g-docweb-display Portlet

Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. - 13 maggio 2021 [9670025]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 22 GIUGNO 2021

 

[doc. web n. 9670025]

Ordinanza di ingiunzione nei confronti di Iren Mercato S.p.A. - 13 maggio 2021

Registro dei provvedimenti
n. 192 del 13 maggio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

PREMESSO

1 ATTIVITÀ ISTRUTTORIA SVOLTA

1.1 Premessa

Sono pervenuti al Garante diversi reclami e segnalazioni rispetto a trattamenti di dati personali per finalità di marketing riferiti ad Iren S.p.A. ed Iren Mercato S.p.A. da parte di soggetti i cui dati personali non sono stati forniti direttamente alle società, bensì acquisiti da altre fonti.

Ulteriori doglianze hanno riguardato la ricezione di contatti di natura promozionale in assenza di uno specifico consenso da parte degli interessati, ovvero nonostante l’iscrizione dell’utenza telefonica contattata nel Registro pubblico delle opposizioni (di seguito “RPO”), nonché il mancato riscontro alle richieste di esercizio dei diritti da parte degli interessati.

1.2 Richiesta di informazioni e riscontro fornito da Iren Mercato S.p.A.

Sulla base di tali istanze, l’Ufficio ha inviato una richiesta cumulativa di informazioni ed esibizione di documenti ai sensi del combinato disposto degli artt. 58, par. 1, lett. a) del Regolamento e  157 del Codice, nei confronti di Iren S.p.A. ed Iren Mercato S.p.A., in data 29 aprile 2020, cui è stato fornito riscontro, con nota del successivo 28 maggio.

Nella suddetta nota è stato preliminarmente rappresentato che Iren S.p.A. opera quale società holding del Gruppo Iren e che le attività di natura commerciale sono svolte dalla controllata Iren Mercato (di seguito “Iren Mercato” o “Società”), nell’ambito dei servizi di approvvigionamento e vendita di energia elettrica, gas e calore per teleriscaldamento.Rispetto alle specifiche doglianze pervenute all’Autorità (XX, XX, XX, XX, XX), la Società ha dichiarato, confermando quanto in parte già rappresentato nelle risposte fornite ad alcuni reclamanti e segnalanti, che i relativi dati personali sono stati acquisiti sulla base del consenso al trattamento “per l’invio di informazioni ed offerte commerciali anche da parte di terzi”, a seguito dell’iscrizione degli interessati al  sito on line promoemail.org, gestito da Walldata Group LLC (di seguito “Walldata”) e che quest’ultima ne ha successivamente trasferito le anagrafiche alla Nethex Digital Marketing S.r.l. (di seguito “Nethex”).

Come emerso dalla ricostruzione fornita all’Autorità, i dati sono stati poi ceduti ad Iren Mercato dalla Nethex, essendo la stessa subentrata, a seguito della cessione di ramo d’azienda, nelle attività di teleselling e telemarketing precedentemente svolte dalla Aten@ S.r.l. (di seguito “Aten@”) con la quale Iren S.p.A. aveva stipulato accordi contrattuali.

In particolare detti accordi prevedevano la fornitura e cessione a favore di Iren Mercato “di liste di anagrafiche mobile relative ad interessati aventi valido consenso espresso ed informato per lo svolgimento – anche da parte di soggetti terzi – di attività di teleselling/telemarketing promozionali”.

Nella ricostruzione dei trasferimenti di dati operati dalle sopra menzionate società, in una specifica ipotesi (XX), è stato poi evidenziato che il lamentato contatto promozionale nei confronti del segnalante sarebbe stato ascrivibile unicamente a You Call S.r.l.s.  con la quale la Società non ha mai intrattenuto alcun rapporto contrattuale.

Con riguardo alle segnalazioni pervenute da titolari di utenze riservate che hanno lamentato indebiti contatti promozionali, in assenza di un consenso al trattamento dei propri dati per finalità di marketing diretto (XX, XX), la ricostruzione delle relative vicende fornita all’Autorità ha invece evidenziato l’asserita acquisizione del relativo consenso per finalità promozionali di terzi attraverso un altro sito on line. Nello specifico il sito www.treofferteweb.com di comparazione e servizi di energia, gestito dalla Voice S.r.l. (di seguito “Voice”), la quale ha effettuato l’attività di telemarketing nell’interesse di Iren Mercato in veste di responsabile esterno del trattamento.

Analoghe indicazioni sono state offerte rispetto all’asserita acquisizione del consenso degli interessati (XX, XX) per l’invio di informazioni ed offerte commerciali, anche da parte di terzi, sulla base dell’iscrizione al sito web,  www.mypiggybank.biz  gestito da Oversky Inv LLC (di seguito “Oversky”) che  ne ha, in seguito, ceduti i dati ad Iren Mercato. Il rilascio di un consenso nei medesimi termini è stato richiamato anche rispetto ad una segnalante (XX) risultata iscritta al sito www.smartlead.it, nella titolarità della ClickADV S.r.l. (di seguito “ClickADV”), i cui dati, con modalità analoghe a quelle sopra richiamate, sono stati in un primo tempo ceduti alla Nethex e, in seguito, trasferiti da quest’ultima ad Iren Mercato.

A comprova dell’acquisizione del consenso degli interessati Iren Mercato ha fornito la documentazione acquisita dalle diverse società coinvolte.

Quanto al profilo del mancato riscontro all’esercizio dei diritti, lamentato in particolare da un segnalante (XX), la Società ha documentato la tempestività della risposta fornita all’interessato nel rispetto di quanto previsto dall’art. 12, par. 3 del Regolamento, attestando l’impegno ad effettuare la cancellazione dei relativi dati. Con riguardo, invece, al lamentato contatto promozionale effettuato sull’utenza iscritta al Registro pubblico delle opposizioni (XX), la Società ne ha richiamato, quale causa, l’erronea indicazione del numero di telefonia dell’interessato da parte di un cliente di Iren Mercato, reale destinatario della comunicazione.

Rispetto al quadro sopra delineato, infine, la Società ha puntualmente indicato le differenti modalità adottate per la raccolta dei dati dei potenziali clienti “fino alla lettura del Provvedimento dell’11 dicembre 2019 nei confronti della società Eni Gas e Luce S.p.A., pubblicato in data 17/01/2020 da parte di codesta Autorità” (1) e dato atto di essersi attivata e di aver rivisto, proprio alla luce delle indicazioni emerse nel menzionato provvedimento, i processi riferibili all’acquisizione dei consensi ai trattamenti per finalità promozionali da parte di terzi e dei trasferimenti di dati personali.

