g-docweb-display Portlet

Ricezione di chiamate promozionali indesiderate - 22 maggio 2018 [8995285]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

VEDI ANCHE Newsletter del 21 giugno 2018

 

[doc. web n. 8995285]

Ricezione di chiamate promozionali indesiderate - 22 maggio 2018

Registro dei provvedimenti
n. 313 del 22 maggio 2018 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTE le segnalazioni pervenute all’Autorità nei confronti di H3G s.p.a., tra le quali quelle presentate nel tempo dai signori QQ, WW, YY, HH, JJ, KK, ZZ, XX, QW, WY, YH, HJ, JK e KZ; 

ESAMINATA la documentazione in atti, acquisita nell’ambito delle verifiche in loco presso H3G s.p.a., in data 28, 29 e 30 novembre 2016, e quindi, a seguito dell’intervenuta fusione, presso Wind Tre s.p.a., il 17 e 18 gennaio 2017; 

ESAMINATA altresì la documentazione in atti acquisita nell’ambito delle verifiche in loco effettuate con l’ausilio della Guardia di finanza presso alcuni partner contrattuali della Società (di seguito semplicemente “partner”), in particolare 2 Biz s.r.l., con sede legale in Palermo, interessata dalle verifiche svolte dalla Guardia di finanza il 30 novembre e 1° dicembre 2016; BB Group s.r.l., con sede legale in Bari, interessate dalle verifiche svolte dalla Guardia di finanza il 29 novembre e il 1° dicembre 2016; Eurocom s.r.l., con sede legale in Milano, interessata dalle verifiche svolte dalla Guardia di finanza il 29 e il 30 novembre 2016; Omnia TLC s.r.l., con sede operativa in Roma, interessata dalle verifiche svolte dalla Guardia di finanza il 19 dicembre 2016;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Con una pluralità di segnalazioni pervenute nel tempo (solo alcune delle quali richiamate in premessa) è stata lamentata la ricezione di telefonate con operatore e l’invio di sms indesiderati a contenuto promozionale nell’interesse di H3G. In particolare, i segnalanti hanno rappresentato di essere stati contattati nonostante non avessero manifestato il proprio consenso all'utilizzo della propria utenza telefonica ovvero, anche reiteratamente (come si desume dalle segnalazioni di seguito riportate, selezionate a campione tra le tante pervenute), in tempi successivi all’opposizione (anche più volte) manifestata ai sensi dell’art. 7, comma 1, lett. b), del Codice, direttamente alla Società ovvero agli operatori di call center che nell’interesse della stessa li contattavano. 

2.1. Alla luce di tali circostanze, l’Autorità ha svolto alcuni accertamenti presso H3G, e quindi, in tempi di poco successivi alla fusione, presso Wind Tre s.p.a., destinataria del presente provvedimento; ciò al fine di verificare, anche traendo spunto dalle segnalazioni pervenute (talune delle quali oggetto di approfondimenti nel corso delle verifiche), l’osservanza delle norme in materia di protezione dei dati personali con particolare riferimento al trattamento dei dati personali per finalità di telemarketing/teleselling/invio sms a far data dal 1° gennaio 2016. 

2.2. Allo stesso scopo, sono stati effettuati accertamenti anche presso alcuni partner contrattuali della Società, indicati in premessa (che le preliminari verifiche effettuate dall’Ufficio avevano consentito di individuare quali fonti di contatti commerciali indesiderati nell’interesse di H3G), i cui esiti sono qui tenuti in considerazione limitatamente ai riflessi sulla complessiva liceità dei trattamenti effettuati da H3G (punti 4.1 ss.).

3.1. Nel corso delle verifiche presso H3G i rappresentanti della Società, con dichiarazioni della cui veridicità possono essere chiamati a rispondere ai sensi dell’art. 168 del Codice, hanno rappresentato che, in ragione dei destinatari dei contatti promozionali, H3G distingue l’attività di marketing/teleselling, effettuata sia mediante telefonata con operatore sia mediante sms, in due tipologie:

a. «quella diretta ai clienti, attuali e “cessati”, presenti nella propria customer base, che viene effettuata direttamente da H3G» (cfr. verbale 28.11.2016, p. 2), atteso che «non vengono fornite liste di clienti attivi o ex clienti ai partner commerciali di H3G; tale attività viene svolta direttamente ed esclusivamente dalla Società» (cfr. verbale 17.1.2017, p. 3 s.). Tanto con la puntualizzazione che «sia gli agenti che i partner commerciali possono contattare i rispettivi clienti per fini amministrativi (cd. prevention), ovvero che all’approssimarsi della scadenza del contratto il cliente viene contattato per formulare una nuova offerta commerciale» (cfr. verbale 17.1.2017, p. 3 s.). L’attività promozionale verrebbe effettuata «solo su clienti aventi il consenso al trattamento dei dati personali per finalità commerciali» (cfr. nota 1.2.2017 allegata alla comunicazione Wind Tre del 6.2.2017);

b. «quella diretta ai cd. prospect (soggetti che clienti non sono né sono stati), che è integralmente demandata a soggetti terzi, legati alla Società da un rapporto contrattuale e designati da H3G quali responsabili del trattamento dei dati personali» (cfr. verbale 28.11.2016, p. 2). 

3.2. Tuttavia, con specifico riferimento all’invio ai cd. prospect di sms a contenuto promozionale, tale attività «è completamente inibita a tutti i partner (ivi compresi gli Store), salvo richiesta di apposita autorizzazione ad H3G». In base a quanto dichiarato in proposito, però, «nessuna richiesta di autorizzazione per l’invio di sms è mai pervenuta ad H3G da parte dei partner» (cfr. verbale 28.11.2016, p. 3; circostanza confermata con riguardo al 2016 con la comunicazione del 6.2.2017). 

Al fine di ribadire tale divieto, nel marzo 2016 la Società ha inviato alla propria forza vendita un’apposita comunicazione (cfr. nota al Garante del 6.2.2017 e l’unita documentazione; v. pure dichiarazione a verbale 18.1.2017, p. 2).

3.3. Per quanto attiene all’attività di telemarketing, «H3G predispone gli script, comprensivi dell’eventuale vocal order, modificabili di volta in volta in base all’attività oggetto di promozione. H3G, quindi, cura la trasmissione di detti script, comprensivi dell’offerta commerciale, ai partner» (cfr. verbale 28.11.2016, p. 3). 

Nello svolgimento dell’attività promozionale, «i partner sono liberi di contattare telefonicamente tutti i prospect senza alcuna limitazione numerica da parte di H3G» (cfr. verbale 28.11.2016, p. 3), operando «quali negozi “virtuali” nell’interesse di H3G» con l’obbligo di attenersi alle “Linee guida per il trattamento dei dati personali per comunicazioni commerciali” predisposte dalla Società (e acquisite in atti il 30.11.2016). 

Le numerazioni telefoniche utilizzate per l’effettuazione dei contatti commerciali «sono nella disponibilità dei partner e non vengono portate a conoscenza di H3G; non viene effettuata da parte di H3G alcuna verifica delle liste utilizzate dai partner in relazione alla sussistenza dei presupposti di legge per l’effettuazione di chiamate a contenuto promozionale. H3G, tuttavia, prevede nell’ambito dei contHJ stipulati con i propri partner e nelle istruzioni agli stessi impartite, il rispetto della disciplina di settore con particolare riferimento a quella in materia di protezione dei dati personali; i partner sono oggetto di verifiche periodiche di tipo cartaceo (di regola, su base annuale o semestrale) […], con l’invio di un formulario concernente l’osservanza delle previsioni contrattuali e della disciplina di protezione dei dati personali. Possono, inoltre, essere effettuate verifiche nell’interesse di H3G presso i partner» (cfr. verbale 28.11.2016, p. 3 s.).

3.4. Quanto alle modalità attraverso le quali viene data attuazione all’esercizio del diritto di opposizione da parte dei cd. prospect, sia nei confronti di H3G (in via diretta), sia nei confronti dei partner (di regola nel corso della comunicazione telefonica), la Società ha dichiarato di provvedere «all’esecuzione di verifiche interne per poter risalire, ove possibile, al proprio partner autore del contatto promozionale, che viene quindi invitato a non contattare ulteriormente tale interessato; tale comunicazione viene estesa anche nei confronti degli altri partner. I nominativi di tali interessati e le relative utenze telefoniche non formano oggetto di alcuna registrazione nelle banche dati di H3G al fine di future attività [di] matching volte ad escludere ulteriori contatti indesiderati; H3G non è a conoscenza delle modalità di registrazione dell’esercizio del diritto di opposizione esercitato nei confronti dei partner, con riguardo all’effettuazione di attività promozionale nel proprio interesse, né è prevista alcuna forma di comunicazione di tale circostanza da parte dei partner a vantaggio di H3G» (cfr. verbale 28.11.2016, p. 4). 

3.5. Nel corso degli accertamenti è stato altresì acclarato, accedendo all’applicativo “self care” a disposizione di tutti i clienti, che per variare la volontà manifestata in ordine al trattamento dei dati per finalità di marketing «è necessario accedere alla sezione dedicata all’“area clienti” previo inserimento delle credenziali individuali; quindi, la modifica del consenso all’attività di marketing può essere effettuata solo previa modifica della password di accesso a detta sezione, altrimenti tale variazione viene inibita» (cfr. verbale 30.11.2016, p. 2 e relativi screenshot). 

3.6. In ragione della circostanza, oggetto di frequente segnalazione, della lamentata ricezione di contatti commerciali (in particolare sms) da soggetti appartenenti alla rete commerciale H3G presente sul territorio, nel corso delle verifiche è stato rappresentato (cfr. verbale 29.11.2016, p. 3), che la estesa rete commerciale di cui H3G si avvale si articola, desumibile dalla documentazione trasmessa in occasione delle verifiche (v. in particolare la Tabella “Elenco Sales”, all. 2 al verbale 29.11.2016 e la Tabella denominata “3 Store”, unita alla comunicazione del 14.12.2016),

a. per quanto attiene al settore denominato “consumer”, in:

I. negozi di proprietà gestiti in via diretta (cd. Store diretti H3G, cd. flagship), negozi gestiti in base ad un rapporto di agenzia, rispetto ai quali la Società provvede alla designazione del gestore quale responsabile del trattamento (cd. flagship light);

II. negozi che la Società considera titolari autonomi del trattamento, i quali possono essere:

in franchising;

multimarca (cd. dealer);

b. per quanto attiene al settore denominato “business”, di partner, legati alla Società da un contratto di agenzia, designati responsabili del trattamento (cfr. verbale 29.11.2016, p. 3).

Dalla menzionata Tabella “3 Store” si evince che oltre il 93% dei partner ivi menzionati, distribuiti sull’intero territorio nazionale, rivestono per la Società la qualifica di “titolari del trattamento”.

Rispetto a tali soggetti, è stato rappresentato, in merito ai livelli di accesso al CRM (che fa riferimento alle regole di visibilità dei dati nello stesso contenuti da parte dei partner commerciali della Società), che «per quanto attiene ai negozi di proprietà (Store diretti H3G, cd. flagship), ai negozi in franchising, ai negozi di proprietà gestiti in base ad un rapporto di agenzia (cd. flagship light), ai negozi multimarca (cd. dealer), accedono con profilo “dealer” che consente loro l’interrogazione univoca dell’intero CRM» (cfr. verbale 29.11.2016, p. 3).

Solo con riguardo «alla clientela business, le agenzie accedono al CRM con profilo “agente” che consente la visualizzazione dei soli clienti a ciascuno assegnati» (cfr. verbale 29.11.2016, p. 3).

4.1. In occasione delle verifiche in loco presso H3G hanno altresì formato oggetto di approfondimento un campione delle segnalazioni, come detto ben più numerose, pervenute all’Autorità, talune delle quali sono di seguito sintetizzate (sia in relazione a quanto segnalato dagli interessati, sia in relazione all’esito delle verifiche effettuate dall’Ufficio nonché indicando quanto emerso presso la Società).

4.2. Così, nelle segnalazioni ripetutamente inviate (alla Società e al Garante) da QQ, più volte destinatario di contatti commerciali indesiderati, sia via sms che tramite il canale telefonico, formano oggetto di lamentela innumerevoli contattati commerciali sulla propria numerazione “riservata” ..., con l’indicazione, in via esemplificativa, dei seguenti:

a. via sms il 3.12.2015, mittente 3; in data 11.12.2015, mittente 3; in data 8.2.2016, dal ...; il 26.4.2016 da Promo 3 con invito a chiamare il numero ..., numerazione che, a seguito di verifiche effettuate dall’Ufficio, è risultata assegnata a BB Group s.r.l. (circostanza oggetto di conferma in occasione degli accertamenti in loco presso detta società: cfr. verbale 29.11.2016, p. 3), partner di H3G e da questa designato responsabile del trattamento (v. Tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016). Al riguardo, con nota del 4.4.2016, H3G comunicava al segnalante che «a causa di problemi generalizzati di rete, si sono verificati alcuni disguidi tecnici, in conseguenza dei quali può aver sofferto di alcuni disservizi: a titolo esemplificativo l’erroneo invio di messaggi pubblicitari. La informiamo che sono state tempestivamente attivate specifiche attività operative al fine di redimere celermente la situazione verificatasi»;

b. telefonicamente, i giorni 2.2.2016, dal ...; 10.2.2016 dal ...; 15.2.2016 dal ...; 4.3.2016 dal ...; due volte il 13.4.2016 dalla numerazione ...;

c. ancora, telefonicamente, il 12.7.2016 dal ... (numerazione assegnata a New Technology Consulting s.r.l. e, solo a seguito degli accertamenti in loco, risultata in uso a 2 Biz s.r.l. (cfr. verbale 2 Biz, 30.11.2016); il 18.7.2016 dalla numerazione ... che, a seguito di verifiche effettuate dall’Ufficio, è risultata assegnata a Gepin Contact s.p.a., anch’essa risultata partner della Società e dalla medesima designata responsabile del trattamento (cfr. Tabella “3 Store” allegata alla comunicazione H3G del 14.12.2016, e Tabella “Elenco Sales”, all. 2 al verbale H3G 29.11.2016, nelle quali, tuttavia, è indicata la diversa numerazione ...). Ciononostante, rispetto a tali contatti, H3G comunicava al segnalante che «a valle degli accertamenti espletati […] è emerso che, ad oggi, i contatti telefonici da Lei lamentati, non risultano conosciuti come riconducibili a "3" o a Società di cui "3" si avvale nell'esecuzione delle proprie attività commerciali e/o promozionali» (cfr. note all’interessato del 1.8.2016 e 9.8.2016).
Contatti tutti effettuati, in base a quanto rappresentato dal segnalante, in assenza di alcun consenso da parte propria (cfr. segnalazioni del 13.4.2016, 5.9.2016 e 25.2.2017) e comunque nonostante il reiterato esercizio da parte sua del diritto di opposizione ai sensi dell’art. 7, comma 4, del Codice, già a far data dal 3 dicembre 2015 (con comunicazione inviata agli indirizzi PEC della Società: cfr. comunicazione 5.9.2016 e documentazione allegata, dalla quale risulta anche l’avvenuta consegna).

In sede di verifica presso H3G con riguardo al dato relativo all’utenza del segnalante è risultato che, alla data, il consenso al trattamento per finalità di marketing è risultato negato e, rispetto all’opposizione fatta valere il 6.12.2015, la richiesta è risultata registrata nella customer base a partire dal 12.12.2015 (sebbene il sistema riporti ulteriori contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data, con tutta probabilità in ragione del persistere dei contatti indesiderati sopra indicati) (cfr. verbale H3G 30.11.2016, p. 3).

4.3. Merita rilevare che anche in altre segnalazioni pervenute al Garante ricorrono, nella corrispondenza inviata dalla Società ai propri ex clienti destinatari di sms a contenuto promozionale (per lo più finalizzati al rientro in H3G), riferimenti ad asseriti malfunzionamenti tecnici, che si sarebbero peraltro ripetuti in tempi diversi, trasmessi agli interessati con frasi sostanzialmente identiche a quelle sopra riportate (in particolare al punto 1.2.1.a): così, in relazione alle segnalazioni presentate da WW, il quale lamentava la ricezione «da mesi» di sms al numero ... «per "rientrare in 3"» (cfr. mail 1.10.2016), H3G ebbe a comunicargli che «a causa di problemi generalizzati di rete, si sono verificati alcuni disguidi tecnici, in conseguenza dei quali può aver sofferto di alcuni disservizi: a titolo esemplificat[iv]o l’erroneo invio di messaggi/contatti pubblicitari. La informiamo che sono state tempestivamente attivate specifiche attività operative al fine di redimere celermente la situazione verificatasi. Ci preme, a tal proposito, evidenziare che l'effettività dell’operazione di riallineamento dei sistemi informatici è differita per un breve lasso di tempo rispetto a quando viene effettuata, in quanto soggetta alle tempistiche tecniche di rete» (v. mail 13.10.2016, in atti). 

Ancora, nella segnalazione presentata da YY, destinatario di un contatto indesiderato sull’utenza ... da parte di H3G (dalla numerazione ...), quest’ultima rappresentava che «a causa di problemi generalizzati di rete, si sono verificati alcuni disguidi tecnici, in conseguenza dei quali può aver sofferto di alcuni disservizi: a titolo esemplificat[iv]o l’erroneo invio di messaggi pubblicitari. La informiamo che sono state tempestivamente attivate specifiche attività operative al fine di redimere celermente la situazione verificatasi» (cfr. nota H3G 24.11.2015, in atti). Alla data degli accertamenti in loco il consenso al trattamento per finalità di marketing del segnalante è risultato negato; a fronte del ticket aperto dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing risalente al 04.11.2015, la richiesta è risultata registrata nella customer base a partire dal 02.12.2015.

E già comunicazione di analogo contenuto risulta essere stata inviata a HH a seguito di contatti commerciali indesiderati (cfr. mail H3G 17 luglio 2015, unita alla segnalazione del 3.2.2016).

Non diverso il tenore di quanto segnalato il 16 febbraio 2016 da JJ, ex cliente H3G, e destinatario di sms indesiderati sulla propria utenza riservata ... ricevuti in data 11.11.2015, 4.12.2015, 8.1.2016 e 16.02.2016 (taluni dei quali uniti all’integrazione del 19.5.2016), al quale pure la Società ha inizialmente rappresentato, con identico testo, i sopra menzionati «disguidi tecnici» (cfr. nota 23.11.2015), seguiti da ulteriori invii di sms (cfr. segnalazione 4.12.2015), destinati a ripetersi, nonostante le comunicazioni della Società aventi ad oggetto l’effettuazione delle «verifiche e [dei] controlli del caso» (cfr. nota H3G del 20.1.2016) come pure l’esecuzione di «tutti gli accertamenti necessari con i […] Dipartimenti competenti» (cfr. nota H3G 5.2.2016). Nell’ambito delle verifiche in loco presso H3G è risultato negato il consenso al trattamento per finalità di marketing dell’utenza. A fronte del ticket aperto in data 12.11.2015 dall’operatore di customer care relativo all’esercizio del diritto di opposizione, la richiesta è risultata registrata nella customer base a partire dal 23.11.2015 (sebbene il sistema riporti altri contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data) (cfr. verbale H3G 30.11.2016, p. 4 s.).

Così pure a KK, oppostosi con comunicazione ad H3G del 9 dicembre 2015 al trattamento dei propri dati per finalità promozionali (precisando di non essere più cliente dal 2013 e lamentando contatti commerciali indesiderati), la Società rappresentò che «a far data dal 4.1.2016 è stato rimosso da parte della Scrivente il consenso al trattamento dei dati personali per finalità commerciali» (cfr. comunicazione del 15.1.2016, in atti). A fronte dell’ulteriore segnalazione nella quale, ciononostante, il segnalante lamentava l’invio di «sms pubblicitari, in questo caso da "3 Store"» (v. comunicazione ad H3G del 21.1.2016, in atti), H3G replicava (v. mail 3.2.2016) che «a seguito dei controlli e delle verifiche effettuate al nostro interno, a causa di un disallineamento tecnico dei nostri sistemi, è stato erroneamente destinatario dell’attività da Lei lamentata. A fronte della sua segnalazione abbiamo provveduto ad eliminare i suoi riferimenti per le attività di tipo commerciale svolte direttamente ed esclusivamente da 3». In sede di verifica in loco il consenso del segnalante per finalità di marketing è risultato negato. È risultato inoltre che, a fronte del ticket aperto in data 10.12.2015 dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing, la richiesta è risultata registrata nella customer base a partire dal 3.2.2016 (e che il sistema riportava ulteriori contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data) (cfr. verbale H3G, 30.11.2016, p. 5).

4.4. Con plurime segnalazioni ZZ ‒ che ha comprovato l’avvenuta registrazione della propria opposizione nei confronti della Società rispetto all’utenza ... (v. mail 16.2.2016 inviata al segnalante in riscontro alla richiesta del 3.2.2016, in atti), e successivamente con PEC del 14 maggio 2016 ‒, ha lamentato di essere stato contattato con sms indesiderati sulle proprie utenze (già H3G):

a. ... e ... il 23.4.2016, 29.4.2016 e 4.5.2016 dal ... (cfr. segnalazione 4.5.2016), risultata assegnata ad Eurocom s.r.l., con sede in Milano (cfr. comunicazione H3G del 4.11.2016) e partner di H3G (cfr. tabella “3 Store” allegata alla comunicazione H3G del 14.12.2016): rispetto a tali contatti la Società comunicava al segnalante che «dalle verifiche espletate al nostro interno è emerso che gli sms da lei lamentati sono stati inviati nell’ambito di un’attività autonoma svolta direttamente da alcuni Rivenditori. Ad ogni buon conto, gli stessi Rivenditori ci segnalano di aver immediatamente normalizzato la situazione e di aver rimosso il Suo nominativo da questa tipologia di attività. Rammaricandoci per l’accaduto, da ricondursi all’attività autonoma svolta dal Rivenditore, rimaniamo a disposizione per eventuali chiarimenti» (cfr. mail 15 giugno 2016, in atti);

b. ... il 14.5.2016 dal ..., risultata anch’essa assegnata ad Eurocom s.r.l. (cfr. comunicazione H3G 12.10.2016); 

c. ..., ... e ..., il 5.10.2016, al medesimo orario, sono risultati essere stati inviati dal ..., esso pure risultato assegnato ad Eurocom s.r.l. (cfr. comunicazione H3G 4.11.2016), e tutti veicolati dal SMSC (sms center) H3G ...; tanto nonostante le precedenti rassicurazioni fornite dalla Società;

d.    ... il 6.6.2016 dal .... 

In sede di verifiche in loco, alla data, il consenso per finalità di marketing è risultato negato; a fronte del ticket aperto dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing in data 4.2.2016, la richiesta è risultata registrata nella customer base a partire dal 16.2.2016 (sebbene, anche in questo caso, il sistema riporti altri contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data).

4.5. XX ha lamentato nei confronti di H3G (il 3.3.2016), e successivamente al Garante (cfr. mail 24.5.2016), la ricezione di una pluralità di sms indesiderati a contenuto promozionale sulla propria utenza ..., con particolare riguardo a quelli inviati il 3.3.2016 dal ..., riferito al “3 Store” presso il Carrefour Limbiate; il 3.3.2016, il 25.4.2016 e il 17.5.2016 dal ..., numerazione risultata assegnata ad Eurocom s.r.l., all’esito degli accertamenti effettuati dall’Ufficio; il 16.5.2016 dal ..., utenza essa pure risultata assegnata a Eurocom s.r.l.; infine il 24.5.2016 da un’utenza anonima. In occasione delle verifiche in loco il consenso del segnalante al trattamento dei propri dati «è risultato valorizzato positivamente» ancorché, visualizzato il ticket aperto il 2.2.2016 dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing, la richiesta sia «stata indicata come registrata nella customer base a partire dal 09.02.2016» ed il sistema riporti «ulteriori contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data».

Riscontrando la menzionata segnalazione del 3.3.2016, H3G rappresentava al segnalante che «dalle verifiche espletate […] e come riferitoci dal 3 Store presso il Centro commerciale di Limbiate, l’sms da Lei lamentato è stato inviato nell’ambito di un’attività autonoma svolta dal suddetto 3 Store (circostanza ribadita nella formula di saluto) ed altresì a causa di un erroneo inserimento del suo nominativo nelle liste. Ad ogni buon conto, il predetto 3 Store ci segnala di aver immediatamente normalizzato la situazione e di aver rimosso il suo nominativo da qualsiasi lista».

4.6. Con plurime segnalazioni (del 8.6.2016, 13.10.2016 e 16.11.2016) Maria Teresa QW ‒ che ha comprovato l’esercizio del diritto di opposizione esercitato nei confronti della Società con raccomandata a.r. del 10.8.2009, ricevuta il 18.8.2009 (cfr. doc. allegata alla segnalazione dell’8.6.2016) e con successivo fax del 10.6.2016 (cfr. segnalazione 12.10.2016) ‒ ha lamentato di aver ricevuto sulla propria utenza ... numerosi sms indesiderati a contenuto promozionale nell’interesse di H3G (con offerte “Torna in 3” o “Senza limiti con 3”) da “Torna in 3” ovvero da “Gestore tel 3”, ed in particolare in data 29.1.2016 dal ...; il 25.5.2016, 31.5.2016 e 1.6.2016, da “3”, il cui Network Element Number (NEN) ...3, individuato a seguito delle verifiche dell’Ufficio, è risultato riconducibile alla Società (cfr. nota H3G del 6.12.2016); il 6.6.2016 dal ...; in data 1.4.2016 da “3 Store TO” (cfr. segnalazione 13.10.2016); il 7.7.2016, sono stati ricevuti due ulteriori sms (uno dei quali da ADV3 e l’altro da “3 Store TO” dal numero ...), risultati veicolati anch’essi tramite il centro servizi H3G dal NEN ...3.

Al netto di quanto comprovato dalla segnalante circa il previo esercizio del diritto di opposizione nel 2009, non risultato censito nei sistemi della Società, nel corso di tali accertamenti è stato altresì possibile verificare che, a fronte dell’esercizio «del diritto di opposizione al trattamento per finalità di marketing, fatto valere con fax del 10 giugno 2016», tale richiesta «è risultata registrata nella customer base a partire dal 22 luglio 2016» (cfr. verbale 29.11.2016, p. 3).

Inoltre, nel corso delle verifiche presso H3G è stato accertato che l’utenza della segnalante «è stata inserita nella lista contenente le numerazioni destinatarie di sms del 29 gennaio 2016 [e che la stessa è risultata presente] nella campagna di advertising (ADV3) effettuata per conto di [altra società] il 7 luglio 2016» (cfr. verbale H3G 29.11.2016, p. 3).

4.7. KZ ha lamentato, il 7 aprile 2016 (e con successive segnalazioni), una molteplicità di sms indesiderati a contenuto commerciali (producendoli in atti) pervenuti sulla propria utenza ... e, tra questi, gli sms pervenuti nei giorni 10.11.2015, 20.01.2016, 27.1.2016, 14.3.2016 da “3 Store Auchan Taranto”; nei giorni 21.3.2016 e 30.4.2016 da “3 Store Mignini Taranto”; il 29.4.2016 da “3 Store Taranto c.so Umberto”, inviato dalla numerazione ... che, a seguito delle verifiche svolte dall’Ufficio è risultata assegnata a Magic Number s.r.l. con sede in Taranto, negozio in franchising che H3G qualifica “titolare del trattamento”; il segnalante ha lamentato inoltre (circostanza peraltro rappresentata anche ad H3G in occasione dell’esercizio dei diritti di cui all’art. 7 del Codice del 16 ottobre 2015, in atti) che in occasione dell’attivazione delle sim da parte della rete commerciale H3G la modulistica presenta le opzioni relative al trattamento dei dati per finalità di marketing già preselezionate.
Nel corso delle verifiche in loco presso H3G è emerso che, alla data e a seguito di variazione effettuata dal segnalante tramite il portale di self care in data 13.11.2016 il consenso al trattamento dei dati personali per finalità di marketing dell’utenza del segnalante fosse valorizzata a “SI”. Tuttavia, rispetto all’intervallo temporale nel quale gli sms oggetto di segnalazione sono pervenuti, è stato visualizzato il ticket aperto dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing, in data 15.10.2015; la corrispondente richiesta è risultata registrata nella customer base a partire dal 30.10.2015 (cfr. verbale 30.11.2016, p. 4), giorno in cui al segnalante viene indirizzata una e-mail in tal senso da H3G.

4.8. Così pure la Società ha riscontrato (v. ad es. la nota del 14 ottobre 2016 nella quale viene rappresentato al segnalante che H3G stava «finendo di ultimare puntuali verifiche» e le successive comunicazioni con le quali la Società ha disconosciuto la riconducibilità a sé o a propri partner delle numerazioni chiamanti) le plurime segnalazioni di WY che lamentava di aver ricevuto sulla propria utenza ... contatti commerciali indesiderati sul canale telefonico (anche più volte al giorno) in data 3.10.2016 dal ..., numerazione che a seguito delle verifiche dell’Ufficio è risultata assegnata a Sin Fronteras s.r.l., con sede in Pescara, partner designato responsabile del trattamento da H3G (cfr. Tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016, nella quale non è tuttavia riportata l’utenza chiamante per l’attività di telemarketing); il 3 e 5.10.2016 dal ...; il 17.10.2016 dal ...; il 21.11.2016 dal ...; il 19.6.2017 e il 14.7.2017 dal ...; via sms il 22.11.2016 dal ...; contatti indesiderati sono stati lamentati anche in tempi successivi (il giorno 1.8.2017 dal ...; 2.11.2017 dal ...; 13.11.2017 dal ...).

Nei riscontri inviati dalla Società è stato dapprima rappresentato che verifiche sarebbero in corso (nota 14.10.2016) per confermare quindi (cfr. comunicazione del 21.10.2016) che la chiamata pervenuta dallo ... sarebbe stata «un’iniziativa autonoma dell’agente».

Nell’ambito delle verifiche in loco presso H3G è emerso che, alla data, il consenso al trattamento per finalità di marketing è risultato negato. Rispetto all’esercizio del diritto di opposizione al trattamento per finalità di marketing, esercitato in data 27.02.2015, la richiesta è risultata registrata nella customer base a partire dal 27.03.2015 (e il sistema riporta ulteriori contatti aventi ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data).

4.9. YH ha segnalato una molteplicità di contatti telefonici indesiderati a contenuto promozionale sulla propria numerazione, peraltro iscritta nel registro pubblico delle opposizioni, e tra questi quelli del 9, 23 e 24 novembre 2016, indicando le numerazioni chiamanti, non risultate presenti tra quelle indicate da H3G come riferite ai propri partner.

Alla data delle verifiche presso la Società, il consenso del segnalante al trattamento per finalità di marketing è risultato negato. Tuttavia, in relazione all’esercizio del diritto di opposizione al trattamento per finalità di marketing, la richiesta, effettuata all’operatore di customer care il 29.08.2015, «è risultata registrata nella customer base a partire dal 29.12.2015» (cfr. verbale 30.11.2016, p. 3), sebbene il sistema riporti ulteriori contatti aventi sempre ad oggetto richieste di opposizione al trattamento per finalità di marketing successive a tale data.

4.10. Con segnalazione del 15 giugno 2016, HJ ha lamentato una molteplicità di contatti telefonici indesiderati a contenuto promozionale sulla propria utenza ..., provenienti dalle numerazioni ..., ..., ... e ... rispetto alla quali H3G ha disconosciuto che le stesse facessero parte della propria rete commerciale (cfr. nota 28.6. 2016). Peraltro, nel corso degli accertamenti effettuati presso 2 Biz è stata acquisita una mail inviata da H3G (segnatamente dalla funzione “escalation privacy”) ai propri partner in data 12.7.2016 nella quale, nel segnalare “chiamate di disturbo” lamentate nei confronti della Società ‒ e tra queste anche quelle oggetto della segnalazione del sig. HJ appena ricordata ‒, si richiede «di allertare urgentemente tutti i partner al fine di escludere i numeri indicati dalle rispettive liste di contatto» (cfr. all. 8, verbale 2 Biz 30.11.2016).

Ciononostante il segnalante lamenta, in tempi successivi, un Sms “Torna in 3” ricevuto il 5.9.2016 proveniente dal ..., numerazione che all’esito degli accertamenti dell’Ufficio è risultata assegnata a Nasafi Service s.r.l., partner di H3G e dalla stessa designata responsabile del trattamento (cfr. tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016, nella quale è tuttavia assente la numerazione in uso alla società); una chiamata in data 11.11.2016 proveniente dall’utenza ..., assegnata a Cloud Europa s.r.l., partner H3G e da questa designata responsabile del trattamento (cfr. Tabella “Elenco Sales”, all. 2 al verbale H3G 29.11.2016); il 9.12.2016 dall’utenza ..., risultata assegnata a Sogeea Polaris Enterprise s.r.l., società designata responsabile del trattamento da H3G (cfr. Tabella “Elenco Sales”, all. 2 verbale 29.11.2016), peraltro già oggetto di una comunicazione da parte di H3G nella quale veniva richiamata al rispetto degli obblighi derivanti dalla disciplina di protezione dei dati (cfr. comunicazione allegata al verbale 30.11.2016). 

Nel corso delle verifiche in loco presso H3G il consenso al trattamento per finalità di marketing dell’interessato è risultato negato e sono risultati registrati «diversi ticket aperti da operatori di customer care relativi a successive richieste di negazione del consenso privacy, effettuata dall’utente a partire dal gennaio 2015» (cfr. verbale 29.11.2016, p. 4).

4.11. Con plurime segnalazioni del 10, 11, 16 e 17 maggio e 15 giugno 2016, JK ha lamentato una molteplicità di contatti indesiderati, sia telefonici (in data 11.5.2016 dal ...; il 16.5.2016 e 18.5.2016 dal ...) che via sms (il 17.5.2016 da “Torna in 3”) a contenuto promozionale sulla propria utenza .... Con comunicazione del 25.5.2016, H3G, nel comunicare al segnalante di aver registrato la sua opposizione al trattamento per finalità di marketing, ha tuttavia negato che le numerazioni chiamanti facessero capo alla propria rete di vendita. Come nel caso testé menzionato relativo a HJ, anche in relazione ai contatti lamentati a maggio 2016 dal segnalante, la funzione “escalation privacy” di H3G, nella medesima mail del 12.7.2016 richiedeva «di allertare urgentemente tutti i partner al fine di escludere i numeri indicati dalle rispettive liste di contatto» (cfr. all. 8 al verbale 2 Biz del 30.11.2016).

Nonostante la menzionata attestazione del 25.5.2016 proveniente dalla Società, il segnalante lamentava ulteriori contatti, in data 3, 25 e 26 ottobre 2016, tutti provenienti dall’utenza ... che, all’esito delle verifiche svolte dall’Ufficio, è risultata assegnata, a far data dal 1° ottobre 2016, a Revolution group s.r.l.s., avente sede in Cassino (32609/16) e partner designato responsabile del trattamento da H3G (cfr. Tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016, nella quale, peraltro, le numerazioni chiamanti sono diversamente indicate, corrispondendo alle utenze ... e ...).

Nel corso delle verifiche in loco presso H3G è emerso che il consenso al trattamento per finalità di marketing «è risultato negato»; è stato altresì visualizzato il ticket aperto dall’operatore di customer care relativo all’esercizio del diritto di opposizione al trattamento per finalità di marketing, risultato «aperto in data 10.5.2016» con la corrispondente richiesta «registrata nella customer base a partire dal 25.5.2016» (cfr. verbale 30.11.2016, p. 3).

5.1. Le circostanze che hanno formato oggetto di rappresentazione nei termini sopra sintetizzati nel corso degli accertamenti presso H3G (e quindi Wind Tre) sono state verificate, come anticipato, anche presso alcuni dei partner contrattuali della Società, talvolta trovando conferma, talora evidenziando profili di discontinuità.

5.2.1. Nel corso delle verifiche svolte presso 2 Biz s.r.l. ‒ partner contrattuale operante quale call center in modalità outbound nell’interesse esclusivo di H3G, e da quest’ultima designato responsabile del trattamento (cfr. verbale 2 Biz, 30.11.2016, p. 2 e all. 1 allo stesso; cfr. pure la Tabella “3 Store” allegata alla comunicazione H3G del 14.12.2016; Tabella “Elenco Sales”, All. 2, verbale 29.11.2016) ‒ è stato dichiarato che le numerazioni chiamanti facenti capo a detta società corrispondono alle numerazioni ... e ..., diverse da quelle presenti nella documentazione trasmessa all’Autorità da H3G (cfr. Tabella “Elenco Sales”, All. 2, verbale 29.11.2016; tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016, nelle quali sono indicate invece le utenze ...e ...). 

Quanto all’esecuzione dei contatti promozionali, è stato dichiarato che mentre una parte delle numerazioni utilizzate nell’interesse di H3G erano provenienti da un database contenente le anagrafiche relativa a soggetti presenti nell’elenco telefonico pubblico, altra parte «ci viene comunicata da H3G per il tramite di liste di contatti che ci vengono inviate via mail con cadenza pressoché mensile e riguardano clienti prossimi alla scadenza contrattuale ovvero ex clienti H3G cui prospettare il rientro in H3G medesima», fornendo al riguardo due comunicazioni mail della Società ed unitamente alle stesse le anagrafiche dei clienti da contattare (cfr. verbale 2 Biz, 30.11.2016, p. 3).

Il contatto telefonico viene effettuato attenendosi allo script predisposto da H3G (cfr. verbale 1.12.2016, p. 3 e all. 9, “Script Vocal Order”).

5.2.2. Quanto alla manifestazione di volontà da parte degli utenti interessati dai contatti commerciali a non essere più contattati, il rappresentante di 2 Biz, ha dichiarato non essere «ancora operativa una procedura per fornire il riscontro in questione ad H3G» (cfr. verbale 1.12.2016, p. 2). 

Inoltre, nel mettere a disposizione tutte le comunicazioni pervenute da H3G a 2 Biz a far data dalla costituzione di quest’ultima società (aprile 2016) contenenti le numerazioni da escludere dai contatti ‒ complessivamente poche decine ‒, la società ha rappresentato che ciò avviene via e-mail (cfr. verbale 1.12.2016, p. 3 e all. 8).

5.2.3. Nell’ambito delle verifiche presso 2 Biz è stato così possibile acclarare, con riguardo alla chiamata segnalata dal sig. QQ in data 12.7.2016, che la stessa è stata effettuata da 2 Biz e che «il relativo dato personale è stato comunicato alla 2 Biz s.r.l. dal committente H3G per il tramite di un file excel» (acquisito agli atti). Nella stessa occasione il rappresentante di 2 Biz s.r.l., nel fare riserva di rinvenire la comunicazione mail proveniente da H3G, ha precisato che «in alcuni casi si è verificato che uno dei responsabili di H3G abbia comunicato le liste di contatti portandole personalmente in società utilizzando degli specifici supporti informatici del tipo pen-drive e che, pertanto, al verificarsi di tali ipotesi, la società non dispone di comunicazioni di accompagnamento al file» (cfr. verbale 2 Biz 30.11.2016, p. 4). Non diversamente, nella comunicazione del 16.12.2016, il rappresentante di 2 Biz ha dichiarato, anche ai sensi dell’art. 168 del Codice, che, «dopo aver condotto approfondite verifiche, […] il numero e il contatto del signor QQ è risultato inserito in una lista che, purtroppo, ricade proprio nel raro caso […] in cui l’elenco ci è stato fornito attraverso una pen-drive da un responsabile di H3G».

5.2.4. Dall’analisi della documentazione acquisita è invero risultato, quanto al sig. QQ, che:

a. la numerazione riferita allo stesso era presente in una lista di 200.789 contatti, relativi ad ex clienti H3G migrati presso altro operatore, recanti, tra gli altri, i campi relativi al codice cliente H3G (cfr. all. 5 al verbale 2 Biz 1.12.2016);

b. la numerazione riferita allo stesso era presente tra le numerazioni chiamate il 12.7.2016, giorno indicato nella segnalazione pervenuta al Garante (cfr. verbale 2 Biz 1.12.2016, all. 10);

c. dalle estrazioni riferite al segnalante effettuate presso H3G è emerso che i dati riferiti all’anagrafica del sig. QQ (e tra questi anche il codice cliente) coincidono con quelli rinvenuti nella lista acquisita in occasione degli accertamenti presso 2 Biz;

d. gli acronimi dei campi della lista acquisita presso 2 Biz corrispondono a quelli acquisiti nel corso degli accertamenti presso H3G (cfr. il file denominato “...” allegato al verbale 18.1.2017).

5.3.1. Nell’ambito delle verifiche effettuate presso BB Group s.r.l., partner di H3G designato responsabile del trattamento ‒ che effettua contatti promozionali sia su utenze riferite a clienti messe a disposizione da H3G che, per quanto riguarda i prospect, su liste acquisite autonomamente (cfr. verbale 29.11.2016, p. 2) ‒, per quanto rileva ai fini del presente provvedimento, è stato rappresentato che, «se l’esito del contatto (sia verso clienti 3 che verso prospect) dovesse essere negativo per l’opposizione al trattamento dei dati personali, l’operatore concluderà la telefonata con esito “KO privacy”; tutti i contatti “KO privacy” vengono registrati in una black list [interna] e vengono “matchati” con ogni nuovo utente (sia clienti 3 che prospect) da contattare in futuro» (cfr. verbale 1.12.2016, p. 4). 

5.3.2. Rispetto a tali liste di esclusione è stato puntualizzato che «non inviamo ad H3G i dati identificativi degli utenti/clienti 3 che si sono opposti al trattamento [registrati] nella nostra black list in quanto detta comunicazione non fa parte di nessuna procedura operativa definita da H3G» (cfr. verbale 1.12.2016, p. 4).

5.3.3. Nella lista di esclusione interna ‒ contenente alla data delle verifiche 31617 record (cfr. all.ti 12 e 14 al verbale BB Group 1.12.2016) ‒ vengono registrate anche le utenze da non contattare presenti nelle mail inviate da H3G (cfr. verbale 2 Biz, 1.12.2016, p. 3 e all. 8), e tra queste sono state rinvenute le utenze telefoniche JK e HJ (trasmessa da H3G via mail il 12.7.2016) nonché quelle di JJ (trasmessa da H3G via mail il 17.2.2016) e di QQ (trasmessa da H3G via mail il 28.4.2016) (cfr. verbale 1.12.2016, p. 5 e all.ti 8, 15 e 16).

5.4. Nel corso delle verifiche che hanno avuto luogo presso Eurocom s.r.l. ‒ rivenditore «di apparecchi telefonici e abbonamenti per H3G» (cfr. verbale Eurocom 29.11.2016, p. 2) sulla base di un rapporto di franchising e qualificato da H3G quale “titolare del trattamento” (cfr. la Tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016) ‒ è emerso che detta società:

a. «nei confronti dei propri clienti (coloro che hanno attivato un servizio o acquistato un prodotto H3G presso il nostro negozio), in occasione o nella prossimità della scadenza di un contratto, invia un sms per [proporre] nuove offerte o nuovi servizi da aggiungere al contratto in essere» (verbale Eurocom 29.11.2016, p. 3); 

b. può accedere all’applicativo web di H3G (...) inserendo «username, fornito […] da H3G [e] password ottenibile tramite un token fornito […] da H3G. L’applicativo permette di inserire nuovi clienti, di visualizzare lo stato di quelli attivati presso [il] negozio o di tutti i clienti H3G, a seconda della funzione scelta» (verbale Eurocom 29.11.2016, p. 3 e all. 2);

c. tali accessi vengono in particolare effettuati per inviare gli sms a contenuto promozionale descritti al punto a): in base a quanto dichiarato, infatti, tramite l’accesso all’applicativo H3G viene individuato «l’elenco degli utenti “ordine vendita” per gli utenti cui è stato attivato un servizio presso la società o “post vendita” per gli utenti che hanno fatto una qualsiasi operazione presso la società, in base ad un periodo scelto. Successivamente vengono selezionati i numeri di interesse che vengono manualmente inseriti, nella maggior parte dei casi, in un applicativo presente nel personal computer denominato “...”, associato ad una chiavetta UMTS che permette l’invio simultaneo degli sms. Residualmente, nei momenti in cui non abbiamo clientela in negozio, provvediamo con cellulari ad inviare gli sms in questione ad alcuni clienti» (v. verbale 30.11.2016, p. 3). «Gli script sono redatti manualmente e creati al momento. Vengono inseriti nel sistema “...” o nei programmi di messaggistica presenti nei cellulari utilizzati per tale attività» (v. verbale 30.11.2016, p. 4);

d. «inserendo […] il codice fiscale o il numero di telefono è possibile vedere tutti gli utenti di H3G, anche quelli che non hanno più attivo un servizio. Per questi ultimi compare esclusivamente l’anagrafica senza le numerazioni telefoniche» (v. verbale 30.11.2016, p. 3);

e. «episodicamente H3G ci invia, tramite email, i riferimenti di clienti da non contattare» (verbale 30.11.2016, p. 5).

5.5. Nel corso delle verifiche che hanno avuto luogo presso Omnia TLC s.r.l. sono risultate confermate le circostanze di fatto emerse presso Eurocom s.r.l. , con particolare riferimento alla possibilità di accedere ai sistemi di H3G mediante il portale “...”, grazie al quale possono essere effettuate «ricerche per codice fiscale o per numero di telefono di qualunque cliente H3G, a prescindere dal punto vendita in cui siano state effettuate vendita ed attivazione delle sim» (cfr. verbale 19.12.2016, p. 3).

Quale ulteriore circostanza, è stato tuttavia possibile appurare che in relazione al consenso per il trattamento dei dati personali della clientela (di cui al box “Trattamento dati personali”), detto consenso «è obbligatorio, in quanto la mancata applicazione del flag sul relativo check box manderebbe in blocco la procedura di attivazione» (cfr. verbale 19.12.2016, p. 3). Circostanza quest’ultima peraltro segnalata ad H3G anche da KZ nel modello di esercizio dei diritti di cui all’art. 7 del Codice in data 16 ottobre 2015 (punto 4.7).

6.1. Alla luce degli elementi allo stato complessivamente acquisiti rispetto al trattamento di dati personali effettuato per finalità di marketing da parte di H3G, mediante il canale telefonico che tramite sms, inviati nell’interesse della Società medesima, anche mediante operatori afferenti alla propria rete commerciale, o di terzi ‒ e con riserva di verifiche ulteriori rispetto a taluni profili ed incongruenze emersi nel corso degli accertamenti ‒ deve affermarsi che il modello organizzativo in essere presso la Società, nel periodo considerato dagli accertamenti, presenta gravi carenze, tali da determinare un rischio elevato di sistematica violazione della disciplina di protezione dei dai personali, e quindi dei diritti degli interessati, in relazione alla corretta selezione delle utenze da contattate come pure in relazione al corretto trattamento dei dati di quanti (clienti e prospect) manifestino la volontà di non ricevere contatti commerciali nell’interesse della Società. Salve eventuali correzioni di tale modello in tempi successivi agli accertamenti, anche a seguito dell’intervenuta fusione ‒ che, ove poste in essere, non sono state portate all’attenzione dell’Autorità ‒, è quindi necessario che la Società apporti, senza ritardo i necessari correttivi, sulla base delle prescrizioni di seguito impartite (v. infra punti 6-10), anche in vista dell’imminente applicazione del Regolamento (UE) 2016/679.

6.2.1. Quanto alle carenze di natura organizzativa appena richiamate, deve in anteparte rilevarsi che la Società è risultata avvalersi di un’ampia rete di partner designati responsabili del trattamento ‒ lasciando al momento da parte la circostanza, che presenta evidenti criticità, della sussistenza di innumerevoli segnalazioni, la gran parte di quelle pervenute al Garante, nelle quali le numerazioni dalle quali provengono i contatti commerciali telefonici e via sms per H3G non si rinvengono da quelle dichiarate all’Autorità dalla Società (al riguardo v. infra punto 10) ‒ i quali, in base a quanto dichiarato, sono autorizzati a contattare i cd. prospect , sulla base di script predisposti dalla Società (cfr. punto 3.3), titolare del trattamento, senza che alcuna idonea misura preventiva sia da questa posta in essere per prevenire contatti indesiderati in relazione a quanti si siano opposti all’effettuazione di contatti commerciali nell’interesse di H3G o non abbiamo alla stessa accordato il proprio consenso a tali contatti o detto consenso abbiano revocato (punto 3.3). In particolare, in base a quanto dichiarato e verificato nel corso degli accertamenti, H3G non ha predisposto, rispetto all’attività di contatto dei prospect svolta dai propri partner liste di esclusione dai contatti commerciali (cd. black list) di quanti si oppongano nei suoi confronti, direttamente o per il tramite dei partner commerciali, al trattamento dei propri dati personali per finalità di marketing e delle relative utenze telefoniche (cfr. punto 3.4). Come detto, tali partner, senza alcun controllo preventivo da parte della Società (sia in relazione alla sussistenza di un idoneo consenso informato, sia, in quanto appropriato, circa la preventiva attività di incrocio con il Registro pubblico delle opposizioni), contattano le numerazioni dagli stessi reperite (che possono potenzialmente riguardare quindi anche quanti siano già clienti della Società).

Né, quale conseguenza obbligata di tale (scorretta) scelta organizzativa, la Società ha posto in essere alcuna procedura volta ad incrociare la/e lista/e di esclusione relativa/e a quanti ‒ direttamente nei propri confronti o tramite i propri partner contrattuali ‒ hanno fatto risultare la propria opposizione o dei quali non consti comunque il consenso, al momento dell’effettuazione di una campagna commerciale, a che i propri dati personali siano trattati per finalità di marketing con le numerazioni rispetto alle quali viene programmato lo svolgimento di campagne promozionali.

Al contrario, come dichiarato (cfr. punto 3.4), la Società si limita ad inviare via mail alcune numerazioni ai propri partner (v. punti 5.2.2 e 5.4.e) con l’intendimento di risalire all’autore del contatto commerciale indesiderato invitando contestualmente i partner a non contattare ulteriormente tali utenze; tuttavia «i nominativi di tali interessati e le relative utenze telefoniche non formano oggetto di alcuna registrazione nelle banche dati di H3G al fine di future attività [di] matching volte ad escludere ulteriori contatti indesiderati» (verbale H3G 28.11.2016, p. 4), sì che nessuna lista interna di esclusione da successivi contatti commerciali viene formata.

Tale condotta non solo amplifica il rischio dell’effettuazione di contatti indesiderati da parte dei propri partner in violazione di legge (artt. 23 e 130 del Codice), ma si pone comunque in violazione del diritto all’autodeterminazione informativa di quanti si siano opposti ai trattamenti per finalità di marketing (ai sensi dell’art. 7, comma 4, lett. b), del Codice), vanificando così l’esercizio di tale diritto da parte degli stessi. 

E deve argomentarsi identicamente in relazione alla mancata effettuazione di opportuni incroci, anteriormente allo svolgimento delle campagne promozionali, tra i dati (anzitutto le utenze telefoniche) di quanti, clienti della Società, non abbiano alla stessa manifestato alcun consenso al trattamento dei propri dati per finalità di marketing o abbiano revocato il consenso a tal fine precedentemente manifestato (ben potendo anche tali utenze rientrare tra le numerazioni autonomamente acquisite dai partner in vista di futuri contatti commerciali).

6.2.2. Valutazione che, peraltro, ha trovato conferma fattuale proprio in relazione a numerose segnalazioni oggetto di approfondimento nel corso delle verifiche in relazione alle quali i contatti commerciali nell’interesse della Società sono intervenuti, ad opera di soggetti risultati partner contrattuali di H3G, in assenza del consenso degli interessati ed in particolare, nei casi di seguito menzionati, in tempi successivi rispetto alla comprovata opposizione al trattamento manifestata dagli stessi: entro questo novero ricadono i contatti commerciali effettuati in violazione di legge (artt. 23 e 130 del Codice), in taluni casi ripetutamente, nei confronti di QQ, da parte di BB Group s.r.l., 2 Biz s.r.l. ‒ peraltro su diretta indicazione di H3G (cfr. punti 5.2.3 e 5.2.4) ‒ e Gepin Contact s.p.a. (punto 4.2); di ZZ, da parte di Eurocom s.r.l. (punto 4.4); di XX, da parte del “3 Store” presso il Carrefour Limbiate e da Eurocom s.r.l. (punto 4.5); di QW, da parte di “3 Store To” oltre che dal Network Element Number in uso alla Società (punti 4.6); XX KZ, da parte di “3 Store Auchan Taranto”, “3 Store Mignini Taranto”, “3 Store Taranto c.so Umberto”e Magic Number s.r.l. di Taranto (punto 4.7); di HJ, da parte di Nasafi Service s.r.l. e Cloud Europa s.r.l. e Sogeea Polaris Enterprise s.r.l. (punto 4.10); di JK, da parte di Revolution Group s.r.l.s. (punto 4.11).

6.2.3. Alla luce di tali considerazioni, deve prescriversi alla Società, quale misura necessaria, l’adozione di idonee misure tecnico-organizzative ‒ anzitutto mediante la costituzione di liste di esclusione e il loro utilizzo anteriormente all’effettuazione dei contatti promozionali ‒, da adottarsi senza ritardo, e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, volte a prevenire che la Società o propri partner inseriscano nelle campagne promozionali numerazioni rispetto alle quali non sia stato manifestato un valido consenso da parte degli interessati, o lo stesso sia stato revocato o rispetto alle quali sia stata fatta valere comunque un’opposizione al trattamento dei dati per finalità di marketing.

6.3.1. Del tutto insufficiente, al fine di limitare i contatti commerciali indesiderati e rispettare il diritto all’autodeterminazione degli interessati, deve inoltre considerarsi l’occasionale invio alla propria rete di vendita di comunicazioni contenenti un numero, per vero assai limitato, pari a poche unità ‒ di numerazioni da non contattare ulteriormente (cfr. punti 3.4, 5.3.3 e 6.2.1). A tal fine, oltre alla necessaria attività di incrocio (matching) con liste di esclusione, che deve precedere l’esecuzione di campagne commerciali ‒ come poc’anzi rappresentato, misura non risultata in essere presso la Società ‒, è altresì necessario che la Società tenga conto di variazioni dello stato dei consensi individuali allo svolgimento di attività di marketing sopravvenute rispetto all’inizio di ciascuna campagna commerciale, registrando nei propri sistemi, e tempestivamente trasmettendo alla propria rete commerciale, le numerazioni di quanti revochino il proprio consenso o si oppongano al trattamento di dati personali che li riguardano per finalità di marketing (nello stesso senso v. il punto 5.10 del provv. 8 marzo 2018, n. 140, doc. web n. 8233539).

6.3.2. Alla luce di tali considerazioni, deve prescriversi alla Società, quale misura necessaria, l’adozione, entro 90 giorni dalla ricezione del presente provvedimento, delle necessarie misure tecnico-organizzative volte a prevenire i contatti commerciali indesiderati nei confronti di quanti, correttamente inseriti nelle liste destinate ad essere oggetto di campagne commerciali, in tempi successivi revochino il proprio consenso o si oppongano al trattamento per finalità di marketing dei dati personali a sé riferiti, in modo tale da tenere in considerazione tale mutata volontà degli interessati e, ove necessario, trasmetterla ai propri partner, su base giornaliera, al fine di escludere detti soggetti dalle campagne in corso (punto 7.2).

6.4.1. Tale misura, peraltro, presuppone che la Società tempestivamente registri la volontà manifestata agli interessati nei propri sistemi. Al riguardo deve rilevarsi che, dal punto di vista della tempestività del riscontro, l'art. 8, comma 1, del Codice, prevede che lo stesso sia fornito all'interessato «senza ritardo»; inoltre, al fine di assicurarne la tutela (prevista dagli artt. 145 ss.), l'art. 146, comma 2, del Codice prescrive che il riscontro all'interessato sia «fornito entro quindici giorni» dal ricevimento della richiesta. 

Tale è quindi il termine massimo entro il quale la Società deve provvedere a registrare nei propri sistemi l’opposizione degli interessati o la revoca al consenso precedentemente manifestato per consentire il trattamento dei dati per finalità di marketing (cfr. al riguardo anche Cass. civ., Sez. I, 9 gennaio 2013, n. 349, punto 3.2).

Orbene, all’esito delle verifiche deve rilevarsi che la Società talora non ha provveduto ad annotare la volontà degli interessati ‒ come nel caso del signor XX (punto 4.5) ‒, mentre in altri casi la registrazione è avvenuta tardivamente, oltre i menzionati 15 giorni previsti dalla menzionata disposizione del Codice: così in relazione a quanto segnalato ai signori YY e KK (punto 4.3), QW (punto 4.6), WY (4.8) e YH (punto 4.9). Condotta che si pone in contrasto del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), oltre che in diretta violazione di quanto previsto dall’art. 7 nonché dagli artt. 8, comma 1, e 146, comma 2, del Codice.

6.4.2. Alla luce di tali considerazioni, deve pertanto essere prescritto alla Società, quale misura necessaria, con riguardo ad XX ‒ il cui consenso al trattamento dei dati personali per finalità di marketing è risultato valorizzato a “SI” ancorché sia risultato comprovato, all’esito delle verifiche, che l’interessato si sia opposto e la sua richiesta sia «stata indicata come registrata nella customer base a partire dal 9.2.2016 (v. punti 4.5 e 6.4.1) ‒, salvo che nelle more l’interessato abbia autonomamente manifestato una diversa volontà, di rettificare senza ritardo, e comunque entro e non oltre 15 giorni dalla ricezione del presente provvedimento, i dati allo stesso riferiti nei propri sistemi informativi, tenendo conto dell’opposizione a suo tempo manifestata in relazione al trattamento dei propri dati per finalità di marketing.

6.4.3. In termini più generali, deve altresì essere prescritto alla Società, quale misura necessaria, di registrare tempestivamente nei propri sistemi, entro i termini previsti dalla legge, l’opposizione al trattamento di quanti, clienti e non, facciano valere la volontà di non essere ulteriormente destinatari di contatti commerciali o revochino il consenso manifestato o comunque si oppongano al trattamento dei propri dati per finalità di marketing.

6.5.1. Sotto diverso profilo, deve rilevarsi un chiaro contrasto tra quanto dichiarato dai rappresentanti di H3G circa la mancata conoscenza delle modalità di registrazione dell’esercizio del diritto di opposizione ove esercitato nei confronti dei propri partner (cfr. punto 3.4) e le puntuali prescrizioni al riguardo contenute nelle “Linee guida per il trattamento dei Dati personali per Comunicazioni Commerciali” (all. 3 al verbale H3G 30.11.2016). Con esse, infatti, H3G pone in capo ai propri partner (“business agent”) il compito di «raccoglier[e] la revoca al consenso al trattamento dei dati personali per finalità commerciali manifestato dal Cliente Potenziale [il soggetto la cui numerazione sia stata estratta da liste private formate dal partner o da questi acquisita da Società esterne] all’atto del contatto telefonico. Inoltre le Linee guida prevedono l’obbligo di «aggiorn[are] la Lista privata propria o acquisita da società terze. [Comunicare] ad H3G tutte le richieste provenienti dai Clienti Potenziali [….]» (p. 5). E identica previsione è contenuta nelle menzionate Linee guida sia per i contatti telefonici concernenti i “Clienti Procurati” e ai “Clienti Affidati”, per i quali si specifica che «il Business Agent comunicherà ad H3G, entro il termine di 24 ore, le revoche ai consensi ricevuti dai Clienti Procurati e dai Clienti Affidati» (p. 8), sia, più in generale, per i contatti effettuati mediante l’uso di sistemi automatizzati (p. 11).

Peraltro, nel corso degli accertamenti si è potuto rilevare che opposizioni al trattamento da parte degli interessati, quando fatte valere in occasione dei contatti commerciali effettuati dai propri partner, sono da questi ultimi registrati nei propri sistemi (v. ad esempio, in relazione a BB Group, quanto rappresentato al punto 5.3.1). Tali volontà individuali non sono, allo stato, trasmesse alla Società non essendo stata a tal fine predisposta un’idonea procedura, come dichiarato sia dalla Società (cfr. punto 3.4), come pure dai suoi partner (v., con riguardo a 2 Biz e BB Group, i punti 5.2.2 e 5.3.2). 

6.5.2. Come è evidente, tale carenza organizzativa ‒ oggetto di lamentela nelle segnalazioni pervenute dall’Autorità e suscettibile essa pure di incrementare il numero dei contatti commerciali indesiderati ‒ si discosta da quanto richiesto dal quadro normativo, in base al quale i diritti di cui all'art. 7 del Codice possono essere esercitati «con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato […]» (cfr. art. 8, comma 1, del Codice; v. altresì art. 146, comma 1, del Codice; v. pure Cass. civ., Sez. I, 1° settembre 2015, n. 17399, punto 2.1.2 e 2.3). 

Inoltre, al fine di rendere il complessivo trattamento conforme al principio di correttezza (art. 11, comma 1, lett. a), del Codice), deve essere prescritto che a quanti esercitino i diritti di cui all’art. 7 del Codice, ed in particolare il diritto di opposizione, siano forniti elementi atti a comprovare tale circostanza, anzitutto nei confronti della Società, ma pure avanti al Garante. Atteso che in base alle procedure in essere il colloquio telefonico forma oggetto di registrazione solo nel caso in cui tra le parti si perfezioni il contratto (con il vocal order, nel caso di teleselling), idonee misure dovrebbero essere introdotte affinché l’interessato possa comprovare l’esercizio, ancorché in forma orale, dei diritti nel corso del contatto commerciale, ad esempio con la comunicazione ad opera del partner di un codice univoco di conferma.

6.5.3. Alla luce di tali considerazioni, deve essere prescritto alla Società, peraltro in parte in conformità a quanto dalla stessa previsto (ma non attuato) nelle menzionate Linee guida, quale misura necessaria, 

a. l’adozione di opportune misure tecnico-organizzative, da adottarsi senza ritardo, e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, volte a registrare correttamente e tempestivamente nei propri sistemi l’opposizione al trattamento di quanti, in occasione dei contatti commerciali ad opera dei propri partner, facciano valere la volontà di non essere ulteriormente destinatari di contatti commerciali nell’interesse della Società o comunque si oppongano al trattamento dei propri dati per finalità di marketing e che, rispetto a quanti esercitino l’opposizione (necessariamente) in forma orale nel corso del contatto telefonico, venga contestualmente comunicato dal partner che ne rileva la volontà un codice univoco di conferma;

b. di acquisire presso i propri partner e quindi registrare nei propri sistemi le opposizioni finora fatte valere dagli interessati come pure i casi di revoca del consenso e rimaste confinate nei sistemi informativi dei partner.

6.6.1. Deve altresì rilevarsi che, in relazione alle modalità predisposte dalla Società per consentire ai clienti di modificare la dichiarazione di volontà resa rispetto al trattamento dei dati personali a sé riferiti per finalità di marketing, dopo aver avuto accesso all’area di self care messa a loro disposizione, la circostanza della necessità di procedere previamente a modificare la password di accesso all’area clienti (v. sopra punto 3.5) si pone come indebito ostacolo all’esercizio del diritto all’autodeterminazione informativa e comporta una violazione del principio di correttezza nel trattamento dei dati personali (art. 11, comma 1, lett. a), del Codice). Tale operazione, non infatti necessaria per identificare univocamente il dichiarante, atteso che lo stesso ha già avuto accesso all’area a sé dedicata nel sito web della Società, si sostanzia quindi in un adempimento ulteriore che rende più oneroso l’esercizio dei diritti da parte degli interessati. 

Tale adempimento procedurale si pone in contrasto con il diritto alla protezione dei dati personali, che ha il proprio "nucleo duro" nell'esercizio dei diritti previsti dall'art. 7 del Codice; la disciplina vigente (e non diversamente il Regolamento UE 2016/679) si caratterizza infatti per il favor verso l'esercizio delle ricordate situazioni giuridiche soggettive (in tal senso depongono, oltre alle disposizioni sopra richiamate, la gratuità del diritto d'accesso, come pure l'art. 10, del Codice, secondo il quale «per garantire l'effettivo esercizio dei diritti di cui all'articolo 7 il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare: a) ad agevolare l'accesso ai dati personali da parte dell'interessato […]; b) a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente […]»), sì che le misure tecnico-organizzative che ciascun titolare del trattamento è tenuto a porre in essere per dare compiuta attuazione a tali diritti devono essere ispirate a questi principi.

In questa prospettiva, deve allora rilevarsi che le condotte che ostacolano o comunque comportano un più oneroso esercizio dei diritti per l'interessato rispetto al paradigma fissato dal legislatore integrano in capo al titolare del trattamento una violazione del principio di correttezza sancito all'art. 11, comma 1, lett. a), del Codice e devono pertanto essere rimosse.

6.6.2. Alla luce di tali considerazioni, deve prescriversi alla Società, quale misura necessaria, l’adozione, senza ritardo e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, delle misure tecniche affinché, per modificare l’impostazione delle preferenze individuali rispetto alla finalità del trattamento, con riguardo a quelle espresse nell’area di self care per finalità di marketing, non debba essere necessario provvedere alla previa modifica delle credenziali di autenticazione.

6.7.1. Al netto di eventuali approfondimenti che potranno essere svolti dall’Autorità, l’analisi dei riscontri forniti ai segnalanti dalla Società (e inoltrati nelle segnalazioni presentate al Garante nelle quali talora si lamentava, nonostante le rassicurazioni loro fornite, la persistenza dei contatti indesiderati) ha fatto emergere ulteriori criticità. 

Da un lato, la Società ha dichiarato di  effettuare indagini interne per risalire, attraverso le numerazioni chiamanti o presenti negli sms oggetto di segnalazione, all’autore dei lamentati contatti promozionali (in merito v. punto 3.4). Tale circostanza, non sussistendo allo stato elementi per ritenere ricorrente una prassi meramente defatigatoria da parte della Società (che si porrebbe in violazione del principio di correttezza nel trattamento e trasparenza nei confronti degli interessati), deve essere in parte ascritta ad una carenza organizzativa, quella concernente la disponibilità solo parziale, da parte della Società, delle numerazioni chiamanti (aggiornate) utilizzate dai propri partner, dalla stessa designati responsabili del trattamento (cfr. punto 3.3), per effettuare i contatti promozionali (cfr. le menzionate Tabelle “3 Store” e “Sales”); peraltro, in taluni casi (v. punto 5.2.1, ma altri ne sono stati rinvenuti nel considerare le segnalazioni individuali ai punti 4.1 ss.) è emerso l’uso da parte dei partner della Società di numerazioni altre rispetto a quelle trasmesse al Garante.

Orbene, la compiuta conoscenza di tali informazioni da parte della Società consentirebbe alla stessa di identificare immediatamente chi appartiene alla propria rete commerciale (e in pari tempo chi alla stessa dovrebbe essere estraneo), non solo permettendole un tempestivo e corretto riscontro alle segnalazioni degli interessati e, se del caso, all’esercizio dei diritti da parte degli stessi (al di là dell’opposizione al trattamento, si pensi già solo al diritto a conoscere l’origine dei propri dati personali, particolarmente rilevante nell’ambito qui considerato), ma ponendo anche la stessa in condizione di esercitare in modo più tempestivo ed efficace eventuali controlli rispetto alle condotte segnalate ‒ cui peraltro è tenuta nei confronti dei propri responsabili del trattamento (cfr. art. 29, comma 5, del Codice) ‒, facendo (se del caso) valere le proprie ragioni nei confronti dei partner inadempienti rispetto agli obblighi contrattuali relativi alle condizioni di svolgimento dell’attività promozionale. Ciò, peraltro, non solo in base alla disciplina del Codice, che pone precisi obblighi, non solo in eligendo ma (come detto) anche in vigilando (rispetto alle condotte difformi da quelle prescritte ai partner dalla Società, pur riscontrate nei casi campione sopra indicati, nei quali numerosi sono i contatti posti in essere in assenza del consenso degli interessati), in capo al titolare del trattamento, ma altresì in vista dell’imminente applicazione della disciplina del Regolamento UE 2016/679 che fa della responsabilizzazione del titolare del trattamento (cd. accountability) una delle pietre angolari della regolamentazione di settore.

6.7.2. Alla luce di tali considerazioni, al netto delle previsioni contenute nel vigente art. 24-bis, comma 11, d.l. n. 83/2012, convertito con legge n. 134/2012, deve prescriversi alla Società, quale misura necessaria, l’adozione di opportune misure tecnico-organizzative, da adottarsi senza ritardo, e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, volte a registrare nei propri sistemi e ad aggiornare tempestivamente le numerazioni chiamanti utilizzate dai propri partner per l’effettuazione di contatti di natura promozionale nel proprio interesse (punto 10.2).

6.8.1. Sotto diverso profilo va rilevato che, in talune delle fattispecie prese in considerazione, nei riscontri inviati ai segnalanti, la Società (utilizzando formule sostanzialmente identiche) abbia fatto riferimento alla trasmissione di sms a seguito di «disallineamenti tecnici» o a «disguidi tecnici» (v. punti 4.2.a e 4.3), in ipotesi verificatisi in tempi diversi, senza peraltro spiegare in alcun modo le dinamiche  sottese a tali accadimenti. Affermazioni che ‒ salvo eventuali approfondimenti da parte dell’Autorità ‒ sollevano più di un dubbio circa la loro attendibilità, considerato che, ove verificatisi nei termini che è dato desumere dalle comunicazioni della Società, tali invii lascerebbero spazio al verificarsi di una violazione di dati personali (art. 1, comma 3, lett. g-bis), del Codice), senza però che consti essere pervenuta al Garante alcuna comunicazione al riguardo, pur (in thesi) dovuta ai sensi dell’art. 32-bis del Codice e che, anche quando corrispondenti alla realtà, non allontanano la responsabilità dalla Società, la quale è tenuta all’adozione di misure idonee volte a prevenire tali accadimenti (e comunque il loro apparente ripetersi) (punto 8.1).

7.1. Nel corso delle verifiche è stato altresì dichiarato che nella fase di conclusione dei contHJ presso i partner, deve necessariamente essere manifestato dal contraente il consenso al trattamento dei propri dati per finalità di marketing mediante il box “Trattamento dati personali” presente nei sistemi della Società e accessibile tramite il partner: tale consenso «è obbligatorio, in quanto la mancata applicazione del flag sul relativo check box manderebbe in blocco la procedura di attivazione» (v. al punto 5.5; verbale Omnia TLC 19.12.2016, p. 3). Come detto, tale circostanza si rinviene segnalata anche da KZ (cfr. punto 4.7).

Al riguardo deve ritenersi che tale condotta, che certo non si conforma al principio della data protecion by design, integra una violazione del principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice, oltre che dell’art. 23, comma 3, del Codice, non potendo il consenso degli interessati essere espresso liberamente. Peraltro in più occasioni il Garante si è già pronunciato nel senso che la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta la conclusione di un contratto alla contestuale autorizzazione a trattare i dati conferiti per una finalità diversa, qual è quella promozionale e pubblicitaria (tra i più recenti, cfr. provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; Linee guida in materia di attività promozionale e contrasto allo spam, provv. 4 luglio 2013, n. 330, doc. web n. 2542348; 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali, cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n. 1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896).

7.2. Alla luce di tali considerazioni, deve:

a. vietarsi il trattamento per finalità di marketing dei dati personali riferiti alla clientela in assenza di un consenso liberamente manifestato ai sensi degli artt. 23, comma 3, e 130 del Codice;

b. prescriversi, quale misura necessaria, da adottarsi senza ritardo e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, di effettuare una ricognizione in relazione a tutte le sedi nelle quali viene raccolto il consenso degli interessati per l’effettuazione dei trattamenti per finalità di marketing al fine di assicurare che non siano predisposte modalità di acquisizione del consenso che non assicurino la libertà dello stesso.

8.1. Le considerazioni finora svolte e gli elementi acquisiti, dall’Ufficio e in sede di verifica, oltre a spiegare i propri effetti sul piano delle prescrizioni impartite alla Società, inducono a ritenere che, anzitutto in relazione ai segnalanti, la Società abbia violato gli artt. 23 e 130 del Codice, essendo stati gli stessi contattati, direttamente o tramite la propria rete di vendita (v. punto 6.2.2), telefonicamente o via sms, nonostante si fossero opposti ai trattamenti per finalità commerciali (v. punti 4.1 ss.). E tale illeceità, come già si è rappresentato, trova causa anzitutto nella menzionata assenza di idonee misure preventive apprestate dalla Società per escludere i contatti commerciali indesiderati (o quantomeno minimizzare il rischio del loro verificarsi), mediante opportuni incroci con proprie liste di esclusione nelle quali i segnalanti tutti avrebbero trovato collocazione (cfr. punto 6.2.1).

Deve peraltro rilevarsi che anche i controlli ex post che la Società è comunque tenuta a porre in essere ‒ come dichiarato, al tempo delle verifiche effettuati per lo più nella forma dell’invio di formulari ai partner (cfr. punto 3.3) o dei richiami generalizzati (punto 3.2) e finanche nelle comunicazioni individualizzate nelle quali la Società si limita a ricordare i vigenti obblighi di legge (punto 4.10) ‒ non si sono rivelati efficaci, atteso che non di rado più di uno dei segnalanti ha potuto lamentare reiterati contatti effettuati da utenze facenti capo ad un medesimo operatore, risultato partner della Società, senza che l’intervento di quest’ultima abbia sortito alcun effetto (cfr. ad esempio quanto sintetizzato ai punti 4.4, 4.10 e 4.11). 

In non pochi casi, poi, tali invii sarebbero stati dovuti a non meglio precisati disguidi di natura tecnica riconosciuti dalla Società (v. i riscontri forniti ai segnalanti richiamati ai punti 4.2.a e 4.3) ovvero ad errori del partner (cfr. punto 4.5), circostanze, come anticipato, che, anche quando corrispondenti alla realtà, non allontanano la responsabilità dalla Società (cfr. anche art. 15, 31 e 32 del Codice), la quale è tenuta all’adozione di misure idonee volte a prevenire tali accadimenti (e comunque il loro apparente ripetersi) (punto 6.8.1).

Per quanto sopra rappresentato, nel caso dei contatti commerciali effettuati nei confronti di QQ tramite 2 Biz (v. punti 5.2.1 ss.), gli stessi sono in via immediata e diretta riconducibili all’impulso della Società che lo ha inserito in una lista di contattabilità trasmessa al partner, peraltro con consegna brevi manu su supporto rimovibile, tramite proprio incaricato, con modalità, a quanto consta (punto 5.2.3), diverse da quelle ordinariamente praticate. 

8.2. Alla luce delle considerazioni svolte e considerato anche l'art. 11, comma 2, del Codice, deve essere:

a. vietato alla Società di trattare ulteriormente per finalità di marketing i dati concernenti le utenze di quanti, rispetto a tale finalità, non abbiano manifestato un libero consenso o abbiano comunque fatto valere un opposizione al trattamento ai sensi dell’art. 7, comma 4, lett. b), del Codice, ivi compresi i segnalanti che, allo stato, si trovino in tale situazione;

b. prescritto alla Società, quale misura necessaria, di riformulare, senza ritardo e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, le policy interne, in modo da identificare univocamente e tracciare le modalità di trasmissione delle liste di contatti ai propri partner, individuando altresì delle necessarie misure tecnico-organizzative volte a monitorare che le proprie strutture competenti e i propri partner conformino la propria attività alle prescrizioni impartite.

8.3. L'Autorità provvederà, con autonomo procedimento, a contestare le violazioni amministrative concernenti i profili afferenti all'accertata mancanza del consenso dei segnalanti rispetto al trattamento dei dati correlato all’effettuazione dei contatti commerciali indesiderati riconducibili alla Società ovvero a partner commerciali della stessa (artt. 23 e 130 nonché 162, comma 2 bis, del Codice) (cfr., in particolare, punti 4.2, lett. a) e c); 4.3; 4.4., lett. a-c; 4.5; 4.6; 4.7; 4.8; 4.10 e 4.11).

9.1. Deve inoltre rilevarsi che gli accertamenti hanno permesso di appurare che la Società consente l’accesso ai propri sistemi ‒ e quindi alla base dati di rilevanti dimensioni riferita agli utenti dei propri servizi di comunicazione elettronica, come risulta dalle dichiarazioni rese in atti (cfr. verbale 29.11.2016, p. 2) ‒ ad una platea assai ampia di partner contrattuali (v. punto 3.6) senza aver provveduto a designare la parte assolutamente predominante degli stessi ‒ come si è visto, il 93% (cfr. punto 3.6 e in particolare dalla Tabella “3 Store”, allegata alla comunicazione H3G del 14.12.2016) ‒ quali “responsabili del trattamento” ‒, qualificandoli anzi espressamente, nella documentazione in atti, quali “titolari del trattamento” (v. oltre alle menzionate Tabelle, la documentazione contrattuale allegata al verbale del 30.11.2016: ad es. il contratto di collaborazione commerciale per i negozi in franchising, in particolare al punto 22; o il contratto di rivendita, in particolare al punto 16). 

9.2. Orbene, detta qualificazione, alla luce dell’attività in concreto svolta da questa tipologia di partner contrattuali, non appare in linea con la disciplina in materia di dati personali, ed in particolare con le nozioni in essa contenute. Invero tali soggetti non hanno alcuna delle caratteristiche che la legge detta in relazione al “titolare del trattamento” (cfr. artt. 4, comma 1, lett. f), e 28 del Codice), rispetto ai dati riferiti alla clientela di H3G (e ora di Wind Tre), dal momento che gli stessi provvedono a gestire nell’interesse della Società (e secondo le direttive loro impartite) la commercializzazione su tutto il territorio nazionale dei servizi alla clientela, fornendo alla stessa assistenza. Soprattutto, tali partner contrattuali non decidono (né possono in alcun modo modificare) le finalità del trattamento dei dati personali riferiti ai clienti, che sono saldamente nelle mani della Società, la quale impartisce istruzioni dettagliate e vincolanti, si riserva l’effettuazione di controlli (v. anche il menzionato contratto di collaborazione), governa il sistema gestionale della clientela (...) messo a disposizione della rete commerciale regolandone l’accesso con l’attribuzione di apposite credenziali e, più in generale, gestisce in autonomia i profili connessi alla sicurezza dei dati archiviati sui propri sistemi. Tali prerogative sono rimesse in via esclusiva alla Società, che è quindi unico titolare del trattamento dei dati riferiti alla clientela, la quale può ben avvalersi di altri soggetti, anche dotati di un grado di autonomia nello svolgimento delle operazioni di trattamento, a condizione di designarli responsabili del trattamento ai sensi dell’art. 29 del Codice (ove ricorrano i presupposti fattuali per tale designazione, come nel caso della rete commerciale della Società).

Inoltre, già solo considerando le clausole contrattuali (sopra richiamate) nelle quali i rapporti tra le parti sono qualificati in termini di reciproca “titolarità nel trattamento”, emerge chiaramente, in senso contrario, la natura ancillare e strumentale degli operatori economici appartenenti alla rete commerciale della Società nelle operazioni di trattamento dei dati, sì che il partner è chiamato (e tenuto) a “collaborare” in varie forme nell’interesse della Società in relazione all’assolvimento di obblighi gravanti sulla stessa (quale titolare del trattamento). Nei richiamati modelli contrattuali si legge infatti che il partner: «collaborerà con H3G nel rendere l’informativa ex art. 13 d.lgs. n. 196/03 all’atto dell’attivazione dei servizi nonché a raccogliere gli opportuni e specifici consensi, liberi, informati e facoltativi»; «collaborerà con H3G nell’attività di raccolta delle informazioni necessarie per fornire risposte tempestive ed efficaci alle richieste dei clienti, ai sensi dell’art. 7 del Codice privacy, e delle richieste formulate dalle Autorità competenti»; «adotterà le misure necessarie a garantire l’acquisizione dei dati anagrafici riportati sui documenti di identità, nonché del tipo, del numero e della riproduzione del documento, presentato dall’acquirente»; «comunicherà immediatamente ad H3G qualunque evento che abbia violato o posto in pericolo la riservatezza o l’integrità dei dati di questa in suo possesso»; «tratterà i dati personali di terzi solo ed esclusivamente per le finalità, con le modalità e i limiti contemplati nel presente contratto»; «in caso di cessazione per qualsiasi causa del contratto, interromperà ogni forma di trattamento dei dati dei clienti, salva la conservazione necessaria per adempiere ad obblighi di legge».

Obblighi tutti incompatibili con una qualificazione del partner quale titolare del trattamento e che si attagliano invece, tipicamente, alla figura del “responsabile del trattamento” (v. anche Gruppo Art. 29, WP 169, Opinion 1/2010 on the concepts of "controller" and "processor", adottato il 16 febbraio 2010).

9.3. Se già solo le considerazioni svolte ai punti precedenti revocano in dubbio la correttezza della qualificazione di questo ampio novero di partner contrattuali quali autentici “titolari del trattamento”, deve peraltro rilevarsi che le dichiarazioni rese in sede di verifica dal rappresentante di Eurocom s.r.l., anch’esso (erroneamente) qualificato dalla Società alla stregua di “titolare del trattamento”, rendono evidente che tali soggetti, anche rispetto all’attività di contatto commerciale effettuata mediante l’invio di sms, si avvalgono di strumentazione a tal fine messa a loro disposizione dalla Società, non solo avvalendosi dei software presenti nel sistema gestionale “...” che consente di selezionare la clientela che si intende contattare, ma anche utilizzando strumenti ‒ il menzionato applicativo presente nel personal computer denominato “...”, associato ad una chiavetta UMTS che permette l’invio simultaneo degli sms ‒ da questa appositamente predisposti al fine di agevolare la trasmissione massiva degli sms di natura commerciale (v. punto 5.4), circostanza peraltro comprovata in atti sulla scorta della segnalazione di ZZ che riceve contestualmente tre distinti messaggi promozionali su tre distinte utenze da una medesima numerazione (v. sopra punto 4.4.c).

9.4. Come già da tempo chiarito dal Garante, ancorché la designazione come responsabile del trattamento non sia di per sé obbligatoria, essa diviene una soluzione in qualche modo obbligata quando una parte, sia pure strumentale, dei trattamenti necessari per perseguire le finalità del titolare del trattamento è curata, con una certa autonomia, da un soggetto esterno (cfr. provv. 19 dicembre 1998, doc. web n. 41941). Con riguardo alla specifica attività che viene qui in considerazione, il Garante si è peraltro decisamente espresso sulla necessità di designare i propri partner quali responsabili del trattamento nel provvedimento 15 giugno 2011, n. 230 (doc. web n. 1821257), ivi indicando una pluralità di indici ‒ che si ritiene ricorrano anche nel caso di specie ‒ in presenza dei quali tale designazione è necessaria.

9.5. Alla luce di tali considerazioni deve quindi essere prescritto alla Società di designare senza ritardo quanti, afferendo alla propria rete commerciale, sono in condizione di trattare i dati personali riferibili alla propria clientela, quali “responsabili del trattamento”, impartendo loro le necessarie istruzioni ed adottando le opportune misure, anche tecniche (data protection by design), affinché gli stessi rispettino rigorosamente le istruzioni loro impartite (cfr. provv. 2 ottobre 2008, doc. web n. 1581352).

9.6. Sotto diverso profilo, in considerazione dell’omessa designazione di tali soggetti quali “responsabili del trattamento”, deve ritenersi che nel caso di specie ricorrano gli estremi per una sistematica oltre che prolungata nel tempo comunicazione illecita dei dati riferiti alla clientela a terzi, i partner contrattuali per i quali non si è provveduto alla designazione quali “responsabili del trattamento”, che vanno ben al di là dei casi a campione individuati nel corso delle verifiche (cfr. punti 4.7. e 5.4), riguardando, come detto, il 93% degli operatori economici che vanno a comporre la rete commerciale della Società. In ragione dell’accesso accordato a tale classe di soggetti al sistema gestionale della Società in assenza di alcuna designazione degli stessi quali “responsabili del trattamento” e non essendo detta operazione di trattamento (la comunicazione dei dati) fondata su un idoneo consenso informato degli interessati (artt. 13 e 23 del Codice) ‒ anche in ragione del fatto che tale tipologia di soggetti non è menzionata nell’informativa resa alla clientela: cfr. il punto 3 del modello di cui all’all. 8 del verbale 30.11.2016) ‒, né risultando comprovato altro presupposto equipollente ai sensi dell'art. 24 del Codice, tale trattamento ‒ seriale e sistematico, anzitutto in relazione a quanti presso tali operatori hanno attivato un contratto o hanno richiesto assistenza ‒ deve pertanto ritenersi illecito (cfr. provv. 1° febbraio 2018, n. 52, in particolare al punto 10, doc. web n. 7810723; provv. 26 febbraio 2009, punto 5.3, doc. web n. 1601558; provv. 26 ottobre 2011, n. 407, doc. web n. 1851750, confermato dal Tribunale di Firenze; costantemente il Garante ha individuato la necessità, anche nell’ambito di provvedimenti a seguito di verifiche preliminari, della designazione quali “responsabili del trattamento” dei negozi a vario titolo afferenti a catene commerciali: tra i tanti, cfr. provv.ti 30 maggio 2013, n. 263, punto 6, doc. web n. 2547834; novembre 2013, n. 500, doc. web n. 2920245; 24 aprile 2013, n. 219, punto 6, doc. web n. 2499354; con particolare riguardo ai riflessi sanzionatori, v., tra i tanti, le Ordinanza di ingiunzione, 18 giugno 2015, n. 362, doc. web n. 4253116; 5 ottobre 2017, n. 395, doc. web n. 7716511).

9.7. L'Autorità provvederà, con autonomo procedimento, a contestare le violazioni amministrative concernenti i profili afferenti all'illecita comunicazione a terzi, segnatamente ai partner contrattuali non designati “responsabili del trattamento”, dei dati personali riferiti alla clientela e contenuti nel sistema gestionale della Società, considerato altresì quanto disposto dall'art. 164-bis, comma 2, del Codice (cfr., in particolare, punti 4.7., 5.4 e 9.1 ss.).

10. Deve infine constatarsi che rispetto a numerosi contatti commerciali indesiderati oggetto di segnalazione al Garante (cfr. punto 1.1) e a parte di quelli esaminati a campione nel corso delle verifiche (punti 4.1 ss.), in relazione ai quali è stata lamentata l’effettuazione nell'interesse della Società nonostante l'esercizio del diritto di opposizione da parte degli interessati o in assenza, in base a quanto dichiarato, di un loro previo consenso allo svolgimento dell'attività di marketing, le utenze di provenienza degli stessi non sono risultate indicate nelle lista delle numerazioni tra quelle che i rappresentanti della Società, anche ai fini dell’art. 168 del Codice, hanno dichiarato appartenenti alla propria rete di vendita. 

Con riguardo a tale fenomeno, che manifesta evidenti antinomie tra quanto oggetto di segnalazione al Garante e gli elementi emersi nel corso delle verifiche, l'Autorità si riserva di avviare autonomi procedimenti al fine di acclarare le circostanze di fatto legate alla segnalata persistenza nella ricezione di telefonate indesiderate effettuate, stando alle segnalazioni, nell'interesse della Società da soggetti alla stessa non noti e dalla stessa non designati responsabili del trattamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), nei confronti di Wind Tre s.p.a.: 

1. vieta di trattare ulteriormente per finalità di marketing i dati concernenti le utenze di quanti, rispetto a tale finalità, non abbiano potuto manifestare liberamente il consenso ai sensi dell'art. 23, comma 3 e 130 del Codice (punto 7.2) ovvero abbiano comunque fatto valere un’opposizione al trattamento ai sensi dell’art. 7, comma 4, lett. b), del Codice, ivi compresi i segnalanti che, allo stato, si trovino in tale situazione (punto 8.2);

2. prescrive, quale misura necessaria, l’adozione di idonee misure tecnico-organizzative ‒ anzitutto mediante la costituzione di liste di esclusione e il loro utilizzo anteriormente all’effettuazione di contatti promozionali da parte della Società e dei suoi partner ‒, da adottarsi senza ritardo, e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, volte a prevenire che la Società o propri partner inseriscano nelle campagne promozionali numerazioni rispetto alle quali non sia stato manifestato un valido consenso da parte degli interessati, o lo stesso sia stato revocato o rispetto alle quali sia stata fatta valere comunque un’opposizione da parte degli interessati al trattamento dei dati per finalità di marketing (punto 6.2.3);

3. prescrive, quale misura necessaria, l’adozione, entro 90 giorni dalla ricezione del presente provvedimento, delle necessarie misure tecnico-organizzative volte a prevenire i contatti commerciali indesiderati nei confronti di quanti, correttamente inseriti nelle liste destinate ad essere oggetto di campagne commerciali, in tempi successivi revochino il proprio consenso o si oppongano al trattamento per finalità di marketing dei dati personali a sé riferiti, in modo tale da tenere in considerazione tale mutata volontà degli interessati e, ove necessario, trasmetterla ai propri partner, su base giornaliera, al fine di escludere detti soggetti dalle campagne in corso (punto 6.3.2);

4. con riguardo ad XX, prescrive, quale misura necessaria, salvo che nelle more l’interessato abbia autonomamente manifestato una diversa volontà, di rettificare senza ritardo, e comunque entro e non oltre 15 giorni dalla ricezione del presente provvedimento, i dati allo stesso riferiti nei propri sistemi informativi, tenendo conto dell’opposizione a suo tempo manifestata in relazione al trattamento dei propri dati per finalità di marketing (punto 6.4.2);

5. prescrive, quale misura necessaria, in termini più generali, di registrare tempestivamente nei propri sistemi, entro i termini previsti dalla legge, l’opposizione al trattamento di quanti, clienti e non, facciano valere la volontà di non essere ulteriormente destinatari di contatti commerciali o revochino il consenso manifestato o comunque si oppongano al trattamento dei propri dati per finalità di marketing (punto 6.4.3);

6. prescrive, quale misura necessaria, l’adozione di opportune misure tecnico-organizzative, da adottarsi senza ritardo, e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, volte a registrare correttamente e tempestivamente nei propri sistemi l’opposizione al trattamento di quanti, contattati dai propri partner, facciano valere nei confronti degli stessi la volontà di non essere ulteriormente destinatari di contatti commerciali nell’interesse della Società o comunque si oppongano al trattamento dei propri dati per finalità di marketing e che, rispetto a quanti esercitino l’opposizione in forma orale nel corso del contatto telefonico, venga contestualmente comunicato dal partner che ne rileva la volontà un codice univoco di conferma (punto 6.5.3);

7. prescrive, quale misura necessaria, da adottarsi senza ritardo, e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, di acquisire presso i propri partner e conseguentemente registrare nei propri sistemi le opposizioni finora fatte valere dagli interessati come pure i casi di revoca del consenso (punto 6.5.3);

8. prescrive, quale misura necessaria, l’adozione, senza ritardo e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, delle misure tecniche affinché, per modificare l’impostazione delle preferenze individuali rispetto alla finalità del trattamento, con particolare riguardo a quelle espresse nell’area di self care per finalità di marketing, non debba essere necessario provvedere alla previa modifica delle credenziali di autenticazione (punto 6.6.2);

9. prescrive, quale misura necessaria, l’adozione di opportune misure tecnico-organizzative, da adottarsi senza ritardo, e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, volte a registrare nei propri sistemi e ad aggiornare tempestivamente le numerazioni chiamanti utilizzate dai propri partner per l’effettuazione di contatti di natura promozionale nel proprio interesse (punto 6.7.2.);

10. prescrive, quale misura necessaria, l’effettuazione, senza ritardo e comunque entro e non oltre 30 giorni dalla ricezione del presente provvedimento, di una ricognizione in relazione a tutte le sedi nelle quali viene raccolto il consenso degli interessati per l’effettuazione dei trattamenti per finalità di marketing al fine di assicurare che non siano predisposte modalità di acquisizione del consenso che non assicurino la libertà dello stesso (punto 7.2);

11. prescrive, quale misura necessaria, di riformulare, senza ritardo e comunque entro e non oltre 90 giorni dalla ricezione del presente provvedimento, le policy interne, in modo da identificare univocamente e tracciare le modalità di trasmissione delle liste di contatti ai propri partner, individuando altresì delle necessarie misure tecnico-organizzative volte a monitorare che le proprie strutture competenti e i propri partner conformino la propria attività alle prescrizioni impartite (punto 8.2);

12. prescrive, quale misura necessaria, di designare senza ritardo quali “responsabili del trattamento” quanti, afferendo alla propria rete commerciale, sono in condizione di trattare i dati personali riferibili alla propria clientela, impartendo loro le necessarie istruzioni ed adottando le opportune misure, anche tecniche (data protection by design), affinché gli stessi rispettino rigorosamente le istruzioni loro impartite (punto 9.5).

Ai sensi dell'art. 157 del Codice, ove una o più delle misure sopra individuate siano già state introdotte da Wind Tre s.p.a., a seguito dell’intervenuta fusione, prescrive che ne venga data comunicazione all’Autorità, unitamente alla pertinente documentazione, senza ritardo, e comunque entro 30 giorni dalla ricezione del presente provvedimento. Diversamente, rispetto alle misure da attuare, ai sensi dell'art. 157 del Codice, invita Wind Tre s.p.a., entro 90 giorni dal ricevimento del presente provvedimento, a comunicare all’Autorità quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento. Il mancato riscontro alle presenti richieste è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia