g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. - 16 settembre 2021 [9706389]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE COMUNICATO STAMPA DEL 19 OTTOBRE 2021

[doc. web n. 9706389]

Ordinanza ingiunzione nei confronti di Sky Italia S.r.l. - 16 settembre 2021

Registro dei provvedimenti
n. 332 del 16 settembre 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 19846/21 del 13 aprile 2021 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Sky Italia S.r.l. (di seguito “Sky” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Milano, Via Monte Penice 7, P. IVA: 04619241005.

Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di diverse decine di segnalazioni e reclami inviati da interessati che lamentavano, e ancora oggi lamentano, continui contatti telefonici indesiderati effettuati da Sky e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa.

Da agosto 2020 a gennaio 2021, Sky è stata destinataria di due richieste di informazioni cumulative (prot. nn. 30003/20 e 3005/21) relative a 37 fascicoli, cui si aggiungono i reclami presentati ai sensi dell’art. 77 del Regolamento (UE) 2016/679 (di seguito il “Regolamento”) che il Garante ha trattato, nella fase istruttoria, singolarmente e le segnalazioni pervenute dopo le ultime richieste di informazioni.

1.2.  Contestazione delle violazioni amministrative

Esaminati i primi riscontri forniti dalla Società, l’Ufficio, ai sensi dell’art. 166, comma 5, del Codice, ha adottato l’atto di avvio del procedimento richiamato in premessa, con il quale ha contestato a Sky:

1. la violazione degli artt. 5, parr. 1 e 2, art. 6, par. 1 e art. 7, 14, 21 del Regolamento per aver Sky effettuato trattamenti di dati personali per finalità promozionali di propri prodotti e servizi, in assenza del prescritto consenso e di idonea informativa; per non aver effettuato controlli sulle liste di contattabilità acquisite da soggetti terzi; per la mancata corretta registrazione delle opposizioni (cfr., tra l’altro, fascicoli nn. 131703, 135014, 134205, 135070, 135511, 136291, 140229, 147537);

2. la violazione delle disposizioni di cui agli artt. 5, parr. 1 e 2, art. 6, par. 1, 7, 14, 28 e 29 del Regolamento in relazione alla violazione del principio di accountability e delle disposizioni in materia di consenso nonché, per mancata verifica della legittimità della comunicazione dei dati da Wind Tre S.p.A. a Brands Up; per omesso controllo sull’informativa resa dai fornitori agli interessati al momento del primo contatto; per non aver correttamente nominato i fornitori quali responsabili del trattamento; per non aver adottato procedure di filtraggio delle liste di contattabilità rimaste nella disponibilità del soggetto che ha svolto i contatti promozionali (la violazione riguarda le condotte di cui al par. 2.2., nonché i fascicoli nn. 133373, 135620, 136731, 142746, 135535, 152391, 139142 e 156682);

3. le violazioni degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai trattamenti di dati personali effettuati per finalità promozionali di propri prodotti e servizi, realizzati in assenza del prescritto consenso (fasc. nn. 134528 e 135584);

4. violazione degli artt. 5, 6, 7, 12, 13 e 21, in relazione alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me now” (fasc. n. 153251);

5. violazione degli artt. 5, 6, 7, 12 par. 2 e 21 del Regolamento, per aver effettuato contatti promozionali in assenza del necessario presupposto di liceità; per non aver tenuto conto delle opposizioni pervenute attraverso l’indirizzo p.e.c. ufficiale della Società e, pertanto, per non aver adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione (la presente violazione appare riconducibile ad una criticità di sistema come anche riscontrata nel fascicolo n. 155336).

Le contestazioni sopra richiamate sono state formulate dall’Ufficio sulla scorta delle osservazioni che si riassumono di seguito.

1.2.1. Quanto alla contestazione di cui al punto 1), nell’atto di avvio del procedimento è stata evidenziata la violazione degli artt. 5, parr. 1 e 2, art. 6, par. 1 e art. 7, 14, 21 del Regolamento in relazione ai contatti promozionali effettuati da Sky sulla base di contratti di cessione dei dati personali sottoscritti con altre società (di seguito i “Terzi”).

In particolare, in sede di riscontro alle richieste di informazioni, la Società ha affermato, tra l’atro, che (i) il segnalante ha ricevuto il contatto indesiderato in quanto “ha prestato ad autonomo titolare del trattamento … il consenso alla cessione dei dati personali a terzi per fini marketing”; (ii) “Sky ha sottoscritto [con “autonomo titolare”] un contratto avente ad oggetto attività di cessione di dati personali … in forza del quale ha ricevuto il contatto consensato del [segnalante]”; (iii) la Società avrebbe pertanto “contattato legittimamente [il segnalante] sulla scorta del consenso … Sky non ha quindi posto in essere alcun illecito trattamento di dati personali”.

Al riguardo, si è osservato che la comunicazione di dati da titolare (i Terzi) a titolare (Sky) deve essere sorretta dal prescritto consenso, circostanza che è stata confermata dalla Società, mentre i successivi trattamenti di cui Sky è titolare, dovevano essere preceduti da idonea informativa, ai sensi dell’art. 14 del Regolamento, resa al più tardi nel corso del primo contatto promozionale.

Con riferimento ai consensi rilasciati dagli interessati per la comunicazione dei propri dati a Sky, si è notato che la Società non ha comunicato all’Autorità le procedure susseguenti all’acquisizione delle liste di contattabilità da soggetti terzi, né se fossero stati effettuati controlli a campione sui consensi rilasciati dagli interessati ovvero se le liste fossero state oggetto di deduplica rispetto al Registro delle opposizioni e alle proprie black-list.

Inoltre, le reiterate telefonate effettuate anche nei confronti di soggetti che hanno dichiarato di aver espresso la propria opposizione al trattamento agli operatori del call-center, hanno indotto l’Autorità a ritenere che Sky non abbia effettuato correttamente la registrazione delle opposizioni come previsto.

1.2.2. Quanto alla contestazione di cui al punto 2), nell’atto di avvio del procedimento è stata evidenziata la violazione degli artt. 5, parr. 1 e 2, art. 6, par. 1, 7, 14, 28 e 29 del Regolamento in relazione ai contatti promozionali effettuati da Wind Tre S.p.A. e da altri titolari autonomi per promuovere i servizi di Sky.

In particolare, in relazione ad alcune segnalazioni, la Società ha affermato, tra l’atro, che:

- i segnalanti hanno ricevuto il contatto diretto a promuovere servizi Sky in quanto “hanno prestato il proprio consenso a Wind Tre S.p.A per finalità di marketing di terzi”;

- Sky ha sottoscritto un contratto con “il fornitore Brands Up s.r.l. … per svolgere attività di Advertising con l’Operatore Telefonico Wind Tre S.p.A. per Clienti Consensati”;

- “Brands Up agisce per conto di Wind Tre S.p.A., quale autonomo titolare del trattamento”, da cui è “autorizzata a (i) stipulare accordi aventi ad oggetto l’effettuazione di campagne promozionali riguardanti prodotti o servizi di terzi a mezzo SMS o MMS inviati da Wind Tre ai clienti di Wind Tre che hanno espresso idoneo consenso; nonché a (ii) comunicare a terzi titolari autonomi i dati di coloro che hanno espresso consenso a Wind Tre ad essere ricontattati da terzi per la promozione di prodotti o servizi di terzi”;

- i contatti promozionali ricevuti dai segnalanti di cui sopra, risultano “quindi essere un [contatto] promozionale inviato da Wind Tre S.p.A. quale titolare autonomo del trattamento, a cui il [segnalante] dovrà eventualmente rivolgere le sue doglianze”;

- non avendo i predetti segnalanti “prestato il consenso ad essere ricontattato da terzi per la promozione di prodotti o servizi di terzi, il suo contatto non è stato comunicato da Brands Up a Sky, che non l’ha quindi inserito nel proprio database prospect e non l’ha contattata”.