1.3 Chiusura dell’istruttoria ed avvio del procedimento per l’adozione dei provvedimenti correttivi

Dai riscontri forniti dalla Società sono emersi, con riguardo alle diverse doglianze pervenute all’Autorità, profili di criticità legati sia a successive comunicazioni di dati tra autonomi titolari (espressamente da parte di Nethex (subentrata ad Aten@) ad Iren Mercato, rispetto all’iniziale acquisizione sui siti gestiti da Walldata e da ClickADV), in assenza dello specifico consenso degli interessati, sia all’assenza di un’idonea documentazione volta a comprovare il rilascio del necessario consenso al trattamento dei dati per la comunicazione a terzi per finalità di marketing diretto.

Con riguardo al primo profilo, come già evidenziato dal Garante, in particolare nel menzionato provvedimento n. 232/2019 nei confronti di Eni Gas e Luce S.p.A (di seguito “Eni”) il consenso, inizialmente rilasciato ad un titolare del trattamento anche per attività promozionali di terzi, se può risultare idoneo alla comunicazione dei dati stessi a questi ultimi, non può invece estendere la sua efficacia anche a successive cessioni ad ulteriori titolari, poiché le stesse non possono dirsi supportate dal necessario consenso, specifico ed informato dell’interessato.

In questi termini è stata rilevata la violazione degli artt. 6, par.1, lett. a) e 7, par.1 del Regolamento, con contestuale violazione dei principi di liceità, correttezza e trasparenza del trattamento (art. 5, par. 1, lett. a) del Regolamento), nonché del principio di accountability (art. 5, par. 2 del Regolamento).

Con riguardo al secondo profilo, circa la rilevanza probatoria della documentazione offerta a supporto dell’acquisizione dello specifico consenso da parte degli interessati rispetto all’attività di telemarketing di Iren Mercato, ne sono state puntualmente rilevate le carenze tenuto conto dei riscontri inizialmente forniti.

Rispetto a Walldata tali criticità sono emerse con riguardo alla tabella relativa ai “dati log degli interessati”, riportata nella documentazione riferibile alla stessa, non essendo stato possibile individuare, tra i vari campi evidenziati (relativi ai nominatavi, all’indirizzo fisico ed IP), quello attestante la registrazione-valorizzazione del consenso. Così come, nell’allegato modulo “opt-in e consensi prestati”, è risultata presente solo la formula di prestazione dei consensi senza alcuna indicazione circa una manifestazione di volontà effettivamente riferibile agli interessati.

Analoghe criticità sono emerse con riguardo ai dati acquisiti da Voice, stante la mera attestazione da parte di quest’ultima dell’acquisizione di un generico consenso degli interessati per finalità commerciali, collegato alla relativa numerazione ed il sintetico richiamo a dati asseritamente acquisiti in fase di registrazione al sito web, oltre che l’impossibilità di evincere a quali finalità fosse riferibile il consenso degli interessati riprodotto con una valorizzazione a “SI”.

Anche rispetto ai riscontri documentali acquisisti da Oversky, le criticità si sono appuntate sull’esame delle schermate del sistema prodotte da quest’ultima che riportavano la menzione di consensi rilasciati dagli interessati e valorizzati come “accepted”, anche in tal caso senza alcuna indicazione circa il trattamento al quale gli stessi erano riferibili. Ciò avuto particolare riguardo al trattamento connesso ad attività di promozione commerciale anche di terzi che avrebbe dovuto legittimare i successivi contatti telefonici avvenuti nell’interesse di Iren Mercato. In tal senso si è evidenziata la violazione degli artt. 6, par. 1, lett. a) e 7, par. 1 del Regolamento e dell’art. 130, comma 3 del Codice.

Quanto al lamentato contatto promozionale effettuato sull’utenza iscritta al Registro pubblico delle opposizioni, la circostanza descritta dalla Società rispetto all’erroneo utilizzo della numerazione telefonica dell’interessato è stata valutata sotto il profilo dell’opportunità che la Società approntasse puntuali verifiche della correttezza dei dati in proprio possesso, al fine di evitare indebite comunicazioni nei confronti di soggetti estranei ad ogni rapporto con essa.

In relazione al coinvolgimento di You Call S.r.l.s., in quanto titolare della numerazione chiamante alla quale è risultato riconducibile il lamentato contatto telefonico promozionale effettuato in nome di Iren Mercato, è stata invece rilevata la mancanza di ogni supporto documentale alla base delle dichiarazioni fornite all’Autorità ed un’indicativa carenza di controllo e monitoraggio da parte della Società sulla propria filiera rispetto al fenomeno dell’indebita attivazione di contratti di fornitura energetica da parte di “procacciatori non ufficiali” che definisce un indotto privo di garanzie per gli utenti.

In tal senso si è rilevata la violazione dei principi di accountability (art., 5, par 2 del regolamento) e di privacy by design (art. 25, par. 1 del Regolamento in relazione al necessario rispetto di canoni di prevenzione, funzionalità, trasparenza e sicurezza del trattamento.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1  Memoria difensiva ed audizione di Iren Mercato S.p.A.

In considerazione dei rilievi critici sopra evidenziati, in data 12 ottobre 2020 è stata in-viata ad Iren Mercato la comunicazione di avvio del procedimento ai sensi dell’art. 166, com-ma 5, del Codice.

Il 10 novembre 2020 la Società ha fatto pervenire un’ampia memoria difensiva, corredata da copiosa documentazione, rappresentando che:

- Iren Mercato ha acquisito legittimamente ed in buona fede i dati personali da Nethex, (subentrata come fornitore delle anagrafiche ad Aten@ sulla base di un contratto precedentemente stipulato da quest’ultima in data 19 luglio 2018), ottenendo garanzie rispetto alla piena osservanza della normativa in materia di protezione dei dati personali (cfr. pag. 16 della memoria);

- i dati personali ceduti alla Società da Nethex sono stati raccolti, in maggior misura, nell’ambito del portale generalista promoemail.org, gestito da Walldata e ceduti previo specifico ed autonomo consenso degli interessati in relazione sia alla comunicazione a terzi per finalità promozionali sia alla cessione a soggetti terzi;

- fino alla pubblicazione del provvedimento rivolto ad Eni ed all’interpretazione “innovativa” offerta dall’Autorità, la Società ha operato nel pieno rispetto della disciplina al tempo vigente, dovendosi considerare valido, in virtù del combinato disposto degli artt. 13 e 23 del Codice, il consenso libero e specifico “con riferimento ad un trattamento riferibile ad attività promozionale da parte di terzi ovvero di indefinite categorie di destinatari” (cfr. pag. 9 della memoria);

- tale impostazione, previgente al Regolamento, è stata confermata anche dalla nuova normativa sulla base degli analoghi requisiti, previsti per il consenso, dagli artt. 6 e 7 ed anche dell’art. 13 che rappresenta una riformulazione del precedente art. 13 del Codice;

- anche le Linee-guida del Garante in materia di spam (2) hanno previsto, con riguardo alla necessaria acquisizione di un consenso specifico per comunicazione e/o cessione a soggetti terzi a fini di marketing, che “il titolare del trattamento (nrd. che) intenda raccogliere i dati personali degli interessati anche per comunicarli (o cederli) a terzi per le loro finalità promozionali deve previamente rilasciare ai medesimi un’idonea informativa ai sensi dell’art.13, comma 1 del Codice”;

- la liceità del trasferimento a terzi di dati personali per lo svolgimento di attività di marketing “non specificando in quali (e quanti) soggetti  debbano identificarsi le cd. third parties :”transfer the data to third parties for their own marketing activitie…” deve rinvenirsi anche nella posizione assunta dal WP 29 nell’Opinion 15/2011 (WP249 “on the definition of consent”);

- analogamente, poco prima della definitiva applicabilità del Regolamento, anche nel provvedimento emanato dall’Autorità il 22 maggio 2018 nei confronti di Supermoney S.p.A. (3), il richiamo al requisito del consenso è, pro futuro, formulato nei termini di un consenso libero e specifico nonché documentato, anche con riferimento alle finalità promozionali e di comunicazione/cessione a terzi, dovendosi con ciò ritenere, sulla base di un’interpretazione storico-letterale, che “la medesima Autorità abbia, in un primo tempo, considerato conforme tale orientamento anche rispetto al Regolamento” (cfr. pagg.9-11 della memoria);

- pertanto, nei confronti degli interessati che “acconsentendo alla ricezione di offerte di telemarketing da parte di terzi” hanno dichiarato inequivocabilmente di voler essere contattati,  la Società non ha inteso effettuare trattamenti pregiudizievoli per la loro sfera privata, “proponendosi al contrario di rispondere alle istanze che gli stessi hanno validamente manifestato”;

- con riguardo, in particolare, al ruolo rivestito da Nethex, tale società deve essere inquadrata nella figura giuridica dell’intermediario (cd. broker di informazioni) avendo la stessa ”esclusivamente organizzato l’effettiva comunicazione dei dati raccolti”, senza effettuare “alcuna autonoma attività di sfruttamento per finalità promozionale sui medesimi dati” (cfr. pag. 12 della memoria);

- in occasione di precedenti ispezioni ed interlocuzioni con la Società, l’Autorità non ha svolto rilievi “rispetto ad analoghe condotte assunte circa tale modalità di acquisizione di anagrafiche  relative a dati di soggetti che abbiano prestato apposito consenso ad attività promozionale da parte di soggetti terzi”;

- la Società ha comunque tempestivamente adeguato le proprie procedure al più rigoroso e specifico indirizzo espresso dall’Autorità;

- il trattamento dei dati personali effettuato dalla Società, a prescindere dalla validità del consenso prestato,  troverebbe comunque “una base giuridica adeguata ed equiordinata” nel perseguimento di un suo legittimo interesse per finalità di marketing diretto, stante il contenuto del Considerando 47 del Regolamento, dovendosi, nel caso di specie, dare rilievo alla circostanza che l’interessato, all’atto della registrazione al sito on line, avrebbe potuto ragionevolmente attendersi che i propri dati sarebbero stati ceduti a terzi e comunque utilizzati per trattamenti ulteriori per finalità promozionali di terzi come Iren Mercato;

- in relazione alla prova dell’acquisizione di un idoneo consenso degli interessati con riguardo alle lamentate telefonate promozionali, Iren Mercato aveva già ottemperato nel suo primo riscontro, tenuto conto che rispetto a tale dimostrazione il Regolamento non prevede specifiche modalità, per cui la Società ha inteso  dimostrare, con “metodi propri”, in linea con i principi di responsabilizzazione e minimizzazione, “come “ e “quando” erano stati raccolti i dati e i consensi degli interessati;

- rispetto ai singoli casi in cui la predetta prova è stata ritenuta inidonea, ad ulteriore comprova della correttezza del proprio operato, la Società ha comunque richiesto e prodotto documentazione aggiuntiva a tutti i fornitori dei dati, offrendo puntuale riscontro circa la corretta acquisizione del consenso degli interessati;

- rispetto al coinvolgimento della You Call S.r.l.s., che ha rappresentato un caso isolato,  nessun rapporto contrattuale, come già dichiarato nel precedente riscontro, è stato mai intrattenuto con quest’ultima da Iren Mercato e, sulla base dei riscontri documentali, è risultato come il nominativo della sopra menzionata società non sia mai stato presente nell’elenco dei fornitori contrattualizzati, né in quello di agenzie teleseller coinvolte in campagne promozionali a favore della Società anche nel periodo in cui è avvenuto il lamentato contatto telefonico;

- inoltre, come da verifiche effettuate presso il ROC, la numerazione chiamante utilizzata non è risultata appartenere ad alcuna delle menzionate agenzie;

- con riguardo poi, agli obblighi di monitoraggio e controllo rispetto alla propria rete di agenzie,  la Società non autorizza né ha mai autorizzato i partner del canale teleseller  ad avere sub agenzie, collaboratori terzi e procacciatori e ha adottato (e documentato) un’apposita procedura di “Gestione Agenzie Retail” per la selezione degli operatori economici di cui si avvale in veste di agenti, nominati responsabili del trattamento, oltre a prevedere espressamente, all’atto della relativa nomina, puntuali modalità di eventuale ricorso ad altro responsabile esterno;

- le agenzie di teleselling contrattualizzate sono inoltre dotate di un accesso dedicato al sistema CRM  al fine di trasmettere alla Società i contratti conclusi previa procedura telefonica, con la conseguenza che quest’ultima non può beneficiare  di indebite attivazioni  di contratti di fornitura energetica da parte di procacciatori non ufficiali.

- in relazione all’episodio del contatto promozionale, avvenuto sull’utenza iscritta al RPO, la Società effettua generalmente controlli periodici, al fine di verificare l’accuratezza dei dati presenti nel database aziendale e provvede al relativo accertamento, in particolare attraverso specifiche campagne di caring e l’aggiornamento immediato delle anagrafiche “incongruenti”; il caso oggetto della segnalazione al Garante ha costituito un’ipotesi isolata rispetto al portafoglio di clienti Iren Mercato ed al volume delle attività  svolte sulla customer base.

- rispetto all’osservanza dei principi di accountabilty  e di privacy by design la Società ricorre ad un’articolata gestione aziendale delle tematiche privacy che definisce ruoli e responsabilità, un” corpus procedurale privacy” di natura organizzativa , la designazione del DPO, un piano di formazione aziendale per il consolidamento di dette tematiche, di cui sono prova anche l’esiguità dei casi di contestazione e l’assenza di precedenti sanzioni amministrative da parte dell’Autorità rispetto alle condotte ritenute da ultimo illegittime;

- la liceità dei trattamenti, in adesione al principio di responsabilizzazione, è inoltre garantita da specifici controlli sui trattamenti con finalità promozionali e dal monitoraggio sugli orientamenti dell’Autorità nazionale ed europea, tanto che la Società ha subito “adottato procedure in linea con la nuova interpretazione” espressa dal Garante;

- sussistono comunque significative differenze rispetto al caso Eni stante, in particolare, il numero ridotto di doglianze nei confronti di Iren Mercato, l’assenza di prassi generalizzate e lesive, l’assenza di dolo o colpa, nonché la lieve entità delle conseguenze per gli interessati;

Nel corso dell’audizione di cui all’art. 166, comma 6, del Codice, svoltasi in data 9 dicembre 2020 è stato inoltre evidenziato che: 1) i trasferimenti di dati sono avvenuti, in concreto, attraverso due passaggi e non tre, in ragione del ruolo di “broker di dati” rivestito da Nethex; 2) i trattamenti si sono svolti sulla base di un doppio consenso (consenso specifico alla cessione e consenso alla comunicazione a terzi per lo svolgimento di attività di direct marketing) e tale presupposto di liceità era, ed è sufficiente, a giustificare la comunicazione a terzi, sulla base degli artt. 13 e 23 del Codice nel testo in vigore all’epoca dell’operazione di trattamento, ribadendosi il principio del “tempus regit actum”; 3) deve ritenersi come la suddetta comunicazione e il successivo trattamento dei dati per finalità di marketing possano trovare ampia base legale nel presupposto dell’interesse legittimo del titolare del trattamento, auspicandosi, da parte dell’Autorità, un’interpretazione innovatrice ed estensiva del Considerando 47 del Regolamento.

2.2 Considerazioni in fatto e in diritto

Con riferimento agli aspetti anche fattuali sopra evidenziati e tenuto conto delle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 Codice, nonché dell’ulteriore documentazione prodotta, si formulano le seguenti valutazioni circa i profili riguardanti la disciplina in materia di protezione dei dati personali.

2.2.1 Sull’acquisizione dei dati degli interessati coinvolti nell’attività di  telemarketing.

Le argomentazioni formulate dalla Società nella propria memoria difensiva rispetto a quanto contestato dall’Autorità si sono appuntante essenzialmente su due aspetti.

Il primo riguardante la conformità del proprio comportamento al dettato normativo rispetto ai presupposti di liceità del consenso rilasciato dagli interessati per la comunicazione dei relativi dati per finalità promozionali di terze parti, considerando “innovativa” l’interpretazione dell’Autorità adottata nel richiamato provvedimento rivolto ad Eni. Ciò  tenuto conto anche delle richiamate Linee-guida in materia di spam, del provvedimento Supermoney e del Parere reso dal WP 29 (WP249).

Il secondo, con specifico riguardo alla posizione rivestita dalla società cedente Nethex,  sul suo ruolo di broker di informazioni rispetto all’acquisizione ed al successivo trasferimento ad Iren Mercato dei dati forniti dagli interessati sui siti web, gestiti dal Gruppo Walldata e da ClickADV, in virtù di un consenso alla comunicazione a terzi per lo svolgimento di loro attività di marketing. In particolare, rispetto al portale promoemail.org, sulla base sia di un consenso alla comunicazione per finalità promozionali di terzi sia di un consenso alla cessione a terzi  (cfr. all. da 1.1. a 1.5 alla memoria).

Orbene, con riguardo al primo aspetto, la ricostruzione formulata dalla Società risulta priva di fondamento.

Il dettato normativo, richiamato sia con riferimento al previgente Codice privacy (artt. 13 e 23) sia con riferimento al  nuovo Regolamento (artt .6, 7 e 13) non consente  un’interpretazione per cui, con riguardo ad un trattamento riferibile ad attività promozionali di terzi, il richiamo a detti terzi dovrebbe intendersi riferibile ad “indefinite categorie di destinatari” (cfr. pag. 9 della memoria difensiva), legittimando la comunicazione dei dati tra autonomi titolari in ragione dello specifico consenso informato, inizialmente prestato al soggetto che ha raccolto i dati.

Una  siffatta interpretazione non trova appigli neanche nelle menzionate Linee-guida in materia di spam e nel provvedimento Supermoney del Garante, né può dirsi che la posizione espressa dall’Autorità nel menzionato provvedimento Eni sia innovativa, ponendosi piuttosto in linea di continuità con quanto già in precedenza rilevato sul punto, ad esempio nell’ordinanza ingiunzione n. 291 del 13 giugno 2013 (4), che ha trovato conforto anche in una decisione della Suprema Corte di Cassazione del 2017 (5).

In particolare, la sentenza del Supremo Collegio, originata dal ricorso proposto dal Garante avverso una decisione del Tribunale di Milano (6), di parziale accoglimento dell’opposizione alla predetta ordinanza, emessa dall’Autorità per la violazione degli artt. 13 e 23 del previgente Codice ha dato conto, come già il tribunale, dei profili di criticità emersi rispetto al corretto trattamento dei dati personali proprio in relazione a successive comunicazioni di dati tra autonomi titolari. Nel caso specifico, che si richiama in questa sede per ragioni di analogia, la cessione dei dati da parte di una società, che ne era a propria volta cessionaria, ad altra società non risultava infatti confortata né dalla preventiva informativa agli interessati né dell’acquisizione del loro preventivo e specifico consenso proprio per la successiva comunicazione effettuata da un titolare all’altro.

Di tale evidenza l’Autorità ha peraltro dato atto anche nel recente provvedimento del 12 novembre 2020 rivolto a Vodafone Italia Sp.A. (7), confermando come l’impostazione del precedente provvedimento Eni sia stata conforme “…a quanto anche in precedenza stabilito dal Garante, ad esempio nel provvedimento n. 291 del 13 giugno 2013 (…) e nella correlata sentenza confermativa della Corte di Cassazione, sez. II civ., n. 18619 del 27 luglio 2017)”.

Quanto al richiamo sia alle menzionate Linee-guida in materia di spam sia al provvedimento Supermoney, deve ribadirsi come in nessuno dei passaggi peraltro espressamente riportati nella memoria di parte, circa la  conclamata necessità di un consenso specifico dell’interessato per la comunicazione e/o cessione a soggetti terzi dei  dati personali per loro finalità di marketing, emerga che una tale comunicazione a detti terzi, richiamati secondo una consueta formula, renda lecite successive cessioni ad altri autonomi titolari senza un’idonea base giuridica quale il consenso dell’interessato.

Ciò contrasterebbe, infatti, con la stessa ratio sottesa alla previsione di uno specifico consenso con riguardo al trattamento di comunicazione, ovvero l’esercizio di quell’autodeterminazione informativa che si esprime proprio attraverso il controllo che l’interessato può effettuare sui propri dati rispetto ai rischi di una dispersione o di un utilizzo non conforme alle finalità della relativa raccolta. Non può infatti ritenersi che una manifestazione di volontà inizialmente espressa in modo consapevole rispetto a determinati trattamenti possa dispiegare effetti a catena, attraverso successivi passaggi dei dati personali da un titolare all’altro in maniera del tutto imponderabile per l’interessato stesso.

Peraltro, nel provvedimento Supermoney, l’intervento dell’Autorità si è in particolare appuntato sul diverso profilo della necessità di uno specifico consenso degli interessati per finalità di comunicazione dei relativi dati personali a terzi per le relative attività di marketing,  rispetto al distinto consenso richiesto invece per le finalità di marketing proprie della società.

Neppure il riferimento all’Opinion WP249 può dirsi di conforto alla ricostruzione di Iren Mercato. Il richiamo a “terze parti” nell’ambito del trasferimento a terzi di dati personali per attività di marketing di questi ultimi non offre alcun supporto alla tesi che la Società tenta di sostenere, rilevando che un consenso reso nei termini sopra richiamati, stante la natura indefinita di detti terzi, potrebbe legittimare successive comunicazioni tra autonomi titolari  senza la necessaria acquisizione di un consenso specifico oltre che informato (ovvero basato sulle informazioni rese dal titolare che svolge il trattamento) dell’interessato.

Pertanto, nel caso di specie, l’acquisizione di liste di dati personali da un autonomo titolare, a sua volta cessionario di dette liste sulla base di un consenso rilasciato all’iniziale titolare del trattamento per la comunicazione di dati a terzi,  non poteva rendere sufficiente per la Società la previsione contrattuale della garanzia circa la sussistenza del consenso inizialmente rilasciato dagli interessati al primo, essendo invece necessario verificare che anche detto intermediario avesse raccolto l’ulteriore consenso alla successiva comunicazione.

Né rileva l’osservazione della Società per cui la stessa “ha acquistato e disposto in buona fede dei dati personali ceduti da Nethex, non potendo avere oggettiva contezza se quest’ultimo fosse inquadrabile “a monte” della catena delle comunicazioni a terzi, o ancora, in una posizione mediana”, proprio in ragione del tenore del menzionato contratto stipulato con Aten@ e poi da quest’ultima ceduto a Nethex,  allegato alla memoria e richiamato puntualmente nella stessa (cfr. pag. 16 della memoria).

Dal relativo contenuto (in particolare l’art. 10 riportato anche a pag. 17 della memoria), è difatti emerso che oggetto di cessione fossero anche “liste di anagrafiche mobile che il fornitore abbia acquisito in virtù di precedenti contratti”, con ciò dandosi conto proprio di quel passaggio di dati, inizialmente raccolti con il consenso degli interessati per le dichiarate finalità di marketing di terzi, da un titolare all’altro che si censura in questa sede.

Del resto, proprio nel rispetto del richiamato principio di accountability, la Società avrebbe dovuto verificare ed avere contezza dell’origine dei dati acquisiti e della loro legittima comunicazione.

Peraltro il suddetto contratto regolamentava, come si evince dal relativo art. 2 “la fornitura di liste di 6 MLN di anagrafiche mobile”. Un dato, quest’ultimo che non può non rilevare a fronte della prospettazione della Società circa l’”esiguità delle contestazioni pervenute (n. 10 fascicoli di cui esclusivamente n. 6 relativi a contesta assenza del presupposto di liceità per attività promozionale da parte di terzi)” (cfr. pag. 64 della memoria).

Nel quadro di una più articolata valutazione deve essere infatti rilevato, come l’Autorità ha già avuto modo di chiarire nel menzionato provvedimento rivolto a Vodafone, che  “oltre alla considerazione che la protezione dei dati personali e della riservatezza si estrinseca come esercizio individuale di un diritto della persona, e come tale assume rilevanza e connotazione di specifica gravità anche una singola violazione (…) “l’universo di riferimento (…) non può essere quello delle complessive chiamate promozionali (…)” del titolare “posto che la quota di interessati che percepiscono di essere oggetto di attività non conformi alle regole rappresenta una minima parte del totale e ancor meno sono le persone che si assumono l’onere di portare all’attenzione dell’Autorità le proprie vicende,”.

Alla luce del quadro sopra evidenziato, anche il rilievo attribuito al richiamato “doppio” consenso rilasciato dagli interessati in sede di iscrizione al portale gestito da Walldata, (“consenso per la ricezione di comunicazioni commerciali proprie o di terzi” e “consenso alla cessione dei dati a terzi”) non può ritenersi dirimente, posto che in nessun caso il consenso espresso ad un primo titolare in sede di raccolta dei dati, seppure per autorizzarne la comunicazione a terzi per le relative finalità di marketing, avrebbe potuto autorizzare, dopo una prima comunicazione, anche successivi trasferimenti ad altri autonomi titolari, ovvero, nel caso di specie, ad  Iren Mercato da parte di Nethex . La sua richiamata operatività è dunque assente in radice.

Ma sul punto vale anche la pena sottolineare come un consenso formulato nei termini summenzionati, ovvero come consenso per la ricezione di comunicazioni proprie o di terzi avrebbe comunque potuto legittimare solo un’attività promozionale propria del gestore (su propri prodotti e servizi e per conto di terzi), non potendosi estendere anche ad un’autonoma attività promozionale di terzi, dovendosi semmai dare rilievo allo specifico consenso prestato proprio per la cessione dei dati a terzi.

Anche il tentativo di Iren Mercato di legittimare il proprio operato richiamando il ruolo di Nethex quale mero broker di informazioni, non svolgendo quest’ultima alcuna autonoma attività di sfruttamento per finalità promozionali sui (…) dati”, e “non determinando quella potenziale perdita di controllo che avrebbe messo a rischio i diritti degli interessati”, può indurre a configurare un diverso scenario (cfr. pagg. 12 e 13 della memoria).

In primo luogo, stante quanto emerso nel primo riscontro fornito nella nota del 28 maggio 2020, in cui si evidenziava che “in relazione alle attività di trattamento dei dati personali oggetto di comunicazione da parte di Nethex Digital Merketing S.r.l. ad IREN Mercato S.p.A., le parti contrattuali statuivano che, per l’esecuzione delle operazioni di trattamento, ciascuna di esse si qualificasse quale autonomo titolare del trattamento”.

Ma soprattutto in quanto l’affermazione per cui Nethex, non avesse la discrezionalità propria del titolare, avendo solo organizzato, razionalizzato e reso fruibili le anagrafiche degli interessati in ragione delle finalità di marketing per le quali i dati sono stati raccolti e ceduti ad Iren Mercato, non contraddice, nella sostanza, il predetto ruolo di autonomo titolare.

Ciò che emerge infatti, proprio in linea con la funzione del cd. list broker, o list provider, tenuto conto della specificità della relativa attività di impresa, che esula da quella tipica del committente, è proprio un’autonomia gestionale e di scelta circa modalità e mezzi per raccogliere, gestire e trasmettere i dati alle società clienti per le relative finalità di marketing.

Del resto, a fronte della richiamata veste di broker di informazioni, asseritamente associata alla Nethex, ovvero all’identificazione di “mero fornitore di business process outsourcing”, manca, nella ricostruzione della Società, il riferimento alla specifica e diversa qualifica, sotto il profilo dei ruoli privacy, che la stessa avrebbe dovuto assumere nel trattare i dati degli interessati.

Le valutazioni sopra evidenziate sono state, peraltro, puntualmente richiamate anche nel citato provvedimento Vodafone ed in quello di cui è stata successivamente destinataria Fastweb S.p.A. il 25 marzo 2021 (8).

In particolare, nel provvedimento del 12 novembre 2020, il Garante non solo ha avuto modo di richiamare, ancora una volta, il provvedimento n. 232/2019 emesso nei confronti di Eni, ma anche di sottolineare come, nel contesto di successivi trattamenti di comunicazione dei dati degli interessati da un titolare all’altro, “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mira a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso…”, rilevando  come tale controllo “…verrebbe meno in ogni caso in cui il complesso delle disposizioni sopra richiamato potesse essere eluso da arbitrarie scelte in ordine alla veste giuridica che, di volta in volta, i soggetti del trattamento concordassero di assumere al fine di mascherare proprio quegli effetti a catena difficilmente riconducibili all’iniziale manifestazione di volontà dell’interessato”.

L’Autorità non ha poi mancato di evidenziare come la suddetta impostazione risulti in linea con quanto precedentemente stabilito  rispetto “alle generali disposizioni sulla titolarità nei trattamenti in materia di telemarketing contenute nel provvedimento n. 230 del 15 giugno 2011 (in www.gpdp.it, doc. web n. 1821257)”.

Analogamente, nel sopracitato provvedimento Fastweb, è stata nuovamente evidenziata, rispetto alla cessione alla società di liste di anagrafiche da parte di partner a seguito di acquisizioni effettuate dagli stessi quali autonomi titolari del trattamento sulla sola base dell’originario consenso reso dagli interessati ai cd. list editor, l’inidoneità di detto consenso rispetto ad ulteriori comunicazioni di dati. Rilevandosi, anche in tal caso, la violazione della normativa , stante la carenza del previsto consenso per la comunicazione di dati personali tra titolari autonomi del trattamento.

Né dirimente può considerarsi il richiamo a precedenti interlocuzioni della Società con il Garante in merito alle modalità di acquisizione delle anagrafiche, posto che in tali interlocuzioni non sono mai emerse, e non sarebbero mai potute emergere, interpretazioni della normativa al momento vigente, tese in qualche misura a superare gli aspetti di specificità del consenso che opera per ciascun trattamento e per ciascun titolare.

In ragione di quanto sopra evidenziato e per i rilevati profili si ritengono pertanto integrate le violazioni degli artt. 6, par.1, lett. a) e 7, par.1 del Regolamento, nonché dell’art. 5, par. 1, lett. a) e par. 2 del Regolamento e si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5 , lett.a) del Regolamento.

2.2.2 Sul legittimo interesse della Società quale idonea base giuridica dei trattamenti effettuati.

Neanche il successivo richiamo, in sede di memoria difensiva e di audizione, ad una diversa base giuridica dei trattamenti posti in essere dalla Società rispetto al consenso degli interessati, ovvero il suo legittimo interesse per finalità di marketing, stante il combinato disposto di cui all’art. 6, lett. f) e al Considerando 47 del Regolamento, risulta sostenuto da un serio supporto argomentativo e probatorio.

Sulla base delle argomentazioni formulate dalla Società e della prospettazione dei fatti fornita all’Autorità tale legittimo interesse sarebbe stato difatti supportato dalla valutazione per cui gli interessati, coinvolti nei trattamenti svolti, avrebbero potuto, all’atto della registrazione ad un portale promozionale generalista (in particolare promoemail.org), attendersi ragionevolmente che i propri dati sarebbero stati ceduti a terzi e comunque utilizzati per trattamenti ulteriori per finalità promozionali di terzi quali, nel caso di specie, Iren Mercato.

Orbene, occorre ricordare che il legittimo interesse del titolare del trattamento, proprio sulla base del richiamato Considerando 47 e, prima ancora, della specifica Opinion resa dal WP29, n. 6/2014 (WP217), deve essere accompagnato da un attento bilanciamento, peraltro adeguatamente documentato, tra i diritti degli interessati e le aspettative circa il trattamento dei relativi dati personali e l’interesse del titolare stesso.

Nella fattispecie in esame mancano entrambi i presupposti.

In primo luogo perché appare difficile ipotizzare una ragionevole aspettativa degli interessati, iscrittisi ai menzionati portali web, che i relativi dati potessero essere oggetto per finalità di marketing di terzi di successive  ed incontrollate cessioni da un titolare “terzo” ad un altro.

In secondo luogo perché non vi è alcuna prova dell’attenta valutazione e comparazione che la Società,  in ragione del suo legittimo interesse a trattare i dati, avrebbe effettuato,  ai fini della prevalenza del suo legittimo interesse al trattamento, nell’ambito del necessario bilanciamento tra tale interesse e i diritti, gli interessi e le libertà fondamentali degli interessati proprio in relazione alla menzionata, ragionevole aspettativa di questi ultimi.

In tal senso serve anche richiamare le considerazioni già formulate da questa Autorità con il provv. n. 7 del 15 gennaio 2020 (9), ovvero che “… il legittimo interesse, di cui all'art. 6, par. 1, lett. f), del Regolamento - già previsto sia dall'abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) - non può surrogare - in via generale - il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) - lo ammette solo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un trattamento a tal fine.”

Inoltre, sempre in base a quanto già chiarito nel citato provvedimento: “l'applicazione della base giuridica del legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall'Autorità di controllo) di quest'ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l'attenta ponderazione dell'impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato”)”.

Ma vi è di più. Richiamando quanto l’Autorità ha già avuto modo di precisare nel contesto del sopra menzionato provvedimento: “il titolare del trattamento non può ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il titolare del trattamento deve aver deciso la base legittima prima della raccolta dei dati (così v. Linee guida del Gruppo Art. 29 sul consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01)”.

Pertanto, in assenza dei sopra richiamati presupposti per la rilevanza del legittimo interesse del titolare, deve sottolinearsi come la regola generale che disciplina i trattamenti per finalità promozionali sia quella del ricorso al requisito del previo consenso informato, libero, specifico e documentato degli interessati che, nel caso di specie, è risultato carente rispetto alla comunicazione dei dati tra autonomi titolari a monte del successivo trattamento effettuato per le suddette finalità.

Si ribadisce quindi la violazione delle disposizioni richiamate sul punto nel paragrafo precedente.

2.2.3 Sulla prova dell’acquisizione del consenso per attività di telemarketing e la collaborazione con l’Autorità.

Nel suo iniziale riscontro del 28 maggio 2020, alla richiesta di informazioni dell’Ufficio, la Società non è stata in grado di documentare adeguatamente la presenza di un idoneo consenso degli interessati, destinatari dei contatti promozionali, in quanto la documentazione acquisita dalle società che ne avevano inizialmente raccolto il consenso per finalità promozionali di soggetti terzi attraverso l’iscrizione nei relativi siti web è risultata carente e poco chiara.

Una documentazione idonea e completa, ai fini del necessario e puntuale riscontro probatorio, è stata prodotta dalla Società solo successivamente, a seguito del procedimento di contestazione avviato ai sensi dell’art. 166 del Codice, a corredo della propria memoria difensiva.

In tal senso, pur non potendosi ritenere che detta documentazione sia stata offerta, come dichiarato dalla Società, ad “ulteriore comprova” della legittima acquisizione del consenso degli interessati, trattandosi, invece, di un riscontro tardivamente prodotto, deve rilevarsi che la stessa offre i necessari e puntuali elementi di verifica.

In particolare, con riguardo ai reclamanti e segnalanti (XX, XX, XX, XX e  XX) è stata fornita idonea dimostrazione della valorizzazione del relativo consenso alla comunicazione a società terze per finalità di marketing dei dati personali acquisiti da Walldata.

Ciò, in quanto, unitamente alla memoria difensiva, sono stati prodotti, per ciascun interessato, lo screenshot della landing page www.promoemail.org in essere al momento della prestazione del consenso (con riguardo alle formulazioni relative ai consensi ed all’ubicazione dell’informativa resa agli interessati in sede di compilazione del form on line), nonché i record  completi, estratti dal customer database e riferibili ai singoli interessati, da cui è emersa la valorizzazione positiva del consenso associato a ciascuna tipologia prevista tra cui quello “per la ricezione di comunicazioni commerciali proprie o di terzi” e quello alla “cessione dei dati a terzi”.

Con riguardo invece ai segnalanti XX e XX (e rispetto a quest’ultima in ragione dei contatti promozionali indirizzati al suo numero di telefonia fissa), è stata fornita idonea dimostrazione della valorizzazione del relativo consenso alla comunicazione a società terze per finalità di marketing dei dati personali acquisiti da Voice. Quest’ultima ha, a tal fine, fornito anch’essa lo screenshot della landing page in essere al momento della prestazione del consenso con riguardo alle formulazioni relative ai consensi ed all’ubicazione dell’informativa resa agli interessati di cui ha prodotto copia. Ciò unitamente alla puntuale indicazione della tipologia dei consensi richiesti in sede di compilazione del form on line, con evidenza dei singoli flag apposti dagli interessati tramite modalità point and click , tra i quali è risultata documentata la prestazione del consenso alla comunicazione dei dati personali da parte di Voice a società terze per finalità, tra le altre, promozionali, commerciali, di telemarketing e teleselling. Sono stati inoltre forniti, attraverso la puntuale estrazione dai sistemi informatici della società, i record relativi agli interessati.

Analoghi riscontri sono stati offerti con riguardo sempre alla Sig.ra XX, ma con riferimento al numero di telefonia mobile ed al Sig. XX da parte di Oversky. In particolare dalla nuova documentazione fornita dalla società è emersa la riferibilità dello specifico CONSENT 1 prestato come “Accepted” “alle attività di marketing da parte di Oversky (marketing diretto)” e dello specifico CONSENT 2 , anch’esso prestato come “Accepted”, “alla comunicazione dei dati a terzi partner per loro finalità di marketing (marketing di terzi)”.

Ciò premesso, valutata la nuova e più completa documentazione prodotta in fase difensiva e considerato che la Società ha provveduto a fornire idonea prova dell’acquisizione del consenso degli interessati alla base dei contatti promozionali ad essi indirizzati, dovendosi altresì ritenere che la stessa abbia provveduto a fornire, all’atto del primo contatto promozionale, un’ idonea informativa, da intendersi ricollegata a tale contesto, pur rilevandosi la tardività di un idoneo riscontro e, soprattutto, un’insufficiente collaborazione con l’Autorità in fase istruttoria, deve ritenersi che non sussistano, allo stato, i presupposti per adottare specifici provvedimenti in relazione alla violazione delle disposizioni di cui all’art. 130, comma 3, del Codice e dei richiamati artt. 6, 7 del Regolamento.

Cionondimeno, si ritiene opportuno, in questa sede, rivolgere ad Iren Mercato un avvertimento ai sensi dell’art. 58, par.2, lett.a) del Regolamento in merito alla circostanza per cui,  fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea  circa elementi di valutazione da parte dell’Autorità, durante la fase istruttoria del procedimento, può integrare la violazione di quei doveri di collaborazione nei confronti di quest’ultima cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento.

2.2.4 Sul rispetto dei principio di accountability

Con riguardo ai profili di accountability rispetto ai quali è stata individuata una possibile violazione riguardo a fattispecie diverse occorre effettuare un opportuno distinguo.

In relazione al coinvolgimento della You Call S.r.l.s. nel lamentato contatto telefonico effettuato in nome della Società deve rilevarsi come, in sede di memoria difensiva, siano state fornite, a fronte di una generico richiamo nel primo riscontro alla mera assenza di rapporti contrattuali, puntuali indicazioni anche in ragione delle richiamate verifiche interne.

Ciò non solo con riguardo all’esclusione del nominativo della predetta società nell’elenco dei fornitori contrattualizzati da Iren Mercato, ovvero in quello di agenzie teleseller coinvolte nelle relative campagne promozionali anche nel periodo in cui è avvenuta la telefonata promozionale indesiderata e della comprovata verifica della numerazione chiamante presso il ROC, ma anche alla luce dello specifico quadro di rapporti e procedure rappresentato dalla Società.

Il riferimento  alle metodologie di gestione dei rapporti con la rete di agenzie di cui Iren Mercato si avvale ed alle attività interne di  monitoraggio e controllo che la stessa effettua, come pure alle misure di accesso dedicato e di controllo, rispetto all’inserimento nel CRM aziendale dei contratti conclusi previa procedura telefonica, appare idoneo a scongiurare indebite attivazioni di contratti di fornitura energetica da parte di procacciatori non ufficiali.

Tali aspetti, unitamente alla natura isolata della segnalazione inoltrata al Garante concorrono a far ritenere che non sussistano sul punto i presupposti per adottare specifici provvedimenti in relazione alla violazione delle disposizioni di cui all’art. 5, par. 2 e conseguentemente dell’art. 25 del Regolamento, dovendosi anche in tal caso rivolgere alla Società, rispetto alle ulteriori informazioni ed evidenze probatorie successivamente fornite all’Autorità,  un avvertimento nei medesimi termini di cui al precedente paragrafo.

Analoghe considerazioni, stante quanto successivamente rappresentato dalla Società in merito ai controlli periodici circa l’accuratezza dei dati personali presenti nei propri database ed alle modalità di accertamento ed aggiornamento degli stessi, oltre che alla natura isolata del caso, possono estendersi alla rilevata effettuazione del contatto promozionale, erroneamente avvenuto sull’utenza iscritta al RPO.

Rispetto invece all’indebita acquisizione da parte della Società dei dati personali ceduti da Nethex in assenza dello specifico consenso degli interessati a tale successiva comunicazione, deve rilevarsi quell’assenza di controllo circa la legittimità, correttezza e trasparenza del trattamento da parte del titolare che ne definisce e prova l’accountability, riscontrandosi in tal senso le già richiamate violazioni di cui al paragrafo 2.2.1.

3. CONCLUSIONI

In considerazione di quanto sopra richiamato deve pertanto ritenersi ascrivibile in capo ad Iren Mercato S.p.A. la responsabilità per i profili di violazione di cui all’art. 5, parr. 1 e 2, all’art. 6, par. 1, e all’art.7, par. 1 del Regolamento in ragione dell’acquisizione di liste di anagrafiche da parte di un soggetto terzo, Nethex Digital Marketing S.r.l., che a sua volta li ha acquisisti in veste di autonomo titolare del trattamento da Walldata Group LLC e Click ADV S.r.l., essendo tale trasferimento avvenuto in carenza del prescritto consenso degli interessati per la comunicazione dei dati personali fra autonomi titolari. Ciò attesa anche l’inidoneità della base giuridica del legittimo interesse pure invocata dalla Società.

Si rende pertanto necessario:

- imporre ad Iren Mercato S.p.A., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionali, effettuato mediante liste di anagrafiche di soggetti terzi  che non abbiano acquisito dagli interessati un consenso libero, specifico ed informato alla comunicazione dei propri dati ad Iren Mercato S.p.A.;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Iren Mercato  S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, par 5, del Regolamento.

- rivolgere un avvertimento ad Iren Mercato S.p.A., ai sensi dell’art. 58, par. 2, lett. a), del Regolamento, in merito alla circostanza per cui   fornire una rappresentazione ed una documentazione probatoria incompleta ed inidonea circa elementi di valutazione da parte dell’Autorità, durante la fase istruttoria del procedimento, può integrare la violazione di quei doveri di collaborazione nei confronti di quest’ultima cui il titolare del trattamento è tenuto ai sensi dell’art. 31 del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Iren Mercato  S.p.A. della sanzione amministrativa pecuniaria prevista dall’art. 83, par 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento e, in particolare:

1. quale fattore aggravante la natura delle violazioni (art.83, par. 2, lett. a) del Regolamento), stante l’assenza del necessario presupposto giuridico dello specifico consenso degli interessati rispetto al trattamento di comunicazione dei relativi dati tra autonomi titolari e la violazione dei principi di liceità, correttezza e trasparenza del trattamento, nonché del principio di accountability;

2. quale fattore aggravante la durata della violazione (art. 83, par.2 lett. a) del Regolamento, dal momento dell’acquisizione dei dati almeno fino alla definizione dell’istruttoria prelimi-nare;

3. il carattere negligente della condotta (art. 83, par. 2, lett.b) del Regolamento tenuto dalla So-cietà rispetto ad un adempimento di primaria importanza, come quello di cui agli artt. 6 e 7 del Regolamento;

4. quale fattore attenuante l’adozione di misure volte a mitigare le conseguenze delle violazio-ni (art. 83, par. 2, lett. c) del Regolamento), in particolare attraverso le attività di implemen-tazione ed allineamento dei processi riferibili all’acquisizione di liste di anagrafiche per fina-lità promozionali di terzi, anche alla luce dei contenuti del provvedimento dell’Autorità n. 232 dell’11.12. 2019.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e sufficiente dissuasività indicati nell’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Iren Mercato S.p.A. la sanzione amministrativa del pagamento di una somma di euro 2.856.169,00 (due milioni e ottocentocinquantaseimilacentosessantanove), pari al 4% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della condotta della Società e dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

In caso di inosservanza di quanto disposto dal Garante, può trovare applicazione la sanzione amministrativa di cui all’art. 83, par. 5, lett. e), del Regolamento:

TUTTO CIÒ PREMESSO, IL GARANTE

impone ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore tratta-mento per finalità promozionali effettuato mediante liste di anagrafiche di soggetti terzi che non abbiano acquisito dagli interessati un consenso libero, specifico e informato alla comunica-zione dei propri dati a Iren Mercato S.p.A.

ORDINA

a Iren Mercato S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Genova,  Via SS Giacomo e Filippo n. 7  C.F. e P. IVA 01178580997, di pagare la somma di euro  2.856.169,00 (due milioni e ottocentocinquantaseimilacentosessantanove) a titolo di sanzio-ne amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controver-sia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 2.856.169,00 (due milioni e ottocentocin-quantaseimilacentosessantanove), secondo le modalità indicate in allegato, entro 30 giorni dal-la notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Ga-rante n. 1/2019, e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimen-to può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 13 maggio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

 

__________________

 

(1) Provvedimento del Garante n. 232 dell’11.12. 2019, in www.garanteprivacy.it, doc. web n. 9244365.

(2) Provvedimento n. 330 del 4.7.2013, Linee-guida in materia di attività promozionale contrasto allo spam, in www.garanteprivacy.it , doc web n. 2542348.

(3) Provvedimento n. 363 del 22.5. 2018, in www.garanteprivacy.it ,doc. web n. 8995274.

(4) Ordinanza ingiunzione nei confronti di BBJ S.r.l. del 13 giugno 2013, in  www.garanteprivacy.it , doc web n. 2616804.

(5) Cass. civ., Sez. II, sent. n. 18619 del 3 maggio 2017, pubblicata il 27 luglio 2017.

(6) Trib. Milano, sent. n. 1748 del 5 febbraio 2014 che ha confermato l’ordinanza con riguardo alla ricorrenza degli illeciti contestati.

(7) Provvedimento n. 224 del 12.11.2020, in www.garanteprivacy.it ,doc. web n. 9485681.

(8) Ordinanza ingiunzione n. 112 del 25 marzo 2021, in www.garanteprivacy.it ,doc. web n. 9570997.

(9) Provvedimento del Garante n. 7 del 15.1. 2020, in www.garanteprivacy.it , doc. web n. 9256486.