Un breve commento alla recente Ordinanza ingiunzione nei confronti di Wind Tre S.p.a
Con l’Ordinanza Ingiunzione nei confronti di Wind Tre S.p.A. del 9 luglio 2020, il Garante per la Protezione dei dati personali ha applicato, nella misura di cui all’ art. 83 parr. 4 e 5 del Regolamento UE 2016/679, la sanzione amministrativa pecuniaria di € 16.729.600,00 nei confronti della neocostituita società.
A seguito di numerosi reclami ricevuti dall’Autorità, a far data dal 25 maggio 2018, in relazione all’attività promozionale condotta da Wind Tre S.p.A mediante comunicazioni telefoniche, sms, fax e chiamate automatizzate, il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza ha effettuato delle attività ispettive nei confronti dell’ingiunta e di altre società appartenenti alla filiera del trattamento.
Dalle risultanze dell’attività investigativa sono emerse violazioni molto gravi, con particolare riguardo alla protezione dei diritti e delle libertà delle persone, fortemente compromessa dal mancato rispetto dei principi di accountability e privacy by design, di cui agli artt. 24 e 25 del Reg. UE 2016/679.
In particolare, a detta dell’Autorità, sarebbe emersa perlomeno una connivenza di Wind Tre S.p.A. nell’avallare alcune procedure che, in spregio alla volontà degli utenti, avrebbero generato importanti profitti.
Difatti, numerose sarebbero state le practies utilizzate al fine di coartare la scelta dell’utente nel manifestare il consenso alla realizzazione di attività di marketing. Tra le altre, si riportano: check box preselezionati in calce ai contratti di servizi; alert di sistema che invitavano il rivenditore a selezionare tutti i consensi; consensi obbligatori in App e una quasi assente gestione delle istanze degli interessati.
Sarebbero emerse, così, numerose lacune in termini di formazione ma soprattutto di controllo rispetto ai partner della filiera. Pur avendo la società implementato una serie di policy e procedure formalmente corrette, nella pratica si sarebbero realizzate condotte non conformi al dettato normativo.
Nell’ambito del procedimento, è stato coinvolto un Call Center sito in Roma accreditato, seppur indirettamente, quale agente commerciale di Wind Tre S.p.A., che avrebbe effettuato comunicazioni promozionali in assenza di consenso. Secondo il Garante, l’ingiunta sarebbe responsabile – in qualità di titolare del trattamento – di tali violazioni, in quanto avrebbe dovuto porre in essere misure organizzative volte ad impedire che contatti procacciati in violazione delle norme sul trattamento dei dati personali potessero poi convertirsi in vantaggi economici per la stessa Wind Tre S.p.A.
Al riguardo, la società avrebbe dovuto effettuare controlli supplementari, in presenza di numerosi elementi anomali, quali:
- la provenienza delle attivazioni da aree territoriali non di competenza;
- le risposte ai questionari di verifica nelle quali si dava atto di attività svolte da soggetti esterni con l’utilizzo di liste di terze parti e senza nessuna garanzia del rispetto della normativa privacy;
- l’assenza di comunicazioni relative a collaboratori o partner, a fronte di una rilevante attività contrattuale che ragionevolmente non poteva essere sostenuta da una società di modeste dimensioni.
L’importo della sanzione è stato calcolato sulla base dei criteri individuati dall’art. 83 del Reg. UE 2016/679, tra i quali si segnalano:
- l’elevato numero degli interessati coinvolti;
- la gravità delle violazioni riscontrate;
- la gestione inadeguata delle istanze degli interessati;
- la realizzazione di una “filiera” parallela di raccolta di dati personali in spregio alla normativa;
- la durata significativa delle violazioni;
- il carattere doloso delle condotte che hanno causato le violazioni;
- la sussistenza di rilevanti vantaggi economici attuali e potenziali.
Ciò nonostante, si deve considerare che ai sensi dello stesso art. 83 del Reg. UE 2016/679, l’importo sarebbe potuto essere molto più elevato, in quanto la sanzione edittale massima ivi prevista avrebbe potuto raggiungere la cifra di circa 209 milioni di euro.
Tuttavia, anche al fine di limitare l’impatto economico del provvedimento sulle esigenze organizzative, funzionali ed occupazionali della società, il Garante ha “limitato” l’ingiunzione all’importo di € 16.729.600,00, pari all’8% della suindicata sanzione edittale massima.