Analogamente, in relazione ad altre segnalazioni (cfr., tra l’altro, i fascicoli nn. 135535, 152391 e 139142 di cui al primo riscontro e il fasc. n. 156682), la Società ha rilevato, tra l’altro, che:

- “Sky ha sottoscritto un contratto con … fornitor[i] [tra cui Indicta S.r.l. e R&D Communication S.r.l.] per svolgere attività di ‘Advertising’ attraverso SMS sui Clienti” del fornitore;

- i segnalanti “ha[nno] ricevuto un SMS volto a promuovere i servizi di Sky… in quanto hanno prestato [al fornitore di Sky] il proprio consenso per fini promozionali”;

- tali fornitori, “agendo qual[i] titolar[i] autonom[i] del trattamento, effettua[no] campagne pubblicitarie per promuovere la sottoscrizione di contratti televisivi di Sky. Detta attività consiste (i) nell’invio di SMS a un target di clienti [del fornitore] che hanno espresso idoneo consenso; nonché (ii) nella comunicazione a Sky dei dati di coloro che hanno espresso consenso [al fornitore] ad essere ricontattati da Sky”;

- non avendo i predetti segnalanti “prestato il consenso ad essere ricontattato da terzi per la promozione di prodotti o servizi di terzi, il [loro] contatto non è stato comunicato a Sky, che non l’ha quindi inserito nel proprio database prospect e non l’ha contattata”.

Infine, nella segnalazione presentata nei confronti di Sky ed Ediscom S.p.A. (fascicolo n. 156682), quest’ultima ha sostenuto che:

- “I suoi dati sono stati raccolti dalla società 6 Sicuro Spa, Titolare del Trattamento. …EDISCOM SPA ha gestito il dato per tale società, in qualità di Responsabile del Trattamento, in accordo con il consenso alla cessione a terzi e alle comunicazioni marketing da lei rilasciato al Titolare in fase di registrazione dei suoi dati…al sito www.chiarezza.it”;

- “In tale occasione l’Interessato ha prestato il proprio specifico consenso a ricevere informazioni commerciali e/o promozionali sia da Chiarezza che da società terze (c.d. finalità di marketing diretto e/o di terzi)”;

- “Ediscom, … le ha inviato una campagna informativa per conto di Sky, a quest’ultima sono stati passati i suoi dati solo a seguito del click che ha effettuato sul link riportante la seguente dicitura: ‘Clicca {shortlink} per essere contattato da Sky”.

Al riguardo, la Società ha aggiunto che “Sky Italia non ha comunicato i Suoi dati ad alcuna società né alla società Ediscom per l’invio del sms da Lei segnalato. Ediscom, come indicatoLe direttamente dalla società stessa, ha dunque agito in qualità di responsabile di terzi titolari autonomi”.

Si è evidenziato che, nelle fattispecie in esame, pur essendo la “campagna pubblicitaria …rivolta da Wind Tre a [suoi] Cliente Consensati”, quest’ultima ha ad oggetto “la promozione di un’offerta di Sky”. Ne deriva che, proprio in ragione del suo ruolo fondamentale di “committente”, Sky non può esimersi dall’onere di vigilare adeguatamente sull’operato dei suddetti fornitori. In tal senso, la Società avrebbe dovuto verificare, tra l’altro:

- la legittimità della comunicazione dei dati da Wind Tre S.p.A. a Brands Up;

- che l’informativa resa dai fornitori agli interessati al momento del primo contatto fosse chiara in merito al triplice rapporto e alle parti coinvolte nel trattamento dei suoi dati personali (i.e., il fornitore, Wind Tre e Sky).

Per quanto concerne la tesi di Sky secondo cui, nei suddetti casi, i fornitori agirebbero “qual[i] titolar[i] autonom[i] del trattamento”, dalla documentazione allegata risulta che, qualora “i Clienti, una volta ricevuta la comunicazione pubblicitaria via SMS/MMS” inviino “un SMS con testo ‘OK’ a una numerazione [del fornitore] per essere ricontattati da SKY”, successivamente “al rilascio del suddetto consenso da parte dei Clienti, [il fornitore] si impegna a comunicare a SKY il numero dell’utenza cellulare …dei Clienti che hanno autorizzato ad essere contattati da un operatore telefonico di SKY per la promozione dell’Offerta”. 

Ne deriva che, sia al momento dell’acquisizione delle liste di anagrafiche, sia al momento della comunicazione dei dati a Sky, i fornitori sono inseriti stabilmente nell’ambito del trattamento svolto da Sky e di ciò la Società avrebbe dovuto tenere conto per definire, anche in base a quanto stabilito negli artt. 28 e 29 del Regolamento, la distribuzione delle responsabilità in capo a tali soggetti e a sé stessa.
In aggiunta, si è contestato che la Società non ha dimostrato – come avrebbe dovuto, essendo essa la committente dei trattamenti in questione – di aver posto in essere procedure di filtraggio delle liste di contattabilità rimaste nella disponibilità del soggetto che ha svolto i primi contatti promozionali, eventualmente comunicando a quest’ultimo la propria black-list.

Nello specifico, Sky non ha chiarito la procedura adottata per la formazione delle liste di numerazioni potenzialmente contattabili dai fornitori, né specificato, tra l’altro, ogni quanto tempo tali liste vengono aggiornate e le procedure adottate per escludere che nella lista siano inseriti numeri non contattabili (ad es., i numeri presenti nel registro delle opposizioni, i numeri non contattabili per via della revoca del consenso, ecc.).

1.2.3. Quanto alla contestazione di cui al punto 3), nell’atto di avvio del procedimento è stata rilevata l’illiceità di alcuni contatti promozionali effettuati da parte di Sky per finalità promozionali di propri prodotti e servizi, realizzati mediante l’utilizzo di numerazioni non ricomprese nella rete di vendita della Società e in assenza del prescritto consenso.

1.2.4. Quanto alla contestazione di cui al punto 4), relativa alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me now”, sono state evidenziate alcune criticità che emergevano, allo luce delle informazioni a disposizione, dalla procedura descritta da Sky.

In particolare, dalla documentazione prodotta da Sky in riscontro alle richieste di informazioni formulate dall’Autorità, emergeva la carenza di un’informativa ad hoc in relazione al servizio di cui sopra, in cui fosse esplicato il funzionamento del servizio, le modalità di trattamento dei dati personali e di ricontatto dell’utente. Inoltre, si evidenziava la carenza di un sistema che consentisse all’utente di interrompere il flusso di chiamate derivanti dal suo “clic” sul tasto “Richiamami” con pari semplicità.

1.2.5. Quanto alla contestazione di cui al punto 5), nell’atto di avvio del procedimento sono state evidenziate alcune criticità in merito alla mancata adozione di un sistema che “agevol[asse] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione. In particolare, è emerso che Sky non abbia tenuto conto delle opposizioni pervenute attraverso l’indirizzo p.e.c. ufficiale della Società (indicato nel Registro delle imprese), effettuando i successivi contatti promozionali in assenza del necessario presupposto di liceità.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. La memoria difensiva e l’audizione di Sky

In data 13 maggio 2021, Sky ha inviato all’Autorità la memoria difensiva prevista dall’art. 166, comma 6, del Codice. In base alla medesima disposizione, il 25 maggio 2021, si è svolta, in videoconferenza, l’audizione richiesta dalla parte di cui è stato redatto apposito verbale. Entrambi i documenti sono da intendersi qui, a tutela della parte, integralmente richiamati e riprodotti.

La Società ha dapprima inteso fornire una panoramica generale sui trattamenti di dati personali e sulla propria “filosofia imprenditoriale”, rappresentando di aver da sempre elevato i propri standard di compliance alla massima protezione dei dati personali e precisando di aver, già prima dell’avvio del procedimento in esame, radicalmente mutato le proprie strategie di marketing, riducendo massicciamente il numero di chiamate rivolte ai soggetti prospect contattati per finalità promozionali. Sky ha poi evidenziato che, tra i casi esaminati, “solo n. 19 sono oggetto di esplicita contestazione nel Procedimento e, in ogni caso, si riferiscono a condotte asseritamente poste in essere nel periodo temporale dal 2018 al 2021 e … risalenti nel tempo e non più attuali: precisamente, n. 2 del 2018, n. 12 nel 2019, n. 4 del 2020 e n. 1 del 2021… circa il 97% delle segnalazioni e reclami in meno rispetto alle media delle società a questa paragonabili”. Infine, la Società si è soffermata sulle singole contestazioni.

2.1.1. In merito ai contatti promozionali effettuati da Sky sulla base dei contratti di cessione dei dati personali sottoscritti con Terzi (cfr. punto 1 della contestazione), la Società ha rappresentato quanto segue.

In primo luogo, Sky ha rilevato che “il principio di Accountability non impon[e] al titolare di trattamento (Sky) di effettuare verifiche sulla conformità del trattamento effettuate da altro titolare del trattamento”. Secondo Sky, “ritenere sussistente un onere puntuale di verifica e di controllo da parte del cessionario (Sky) rispetto a tutti i singoli numerosi dati di contatto ceduti dal partner commerciale, costituisce, da un lato, operazione impossibile, irragionevole e contraria al principio di libera circolazione dei dati sancito dall’art. 1 del Regolamento, dall’altro lato costituisce operazione non richiesta dalla normativa vigente in materia di protezione dei dati personali”. Sky ha osservato che il Regolamento prescrive una serie di obblighi a carico del titolare del trattamento “soltanto quando decide di avvalersi di responsabili affidatari di compiti di trattamento per conto del titolare di trattamento” mentre “nessuna prescrizione, neppure in termini di controllo o vigilanza, è sancita nel caso in esame, in cui Sky (cessionario) acquista una lista di dati contattabili da un diverso titolare terzo”. Secondo Sky, “i partner vanno qualificati come titolari autonomi – e non come responsabili – in quanto tali terzi agiscono secondo modalità e finalità dagli stessi stabiliti … sono…pertanto chiamati a rispondere in via esclusiva del proprio trattamento ex art. 82 Regolamento, con conseguente estraneità di Sky che non è tenuta a controllarne l’operato… né tanto meno a scambiare la propria Blacklist” (BL). 

A suffragio della propria tesi, Sky ha richiamato i provvedimenti dell’Autorità del 29 maggio 2003, del 4 luglio 2013 e del 9 maggio 2018, sostenendo “che esplicitamente ammettono la liceità dei trattamenti di soggetti autonomi titolari che comunicano dati a terzi per fini marketing, a condizione che sia fornita informativa e raccolto il consenso alla cessione”.

La Società ha osservato:

- di aver dimostrato la liceità del trattamento e che ciò sarebbe “attestato…espressamente dai contratti di Sky con le terze parti … dalle informative fornite dalle terze parti agli interessati che menzionano correttamente la cessione dati a terzi … nonché dai consensi già documentati”;

- di aver “comunque effettuato controlli a campione sui consensi raccolti”. In particolare, in     sede di audizione, Sky ha precisato di aver dato luogo dal 2013 al giugno 2021 a “16 audit di     terze parti”;

- di “riscontra[re] con la BL tutte le liste prospect (incluse le anagrafiche provenienti da cessioni di liste da terze parti, le quali vengono fisicamente acquisite mediante download ftp sui sistemi del list provider). Tali liste vengono quindi filtrate con la BL, frammentate e rese disponibili per la campagna attraverso i diversi call center, anche con aggiornamenti nel corso della campagna. Analoga attività viene eseguita lato campagne verso i clienti filtrando quelli che hanno revocato il consenso al contatto commerciale”;

- che “per propria autonoma decisione imprenditoriale, a partire dall’inizio del 2020 … non si avvale attualmente dell’attività di cessioni di anagrafiche prospect da parte di terzi soggetti titolari autonomi del trattamento di Data Base consensati alla cessione dati (“Leads”) per finalità di marketing di terzi (‘Cessione Leads’)”.  Le violazioni per “i contatti promozionali effettuati da Sky sulla base dei contratti di cessione dati da terze parti”, non sarebbero quindi ascrivibili a Sky, “anche ai sensi dell’art. 14 par. 5 Regolamento del Garante n. 1/2019”.

In secondo luogo, Sky ha contestato “l’omessa dazione dell’informativa ai sensi dell’art. 14 Regolamento, in quanto l’informativa è stata fornita al primo contatto (Allegato 25_Evidenza B – Allegati 04, 14.2, 21.2, 27, 37.2, 48, 62)” e ha aggiunto che “nessuna responsabilità può essere ascritta a Sky in relazione all’informativa fornita dal titolare di trattamento che ha ceduto le liste di dati, in quanto Sky non ha (e non può avere) alcun controllo sul trattamento dei dati effettuato dal titolare cedente, unico responsabile ai sensi dell’art. 24 del Regolamento”.

Inoltre, la Società ha contestato che siano stati violati gli artt. 6 e 7 del Regolamento, “in quanto la sussistenza delle condizioni di liceità del trattamento e del consenso nel caso di specie devono essere necessariamente verificate in relazione al titolare di trattamento che ha ceduto le liste di dati, garantendo la sussistenza delle condizioni di liceità del trattamento e del consenso degli interessati ceduti”.

Infine, Sky ha contestato quanto affermato dai segnalanti nei fascicoli nn. 131703, 135014, 134205, 140229, 135070, circa il numero di chiamate asseritamente ricevute, evidenziando che “il numero di chiamate non ha mai superato il numero di 3 per campagna … in linea con la Contact Policy di Sky (Allegato 17) e rispettosa dell’interessato”.

2.1.2. In merito ai contatti promozionali effettuati da Wind Tre S.p.A. e da altri titolari autonomi per promuovere i servizi di Sky (cfr. punto 2 della contestazione), la Società ha rappresentato quanto segue.

In primo luogo, Sky ha sottolineato che “l’assunto … secondo cui ‘il committente non può esimersi dall’onere di vigilare adeguatamente sull’operato dei fornitori’ non può sganciarsi dalla previa individuazione del soggetto che ha determinato i mezzi e delle finalità del trattamento”. Secondo Sky, occorre “esaminare i rapporti giuridici intercorrenti tra le parti in esame … distinguendo i casi in cui i partner compiono atti giuridici in qualità di titolari autonomi del trattamento di dati personali, se pur nell’interesse di Sky, rispetto ai casi in cui i partner sono affidatari di operazioni di trattamento da parte di quest’ultima ai sensi dell’art. 28 del Regolamento”. Nello specifico, “l’inquadramento di ciascun soggetto…non può mai essere frutto di un mero automatismo (promuovi un mio servizio quindi sei mio responsabile)” e sarebbe “del tutto irrilevante la sussistenza o meno di un eventuale interesse economico sotteso all’operazione, come pure è irrilevante la committenza o meno delle compagne promozionali”.

Sky ha chiarito che “i soggetti Ediscom S.p.A. partner di Indicta S.r.l. (fascicolo n. 152391, n. 135535) e R&D Communication S.r.l (fascicolo n. 139142), con cui Sky ha stipulato contratti aventi ad oggetto la promozione commerciale dei propri servizi, agiscono come titolari autonomi del trattamento in considerazione dell’autonomia con cui svolgono le attività contrattualmente convenute e precisamente raccolgono dati consensati marketing di terzi nei propri data base, li organizzano ed utilizzano per i loro specifici ed autonomi scopi, nonché trasmettono sms promozionali a propri interessati previamente informati e consensati marketing di terzi, per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi….In altri casi…invece la configurazione dei rapporti individuata dal Garante corrisponde alla realtà dei trattamenti di dati personali posti in essere nell’ambito delle attività di promozione per conto di Sky. È il caso di Brands Up s.r.l. (fascicoli n. 136731, n. 135620, n. 142746, n. 133373) ed Ediscom s.p.a. (fascicoli n.15668 e n. 152391) che, nei confronti di Sky, operano come responsabili del trattamento di dati personali ai sensi dell’art. 28 del Regolamento con riferimento al trattamento consistente (i) nella raccolta, (ii) nella storicizzazione del consenso al trattamento di dati personali fornito dall’interessato per conoscere le offerte Sky e (iii) nella comunicazione a Sky dei dati di contatto dei prospect consensati”.

Sky ha quindi riassunto come segue:

- “i partner … classificati titolari autonomi, si occupano, tra l’altro, dei trattamenti consistenti nel (i) raccogliere dati consensati marketing di terzi nei propri data base, organizzarli e utilizzarli per i loro specifici ed autonomi scopi, nonché (ii) nel trasmettere sms promozionali a propri interessati previamente informati e consensati marketing di terzi, per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi.

- i fornitori … classificati responsabili esterni, invece, si occupano dei trattamenti consistenti nel (i) raccogliere, (ii) storicizzare per il consenso a conoscere l’offerta di Sky e (ii) comunicare a Sky i dati consensati al ricontatto e a tal fine seguono pedissequamente le istruzioni di Sky”.

Applicando tali principi ai casi di specie, secondo Sky, “le terze parti (es. Wind 3, Ediscom ed R&D) raccolgono dati e campagnano la propria banca dati consensata al marketing di terzi secondo logiche – sia tecniche che organizzative, finalità e modalità del tutto autonome e ben distinte, oltre che estranee a Sky ed unicamente definite dalla terza parte. Sono quindi, pacificamente, titolari autonomi ex art. 4 Regolamento, per tanto chiamati a rispondere in via esclusiva del proprio trattamento ex art. 82 Regolamento. Con conseguente estraneità di Sky che non è tenuta a controllarne i trattamenti privacy, né tanto meno a scambiare la propria BL con detti soggetti … Invece, le terze parti come Brands UP eseguono proprio le istruzioni di Sky nello svolgimento del trattamento dei dati degli utenti che cliccano OK sul SMS per conoscere l’offerta di Sky, raccogliendo i relativi consensi al ricontatto, storicizzandoli e passandoli a Sky su formato definito da Sky stessa. Tali soggetti non hanno quindi autonomia per queste attività e sono contrattualizzati con un contratto che vincola il fornitore. Sono pertanto, chiaramente, responsabili del trattamento ex art. 28 Regolamento, e pertanto debitamente contrattualizzati e controllati da Sky”. Ciò sarebbe in linea, tra l’altro, con i provvedimenti dell’Autorità del 9 maggio 2018 e del 15 giugno 20211.

2.1.3. In merito alla ricezione di chiamate promozionali da parte di Sky in assenza di un previo consenso da parte del segnalante (cfr. punto 3 della contestazione), la Società ha rappresentato che “i processi di contatto degli interessati sono stati definiti da Sky nel rispetto delle prescrizioni dell’ordinamento in materia di protezione dei dati personali”.

Nello specifico, “Sky non affida le liste per l’attività di telemarketing ai telesellers, avendo optato per l’adozione di un sistema e processo completamente centralizzato di campaign management, che provvede a smistare le singole chiamate promozionali ai diversi call center: le anagrafiche risiedono centralmente su sistemi Sky (c.d. piattaforma Reitek, in uso dal 2011, gestita da Sky Italia), tutte le chiamate outbound rivolte ai prospect sono effettuate da un’unica numerazione uscente …e Sky definisce e controlla continuamente le logiche di contatto, guidando e verificando l’operatività in termini di assegnazione di contatto ad ogni teleseller/call center”.

Sky ha precisato che “la piattaforma Reitek, peraltro, è disegnata sin dall’origine in ottica di privacy by design” in quanto “genera le chiamate outbound e distribuisce ai clienti telefonici la chiamata e non il contatto. L’operatore riceve la chiamata in cuffia, sulla schermata che riceve viene oscurato il numero di telefono e il contatto non può essere gestito in autonomia, in quanto le regole sono dettate dalla centrale telefonica di Sky”.

In merito alla frequenza di contatti, la configurazione della piattaforma centralizzata prevede che “(i) una numerazione entri in campagna una volta a trimestre e che nell’arco di una stessa campagna possa essere richiamata, in caso di mancato contatto, al massimo per 7 tentativi (per non più di 2 tentativi al giorno, se l’interessato non risponde); e (ii) che possa essere contattato dal lunedì al venerdì dalle 9:30 e il sabato dalle 9:30 alle 18, esclusi i week-end ed i giorni festivi. Pertanto, un’utente potrà riceverà al massimo n. 28 tentativi di chiamata l’anno”.

Pertanto “la centralizzazione della gestione delle campagne … garantisce quindi il massimo controllo sulle chiamate, impedisce l’affidamento delle liste ai teleseller ed esclude, ab origine, il fenomeno delle chiamate fuori lista, dando garanzia e prova delle chiamate effettuate e di quelle disconosciute in quanto non riferibili a Sky”.

2.1.4.    Quanto alle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me now”, (cfr. punto 4 della contestazione), la Società ha rappresentato quanto segue.

In via preliminare, Sky ha brevemente descritto le modalità con cui le iniziative di ricontatto di prospect in Sky possono aver luogo: nel caso di “Call Me Now”, il ricontatto avviene “direttamente con propria landing page” (fasc. n. 153251, oggetto di contestazione), laddove, nel caso di Call Me Now Partner, ciò avviene “a seguito di accordi commerciali o partnership”. In particolare, “Nel caso di Call Me Now Partner, i fornitori/partner trasmettono, nella loro qualità di i) titolari autonomi di Data Base consensati al marketing di prodotti terzi, oppure ii) responsabili esterni nominati da terzi titolari di Data Base consensati al marketing di prodotti terzi per l’effettuazione di attività promozionale, oppure iii) intermediari, titolari autonomi, di contenuti promozionali Sky verso terzi titolari di Data Base consensati al marketing di terzi, comunicazioni commerciali di terze parti (tra cui Sky) via DEM o SMS, concordati con Sky, al fine di promuovere offerte su prodotti/servizi Sky”. Se il destinatario della DEM o SMS è interessato all’offerta di Sky, ‘fornirà al fornitore/partner – opportunamente nominato responsabile del trattamento di Sky con adeguato Atto di Nomina, il consenso ad essere ricontattato telefonicamente da parte di Sky e Sky potrà contattarlo per quella specifica offerta’”.

Sky ha poi sottolineato che, in entrambi i processi, l’informativa prevede che “Sky richiamerà una sola volta” e che “l’interessato può sempre impedire la chiamata revocando il proprio consenso ed esercitando il proprio diritto di opposizione … inviando una richiesta a Sky Italia s.r.l.”.

2.1.5. Quanto alla gestione dei diritti dell’interessato (cfr. punto 5 della contestazione), la Società ha rappresentato quanto segue.

Nel caso oggetto del procedimento (fascicolo n. 155336), che secondo Sky “discende da un continuo cambiamento di opinione dell’interessato … attraverso richieste manifestamente eccessive, in particolare per il loro carattere ripetitivo”, la Società “ha comunque registrato l’opposizione dell’interessato inserendolo in BL”. Il processo di gestione dei diritti dell’interessato adottato da Sky, prevede che “Ove le comunicazioni pervengano a canali non corretti e non espressamente dedicati alla privacy, ad es. via email pec, essa viene comunque gestita direttamente dalla funzione Protocollo che … smista manualmente le PEC rimanenti, ove non assegnate direttamente dal software”. La Società ha aggiunto che, a seguito del reclamo oggetto del presente procedimento, la predetta procedura è stata “ulteriormente rafforzata” con l’aggiunta, tra l’altro, “dell’automatismo di smistamento in uso, che oggi tiene in conto nella prima classificazione delle comunicazioni di maggiori parole chiave privacy”.

Infine, la Società ha (i) richiamato le difese in merito alle singole contestazioni; (ii) brevemente descritto le “ulteriori misure di miglioramento dei propri processi e di mitigazione” adottate da Sky a dimostrazione della propria volontà di “rafforzare e migliorare i propri processi e sistemi”; (iii) ribadito che “le segnalazioni in atti…sono poche e risalenti nel tempo” e che, quindi, “al massimo, ove accertate, le condotte potranno comportare un mero ammonimento”.

2.2. Considerazioni in fatto e in diritto

2.2.1. Con riferimento alla contestazione di cui al punto 1), si conferma la sussistenza della contestata violazione degli artt. 5, parr. 1 e 2, art. 6, par. 1 e art. 7, 14, 21 del Regolamento in relazione alle segnalazioni di cui ai fascicoli nn. 131703, 135014, 134205, 135070, 135511, 136291, 140229 e 147537.

In linea generale, deve premettersi che le misure di rafforzamento adottate dalla Società e le ulteriori iniziative intraprese – tra le quali l’interruzione, a partire dall’inizio del 2020, dell’attività di cessione di anagrafiche prospect da parte di terzi soggetti titolari autonomi del trattamento di Data Base consensati alla cessione dati per finalità di marketing di terzi – certamente dimostrano la presa di coscienza da parte di quest’ultima della gravità del fenomeno delle chiamate promozionali illecite, e la volontà di arginarlo.

Tuttavia, non possono non evidenziarsi i limiti e le criticità riscontrati in merito ad alcune delle procedure adottate da Sky.

In primo luogo, con riferimento al trattamento di dati personali effettuato da Sky successivamente all’acquisizione delle liste di contattabilità da soggetti terzi, si rileva che, se il consenso prestato dagli interessati ai predetti Terzi costituisce idonea base giuridica per la comunicazione di dati da titolare (i Terzi) a titolare (Sky), ciò non vale in relazione al successivo trattamento in forza del quale Sky ha poi contattato gli interessati.

Il regime di semplificazione previsto dal citato provvedimento dell’Autorità del 4 luglio 2013  per cui “qualora l’interessato rilasci il ... consenso per la comunicazione a soggetti terzi, questi potranno effettuare nei suoi confronti attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2, senza dover acquisire un nuovo consenso per la finalità promozionale” ovvero, se sono “stati forniti all’interessato anche gli altri elementi previsti all’art. 13 del Codice”, questi potranno effettuare nei suoi confronti attività promozionale senza il rilascio “agli interessati un’ulteriore informativa”, fa riferimento esclusivamente alle “attività promozionale con le modalità automatizzate di cui all’art. 130, comma 1 e 2”. Ne deriva che Sky, per le attività promozionali effettuate mediante contatti con operatore umano, non può avvalersi del regime di semplificazione previsto dal provvedimento del 2013, ma, nel corso del contatto promozionale, dovrà fornire una propria informativa, che contenga, tra l’altro, anche elementi in ordine all’origine dei dati personali comunicati alla Società (in modo tale che ciascun interessato possa rivolgersi anche al soggetto che li ha raccolti e comunicati per opporsi al trattamento) e solo dopo aver acquisito il consenso potrà procedere ad effettuare la proposta promozionale. Ciò, peraltro, è quanto si ricava dal combinato disposto degli artt. 6, 7 e 14, par. 3, lett. b), del Regolamento.

Nel caso di specie, la Società non ha dimostrato di aver fornito agli interessati, destinatari di contatti promozionali da parte di un soggetto al quale non avevano rilasciato espressamente il consenso al trattamento dei dati per finalità promozionali, un’idonea informativa che li rendesse edotti, tra l’altro, “che il dato è stato raccolto presso terzi ed indicando il titolare originario del dato”, consentendogli, ad esempio, di revocare il consenso originariamente prestato al Terzo.

In particolare, lo script prodotto da Sky fa riferimento a ipotesi di contatto di persone presenti nei database di Sky ovvero negli elenchi telefonici (“nominativo Sky” e “nominativo estratto da elenchi telefonici”) e non contiene alcuna indicazione in merito al caso in esame in cui Sky ha effettuato i contatti promozionali sulla base dei contratti di cessione dei dati personali sottoscritti con Terzi. Tantomeno ciò risulta dall’allegato 14 alla memoria difensiva, un documento contenente un’informativa privacy prospect in cui, sebbene si espliciti che la Società utilizza dati “forniti a Sky da società terze alle quali [l’interessato] ha fornito apposito consenso alla cessione dei .. dati per finalità di marketing ad aziende facenti parti delle categorie merceologiche indicate all’interno dell’informativa privacy a te erogata da tali società terze”, non è stata chiarita l’esatta origine del dato e inoltre non si comprende in quale occasione e con quali modalità tale informativa verrebbe comunicata all’interessato, trattandosi di un documento che si compone di 5 pagine e la cui lettura integrale da parte dell’operatore nel corso di un contatto telefonico promozionale non può essere seriamente presa in considerazione come modalità ordinaria di adempimento di quanto prescritto agli artt. 13 e ss. del Regolamento.

In secondo luogo, con riferimento proprio all’acquisizione delle liste di contattabilità da soggetti terzi, non si ritiene condivisibile l’orientamento di Sky secondo cui quest’ultima non sarebbe tenuta a verificare la corretta acquisizione da parte dei medesimi soggetti terzi del consenso per la comunicazione dei dati né ad effettuare operazioni di scrematura dei predetti dati rispetto a quelli inseriti nelle proprie black list.

Al contrario, posto che la campagna promozionale è indirizzata a promuovere servizi di Sky, ricevuti i dati di contatto da parte di Terzi, è onere della stessa Sky verificare che i soggetti che vengono contattati siano soggetti “consensati” e, cosa ancora più importante, non siano persone che abbiano espresso una inequivoca volontà di opporsi a contatti promozionali relativi a prodotti e servizi della Società. Se così non fosse, le norme relative al diritto di opposizione per i trattamenti promo-pubblicitari potrebbero essere facilmente eluse, poiché la revoca del consenso effettuata nei confronti di un titolare non determinerebbe la cessazione dei contatti promozionali. Ciò, oltre a determinare un risultato giuridicamente illogico (lo svuotamento del diritto di opposizione), comporterebbe l’ulteriore grave conseguenza che l’interessato non potrebbe più controllare la sorte dei suoi dati, posto che nemmeno una chiara opposizione ai contatti promozionali rivolta a un titolare potrebbe portare alla definitiva cessazione di tali contatti.

Quanto poi ai provvedimenti richiamati dalla Società (provvedimento n. 280 del 9 maggio 2018, doc. web. 9025666 e provvedimento di carattere generale del 29 maggio 2003) gli stessi appaiono del tutto inconferenti rispetto al caso in argomento poiché sebbene il primo si riferisca a doglianze “di diversi segnalanti [i quali] hanno lamentato che la ricezione delle chiamate promozionali indesiderate (riconducibili all’attività di Telefonika) è avvenuta senza aver manifestato alcun consenso e, in alcuni casi, nonostante l’iscrizione delle rispettive utenze nel cd. Registro delle opposizioni”, i processi di trattamento non sono assimilabili a quelli svolti da Sky; mentre il secondo, oltre a riguardare trattamenti relativi all’invio di messaggi di posta elettronica (equiparabili ai trattamenti automatizzati e quindi assoggettati a una disciplina diversa), in ogni caso prevede che “chi acquisisce la banca dati deve accertare che ciascun interessato abbia validamente acconsentito alla comunicazione del proprio indirizzo di posta elettronica ed al suo successivo utilizzo ai fini di invio di materiale pubblicitario; al momento in cui registra i dati deve poi inviare in ogni caso, a tutti gli interessati, un messaggio di informativa che precisi gli elementi indicati nell´art. 10 della legge n. 675, comprensivi di un riferimento di luogo -e non solo di posta elettronica- presso cui l´interessato possa esercitare i diritti riconosciuti dalla legge”.

L’Autorità prende atto che Sky ha dichiarato:

- di aver “comunque effettuato controlli a campione sui consensi raccolti”. In particolare, in     sede di audizione, Sky ha precisato di aver dato luogo dal 2013 al giugno 2021 a “16 audit di     terze parti”;

- di “contra[re] con la BL tutte le liste prospect (incluse le anagrafiche provenienti da cessioni di liste da terze parti…)”;

- di aver “progressivamente abbandonato l’utilizzo di contratti di cessione dati (‘Cessione Leads’), preferendo … modalità meno invasive delle telefonate, tra cui l’SMS”. 

Pur riconoscendo che le attività di cui sopra sono potenzialmente idonee ad arginare il fenomeno delle chiamate indesiderate, deve evidenziarsi che, in concreto, numerosi contatti sono stati posti in essere in violazione delle disposizioni in materia di informativa, consenso e accountability, e deve pertanto confermarsi la responsabilità di Sky in ordine a quanto contestato al punto 1).

Va inoltre osservato che Sky ha considerato non veritiera la circostanza espressa da alcuni segnalanti di essere stati destinatari di numerose telefonate da parte dei call-center della Società nell’arco di pochi giorni, affermando che il sistema consente di effettuare nei confronti del medesimo interessato al “Massimo 28 tentativi di chiamata per anno”. Al riguardo, deve rilevarsi che tale impostazione oltre ad essere in netto contrasto con quanto dichiarato da diversi segnalanti, appare in ogni caso idonea a determinare un rilevante disagio per l’interessato. A ciò deve aggiungersi che Sky non ha documentato la procedura in base alla quale i call-center acquisiscono e registrano le opposizioni espresse dagli interessati nel corso del contatto telefonico. Dall’insieme di tali elementi deve desumersi la sussistenza della contestata violazione, sempre ricompresa al punto 1) dell’art. 21 del Regolamento, in materia di esercizio del diritto di opposizione.

2.2.2. Con riferimento alla contestazione di cui al punto 2), si conferma la violazione delle disposizioni di cui agli artt. 5, parr. 1 e 2, art. 6, par. 1, 7, 14, 28 e 29 del Regolamento in relazione alla violazione del principio di accountability e delle disposizioni in materia di consenso nonché, per mancata verifica della legittimità della comunicazione dei dati da Wind Tre S.p.A. a Brands Up; per omesso controllo sull’informativa resa dai fornitori agli interessati al momento del primo contatto; per non aver correttamente nominato i fornitori quali responsabili del trattamento; per non aver adottato procedure di filtraggio delle liste di contattabilità rimaste nella disponibilità del soggetto che ha svolto i contatti promozionali (la violazione riguarda le condotte di cui al par. 2.2., nonché i fascicoli nn. 133373, 135620, 136731, 142746, 135535, 152391, 139142 e 156682).

Dall’istruttoria svolta è emerso che Sky ha sottoscritto contratti di Advertising con alcuni fornitori (es. Indicta S.rl.l, R&D Communication s.r.l. e Brands Up S.r.l.) per lo svolgimento di “un’attività promo pubblicitaria... che si realizzerà attraverso una serie di campagne pubblicitarie… per promuovere la sottoscrizione di contratti televisivi a pagamento di Sky... tramite SMS rivolti ad un target di clienti” del fornitore (o di Wind Tre S.p.A., come nel caso di Brands Up), che hanno espresso  consenso al marketing di terzi. Tale attività promozionale “è finalizzata a sollecitare i clienti, una volta ricevuta la comunicazione pubblicitaria, a inviare un SMS con testo ‘OK’ a una numerazione [del fornitore] per essere ricontattati da Sky. Solo successivamente al rilascio del suddetto consenso, [il fornitore] si impegna a comunicare a Sky il numero dell’utenza cellulare... dei clienti che hanno autorizzato ad essere ricontattati da un operatore telefonico Sky per la promozione dell’offerta”.

Alla luce di quanto sopra, si possono distinguere due diverse fasi di attività promozionale (i) una prima fase, che vede come protagonisti i partner/fornitori, i quali “raccolgono dati consensati marketing di terzi nei propri data base, li organizzano ed utilizzano per i loro specifici ed autonomi scopi, nonché trasmettono sms promozionali a propri interessati previamente informati e consensati marketing di terzi, per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi” e (ii) una seconda fase, eventuale, in cui il protagonista dell’attività di marketing è Sky, la quale effettua contatti promozionali nei confronti degli utenti che hanno “clicca[to] OK sul SMS per conoscere l’offerta di Sky”.

Al riguardo, si rileva che non è condivisibile l’impostazione di Sky secondo cui nella prima fase “i partner sono classificati titolari autonomi” in quanto “si occupano … dei trattamenti... per le proprie autonome finalità e senza ricevere alcuna istruzione da Sky, a fronte di adeguata informativa e specifico consenso dell’interessato al marketing terzi”.

Nel caso di specie, deve osservarsi che la campagna promozionale effettuata dai partner/fornitori per conto di Sky non è costituita dalla mera illustrazione dei servizi e dei prodotti della Società, ma dall’invio di sms promozionali finalizzati ad ottenere un flusso di informazioni di ritorno verso questi ultimi (la risposta positiva del soggetto contattato a ricevere la promozione di Sky) e una comunicazione dei dati di contatto alla stessa Sky, a fronte di un opt-in (l’SMS di “OK”) estremamente (e arbitrariamente) semplificato.

In tale caso è evidente che, fermo restando quanto osservato nel paragrafo precedente in tema di accountability, i partner/fornitori, che trasmettono sms promozionali ai propri interessati al fine di promuovere dei servizi per conto di Sky nonché al fine di “sollecitare i clienti...a inviare un SMS con testo “OK”” per essere ricontattati da Sky “operano di fatto, e a tutti gli effetti, come se fossero stati ‘preposti dal titolare al trattamento di dati personali’, dunque in piena e sostanziale aderenza alla definizione del ‘responsabile’” (cfr. il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web n. 1821257). Una differente impostazione, oltre a rappresentare una marcata forzatura delle regole in materia di protezione dei dati personali laddove arbitrariamente si modificano ruoli e responsabilità dei vari soggetti che concorrono a realizzare un trattamento che invece deve considerarsi unitario, principalmente a garanzia degli interessati, renderebbe il committente della campagna pubblicitaria, in questo caso Sky, del tutto estraneo e “irresponsabile” da scelte e processi che sono ricompresi a pieno titolo nella campagna medesima e che hanno quale unica finalità e conseguenza quella di far confluire, proprio nei database del committente, informazioni personali dei cd. “prospect” al fine di veicolare nei confronti degli stessi una articolata proposta commerciale relativa ai propri servizi. La conseguenza di tale impostazione è idonea a impedire all’interessato il pieno controllo dei propri dati e un compiuto esercizio dei diritti nei confronti del soggetto nell’interesse del quale i trattamenti sono svolti.

Come già osservato dall’Autorità in passato (cfr. il provvedimento n. 230 del 15 giugno 2011, in www.gpdp.it, doc. web n. 1821257) “deve essere … ribadito che le agenzie in outsourcing ... non possono essere considerate quali titolari autonomi, dal momento che all’asserita titolarità formale non corrispondono, anche in termini concreti, i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità, che sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto:- assumere decisioni relative alle finalità del trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi;-impartire istruzioni e direttive vincolanti nei confronti degli outsourcer, sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;-svolgere funzioni di controllo rispetto all’operato degli outsourcer medesimi”.

Si è notato che “È … sempre rimessa al titolare, quale esercizio di una propria libera facoltà, la scelta di avvalersi di uno o più soggetti i quali, anche in outsourcing, svolgano comunque, anche in via di fatto, le attività tipiche del responsabile; qualora, tuttavia - come nei casi esaminati - il titolare decida in tal senso, sarà tenuto ad adoperarsi affinché all’atteggiarsi concreto dei rapporti corrisponda anche la loro corretta qualificazione giuridica sotto il profilo della protezione dei dati personali. Ne consegue che in tali situazioni, affinché i connessi trattamenti di dati personali risultino conformi alla disciplina sulla protezione dei dati personali, è necessario che gli outsourcer, i quali … già concretamente operano, in via di fatto, nella specifica qualità di responsabili del trattamento secondo la definizione del Codice, ricevano anche una espressa e formale designazione in tal senso, secondo il disposto dell´art. 29”.

Dalla designazione a responsabile del trattamento, come noto, deriva l’obbligo del titolare di vigilare sull’operato di quest'ultimo. I nuovi principi dettati del Regolamento inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione (accountability) e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimi.

Al riguardo, si è già evidenziato che “l’intero impianto del Regolamento si sostiene sulla accountability del titolare del trattamento. Questi, in ragione della circostanza che i dati personali dei soggetti contattati che abbiano aderito alle offerte promozionali sono destinati a confluire nei database societari, dovrebbe adottare misure di particolare garanzia al fine di comprovare che i contratti e le attivazioni registrati nei propri sistemi siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso” (cfr. il provvedimento n. 143 del 9 luglio 2020).

Sky pertanto agendo in qualità di titolare anche con riferimento alla cosiddetta prima fase della campagna promozionale avrebbe dovuto verificare che i soggetti contattati avessero ottenuto l’informativa e rilasciato un idoneo consenso alla ricezione di SMS promozionali e non fossero inseriti nelle BL della Società. Successivamente, a fronte dell’“OK” espresso dagli interessati, Sky avrebbe potuto contattare questi ultimi ma, in occasione del contatto avrebbe dovuto fornire gli elementi di cui all’art. 14 del Regolamento e acquisire il consenso per il contatto promozionale con operatore umano, cosa che sulla base della documentazione fornita dalla Società non risulta sia avvenuta.

Alla luce di quanto sopra, si conferma la responsabilità di Sky in ordine alla violazione degli artt. 5 parr. 1 e 2, 6, par. 1, 7, 14, nonché 28 e 29 del Regolamento, di cui al punto 2) della contestazione.

2.2.3. Con riferimento alla contestazione di cui al punto 3), si accolgono le argomentazioni di Sky nell’ambito dell’esercizio del diritto di difesa, che inducono a procedere alla archiviazione della contestazione in ordine alla violazione degli artt. 5, parr. 1 e 2, 6 e 7 del Regolamento, in relazione ai contatti telefonici effettuati da numerazioni non riconducibili alla rete di vendita della Società.

Invero, il processo di contact policy descritto da Sky appare idoneo ad arginare il fenomeno dei contatti illeciti e delle chiamate promozionali indesiderate provenienti da soggetti estranei alla rete commerciale di Sky.

In base al suddetto processo, Sky, “a differenza di altre società…centralizza sul proprio sistema le liste per l’attività di telemarketing alle quali i c.d. telesellers accedono per effettuare le chiamate, avendo optato per l’adozione di un sistema e processo completamente centralizzato che provvede a smistare le singole chiamate promozionali ai diversi call center: le anagrafiche risiedono centralmente su sistemi Sky (c.d. piattaforma Reitek, in uso dal 2011, gestita da Sky Italia), tutte le chiamate rivolte agli interessati risultano effettuate da un’unica numerazione uscente … e Sky definisce e controlla continuamente le logiche di contatto, guidando e verificando l’operatività in termini di assegnazione di contatto ad ogni teleseller/call center (ossia, ai fornitori designati responsabili esterni)”.

Come rilevato dalla Società, la centralizzazione della gestione delle campagne permette “(i) di garantire un controllo capillare e tempestivo dei teleseller/call center attraverso l’utilizzo di evoluti strumenti di monitoring, evitando sia il fenomeno delle chiamate non controllate, sia quello delle chiamate fuori lista, che quello delle chiamate manuali (ii) di verificare centralmente l’efficacia delle liste (iii) di monitorare lo stato di avanzamento delle attività di outbound in tempo reale (iv) di garantire una politica centralizzata, omogenea, nel trattamento del contatto, vincolando i call center al rispetto di criteri relativi alle modalità di contatto (orari delle chiamate, frequenza di contatto, numero massimo di tentativo di contatto) (v) di sapere sempre ed avere costante evidenza di avere o meno effettuato delle chiamate (e di poter quindi in ogni momento dimostrare di non averle effettuate e legittimamente disconoscerle)”.

La centralizzazione delle anagrafiche appare, almeno astrattamente idonea a determinare una connessione operativa e logica fra la fase promozionale e la successiva fase di registrazione del contratto e, quindi, a escludere che da contatti promozionali effettuati fuori dalla rete di vendita della Società possano derivare contratti poi registrati nei database di Sky. A ciò deve aggiungersi la circostanza che, sulla base delle informazioni rese da Sky in sede di memoria difensiva, il numero dei soggetti contattati da numerazioni poi disconosciute dalla Società deve considerarsi del tutto irrilevante.

Si ritiene pertanto di poter procedere all’archiviazione delle violazioni contestate al punto 3) della rubrica.

2.2.4. Con riferimento alla contestazione di cui al punto 4), si accolgono le argomentazioni di Sky nell’ambito dell’esercizio del diritto di difesa e si ritiene di poter considerare superate le contestazioni relative alle violazioni degli artt. 5, 6, 7, 12, 13 e 21, sulle modalità di attivazione, di rilascio dell’informativa e di revoca del servizio “Call me now”.

Sky ha rappresentato infatti che il servizio “Call me now” segue una procedura ben delineata che consente un ricontatto pianificato del prospect client direttamente tramite il sito web di Sky (Call me Now Sky), o anche a seguito di accordi commerciali o partnership (Call me now Partner).

Dalla documentazione inizialmente prodotta dalla Società in riscontro alle richieste di informazioni formulate dall’Autorità, emergeva la carenza di un’informativa ad hoc in relazione al servizio di cui sopra, nonché la carenza di un sistema che consentisse all’utente di interrompere il flusso di chiamate derivanti dal suo “clic” sul tasto “Richiamami” con pari semplicità. Dalla documentazione successivamente prodotta in sede di memoria difensiva, è risultato invece che la Società ha predisposto un’informativa ad hoc in relazione a tali servizi, in cui si esplicita il funzionamento, le modalità di trattamento dei dati e di ricontatto dell’utente. Invero, l’informativa avvisa l’utente che, attivando il servizio, “Sky ti richiamerà una sola volta seguendo esclusivamente le indicazioni da te fornite e non procederà ad ulteriori successivi ricontatti”.

Ne deriva che, non essendo previsto in questo caso un “flusso di chiamate” a seguito della richiesta dell’utente di essere ricontattato bensì “una sola… chiamata”, appare proporzionata, in questo caso specifico, la procedura di disattivazione del servizio tramite l’invio di una e-mail.

Pertanto, alla luce delle argomentazioni difensive della Società, si ritiene di poter procedere, in relazione alle violazioni contestate, alla archiviazione di quelle di cui al richiamato punto 4).

2.2.5. Con riferimento alla contestazione di cui al punto 5), si conferma la sussistenza della contestata violazione degli artt. 5, 6, 7, 12 par. 2 e 21 del Regolamento, per aver effettuato un contatto promozionale nonostante l’interessato avesse esercitato il diritto di opposizione attraverso l’indirizzo p.e.c. ufficiale della Società e, pertanto, per non aver adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione (la presente violazione appare riconducibile ad una criticità di sistema come anche riscontrata nel fascicolo n. 155336).

In linea generale deve premettersi che le misure di rafforzamento adottate dalla Società “con l’aggiunta ai canali utilizzabili da parte dell’interessato anche della pec skyitalia@pec.skytv.it … il rafforzamento dell’automatismo di smistamento in uso [nonché] azioni formative dedicate al personale dedicato alla gestione della casella pec” certamente dimostrano lo spirito di collaborazione della Società con la presente Autorità.

L’istruttoria relativa al fascicolo n. 155336 ha evidenziato che Sky non ha fornito riscontro alle richieste del reclamante rappresentando che lo stesso avrebbe indirizzato le sue missive ad un indirizzo di posta elettronica certificata non corretto. Tuttavia, è stato osservato che l’indirizzo p.e.c. skyitalia@pec.skytv.it, utilizzato per veicolare la richiesta del reclamante, corrisponde ad una utenza di posta elettronica certificata della Società (peraltro indicata quale indirizzo ufficiale di contatto nel registro delle imprese). Pertanto, è stato considerato del tutto ingiustificato il mancato riscontro ad una missiva regolarmente pervenuta tramite mail certificata nei sistemi societari (cfr., tra l’altro, il provv. n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681).

La procedura implementata da Sky per consentire agli interessati di opporsi ai contatti promozionali, se non accompagnata da una verifica dei principali canali di comunicazione di Sky (ossia l’indirizzo di posta elettronica certificata della Società), non è idonea a fornire agli utenti alcun utile contributo.

Deve inoltre osservarsi che, non solo la Società non ha provveduto “prontamente” alla gestione della richiesta di esercizio dei diritti inviata all’indirizzo p.e.c. della Società, ma il fatto che la richiesta di opposizione dell’interessato sia stata registrata e gestita a distanza di sette mesi e solo successivamente alla richiesta di informazioni formulata dall’Autorità, solleva dubbi in merito alla gestione di tutte le eventuali richieste di esercizio dei diritti indirizzate alla Società attraverso la p.e.c. indicata nel registro delle imprese.

La circostanza che Sky non abbia tenuto conto delle opposizioni pervenute attraverso l’indirizzo p.e.c. ufficiale della Società e, pertanto, non abbia adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione, ovvero abbia effettuato contatti promozionali in assenza del necessario presupposto di liceità, costituisce una violazione delle correlate disposizioni del Regolamento, contenute negli artt. 5, 6, 7, 12 par. 2 e 21.

3.  CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Sky in ordine alle seguenti violazioni:

1. violazione degli artt. 5, parr. 1 e 2, art. 6, par. 1 e art. 7, 14, 21 del Regolamento per aver Sky effettuato trattamenti di dati personali per finalità promozionali di propri prodotti e servizi, in assenza del prescritto consenso e di idonea informativa; per non aver effettuato controlli sulle liste di contattabilità acquisite da soggetti terzi; per la mancata corretta registrazione delle opposizioni (cfr., tra l’altro, fascicoli nn. 131703, 135014, 134205, 135070, 135511, 136291, 140229, 147537);

2. violazione delle disposizioni di cui agli artt. 5, parr. 1 e 2, art. 6, par. 1, 7, 14, 28 e 29 del Regolamento in relazione alla violazione del principio di accountability e delle disposizioni in materia di consenso nonché, per mancata verifica della legittimità della comunicazione dei dati da Wind Tre S.p.A. a Brands Up; per omesso controllo sull’informativa resa dai fornitori agli interessati al momento del primo contatto; per non aver correttamente nominato i fornitori quali responsabili del trattamento; per non aver adottato procedure di filtraggio delle liste di contattabilità rimaste nella disponibilità del soggetto che ha svolto i contatti promozionali (la violazione riguarda le condotte di cui al par. 2.2., nonché i fascicoli nn. 133373, 135620, 136731, 142746, 135535, 152391, 139142 e 156682);

3. violazione degli artt. 5, 6, 7, 12 par. 2 e 21 del Regolamento, per aver effettuato contatti promozionali in assenza del necessario presupposto di liceità; per non aver tenuto conto delle opposizioni pervenute attraverso l’indirizzo p.e.c. ufficiale della Società e, pertanto, per non aver adottato un sistema che “agevol[i] l’esercizio dei diritti dell’interessato” tra cui il diritto di opposizione (la presente violazione appare riconducibile ad una criticità di sistema come anche riscontrata nel fascicolo n. 155336).

Accertata l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- con riferimento alla violazione di cui al punto 1), imporre, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, a Sky Italia S.r.l. il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste acquisite da soggetti terzi in assenza di efficaci verifiche sul consenso alla comunicazione dei dati, del rilascio di un’idonea informativa al momento del primo contatto e all’acquisizione di un consenso per comunicazioni promozionali effettuate da operatore umano;

- con riferimento alla violazione di cui al punto 2), prescrivere a Sky Italia S.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere che i contatti promozionali svolti mediante i partner/fornitori siano preceduti dalla designazione degli stessi quali responsabili di tutte le fasi del trattamento;

- con riferimento alla violazione di cui al punto 3), prescrivere a Sky Italia S.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, di facilitare l’esercizio del diritto di opposizione prevedendo tra i canali di ricezione delle relative richieste anche la p.e.c. indicata nel registro delle imprese.

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sky Italia S.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento.

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Sky Italia S.r.l. della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a Euro 20.000.000,00 ovvero, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore).

Per la determinazione del massimo edittale della sanzione pecuniaria, si ritiene di dover fare riferimento al fatturato di Sky Italia S.r.l., in accordo con i precedenti provvedimenti adottati dall’Autorità, e quindi di dover determinare tale massimo edittale, nel caso in argomento, in Euro 131.853.063,00. 

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1. quale fattore aggravante, il carattere di gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento) con riferimento alle contestazioni di cui ai punti 1), 2), che si riferiscono a condotte “di sistema” quindi radicate nelle procedure societarie; 

2. quale fattore aggravante, il carattere significativamente negligente delle condotte (art. 83, par. 2, lett. b) del Regolamento), posto che le costanti interlocuzioni di Sky con l’Autorità e la presenza della Società nel mercato da molti anni avrebbero dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo;

3. quale fattore attenuante, le misure adottate dalla Società per mitigare gli effetti delle condotte contestate (art. 83, par. 2, lett. c) del Regolamento) che in parte ricalcano le prescrizioni e i divieti imposti e comunque testimoniano uno spirito attento e costruttivo nell’affrontare le novità dettate dal Regolamento;

4. quale fattore attenuante, la cooperazione con l’Autorità (art. 83, par. 2, lett. f) del Regolamento) nel corso dell’istruttoria preliminare, anche in ragione delle dimensioni della Società e della complessità dei trattamenti, cosicché una concreta collaborazione ha reso più agevole lo svolgimento delle attività di indagine in particolare nel delicato periodo di emergenza pandemica.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilanciamento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Sky Italia S.r.l. la sanzione amministrativa del pagamento di una somma di Euro 3.296.326,00 pari al 2,5% della sanzione massima edittale.

Nel caso in argomento si ritiene che debba applicarsi la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della invasività dei trattamenti con operatore umano nell’ambito del telemarketing nonché dell’elevato numero dei soggetti potenzialmente coinvolti nei trattamenti presi in esame.

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Sky Italia S.r.l., ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento con finalità promozionale e commerciale effettuato mediante liste acquisite da soggetti terzi in assenza delle verifiche sul consenso alla comunicazione dei dati, del rilascio di un’idonea informativa al momento del primo contatto e all’acquisizione di un consenso per comunicazioni promozionali effettuate da operatore umano;

b) prescrive a Sky Italia S.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel termine di 30 giorni dalla notifica del presente provvedimento, di adeguare i trattamenti in materia di telemarketing al fine di prevedere che i contatti promozionali svolti mediante i partner/fornitori siano preceduti dalla designazione degli stessi quali responsabili di tutte le fasi del trattamento;

c) prescrive a Sky Italia S.r.l., ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel medesimo termine di cui al punto b), di facilitare l’esercizio del diritto di opposizione prevedendo tra i canali di ricezione delle relative richieste anche la p.e.c. indicata nel registro delle imprese.

d) ingiunge a Sky Italia S.r.l., ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel medesimo termine sopra indicato, le iniziative intraprese al fine di dare attuazione alle prescrizioni e ai divieti adottati; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Sky Italia S.r.l., in persona del legale rappresentante pro-tempore, con sede legale in Milano, Via Monte Penice 7, P. IVA: 04619241005, di pagare la somma di Euro 3.296.326,00 (tremilioni duecentonovantaseimilatrecentoventisei/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata

INGIUNGE

alla predetta società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di Euro 3.296.326,00 (tremilioniduecentonovantaseimila trecentoventisei/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981

DISPONE

l’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, ritenendo nel contempo che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 16 settembre 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei