EntiOnLine
Categorie
indietro
05/07/2018 Ordinanza ingiunzione nei confronti di Vodafone Italia S.p.A. - 5 luglio 2018 > Trattamento di dati personali finalizzati all'effettuazione di telefonate e sms promozionali in assenza del consenso degli interessati

Con provvediemnto in data 5 luglio 2018 (Registro dei provvedimenti n. 412 del 5 luglio 2018 ) il Garante ha adottato una Ordinanza ingiunzione nei confronti di Vodafone Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis n. 13, C.F. 93026890017, di pagare la somma di euro 800.000 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

Continua a leggere

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO l’art. 1, comma 2, della legge 24 novembre 1981, n. 689, ai sensi del quale le leggi che prevedono sanzioni amministrative si applicano soltanto nei casi e per i tempi in esse considerati;

RILEVATO che l’Ufficio del Garante, con atto n. 10286/118978 del 5 aprile 2018 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato a Vodafone Italia S.p.A. (di seguito “Vodafone” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis n. 13, C.F. 93026890017, le violazioni previste dagli artt. 23, 130, 162, comma 2-bis, 164-bis, comma 2, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato “Codice”);

RILEVATO che dall’esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- il Garante ha adottato, in data 8 marzo 2018, il provvedimento n. 140 (in www.gpdp.it, doc. web n. 8233539), al quale integralmente si fa richiamo, all’esito dell’istruttoria di un procedimento amministrativo avviato nei confronti di Vodafone;

- il procedimento ha tratto origine da numerose segnalazioni che lamentavano la ricezione di telefonate con operatore e di sms indesiderati a contenuto promozionale nell´interesse di Vodafone;

- l’istruttoria svolta dall’Ufficio anche mediante verifiche ispettive ha consentito di appurare che “Vodafone, nel periodo considerato dagli accertamenti, […], sotto più profili [ha] violato la disciplina di protezione dei dati personali, avendo posto in essere una pluralità di operazioni di trattamento per finalità di marketing ‒ e, tra queste, l´estrazione dei dati riferiti agli interessati dai propri sistemi, l´inserimento degli stessi nelle liste di contattabilità e la loro successiva trasmissione ai propri partner con l´effettuazione, infine, dei contatti commerciali ‒ in assenza di un valido consenso (ab origine o a seguito della revoca dello stesso o dell´opposizione al trattamento dei propri dati personali per finalità di marketing) degli interessati, siano essi clienti […], prospect o ex clienti […]; del pari, la Società non ha correttamente qualificato l´opposizione degli interessati manifestata nel corso di contatti commerciali, e riassunta dalla Società con la locuzione "Non mi chiamate più" […], inseriti all´interno di una black list (denominata "Esiti") avente, per la stessa Società, validità solo temporanea […]. Infine, rispetto a talune modalità di acquisizione del consenso al trattamento dei dati per finalità promozionali […], lo stesso è stato acquisito in violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice) e con modalità che non ne hanno assicurato la libera manifestazione da parte degli interessati ai sensi dell´art. 23, comma 3, del Codice […]. Le rilevate violazioni hanno avuto luogo, anzitutto, come peraltro dichiarato dalla Società, con riferimento al trattamento dei dati personali riferiti ai clienti, ed in particolare in relazione alle loro numerazioni […]. Assai più ampia è invece la platea dei prospect e degli ex clienti che sono stati contattati dalla Società sia nell´ambito di campagne realizzate via sms che con operatore telefonico, senza che sussistesse il consenso degli stessi a tale trattamento o, comunque, in presenza di un consenso revocato o, ancora, in tempi successivi all´opposizione di cui all´art. 7, comma 4, lett. b), del Codice, circostanze, queste, tutte risultanti dai sistemi della Società. Tali contatti si pongono in violazione delle disposizioni contenute agli artt. 23 e 130, commi 1 e 2 (per l´invio degli sms) e comma 3, del Codice (per l´effettuazione delle telefonate indesiderate). […] L´analisi si è incentrata sulle numerazioni dei cd. prospect (soggetti diversi dai clienti) e degli ex clienti inserite in campagne commerciali ‒ sia telefoniche, sia condotte mediante l´invio di sms ‒ nel periodo oggetto di osservazione gennaio 2016-giugno 2017. Tali numerazioni sono state confrontate con quelle presenti in talune tra le liste di esclusione in uso presso la Società ‒ e segnatamente le liste denominate "Privacy", "No Consenso", "Dati cancellati" ed "Esiti", in relazione a quanti sono ivi censiti in quest´ultima con la causale "non chiamare mai più" ‒ al tempo dello svolgimento delle relative campagne promozionali, le quali, secondo quanto acclarato nel corso degli accertamenti ispettivi, sono finalizzate ad escludere (per l´appunto) determinate numerazioni dalle relative campagne poiché, come dichiarato, un´anagrafica, per «poter essere caricata su una data campagna non deve essere presente in nessuna delle black list definite per quella campagna». […]. Dai raffronti effettuati, è emerso un numero elevato di contatti effettuati in violazione di legge, attesa la presenza delle numerazioni oggetto di contatto in black list in corrispondenza delle campagne promozionali effettuate. In particolare, sono risultati: a. complessivamente poco più di 1.214.000 contatti indesiderati con riguardo alle campagne teleselling rivolte ai cd. prospect; b. complessivamente circa 928.000 contatti indesiderati con riguardo alle campagne teleselling rivolte agli ex clienti; con riguardo poi all´invio di sms a soggetti presenti in black list, la Società ha fornito il 13 settembre 2017 due distinti CD contenenti due differenti dataset. Dalle verifiche effettuate sul CD n. 2 […] il numero di contatti che hanno interessato soggetti presenti in black list è stato pari ad oltre 14.420.000 di unità. Dalle verifiche effettuate sul CD n. 1 […] sono risultati effettuati oltre 21.780.000 contatti via sms in violazione della volontà manifestata dagli interessati iscritti in una delle sopra menzionate black list della Società”;

RILEVATO che con il citato atto del 5 aprile 2018 sono state contestate a Vodafone Italia S.p.A.:

a) la violazione delle disposizioni di cui agli artt. 23 e 130 del Codice, sanzionata dall’art. 162, comma 2-bis, per aver svolto trattamenti di dati personali finalizzati all’effettuazione di telefonate promozionali e all’invio di sms promozionali ad un rilevante numero (oltre 38 milioni) di utenti di telefonia fissa e mobile, in carenza del prescritto consenso degli interessati o delle condizioni per effettuare tali trattamenti senza il consenso;

b) la violazione prevista dall’art. 164-bis, comma 2, del Codice, per aver realizzato le condotte di cui sopra in relazione a banche dati di particolare rilevanza e dimensioni;

DATO ATTO che, per la violazione di cui al punto a), è intervenuto pagamento in misura ridotta, ai sensi dell’art. 16 della l. n. 689/1981, effettuato il 26 aprile 2018; rilevato altresì che per la violazione di cui al punto b) non è prevista la facoltà di estinguere il procedimento sanzionatorio mediante pagamento in misura ridotta;

LETTI gli scritti difensivi presentati da Vodafone il 4 maggio 2018, nonché il verbale di audizione del 21 giugno 2018, nei quali si rappresenta:

- “Vodafone ha compiuto le scelte poi evidenziate nel provvedimento n. 140 in assoluta buona fede, in particolare, per quanto riguarda i contatti commerciali effettuati nei confronti delle numerazioni presenti nella lista "ESITI". Con riferimento a tali numerazioni, infatti, la precedente procedura prevedeva, in caso di espressione della volontà a non essere più ricontattato, sia il congelamento dei contatti per i successivi nove mesi, sia l'invito all'utente di utilizzare uno dei numerosi canali messi a disposizione da Vodafone per l'esercizio dei diritti di cui all’articolo 7, comma 4, lettera b) del Codice. Si ribadisce, pertanto, che le criticità in questo senso evidenziate dal Garante sono frutto di interpretazioni operate in buona fede da Vodafone e non poste in essere con la volontà di contattare soggetti che avevano espressamente revocato il consenso commerciale. […] Fin dall’avvio delle attività ispettive e poi con maggiore intensità a seguito dell'adozione del provvedimento e della contestazione, Vodafone ha intrapreso un percorso estremamente penetrante e concreto e ha posto in essere una serie di misure correttive a cominciare proprio dalla registrazione della volontà degli utenti contattati nel senso indicato dall'Autorità. Sono stati inoltre ridotti i tempi per l'aggiornamento delle liste di contatto da quaranta a quindici giorni ed è stato fatto un assessment sia sulle informative che sulle modalità di raccolta del consenso commerciale. A questo si aggiunge che, a valle della notifica del provvedimento, sono state interrotte tutte le attività di contatto delle utenze inserite nel DB "ESITI" e che comunque Vodafone ha avviato e completato un significativo progetto di compliance alle nuove disposizioni normative introdotte con il GPDR, effettuando, ad oggi, un numero significativo di valutazioni d'impatto aventi ad oggetto trattamenti ad alto rischio”;

PRESO ATTO che le argomentazioni addotte da Vodafone attengono, principalmente, alla quantificazione della sanzione, di cui si dirà nell’apposita sezione della presente ordinanza. Tuttavia, con riferimento agli aspetti connessi alla invocata buona fede della Società nell’applicare le disposizioni in materia di trattamenti di dati personali per finalità promozionali, deve osservarsi che la stessa ha rilevanza in ambito sanzionatorio qualora la condotta del contravventore sia dipesa da un errore inevitabile e a tal fine occorre un elemento positivo idoneo ad indurre un errore siffatto, non ovviabile dall'interessato con l'ordinaria diligenza (Cassazione civile, sez. I, 05/06/2001, n. 7603). Nel caso in argomento, in primo luogo, con riferimento alla natura della dichiarazione di revoca del consenso ai trattamenti per finalità promozionali, deve osservarsi che nessuna disposizione del Codice prevede ipotesi di revoca “temporanea”, ragione per cui la decisione di Vodafone di considerare non contattabili per un periodo di soli nove mesi le utenze dei soggetti che avevano dichiarato di non voler ricevere più comunicazioni promozionali non sembra essere il frutto di un errore interpretativo della normativa vigente, quanto di una scelta che si pone del tutto al di fuori delle disposizioni del Codice. Con riferimento all’obbligo di recepire le dichiarazioni di revoca formulate dall’interessato nel corso di una chiamata promozionale, deve considerarsi che il Garante, già con il provvedimento del 16 febbraio 2006 in materia di servizi telefonici non richiesti (in www.gpdp.it, doc. web n. 1242592) aveva stabilito, per ciò che riguarda l’esercizio dei diritti di cui all’art. 7, comma 4, lett. b), del Codice, che “nel caso in cui la persona contattata si opponga, anche immediatamente, all´utilizzo dei suoi dati per attivare il servizio proposto e/o per ulteriori promozioni anche di altro tipo, il servizio di call center interno od esterno all´operatore deve registrare subito per iscritto la volontà manifestata ed adottare contestualmente idonee procedure affinché tale volontà sia rispettata”. Con riferimento, infine, all’estensibilità della revoca alle comunicazioni promozionali effettuate con diversi sistemi di contatto, deve osservarsi che, con il provvedimento n. 242 del 15 maggio 2013 riguardante la materia del consenso al trattamento dei dati personali per finalità di "marketing diretto" attraverso strumenti tradizionali e automatizzati di contatto (in www.gpdp.it, doc. web n. 2543820), il Garante ha raccomandato, come canone generale, che le interpretazioni della normativa vigente non tendano a “determinare una riduzione delle garanzie di libertà ed autodeterminazione dell´interessato” e che, conseguentemente, sia consentita la revoca del consenso, esercitata mediante un unico atto dell’interessato, con riferimento a tutte le modalità di contatto promozionale, a meno che lo stesso interessato non dichiari espressamente di voler circoscrivere tale revoca a determinati canali di comunicazione. Per tali considerazioni si ritiene non applicabile nei confronti di Vodafone l’esimente prevista dall’art. 3 della l. n. 689/1981.

RILEVATO, quindi, che Vodafone Italia S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate al punto a) dell’atto di contestazione n. 10286/118978 del 5 aprile 2018, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall’art. 164-bis, comma 2, per aver realizzato le violazioni di cui al punto a) in relazione a banche dati di particolare rilevanza e dimensioni;

VISTO l’art. 164-bis, comma 2, del Codice che punisce le violazioni di un’unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge n. 689/1981, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all’aspetto della gravità, con riferimento agli elementi dell’entità del pregiudizio o del pericolo e dell’intensità dell’elemento psicologico, le violazioni risultano di maggiore gravità rispetto alle precedenti applicazioni di sanzioni della medesima specie, sia in considerazione dell’elevatissimo numero di contatti realizzati (circa 38.000.000) in un arco temporale inferiore a due anni, sia tenuto conto che, nel caso in argomento, sono stati impiegati differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali;

b. ai fini della valutazione dell’opera svolta dall’agente, deve essere considerato in termini favorevoli il fatto che Vodafone abbia “intrapreso un percorso estremamente penetrante e concreto e ha posto in essere una serie di misure correttive a cominciare proprio dalla registrazione della volontà degli utenti contattati nel senso indicato dall'Autorità. Sono stati inoltre ridotti i tempi per l'aggiornamento delle liste di contatto da quaranta a quindici giorni ed è stato fatto un assessment sia sulle informative che sulle modalità di raccolta del consenso commerciale. A questo si aggiunge che, a valle della notifica del provvedimento, sono state interrotte tutte le attività di contatto delle utenze inserite nel DB "ESITI"”;

c. circa la personalità dell’autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione;

d. in merito alle condizioni economiche dell’agente, è stato preso in considerazione il bilancio d’esercizio per l’anno 2017;

RITENUTO, quindi, di dover determinare, ai sensi dell’art. 11 della L. n. 689/1981, l’ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 200.000 (duecentomila) per la violazione di cui all’art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare ai dati relativi al patrimonio netto, all’utile complessivo dell’esercizio, al valore della produzione e al margine operativo lordo (EBITDA), nonché alla circostanza che Vodafone Italia S.p.A. risulta detenere una rilevantissima quota di mercato nel settore delle telecomunicazioni in Italia (oltre 12.000.000 di SIM attestate su rete 4G e circa 2.740.000 linee residenziali) e all’estero (essendo il gruppo Vodafone il secondo gestore di telefonia nel mondo con oltre 522.000.000 di clienti mobili e 18.000.000 di clienti di rete fissa) la sopra indicata sanzione pecuniaria risulta inefficace e deve pertanto essere aumentata del quadruplo, come previsto dall’art. 164-bis, comma 4, del Codice (da € 200.000 a € 800.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

ORDINA

a Vodafone Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Ivrea (TO), via Jervis n. 13, C.F. 93026890017, di pagare la somma di euro 800.000 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 800.000,00 (ottocentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Banca dati