Diritti interna

Doveri interna

ricerca avanzata

Trattamento di dati relativi a utenze telefoniche per finalità di marketing - 18 aprile 2018 [9358243]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9358243
Data:
18/04/18
Tipologia:
Prescrizioni e divieto del Garante

VEDI ANCHE NEWSLETTER DEL 29 MAGGIO 2018

 

 

[doc. web n. 9358243]

Trattamento di dati relativi a utenze telefoniche per finalità di marketing - 18 aprile 2018

Registro dei provvedimenti
n. 235 del18 aprile 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le segnalazioni pervenute all'Autorità nei confronti di Fastweb s.p.a., in particolare a partire dal 1° gennaio 2016, e tra queste quelle dei signori XX e XX;

ESAMINATA la documentazione in atti, acquisita sia nel corso delle verifiche in loco che a seguito delle stesse;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. Con una pluralità di segnalazioni è stata lamentata al Garante l'effettuazione, nell'interesse di Fastweb, di telefonate con operatore aventi contenuto promozionale. In particolare, i segnalanti hanno lamentato di essere stati contattati telefonicamente nonostante non avessero manifestato il proprio consenso nei confronti della Società all'utilizzo della propria utenza per tali finalità ovvero in tempi successivi rispetto all'opposizione manifestata ai sensi dell'art. 7, comma 1, lett. b), del Codice direttamente alla Società ovvero ad operatori di call center che (non di rado ripetutamente) li hanno contattati nell'interesse della stessa.

2.1. Alla luce di tali circostanze, l'Autorità ha svolto alcuni accertamenti ispettivi presso la Società nei giorni 25, 26 e 27 settembre 2017 nonché 11 e 12 gennaio 2018 al fine di verificare, anche all'esito dei riscontri intermedi, della documentazione e delle dichiarazioni rese dai rappresentanti della Società (anche ad integrazione delle verifiche in loco) ‒ della cui veridicità si può essere chiamati a rispondere ai sensi dell'art. 168 del Codice ‒, l'osservanza delle norme in materia di protezione dei dati personali, con particolare riferimento al trattamento dei dati personali per finalità di marketing, in particolare nelle forme dell'attività di telemarketing, teleselling ovvero di invio di sms effettuati nell'arco temporale compreso tra i mesi di gennaio 2016 e settembre 2017.

2.2. Quanto al canale telefonico, nel corso delle verifiche è stato dichiarato che «a partire da giugno 2017, dopo un periodo iniziale di sperimentazione che ha coinvolto solo alcuni partner, la Società si avvale sia per i contatti prospect, sia per i clienti presenti nella propria customer base di partner esterni che acquisiscono le liste di numeri da contattare attraverso la [nuova] piattaforma XX»; anteriormente, la Società utilizzava altro sistema informativo (XX) che, «oltre a suddividere le liste fra i vari partner, si interfacciava direttamente con i sistemi di dispacciamento delle telefonate utilizzati dai call center, per gestire il flusso delle chiamate uscenti» (cfr. verbale 25.9.2017, p. 2).

2.3. Più precisamente, in relazione all'attività promozionale nei confronti di soggetti diversi dai propri clienti (cd. prospect) ‒ cui sono equiparati gli ex clienti (cfr. verbale 25.9.2017, p. 4) ‒ è stato dichiarato che i contatti «avvengono esclusivamente attraverso partner esterni [dei quali la Società ha trasmesso l'elenco], anche mediante liste fornite dal partner medesimo, ovvero estratte da contatti presenti nel DBU. Le liste provenienti dal DBU possono essere utilizzate nell'arco massimo di 15 giorni. Ciascuna lista ha comunque validità solo nell'ambito di singole campagne», non potendo le medesime utenze essere contattate in tempi successivi in assenza di autorizzazione da parte di Fastweb (cfr. verbale 25.9.2017, p. 3).

Rispetto alle liste proposte dai partner la Società effettua alcuni controlli volti a verificare il contratto di fornitura della lista, l'idoneità (in astratto) dell'informativa fornita agli interessati e della modalità di acquisizione del consenso. Nessuna verifica viene però svolta sulla effettiva sussistenza del consenso dei singoli interessati, né, rispetto all'arco temporale considerato dagli accertamenti, venivano effettuati «controlli sui contratti stipulati dai teleseller per verificare l'appartenenza del contatto alle liste di contattabilità inviate» da Fastweb (cfr. verbale 25.9.2017, p. 3).

Sono invece poste in essere operazioni volte ad escludere da dette liste le numerazioni già presenti in customer base (o in fase di acquisizione) e quelle presenti «nelle black list della Società costituite, tra l'altro, dai soggetti che si sono opposti al trattamento dei dati personali a sé riferiti per finalità di marketing» nonché ad incrociare le numerazioni contenute nelle liste con il registro pubblico delle opposizione presso la FUB o con quelle già presenti in liste fornite da altri partner (cfr. verbale 26.9.2017, p. 3).

Tramite la piattaforma attualmente in uso, «al partner viene restituita, di regola ad inizio mese, una lista di nominativi da contattare risultante dai controlli sopra descritti. Durante lo svolgimento della campagna promozionale, i partner devono caricare sul sistema […] gli esiti dei contatti effettuati, comprensivi anche dell'eventuale diniego espresso dal soggetto contattato rispetto ad ulteriori attività commerciali svolte da Fastweb nei suoi confronti. Tale esito comporta l'aggiunta del numero di telefono del soggetto nella black list privacy (cd. stralci privacy) riportante anche l'indicazione della data di inserimento nella stessa» (cfr. verbale 25.9.2017, p. 3).

2.4. I partner possono inoltre proporre alla Società «numerazioni ulteriori, in genere ottenute durante i colloqui telefonici con i soggetti contattati (cd. referenze). Su tali numerazioni, la Società [pone in essere] un processo di verifica analogo a quello effettuato sulle liste proposte dai partner, per accertare, in particolare, che la medesima numerazione non sia già pianificata nella medesima campagna». In relazione a tali contatti ‒ in relazione ai quali nel Manuale "Gestione vendita telefonica" si precisa «devono rappresentare una parte esigua rispetto ai contatti» ordinariamente effettuati (cfr. par. 3.11 del Manuale) ‒ da aprile 2017, data nella quale è stata implementata un'apposita funzionalità sulla piattaforma utilizzata, «sono circa 200/300 le referenze mensili segnalate dai partner a Fastweb» (cfr. verbale 26.9.2017, p. 2). Rispetto a tali numerazioni, «all'atto del loro inserimento sui sistemi della Società, il partner è tenuto a registrare informazioni relative all'origine del dato, con particolare riferimento al soggetto che ha prodotto la "referenza"» (cfr. verbale 11 gennaio 2018, p. 5).

2.5. Rappresentate nel corso delle verifiche le modalità con le quali può essere manifestato il consenso al trattamento dei dati da parte degli interessati per finalità di marketing (cfr. verbale 26.9.2017, p. 3), è stata rilevata la presenza sul sito web della Società di una procedura denominata "call me back". La stessa, attivabile tramite il link "ti ricontattiamo noi", richiede «l'inserimento di un numero telefonico per essere richiamati» e presenta un link all'informativa, nella quale Fastweb individua quali finalità del trattamento «sia quella di marketing per propri servizi, sia quella per servizi forniti da terzi nonché quella per finalità di profilazione, senza che sia possibile esprimere un consenso differenziato rispetto alle diverse finalità perseguite» (cfr. verbale 27.9.2017, p. 3).

Rispetto a tale procedura, nel corso delle verifiche è stato dichiarato che la stessa «può comunque essere portata a termine senza che il consenso per le menzionate finalità debba essere valorizzato mediante apposita "spunta"» e che i dati di contatto acquisiti, «nonostante le dichiarate finalità presenti nell'informativa, vengono comunque utilizzati dalla Società unicamente per ricontattare l'interessato. Allo stato [i dati] non sono utilizzati per attività promozionali proprie o di terzi né per finalità di profilazione, ma gli stessi saranno utilizzati in futuro solo per attività promozionali proprie» (cfr. verbale 27.9.2017, p. 3).

3.1. All'esito di una preliminare valutazione da parte dell'Ufficio degli elementi acquisiti nel corso degli accertamenti svolti nel mese di settembre 2017 sono emersi ulteriori aspetti meritevoli di approfondimento che hanno richiesto lo svolgimento di approfondimenti istruttori effettuati, come anticipato, nei giorni 11 e 12 gennaio 2018.

3.2.1. In primo luogo, l'Ufficio ha rilevato la presenza, nell'arco temporale considerato dalle verifiche, di un numero considerevole di contatti effettuati dai partner relativi a numerazioni non inserite nelle liste di contattabilità trasmesse dalla Società (cd. "fuori lista"); complessivamente detti contatti, anche ripetuti rispetto alla medesima utenza, sono risultati pari a oltre 1.000.000 con riguardo al sistema attualmente in uso (XX) ed oltre 7.200.000 con il sistema preesistente (XX) (cui corrisponderebbero circa 2,7 milioni di anagrafiche: cfr. nota Fastweb allegata alla comunicazione del 29.1.2018).

3.2.2. In proposito è stato dichiarato che, «mediante la distribuzione ai partner del "Manuale gestione vendita telefonica", [sono state fornite] indicazioni circa l'utilizzo delle numerazioni extra-lista [rispetto alle quali, tuttavia,] la Società non effettua […] operazioni di matching con le proprie black list […] e con la Fub [vale a dire, con il registro pubblico delle opposizioni]» (cfr. verbale 11.1.2018, p. 5). In particolare, nel menzionato Manuale (acquisito agli atti sia nella versione del marzo 2017 che in quella del novembre 2017, nella quale sono state introdotte misure per incrementare il controllo da parte della Società circa la corretta esecuzione dell'intero processo di telemarketing: cfr. gli allegati al verbale del 12 gennaio 2018), contenente le istruzioni vincolanti impartite dalla Società alle proprie strutture di vendita, è previsto che l'utilizzo di "liste proprie dell'agente" possano essere utilizzate solo «in via eccezionale» e previa autorizzazione scritta di Fastweb secondo la procedura descritta nel richiamato Manuale (v. par. 3.2).

3.3.1. Rilevata dall'Ufficio la presenza di alcune numerazioni appartenenti a segnalanti che hanno lamentato di essere stati contattati in tempi successivi all'esercizio del diritto di opposizione, anche rispetto ad essi sono state acquisite ulteriori informazioni, richiedendo alla Società di comprovare la liceità del trattamento in relazione ad esse (in particolare, offrendo prova del consenso informato dell'interessato ovvero della sussistenza di altro idoneo fondamento giuridico al contatto commerciale).

All'esito delle verifiche effettuate, è emerso che di solo tre dei diciassette numeri chiamanti è stata data conferma del loro uso da parte di partner riconosciuti come propri dalla Società (cfr. il documento denominato "Elenco segnalazioni pervenute da verificare" allegato alla comunicazione del 29 gennaio 2018). Nei casi restanti, nonostante nelle segnalazioni si lamentasse la ricezione di chiamate promozionali nell'interesse di Fastweb, la Società non è stata in grado di associare le numerazioni chiamanti a propri partner contrattuali (il riscontro fornito fa riferimento infatti a "Partner non censito").

Tale circostanza, peraltro, in base alle verifiche dell'Ufficio, ricorre con frequenza in numerose altre segnalazioni pervenute all'Autorità rispetto alle quali le numerazioni chiamanti non rientrano tra quelle comunicate dalla Società al Garante (v. al riguardo punto 15).

3.3.2. Con riguardo ai contatti commerciali provenienti da numerazioni chiamanti in uso a partner Fastweb è emerso quanto segue (cfr. il menzionato documento denominato "Elenco segnalazioni pervenute da verificare"):

a. quanto alla numerazione XX, oggetto di segnalazione da parte di XX, che lamenta un contatto commerciale indesiderato avvenuto il 10/06/2017 da parte del numero XX, facente capo al partner XX, non sono state fornite informazioni ulteriori da parte di Fastweb. La Società evidenzia tuttavia che la numerazione del segnalante, presente a far data dal 29.5.2017 e dal 19.7.2017in due black list Fastweb, è stata contattata anteriormente rispetto a tali date da parte di altro partner, Icall. Rispetto a tali contatti, tuttavia la Società non è stata in grado di dare prova del consenso al trattamento validamente manifestato dell'interessato (art. 23 e 130 comma 3 del Codice), essendosi limitata a produrre una comunicazione di Icall e copia di un contratto di fornitura di liste telefoniche (recante un modello di informativa) intercorso tra la stessa Icall e altra società avente sede ad Albuquerque-USA (XX), che avrebbe messo a disposizione della prima la numerazione del segnalante;

b. quanto alla numerazione XX, in black list dal 3 maggio 2017 e non presente sugli elenchi pubblici (cd. riservata), XX lamenta sulla stessa contatti indesiderati in data 24 aprile e 26 maggio 2017‒ non censiti sul sistema della Società (come rilevato da quest'ultima nella comunicazione del 17 gennaio 2018, nella quale pure conferma l'effettuazione della chiamata del 24 aprile) ‒, sia da parte della numerazione XX, facente capo al partner XX s.r.l., sia da parte della numerazione XX, facente capo al partner XX, in data 11 e 12 aprile 2017 (correttamente censiti sul sistema). In entrambi i casi Fastweb non è stata in grado di comprovare che le chiamate fossero state effettuate sulla base di un consenso validamente manifestato da parte dell'interessato. XX, infatti, pur dichiarando a Fastweb di aver ottenuto la numerazione «a seguito di campagne di email marketing», non è stata in grado di comprovare in alcun modo il consenso asseritamente prestato dall'interessato, adducendo che nel frattempo il fornitore della numerazione era stato posto in liquidazione (cfr. comunicazione Fastweb 19 gennaio 2018). Parimenti anche in relazione alla chiamata effettuata da XX non è stata fornita alcuna prova del consenso dell'interessato poiché la numerazione sarebbe stata fornita a detta società da un terzo, secondo le modalità descritte al punto 2.4 (cd. "referenza" o referral) (cfr. comunicazione 17 gennaio 2018).

3.4. Sempre all'esito di una preliminare valutazione da parte dell'Ufficio degli elementi acquisiti nel corso degli accertamenti svolti nel mese di settembre 2017, è stato altresì possibile appurare la presenza sul sistema XX, nel campo "Esito" valorizzato dai partner al seguito di un contatto telefonico (effettuato o tentato), di alcuni codici numerici cui corrispondono le valorizzazioni "Persona anziana" (per oltre 1.000.000 di utenze), "Cliente a basso spendente" (per oltre 139.000 utenti) e "Cliente a costi elevati" (per oltre 38.000 utenze).

Rispetto a tali annotazioni è stato precisato che, «in base allo script di vendita, gli operatori pongono alla persona contattata alcune domande volte ad individuare se rappresenta un potenziale target di vendita, in base alle quali il campo "Esito" può essere valorizzato. L'informazione riportata in tale campo può essere utilizzata dal partner per evitare ricontatti nella stessa campagna e dalla Società per valutare l'opportunità di eventuali ricontatti in successive campagne. Per quanto riguarda la suddivisione fra "basso spendente" e "alto spendente", la parte ha precisato che vengono considerati "alto spendenti" i prospect che spendono per le tariffe telefoniche somme superiori rispetto [ad una soglia predeterminata], al di sotto della quale vengono considerati "basso spendenti". Tali informazioni potranno essere utilizzate in futuro per modulare le proposte in occasione di futuri contatti».

In base a quanto dichiarato, rispetto alle varie clusterizzazioni degli interessati (prospect o clienti) effettuate dalla Società (e tra queste quelle esemplificativamente testé indicate), sarebbe stato acquisito il consenso informato, con riguardo ai clienti, «in sede di conclusione del contratto con l'adesione alla PDA (proposta di abbonamento), la cui modulistica è già stata prodotta. In relazione ai prospect si tratta di annotazioni effettuate in sede di contatto sulla base del colloquio con l'interessato» (cfr. verbale 12.1.2018, p. 2).

4. Deve infine essere rilevato che, all'esito delle prime verifiche, la Società ha introdotto in via autonoma primi accorgimenti (cfr. quanto rappresentato nel verbale 12 gennaio 2018 e nella comunicazione del 22 gennaio 2018) confluiti in alcune misure volte a rafforzare il controllo sulla corretta esecuzione delle campagne commerciali con la riformulazione e l'integrazione del menzionato Manuale "Gestione vendita telefonica" (in particolare, nella versione del novembre 2017, in relazione ai parr. 3.7, con riguardo alla fonte di provenienza dell'anagrafica da contattare, 3.18, in relazione ai riscontri rispetto alle richieste di stralcio pervenute nel corso delle campagne, 6, relativo all'interfacciamento con la piattaforma Fastweb per automatizzare il caricamento degli esiti, e 18, concernente la notifica di rimozione delle numerazioni in black list).

In tempi più recenti la Società ha fornito un aggiornamento delle attività poste in essere (cfr. nota 9 marzo 2018, trasmessa il successivo 12 marzo); in particolare, ha comunicato i primi risultati frutto della messa a punto di un più rigoroso sistema di monitoraggio (mediante apposita reportistica), dell'operato della propria rete di vendita (mettendo a parte l'Autorità di alcune delle misure "sanzionatorie" adottate nei confronti di partner rispetto ai quali ha riscontrato la violazione delle condizioni contrattualmente stabilite), sia con riguardo al fenomeno dei cd. "fuori lista" (in merito v. già comunicazione 22 gennaio 2018, p. 4 e, da ultimo, comunicazione 9 marzo 2018, p. 1), sia in relazione all'effettuazione di contatti commerciali da parte dei partner in tempi successivi a quelli stabiliti per la validità delle liste ("Fuori range") e, ancora, in relazione al fenomeno delle cd. referenze.

Ulteriore reportistica implementata riguarda il tempestivo recepimento, ad opera dei partner contrattuali, dell'indicazione concernente il blocco di ogni lavorazione concernente le numerazioni inserite in back list dalla Società (report conferme black list). In base a quanto dichiarato, tali misure hanno consentito alla Società, ad esempio, di osservare una progressiva diminuzione del fenomeno dei cd. "fuori lista" (sopra evidenziato al punto 3.2.1), pari nel febbraio 2018 allo 0,001% delle numerazioni lavorate (in termini assoluti, poche unità) (cfr. il documento "Reporting" allegato alla comunicazione del 9 marzo 2018).

Altre misure sono in corso di implementazione sia in relazione al monitoraggio dei discostamenti tra le proposte d'acquisto (PDA) inserite dai partner e le anagrafiche loro distribuite per l'effettuazione dei contatti commerciali.

Infine, giornate di formazione periodica dirette alla rete di vendita, hanno altresì formato oggetto di pianificazione (cfr. comunicazione 22 gennaio 2018, p. 4).

5. Alla luce degli elementi allo stato acquisiti rispetto al trattamento di dati personali mediante il canale telefonico, e con riserva di approfondimenti rispetto ad ulteriori profili emersi nel corso degli accertamenti, deve ritenersi che Fastweb, nel periodo considerato dagli accertamenti ‒ e al di là delle singole segnalazioni pervenute all'Autorità nell'arco temporale considerato dalle verifiche (talune delle quali hanno formato oggetto di approfondimento in occasione degli accertamenti in loco) ‒, abbia violato la disciplina di protezione dei dati personali, avendo posto in essere una pluralità di operazioni di trattamento per finalità di marketing ‒ e, tra queste, l'estrazione dei dati riferiti agli interessati dai propri sistemi, l'inserimento degli stessi nelle liste di contattabilità e la loro successiva trasmissione ai propri partner con l'effettuazione, infine, dei contatti commerciali ‒ in assenza di un valido consenso (ab origine o a seguito della revoca dello stesso o dell'opposizione al trattamento dei propri dati personali per finalità di marketing) degli interessati (v. infra punti 6.1 ss. e 9.2) ed abbia altresì omesso di svolgere i dovuti controlli sull'operato dei propri partner (cfr. punto 10).

Deve inoltre rilevarsi che solo in tempi recenti, in corrispondenza degli accertamenti ispettivi effettuati dall'Autorità, la Società ha introdotto più stringenti misure tecnico-organizzative finalizzate a consentire un controllo più efficace e rigoroso sulle modalità di contatto poste in essere dai propri partner (consistenti sia nelle innovazioni inserite nel citato Manuale, sia in quelle sintetizzate al punto 4); misure tutte che, in via preventiva o successiva, mediante idonea e tempestiva reportistica sono orientate, nelle intenzioni rappresentate dalla Società (cfr. da ultimo nota del 9 marzo 2018), a contrastare in modo più efficace (salvo quanto si rileverà al punto 15) comportamenti difformi dalle pattuizioni contrattuali posti in essere dalla rete di vendita (i cui operatori, val la pena ricordare, sono designati dalla Società quali propri responsabili del trattamento).

6.1. Le rilevate violazioni hanno avuto luogo sia con riferimento ai dati personali dei segnalanti dei quali, come detto, non è risultato comprovato un valido consenso (cfr. punto 3.3.2), sia con riferimento al trattamento dei dati personali riferiti ai prospect che sono stati contattati nell'interesse della Società nell'ambito di campagne realizzate mediante il canale telefonico (telemarketing/teleselling) in assenza di un consenso validamente manifestato dagli stessi a tale trattamento, o, comunque, in presenza di un consenso revocato o, ancora, in tempi successivi all'opposizione di cui all'art. 7, comma 4, lett. b), del Codice; circostanze, queste, tutte risultanti dai sistemi della Società e dagli elementi dalla stessa forniti (punti 6.2 s. e 9.2). Le operazioni di trattamento così effettuate in vista dell'esecuzione dei contatti di natura commerciale si pongono infatti in violazione delle disposizioni contenute agli artt. 23 e 130, comma 3, del Codice (in tal senso v. già provv. 22 giugno 2016, n. 275, doc. web n. 5255159, oggetto di integrale conferma da parte di Trib. Milano, Sez. I civ., 5 maggio 2017, n. 5022; provv. 15 giugno 2017, n. 268, doc. web n. 6629169; provv. 8 marzo 2018, n. 140; v. pure provv. 1° ottobre 2015, n. 503, doc. web n. 4449190).

6.2. A tali conclusioni si è giunti, sulla base della documentazione trasmessa, attraverso un'analisi volta ad individuare l'esistenza di numerazioni, relative al segmento prospect (soggetti diversi dai clienti in essere) e inserite in campagne di telemarketing nel periodo oggetto di osservazione gennaio 2016-settembre 2017 (oggetto di consegna, su supporto digitale, da parte della Società il 23 ottobre 2017) che non avrebbero dovuto essere contattate in una determinata campagna commerciale, stante la loro presenza in black list.

In particolare, tali numerazioni sono state confrontate con quelle presenti in talune tra le liste di esclusione (black list) in uso presso la Società (ed acquisite su supporto informatico nel corso degli accertamenti di settembre 2017) ‒ e segnatamente quelle denominate "Automatico – Esiti", "Ex Clienti No Consenso", "Privacy", "Security", "Stralci XX" e "Stralci Upsell" (il cui contenuto è descritto nel documento denominato "Blacklist" allegato dalla Società alla comunicazione del 22 gennaio 2018) ‒ al tempo dello svolgimento delle relative campagne promozionali, le quali, secondo quanto acclarato nel corso degli accertamenti, sono finalizzate ad escludere (per l'appunto) determinate numerazioni dalle relative campagne.

6.3. Dai raffronti, è emerso un numero considerevole di contatti posti in essere in violazione di legge per il tramite del sistema precedentemente in uso alla Società (XX), attesa la presenza delle numerazioni oggetto di contatto in black list in corrispondenza delle campagne promozionali effettuate; in particolare, sono risultati complessivamente poco più di 267.000 contatti indesiderati con riguardo alle campagne teleselling rivolte alla prospect base.

Un numero significativamente più contenuto di contatti indesiderati è invece risultato in corrispondenza di quelli effettuati mediante il sistema attualmente in uso (XX), atteso che dai raffronti, i contatti (indesiderati) effettuati in violazione di legge sono risultati complessivamente 278.

7. Al di là della rilevata illiceità dei contatti indicati al punto 3.2.2 ‒ non essendo risultato comprovato, come detto, il consenso dei segnalanti al trattamento dei dati personali loro riferiti ‒, è stato altresì possibile constatare che non sono risultati registrati sul sistema della Società (XX) i contatti effettuati da XX, quantomeno in relazione a quello, confermato da Fastweb, del 24 aprile 2017 (cfr. punto 3.3.2.b).

Atteso che le misure e gli accorgimenti menzionati al punto 4 (e, tra questi, la reportistica) presuppongono il compiuto censimento delle operazioni effettuate dai partner commerciali sulla piattaforma di Fastweb, deve essere prescritto alla Società di implementare, dopo aver effettuato le necessarie verifiche per appurare le ragioni dell'accaduto, misure tecniche ed organizzative tali da non consentire ai propri responsabili del trattamento di effettuare contatti commerciali non tracciati sui propri sistemi. Dell'esito delle verifiche interne e delle misure adottate Fastweb dovrà dare dettagliata notizia al Garante non oltre 60 giorni dalla ricezione del presente provvedimento.

8.1. Dalle verifiche effettuate è inoltre risultata la presenza di poco più di 1.100 esiti registrati nel sistema attualmente in uso (XX) riferiti sia a numerazioni cd. "fuori lista" che appartenenti alla prospect base, recanti quale esito la locuzione "Richiede eliminazione da liste outbound", il cui consenso non è risultato però valorizzato a "NO" nelle black list della Società.

8.2. Al riguardo deve ricordarsi che, risiedendo il "nucleo duro" del diritto alla protezione dei dati personali nell'esercizio delle situazioni giuridiche soggettive riconosciute dall'art. 7 del Codice ‒ atteso che tramite le stesse trova concretizzazione il diritto all'autodeterminazione informativa ‒ le discipline di protezione dei dati personali (e, non diversamente, la disciplina vigente) si caratterizzano per il favor rispetto al loro esercizio (v. pure art. 10, del Codice), sì che le misure tecnico-organizzative che ciascun titolare del trattamento è tenuto a porre in essere devono essere ispirate a questi principi (peraltro ribaditi dagli artt. 12, parr. 2 e 3 e dagli artt. 15-22, Regolamento UE 2016/679).

Al di là delle puntuali disposizioni richiamate, la cui violazione comporta l'illiceità del trattamento, deve altresì rilevarsi che condotte poste in essere dal titolare del trattamento che ostacolano o non realizzano pienamente la volontà dell'interessato, si pongono in contrasto rispetto al paradigma fissato dal legislatore, integrando una violazione del principio di correttezza sancito all'art. 11, comma 1, lett. a), del Codice.

8.3. All'interno della descritta cornice normativa devono pertanto inscriversi le modalità con le quali, in concreto, mediante la corretta rilevazione da parte dell'operatore di call center prima e, quindi, la corretta registrazione della volontà degli interessati nei propri sistemi, Fastweb deve valorizzare l'opposizione fatta valere dagli interessati e registrata nei sistemi della Società anche rispetto a quanti richiedono la "eliminazione da liste outbound" ‒ locuzione che non lascia spazio ad dubbi circa la volontà degli interessati di opporsi al trattamento dei dati che li riguardano per finalità promozionali ‒ dando piena attuazione ai diritti di cui all'art. 7 del Codice, con particolare riferimento a quanto stabilito al comma 4, lett. b).

Pertanto, alla luce delle considerazioni svolte, Fastweb dovrà, mediante opportune misure tecnico-organizzative da adottarsi senza ritardo, e comunque entro e non oltre 7 giorni dalla ricezione del presente provvedimento, valorizzare correttamente nelle liste di esclusione della Società l'opposizione al trattamento di quanti risultino aver fatto valere la richiesta di "eliminazione da liste outbound".

9.1. Anche in relazione ai contatti commerciali sulla base delle c.d. referenze (v. punto 2.4 e 3.3.2.b), deve rilevarsi che tale trattamento di dati personali non può considerarsi effettuato nel rispetto della disciplina di protezione dei dati personali ‒ salvo il caso in cui la cd. referenza sia presente in un elenco pubblico e non risulti in pari tempo iscritta nel registro pubblico delle opposizioni ‒ poiché il terzo "referenziante" non è (di regola) legittimato a prestare alcun valido consenso in luogo dell'interessato, destinatario della chiamata (cfr. art. 23 del Codice).

Cosa diversa rispetto a tale fenomeno è, invece, la circostanza dello stesso soggetto che, legittimamente contattato, per le ragioni più varie (impegno di lavoro, necessità di riflessione sulla proposta ricevuta, etc.) chieda di essere ricontattato in un secondo momento (anche ad un'utenza diversa).

9.2. Deve peraltro rilevarsi che nel corso degli accertamenti hanno altresì formato oggetto di verifica alcune numerazioni cd. referenziate individuate a campione, talune delle quali ‒ segnatamente, XX, XX, XX, XX, XX, XX e XX ‒, dall'analisi di sistemi della Società, sono risultate contattate dai partner di Fastweb in violazione di legge, nonostante risultassero precedentemente inserite in black list (cfr. verbale 11 gennaio 2018, p. 6).

Anche in relazione a tali fattispecie, per le quali la Società ha adottato, in ragione di quanto emerso nelle verifiche, sanzioni pecuniarie nei confronti dei partner coinvolti sino a comunicare, in due casi, il recesso dal contratto (cfr. comunicazioni al Garante del 22 gennaio e 9 marzo 2018), deve ritenersi che il trattamento sia stato effettuato in violazione degli artt. 23 e 130, comma 3, del Codice.

10. Con riguardo al trattamento dei dati riferiti ai cd. "fuori lista" (cfr. punto 3.2.1 ss.) deve in anteparte rilevarsi la dimensione, in valori assoluti assai rilevante, di contatti (pari ad oltre 8 milioni) e di utenze coinvolte (in base a quanto dichiarato dalla Società, riferite ad almeno 2,7 milioni di individui). Tali valori si pongono in netto contrasto con le istruzioni impartite dalla Società ai propri partner nel ricordato Manuale ‒ nelle quali, come si è detto, si ammette esclusivamente in via eccezionale e a certe condizioni tale tipo di contatto (cfr. punto 3.2.2)‒ ed evidenziano l'omesso controllo posto in essere da Fastweb sul comportamento tenuto dalla propria rete di vendita rispetto alle istruzioni (pur) impartite. Ed invero, solo in corrispondenza degli accertamenti svolti dall'Ufficio, in modo più deciso e con l'approntamento di misure volte a monitorare il fenomeno, la Società ha dichiarato di aver sostanzialmente azzerato il fenomeno dei cd. fuori lista (v. sopra punto 4).

Rispetto a tali contatti è infatti particolarmente elevato il rischio di violazioni, atteso che gli stessi non sono in alcun modo filtrati da Fastweb, né, ove appropriato, con il Registro pubblico delle opposizioni, né con le proprie liste di esclusione. Ed infatti, effettuato un confronto tra le utenze extra-lista acquisite in occasione delle verifiche e le menzionate black list è emersa, con riguardo al sistema utilizzato dalla Società in tempi più risalenti, la presenza in black list al momento del contatto di oltre 1990 utenze; con riguardo al confronto effettuato con il sistema attualmente in uso, oltre 9.000 sono risultati i contatti in violazione di legge.

11. Alla luce delle considerazioni svolte (cfr. punti 3.3.2 e 6.1 ss., 8.1 ss., e 9 e 10) e considerato anche l'art. 11, comma 2, del Codice, il Garante dispone, ai sensi degli artt. 143, comma 1, lett. c), 144 e 154, comma 1, lett. d), del Codice, il divieto per la Società di trattare ulteriormente per finalità di marketing i dati concernenti le utenze di quanti, rispetto a tale finalità, non abbiano validamente manifestato un consenso o abbiano comunque fatto valere un opposizione al trattamento ai sensi dell'art. 7, comma 4, lett. b), del Codice.

12.1. Anche con riguardo alle modalità di acquisizione del consenso al trattamento dei dati personali per finalità promozionali sopra descritte in occasione della procedura "call me back" (cfr. punto 2.5), deve ritenersi che la Società abbia violato la disciplina di protezione dei dati personali (artt. 11, comma 1, lett. a), e 23 del Codice).

Invero non può ritenersi conforme al principio di correttezza di cui all'art. 11, comma 1, lett. a), del Codice, la condotta della Società che, nel richiedere l'inserimento di un'utenza telefonica da parte di chi sia interessato ad un'offerta presente sul sito web della Società ed a tale limitato fine chieda di essere ricontattato, qualifichi tale comportamento, senza che sia accordata all'utente la possibilità di esercitare una scelta libera, alla stregua di un consenso al trattamento dei propri dati di contatto per finalità di marketing e profilazione.

Deve infatti rilevarsi, in primo luogo, che al fine dell'effettuazione del contatto richiesto dall'utente, ai sensi dell'art. 24, comma 1, lett. b), del Codice, non è necessario consenso alcuno da parte dell'interessato. Un libero consenso è invece necessario per eventuali finalità ulteriori, nel caso di specie quelle per il trattamento dei dati raccolti per le distinte finalità di marketing e di profilazione. Consenso che, per essere validamente manifestato, deve tuttavia essere libero e prestato rispetto a ciascuna di dette finalità ulteriori (cfr. provv. 24 febbraio 2005, punto 7, doc. web n. 1103045; "Linee guida in materia di attività promozionale e contrasto allo spam" del 4 luglio 2013, in particolare punto 2.6.1, doc. web n. 2542348). Ed invero, in base all'art. 23, comma 3, del Codice, la capacità di autodeterminazione degli interessati (e quindi la libertà del consenso che sono chiamati a manifestare) non è assicurata quando si assoggetta, come nel caso di specie, la possibilità di conoscere e negoziare una determinata offerta contrattuale da parte della Società, alla contestuale autorizzazione a trattare i dati conferiti per finalità diverse, quale quella di profilazione e quella pubblicitaria (tra i più recenti, cfr. provv.ti 27 ottobre 2016, n. 439, doc. web n. 5687770; 10 marzo 2016, n. 110, doc. web n. 4988238; 11 febbraio 2016, n. 49, doc. web n. 4885578; 15 luglio 2010, doc. web n. 1741998; 22 febbraio 2007, punto 4.2, doc. web n. 1388590, con ulteriore richiamo ai più risalenti provv.ti 10 maggio 2006, doc. web n. 1298709; 12 ottobre 2005, doc. web n. 1179604; 3 novembre 2005, doc. web n. 1195215; in particolare, con riguardo alla fornitura di beni o servizi subordinata alla necessaria autorizzazione al trattamento dei dati per fini promozionali, cfr. provv.ti 24 febbraio 2005, punto 7, doc. web n.  1103045; 20 dicembre 2012, doc. web n. 2223607; 1° ottobre 2015, n. 508, doc. web n. 4452896).

12.2. Per tali ragioni, pur preso atto di quanto dichiarato dalla Società, con riferimento all'asserito mancato utilizzo (in concreto) dei dati raccolti per finalità di profilazione degli interessati (cfr. punto 2.5), va comunque rilevato che i dati personali raccolti con le modalità sopra indicate, in base all'art. 11, comma 2, del Codice, non possono essere utilizzati per dette finalità né per finalità promozionali in assenza di un consenso validamente manifestato (ai sensi degli artt. 130 e 23, del Codice) e se ne deve quindi vietare alla Società l'uso per tali finalità.

13.1. Deve altresì rilevarsi che dall'analisi delle piattaforme della Società (segnatamente in XX) negli esiti dei contatti è emerso che una parte non trascurabile degli stessi riporta la dizione "persona anziana" ‒ senza peraltro che venga individuata un'età soglia (come detto, riferita ad oltre 1.000.000 di utenze) ‒, oltre alla qualificazione dei contatti quale "basso spendente" (oltre 139.000 utenti) o "alto spendente" (oltre 38.000 utenze) (cfr. punto 3.4). Rispetto a tale segmentazione della clientela in base alle menzionate qualità, peraltro inferite dall'operatore di call center dal colloquio telefonico con gli interessati (con quanto ne può derivare in relazione alla qualità dei dati registrati), non consta, all'esito degli accertamenti, che una informativa sia resa (art. 13 del Codice) né che sia stato al riguardo acquisito un distinto consenso degli interessati (art. 23 del Codice; v. pure, con riguardo al profilo dell'autonomia tra finalità di marketing e di profilazione, provv. 24 febbraio 2005, doc. web n. 1103045).

Peraltro di tali trattamenti, frutto della memorizzazione dei dati personali acquisiti dalla Società in occasione dei contatti commerciali, gli interessati sono all'oscuro. L'informativa resa in occasione del perfezionamento della proposta d'acquisto, che peraltro riguarda solo una parte della platea considerata, non contiene infatti informazioni che consentono di risalire chiaramente alla profilazione così effettuata; né un riferimento ad essi si rinviene nella notificazione (e nel suo successivo aggiornamento) nel registro pubblico dei trattamenti notificata al Garante ai sensi dell'art. 37, comma 1, lett. d), del Codice, disposizione pure violata con riguardo ai trattamenti in parola.

13.2. Peraltro, quanto al trattamento di dati personali in base alla (supposta) età degli interessati registrata nel corso dei colloqui e memorizzata nei sistemi della Società, senza che consti alcuna verifica obiettiva dell'esattezza di detta informazione (art. 11, comma 1, lett. c), del Codice), deve ritenersi che tale trattamento si ponga in violazione del principio di liceità e correttezza del trattamento (art. 11, comma 1, lett. a), del Codice) in quanto effettuato in assenza del consenso informato degli interessati.

13.3. Alla luce di tali considerazioni deve quindi ritenersi illecito il trattamento effettuato dalla Società in violazione dei menzionati artt. 11, comma 1, lett. a), nonché 13 e 23 del Codice, e per l'effetto, in base all'art. 11, comma 2, del Codice, le informazioni relative alle qualifiche di "alto" e "basso spendente" come pure di "persona anziana" finora raccolte non possono essere ulteriormente utilizzate.

Con riferimento all'impiego delle predette informazioni se ne deve altresì vietare l'uso alla Società per le ragioni enunciate ai punti  13.1 e 13.2.

14. L'Autorità si riserva, con autonomo procedimento, di contestare le violazioni amministrative concernenti i profili afferenti all'accertata mancanza del consenso degli interessati (prospect ed ex clienti) rispetto al trattamento dei dati personali per finalità di marketing nell'ambito delle campagne oggetto di verifica (artt. 23 e 130, comma 3, nonché 162, comma 2-bis, del Codice), nonché in relazione a quelli oggetto di profilazione, anche in ragione dell'incompleta notificazione al Garante (artt. 13, 23 e 163 del Codice), considerato altresì quanto disposto dall'art. 164 bis, comma 2, del Codice.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 143, comma 1, lett. b) e c), 144 e 154, comma 1, lett. c) e d), del Codice, rilevato che i dati personali di cui è stato accertato l'illecito trattamento non possono essere ulteriormente utilizzati (art. 11, comma 2, del Codice), nei confronti di Fastweb s.p.a.:

1. vieta di trattare ulteriormente per finalità di marketing i dati concernenti le utenze di quanti, rispetto a tale finalità, non abbiano manifestato un libero consenso o lo abbiano revocato o abbiano comunque fatto valere un'opposizione al trattamento ai sensi dell'art. 7, comma 4, lett. b), del Codice (punti 6.1 ss., 9.2 e 10 e 12.2);

2. vieta di trattare ulteriormente i dati personali relativi alle qualifiche di "alto" e "basso spendente", nonché quelli relativi alla qualifica di "persona anziana" di quanti abbiano formato oggetto di profilazione, in assenza di un'idonea informativa e di un consenso validamente manifestato (punti 13.1 ss.);

3. prescrive, previa effettuazione delle necessarie verifiche per appurare le ragioni della mancata memorizzazione sul proprio sistema di contatti commerciali effettuati nel proprio interesse, l'implementazione delle necessarie misure tecniche che assicurino il tracciamento degli stessi (punto 7);

4. prescrive, mediante opportune misure tecnico-organizzative da adottarsi senza ritardo, e comunque entro e non oltre 7 giorni dalla ricezione del presente provvedimento, di valorizzare correttamente nelle proprie liste di esclusione l'opposizione al trattamento di quanti abbiano fatto valere la richiesta di "eliminazione da liste outbound" (punto 8.3).

5. ai sensi dell'art. 157 del Codice, invita altresì, entro non oltre 60 giorni dalla ricezione del presente provvedimento, a comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla presente richiesta è punito con la sanzione amministrativa di cui all'art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero

Roma, 18 aprile 2018

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia