Prosegue l’attività investigativa e sanzionatoria del Garante in ambito telemarketing: il caso Vodafone
Il Garante per la protezione dei dati personali torna ad esprimersi sul trattamento di dati effettuato dalle TELCO, con una particolare attenzione al telemarketing. Con il provvedimento del 12 novembre 2020 prosegue l’incessante attività investigativa e sanzionatoria dell’Autorità, volta a tutelare i soggetti interessati che nel corso del 2019 hanno presentato centinaia di reclami e segnalazioni nei suoi confronti rispetto a condotte perpetrate dalla Vodafone Italia S.p.A. (di seguito “Vodafone” o “la Società”).
Come descritto nel nostro precedente articolo, il fenomeno del telemarketing è ritenuto essere causa di forte allarme sociale, in quanto idoneo, afferma l’Autorità, a ledere i diritti fondamentali delle persone quali non solo quello alla protezione dei dati personali, ma anche il diritto alla tranquillità individuale e alla riservatezza, esponendo le persone contattate a incessanti chiamate di disturbo che prestano il fianco alla realizzazione di condotte abusive e fraudolente che alimentano il c.d. “sottobosco” del telemarketing, in cui è anche possibile rinvenire violazioni della normativa cogente in materia giuslavoristica e fiscale.
La filiera di raccolta dei dati
Tra le violazioni contestate alla Società da parte del Garante la più rilevante (sia in quanto a gravità che alla rilevanza dei principi e delle norme che l’Autorità ha ritenuto essere stati violati) è la mancata implementazione di misure di controllo della “filiera”tali da escludere effettivamente il realizzarsi di attivazioni o la sottoscrizione di contratti – e, quindi, in ultima istanza, di guadagni tanto da parte della filiera che da parte di Vodafone stessa – sulla base di chiamate promozionali illecite e/o indesiderate.
Benché, infatti, la Società abbia segnalato che la violazione delle “Regole di contatto” da parte di ciascun partner – i.e. call center– di riferimento (verificabile attraverso il controllo dei cd. “cartellini di chiamata”) possa comportare l’invio di diffide nei confronti di quest’ultimo, nonché l’applicazione di penali o la risoluzione del contratto, Vodafone non risulta aver implementato, a detta dell’Autorità, misure tali da influire, da ultimo, sui contratti/attivazioni eseguiti in virtù di contatti non richiesti.
A tal riguardo la Società ha dichiarato non solo che un’eventuale soluzione accentrata (caldeggiata dal Garante) che connetta il proprio sistema VDL, deputato alla gestione delle campagne promozionali, con quelli preposti all’attivazione dei servizi e alla gestione dei contratti risulterebbe “estremamente onerosa sotto il profilo costi/benefici e potenzialmente rischiosa per l’ampio periodo di latenza dei presidi attualmente introdotti” ma che, in aggiunta, si troverebbe comunque nell’impossibilità giuridica (ai sensi dell’art. 1321 del Codice Civile, nonché delle disposizioni a tutela dei consumatori) di recedere dai contratti da ultimo sottoscritti da utenti che siano stati – eventualmente – illegittimamente contattati.
Vodafone ha in aggiunta ritenuto il proprio impegno di accountability ai sensi del Regolamento correttamente assolto tramite il rispetto non solo delle disposizioni in materia di registri del trattamento, valutazioni di impatto (avendone effettuate più di 70), audit nei confronti della filiera dei responsabili del trattamento ma anche con riferimento, tra le altre, alle operazioni di sensibilizzazione dell’utenza e all’inasprimento delle penalizzazione nei confronti dei partner (fino a 250 euro per contatto effettuato “fuori lista”).
Tuttavia, l’Autorità non ha ritenuto sufficienti tali misure, tenuto conto che queste hanno comunque garantito una “sostanziale impunità” al sottobosco del telemarketing (oggetto di analisi Garante anche nel provvedimento della scorsa estate nei confronti di Wind Tre S.p.A.), costituito da una serie di soggetti operanti al di fuori della rete di vendita ufficiale Vodafone – spesso con numerazioni non iscritte presso il Registro degli Operatori di Comunicazione – le cui attivazioni e contrattualizzazioni della clientela Vodafone, benché realizzati al di fuori della “sfera di controllo e regolamentazione” della Società e, molto spesso, in assenza di comprovato consenso, non sono da ultimo mai state disconosciute da quest’ultima.
A nulla, sempre secondo il Garante, valgono le ragioni di ordine civilistico cui Vodafone si è appellata nel contesto delle proprie osservazioni difensive: mentre la Società, infatti, ritiene di non potersi svincolare dalle proposte ormai accettate dagli utenti illegittimamente contattati in quanto perfezionatesi a seguito di “manifestazione di una volontà autonoma, libera da ogni condizionamento, ed espressa di concludere un contratto” da parte dei contraenti, l’Autorità, di converso, ha ritenuto assente la formazione di una volontà “libera e autonoma” da parte della Vodafone stessa, “difettando il soggetto non autorizzato [i.e. il “sottobosco” di cui sopra] dei requisiti essenziali per poterla rappresentare”. Molto pragmaticamente il Garante segnala che, laddove si volesse sostenere la posizione della Società, si arriverebbe per assurdo a permettere a chiunque disponesse, anche illegittimamente, di modulistica Vodafone, di obbligare la Società, per il solo fatto di aver presentato prodotti e servizi dell’operatore ai potenziali clienti (consumatori), che dovessero accettare tale offerta, a dare seguito a contratti così conclusi.
A parere dell’Autorità, pertanto, sostenendosi “l’intero impianto del Regolamento” sul principio di accountability, va da sé che condotte quali quelle di Vodafone che, in ultima istanza, ratifichino attività realizzate in spregio del consenso degli interessati, nonché dei principi di liceità, trasparenza e correttezza, non possano che essere sanzionate.
Il Garante inoltre ricorda che, tra l’altro, i dati raccolti in tali contesti, non solo ai sensi del Regolamento ma anche della normativa nazionale (D.lgs. n. 196/2003, art. 2-decies), andrebbero estromessi dal patrimonio informativo e operativo del titolare.
La portata e i limiti del consenso per la cessione a terzi
Sempre nel contesto dei rapporti con la “filiera”, il Provvedimento in oggetto si è poi concentrato sulle modalità di acquisizione delle cd. “liste di contatto” nel contesto della rete di vendita ufficiale della Società.
Rilevata la sussistenza di due modelli di business, i) uno per cui Vodafone acquisisce direttamente (“lavorandole” essa stessa o affidandole a partner che le lavorano in qualità di responsabili del trattamento designati dalla Società) liste di contatto da cd. list provider, previa raccolta da parte di questi ultimi di un idoneo consenso alla comunicazione di tali dati a terzi, per loro finalità di marketing ed ii) uno per cui i partner Vodafone operano invece, in qualità di autonomi titolari su liste proprie o acquistate a loro volta da terzi list provider, l’Autorità si è poi concentrata sulla legittimità dei consensi prestati dagli interessati, nonché sugli effettivi ruoli privacy, al di là delle qualifiche contrattualmente definite dalla Società, di tutti i soggetti coinvolti.
Benché il modello di cui al punto ii) preveda una autonoma titolarità in capo ai partner, designati poi responsabili da Vodafone esclusivamente ai fini della successiva parte di contrattualizzazione, il Garante ha rinvenuto sussistere un ruolo della Società quale titolare del trattamento sin dal contatto promozionale (e quindi non soltanto a partire dalla sottoscrizione del contratto), a partire dalla sussistenza di una “potestà in capo a Vodafone di svolgere audit su modalità e qualità dei servizi resi e di raccogliere i cd. cartellini di chiamata anche attraverso apposite funzioni automatizzate”, della “necessità di richiedere espressa autorizzazione per l’utilizzo delle anagrafiche acquisite da soggetti terzi”, di “attività di deduplica svolte utilizzando le funzionalità dei sistemi Vodafone” oltre che di un “obbligo delle agenzie esterne di riversare nelle black list di Vodafone le richieste di revoca del consenso formulate dagli interessati in occasione dei contatti promozionali, comunicando gli esiti dei contatti medesimi in un’apposita funzionalità informati”.
Configurandosi Vodafone come ulteriore titolare che può accedere ai dati raccolti dai list provider e trasmessi, sulla base di un legittimo consenso, ai partner della Società, il Garante ha ritenuto ancora una volta violati i principi che regolano l’espressione del consenso nel contesto del Regolamento, già chiaramente espressi anche nel provvedimento contro ENI Gas e Luce per cui “il complesso delle disposizioni contenute negli articoli 6 e 7 del Regolamento e dei correlati considerando (nn. 42 e 43) mira a conferire all’interessato il pieno controllo dei trattamenti di dati personali per i quali egli stesso ha prestato il consenso” e “tale controllo sarebbe del tutto irrealizzabile se le comunicazioni di dati personali potessero avvenire in assenza di un consenso direttamente riconducibile ad ogni soggetto cedente”.
La violazione delle norme sul consenso, concretizzatasi in “cessioni multiple” di dati, è stata peraltro constatata dall’Autorità anche nel rapporto con alcuni dei list provider di cui al modello di business dell’acquisto diretto (sub i), avendo rilevato che, ad esempio, nel caso del list provider IDMC/Innovairre, quest’ultimo abbia “acquisito, in qualità di autonomo titolare, le liste di anagrafiche da RCS Mediagroup S.p.A., […], e in tale passaggio si sono dispiegati ed esauriti gli effetti giuridici previsti nelle informative rese da queste ultime società agli interessati e nei correlati consensi alla cessione dei dati a terzi” per cui “…il successivo passaggio di dati da IDMC/Innovairre a Vodafone non risulta previsto da alcuna informativa resa da IDMC/Innovairre, in qualità di titolare, agli interessati né da un consenso acquisito dai medesimi.”
La sicurezza nel trattamento dei dati personali
Dei numerosi reclami pervenuti all’Autorità nel corso del 2019, un gruppo cospicuo di questi ha avuto ad oggetto delle doglianze in merito alla gestione del patrimonio dei dati della Società, in quanto, in particolar modo a seguito di segnalazione di guasti della linea telefonica, i contraenti venivano contattati da call center o sedicenti tecnici Vodafone che richiedevano l’invio, tramite Whatsapp, di documenti personali come carte d’identità e codice fiscale, al fine di finalizzare la pratica o programmare un intervento tecnico presso l’abitazione del contraente.
Nonostante il fatto che Vodafone abbia disconosciuto tale prassi come propria, dal contenuto dei reclami è possibile evincere come i soggetti contattanti fossero in possesso di numerose informazioni detenute all’interno dei database della Società, come il numero del ticket aperto per l’assistenza e i dettagli anagrafici e contabili della fornitura.
Al riguardo, la Società ha ammesso di aver accertato, nel corso del 2019, numerosi accessi abusivi al proprio CRM e di aver implementato, al fine di contrastare tale fenomeno, una serie di misure di sicurezza aggiuntive, quali l’autenticazione a due fattori, l’irrobustimento delle password di accesso, il monitoraggio dei log di accesso e la realizzazione di apposite campagne di security awareness, oltre ad aver coinvolto l’Autorità Giudiziaria mediante il deposito di diverse denunce presso varie Procure dello Stato.
Al riguardo, il Garante ha constatato che, nonostante le ulteriori misure implementate, non è stata garantita la riservatezza e l’integrità dei personali trattati dalla Società in qualità di titolare del trattamento, in violazione, in primis, dell’art. 32 del Regolamento, ma anche e soprattutto dell’art. 33 e del Considerando 75, che impongono, dinanzi ad una violazione di sicurezza che espone gli interessati ad un non improbabile rischio per i loro diritti e libertà fondamentali, di notificare entro 72 ore il c.d. “Data Breach”, all’Autorità e agli interessati coinvolti.
A tal fine, il Garante ha prescritto a Vodafone di adeguare le misure di sicurezza per l’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta, rappresentando che è possibile ritenere che tali pratiche siano ancora in atto, in quanto un reclamo della stessa natura ha raggiunto l’Autorità anche nel giugno di quest’anno.
La gestione dei diritti dei soggetti interessati
Un altro gruppo di reclami ricevuti dall’Autorità è riconducibile alla gestione delle istanze per l’esercizio dei diritti degli interessati, come loro garantiti dagli artt. 15 e ss. del Regolamento. In particolare, è stata oggetto di approfondimento l’istanza presentata da un reclamante che lamentava numerosi contatti indesiderati aventi ad oggetto i servizi e le offerte di Vodafone. Al riguardo, tale utente aveva inoltrato una richiesta per la revoca del consenso nel 2018 che però è stata risolutivamente gestita dal titolare soltanto nel gennaio 2020, a causa, per ammissione della stessa Società, di errori umani e falle – sia di natura organizzativa che tecnica – all’interno dei propri sistemi.
Un altro caso degno di attenzione riguarda una richiesta, sottoscritta digitalmente, presentata presso la Società, a cui è stato fornito un primo riscontro con il quale si richiedeva di inviare i documenti d’identità al fine di identificare l’interessato. In questo caso, il Garante ha chiarito che “la sottoscrizione digitale dei documenti ha il medesimo, se non superiore, valore della sottoscrizione fisica, quanto all’individuazione del sottoscrittore, e che quindi non può giustificarsi la configurazione di un sistema che scarti proprio i documenti firmati digitalmente impedendo di atto un agevole esercizio dei propri diritti”.
Al riguardo, le violazioni contestate dal Garante attengono sia gli artt. 15 e ss. del Regolamento, nonché l’art. 130 del D.lgs. n. 196/2003: infatti, specifica l’Autorità, che “il perimetro relativo alla protezione dei dati personali si estende, con riferimento ai trattamenti relativi ai servizi di comunicazione elettroniche, anche alle persone giuridiche, laddove qualificate come “contraenti”, in base a quanto indicato dagli artt. 121 e ss. del Codice”.
Infine, in risposta alla memoria difensiva di Vodafone, che ha ritenuto che la numerosità dei reclami presentati rispetto alla grande quantità di contatti gestiti dalla Società costituisca una espressione statistica irrilevante, il Garante ha ribadito come “tale elemento non può far venire meno la necessità di assicurare agli interessati la tutela individuale che il Regolamento prevede, attraverso l’adozione di provvedimenti di natura correttiva e sanzionatoria”.
Conclusioni
Come si anticipava in premesse, benché contenente delle osservazioni particolarmente interessanti, in particolare sui concetti di accountability e sicurezza, il provvedimento sanzionatorio del 12 novembre si pone in continuità con l’attività sanzionatoria del Garante nel 2020.
In linea con le ultime sanzioni comminate, anche in questo caso hanno assunto rilevanza, in qualità di aggravanti,
- la gravità delle violazioni (anche in termini di potenziali danni derivanti, in particolare, dall’illecita acquisizione delle liste di contraenti;
- la durata delle stesse;
- l’elevato numero dei soggetti coinvolti,
- la negligenza della Società e la reiterazione delle condotte nonostante il costante dialogo con l’Autorità (che ritiene peraltro che la propria “rilevante attività provvedimentale” in materia di telemarketing avrebbe dovuto costituire un valido supporto nelle scelte organizzative della Società).
Interessante notare che in questo caso l’Autorità non ha ritenuto sussistente una condotta dolosa da parte di Vodafone (come invece accaduto con gli operatori Wind e TIM).
Di interesse per gli operatori di tutti i mercati, anche al di fuori dello specifico ambito del telemarketing, è invece il fatto che il Garante abbia considerato quale attenuante, “l’adozione di misure volte a mitigare le conseguenze delle violazioni (art. 83, par. 2, lett. c) del Regolamento), con riferimento in particolare allo svolgimento delle procedure di audit dei partner della rete di vendita, all’implementazione di strumenti di controllo nelle piattaforme per la gestione delle campagne promozionali e al rafforzamento delle misure di sicurezza per l’accesso ai database aziendali”, a riprova della necessaria attenzione che tutti i soggetti che realizzano attività di trattamento devono prestare non solo alla gestione formale, ma anche sostanziale, dei propri impegni in materia di protezione dei dati.
Rilevante è da ultimo l’inciso dell’Autorità che, in sede di definizione della sanzione (nella cifra di 12.251.601,00 euro), frutto del “necessario bilanciamento fra diritti degli interessati e libertà di impresa”, ha precisato che “in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società”, fosse opportuna una sanzione pari al 5 % della sanzione massima edittale.
Benché spesso sia la sola entità delle sanzioni – ormai quasi sempre milionarie – a fare notizia, è invece in questi incisi e dettagli che si concentrano le vere “innovazioni” e indicazioni del Garante che, insieme alle considerazioni e linee guida degli organismi europei, hanno l’obiettivo di indirizzare l’attività di tutti gli attori operanti nel contesto del trattamento dei dati personali.