deve essere altresì evidenziato che anche sotto il profilo della collaborazione con l’Autorità, Vodafone ha fornito al Garante riscontri molto chiari e approfonditi, fornendo un insieme esaustivo di elementi che hanno consentito una compiuta valutazione del complesso dei trattamenti.

Tutto ciò doverosamente premesso, deve rilevarsi che permangono, o non sono state del tutto eliminate, talune criticità che la Società è chiamata a risolvere e che non permettono, ad oggi, di superare in toto le contestazioni mosse con l’atto di avvio del procedimento.

Da questo punto di vista, emerge dal complesso dei riscontri una significativa preferenza di Vodafone per i contatti promozionali operati a seguito di richiesta del cliente o potenziale cliente, il quale ha la possibilità, utilizzando apposite pagine web della Società oppure dei propri partner, ovvero contattando il numero “180”, di esprimere il proprio interesse ad un ricontatto.

La procedura per la richiesta di ricontatto via web è stata verificata nel corso dell’audizione del 9 aprile 2024 ed è apparsa conforme a quanto descritto da Vodafone.

Tuttavia va rilevato che la scelta di Vodafone di implementare la descritta procedura di invio di un sms per consentire all’interessato di revocare la disponibilità al ricontatto, non appare funzionale a disincentivare l’eventuale utilizzo di bot che, massivamente, possano inserire numerazioni telefoniche da sottoporre a ricontatto, posto che il limite di due minuti entro il quale l’interessato può esercitare tale ripensamento, di tutta evidenza, non è idoneo a garantire chi a sua insaputa sia stato inserito nel meccanismo di ricontatto e che si trovi a ricevere un misterioso sms nel quale, peraltro, si suggerisce di azionare un link (pratica largamente sconsigliata per evitare di introdurre malware nei propri device). Più efficace, in questo senso, sembra essere una procedura di “conferma” del consenso al ricontatto (cliccando un apposito link o inserendo nel form via web una OTP inviata tramite sms) senza la quale il ricontatto stesso non avrebbe luogo.

Tale implementazione appare necessaria tanto più se si tiene in considerazione la circostanza, evidenziata da Vodafone, che “le quote delle vendite a distanza effettuate a seguito di richieste di ricontatto immediato o al 180 risultano rispettivamente attorno al 90% (marzo 2023) e attorno all’86% (novembre 2023)” e che quindi ormai l’attività di telemarketing e teleselling appare decisamente indirizzata verso tale tipologia di contatti.

Va inoltre osservato, rimanendo nello specifico ambito della contestazione, che i contatti realizzati nella settimana dal 6 al 13 marzo 2023 e ricompresi nella categoria “richieste di contatto immediato “Chiamami ora” su siti e banner di Vodafone o di propri Partners” (che hanno interessato 226 numerazioni iscritte al Registro pubblico delle opposizioni) non rientrano nella procedura descritta dalla Società, che risulta essere stata implementata solo dall’aprile 2023 per le pagine web gestite direttamente da Vodafone e da circa un mese per ciò che riguarda le pagine dei suoi partner. Ne consegue che, sotto il profilo del rispetto del principio di responsabilizzazione, in base al quale il titolare è tenuto a comprovare la liceità del trattamento, la documentazione fornita da Vodafone appare carente e inidonea a superare la contestazione formulata dall’Ufficio.

Che l’assenza di una procedura idonea ad impedire l’inserimento massivo, nelle pagine web di ricontatto, di numerazioni da destinare a promozioni all’insaputa dei reali utenti non costituisca una mera ipotesi lo testimoniano alcune discrepanze che sono emerse dall’analisi dei fogli excel allegati alla memoria difensiva di Vodafone, anche nel ristrettissimo arco temporale della settimana campione (6-13 marzo 2023). Con riferimento, ad esempio, ai contatti con la clientela “consumer”, appare non chiara la ragione per cui in 13 circostanze relative a contatti inbound della numerazione “180”e in 24, relative a richieste di ricontatto via web, non risulti individuato l’indirizzo IP della postazione dalla quale sono state svolte le attività di contatto (in entrata o in uscita) e di finalizzazione del contratto; appare altresì singolare che una delle agenzie della rete di vendita di Vodafone abbia ricevuto cinque chiamate (indirizzate al numero di servizio “180”) nella stessa giornata dell’10 marzo 2023 e tutte contestualmente alle ore 8.30, provenienti dalla medesima numerazione ma che hanno determinato l’attivazione di forniture  per quattro diversi clienti (di cui tre gestiti in contemporanea dal medesimo operatore) residenti in Lodi, Macerata, Caltanissetta e Milano.

Con riferimento invece alla procedura di verifica “dal contatto al contratto”, deve evidenziarsi che la stessa, pur risultando rigorosa e puntuale in fase di accertamento, risulta carente sotto l’aspetto dell’informazione da rendere al cliente al fine di renderlo edotto della eventuale natura illecita del contatto promozionale e di consentire al medesimo di recedere senza costi dal contratto attivato. Tale fase, seppur introdotta solo recentemente dal Codice di condotta per le attività di telemarketing e teleselling, aveva formato oggetto di specifica prescrizione impartita con il richiamato provvedimento n. 224 del 12 novembre 2020, cosicché la sua non completa attuazione incide sulla corretta declinazione del principio di responsabilizzazione, la cui violazione appare a tutt’oggi sussistere seppur in termini attenuati rispetto a quanto contestato con l’atto di avvio del procedimento.

4. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Vodafone in ordine alle violazioni così riformulate:

• art. 5, parr. 1, lett. a), e 2; art. 6; art. 24, par. 1 e 25, par. 1 del Regolamento;

• art. 130, commi 3 e 3-bis, del Codice, per aver effettuato i descritti trattamenti di dati personali di utenti e contraenti del settore della telefonia fissa e mobile (segnatamente le 244 attivazioni di servizi nel periodo 6-13 marzo 2023) in contrasto con i principi di liceità e responsabilizzazione, in assenza di un’idonea base giuridica e per aver messo in atto misure tecniche e organizzative non adeguate per garantire, fin dalla progettazione, ed essere in grado di dimostrare, che il trattamento è effettuato, in ogni suo aspetto e in qualsiasi stadio e/o livello, conformemente al Regolamento.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

• ingiungere a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di introdurre correttivi nella procedura di ricontatto del cliente a seguito di richieste veicolate attraverso le pagine web della Società o dei propri partner, al fine di impedire l’introduzione massiva di numerazioni da sottoporre a ricontatto;

• adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

5. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore);

Per la determinazione del massimo edittale della sanzione pecuniaria, occorre pertanto fare riferimento al fatturato di Vodafone, come ricavato dall’ultimo bilancio d’esercizio disponibile (marzo 2023) in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi si determina tale massimo edittale, nel caso in argomento, in euro 191.037.160

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento;

Nel caso in esame, assumono rilevanza:

1) la non significativa gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), tenuto conto del contesto delle attività di telemarketing e teleselling, da valutare unitamente alla considerazione che la Società ha posto in essere interventi e procedure idonee a realizzare un quadro di sostanziale incremento delle garanzie nei confronti degli interessati rispetto a quello emerso a seguito del provvedimento n. 224 del 12 novembre 2020; 

2) quale fattore attenuante (art. 83, par. 2, lett. f), l’elevato grado di cooperazione della Società testimoniato dalla circostanza che Vodafone ha fornito al Garante, anche spontaneamente, riscontri molto chiari e approfonditi fornendo un insieme esaustivo di elementi che hanno consentito una compiuta valutazione del complesso dei trattamenti;

3) la circostanza che, nei precedenti provvedimenti sanzionatori adottati dal Garante (n. 224 del 12 novembre 2020 e n. 379 del 10 novembre 2022), Vodafone ha definito la controversia con il pagamento in misura ridotta, il che determina, ai sensi dell’art. 8-bis, comma 5, della legge n. 681/1989, la non applicabilità dell’aggravante di cui all’art. 58, par. 2, lett. e, del Regolamento.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, si ritiene debba applicarsi a Vodafone la sanzione amministrativa del pagamento di una somma di euro 500.000, pari allo 0,26% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trattamenti, nonché degli elementi di rischio per i diritti e le libertà degli interessati.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ingiunge a Vodafone, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di introdurre correttivi nella procedura di ricontatto del cliente a seguito di richieste veicolate attraverso le pagine web della Società o dei propri partner, al fine di impedire l’introduzione massiva di numerazioni da sottoporre a ricontatto;

b) ingiunge a Vodafone, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura ingiunta ai sensi della lett. a); l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

ORDINA

a Vodafone Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis 13, C.F. 93026890017, di pagare la somma di euro 500.000,00 (cinquecentomila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 500.000,00 (cinquecentomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 9 maggio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei