Continua l’azione dell’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) nei confronti degli operatori di telecomunicazioni contro il fenomeno delle chiamate promozionali indesiderate.
A seguito dei provvedimenti adottati e delle sanzioni irrogate (per un importo complessivo di circa 70 milioni di euro) nel corso del 2020 nei confronti di Eni Gas e Luce, Tim, Wind Tre, Iliad Italia e Vodafone, in data 25 marzo 2021, il Garante Privacy ha adottato un provvedimento nei confronti di Fastweb S.p.A. (“Fastweb” o la “Società”), ordinando alla stessa il pagamento di una sanzione di oltre Euro 4.500.000 per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing.
Il procedimento trae origine da una complessa istruttoria avviata dall’Autorità a seguito della ricezione di centinaia di segnalazioni e reclami inviati da interessati che lamentavano continui contatti telefonici indesiderati effettuati da Fastweb e dalla sua rete di vendita per promuovere i servizi di telefonia e internet offerti dalla stessa, posti in essere senza acquisire un idoneo consenso da parte dei soggetti contattati.
Il Garante Privacy precisa che il fenomeno delle chiamate e dei contatti promozionali indesiderati era noto alla Società, la quale, nel corso degli ultimi dieci anni, era stata destinataria di diversi provvedimenti prescrittivi e inibitori, nonché di numerose sanzioni amministrative, la maggior parte delle quali definite in via breve.
Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema”, riconducibili al complesso dei trattamenti effettuati da Fastweb nei confronti sia dell’intera base clienti della Società, sia del più ampio ambito di potenziali utenti del settore delle comunicazioni elettroniche e, pertanto, la violazione di numerose previsioni del Regolamento (UE) 2016/679 (“GDPR”) tra le quali:
- il principio di liceità del trattamento (art. 6, co 1, GDPR);
- le condizioni per il consenso (art. 7, GDPR);
- i principi di responsabilizzazione (art. 24, GDPR) e di privacy by design (art. 25, GDPR); nonché
- l’obbligo di adottare idonee misure di sicurezza (art. 32, GDPR).
Tra le criticità rilevate nel corso dell’istruttoria è emerso, in particolare, che:
- la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei a escludere contatti provenienti da numerazioni sconosciute (riconducibili al “sottobosco” dei call center abusivi) non censite al Registro degli Operatori di Comunicazioni (“ROC”) e, in generale, a garantire la correttezza dell’attività di telemarketing;
- non vi è stata una corretta gestione delle liste dei contatti, fornite a Fastweb da partner esterni, dal momento che questi ultimi non avevano provveduto ad acquisire il consenso libero, specifico e informato degli utenti alla comunicazione dei propri dati e, in taluni casi, il consenso per le attività di marketing;
- le misure di sicurezza dei sistemi di gestione della clientela erano inadeguate. Infatti, l’Autorità aveva ricevuto numerose segnalazioni che riferivano di indebiti contatti da parte di sedicenti operatori Fastweb che cercavano di acquisire, tramite Whatsapp, i documenti di identità dei contraenti, probabilmente con finalità di spamming, phishing e per la realizzazione di altre attività fraudolente;
- la Società aveva omesso di porre in essere misure di sicurezza adeguate in relazione all’accesso ai propri database al fine di eliminare o comunque ridurre sensibilmente il rischio di accessi non autorizzati e trattamenti non conformi agli scopi della raccolta;
- infine, Fastweb aveva effettuato ulteriori violazioni relative alle procedure adottate per il servizio “Call me back” che hanno impedito agli utenti di essere debitamente informati attraverso un’apposita informativa, prestare un consenso libero, specifico e informato e di disattivare il servizio in modalità automatizzata.
In virtù delle predette violazioni, l’Autorità, ha pertanto, irrogato nei confronti della Società una sanzione pecuniaria di oltre Euro 4.500.000 e quella accessoria della pubblicazione del provvedimento sul sito del Garante Privacy, prescrivendo altresì l’adozione di ulteriori misure, quali l’adeguamento dei trattamenti di dati personali in materia di telemarketing alle disposizioni applicabili in materia e l’implementazione delle misure di sicurezza per l’accesso ai database aziendali.
In particolare, l’Autorità ha ritenuto necessario che la Società, entro 30 giorni dall’adozione del provvedimento, provveda a, inter alia:
- adeguare i trattamenti in materia di telemarketing in modo da prevedere e comprovare che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito chiamate effettuate dalla rete di vendita attraverso numerazioni telefoniche censite e iscritte al ROC;
- irrobustire le misure di sicurezza per impedire accessi abusivi ai propri database;
- non utilizzare più i dati contenuti nelle liste anagrafiche fornite da partner terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli interessati alla comunicazione a terzi dei propri dati per finalità promozionali e commerciali.
Per la determinazione dell’ammontare della sanzione, l’Autorità ha tenuto conto degli elementi indicati nell’art. 83, par. 2, GDPR. Nel caso in esame, assumono rilevanza:
- la gravità delle violazioni, in ragione (i) della particolare pervasività dei contatti illeciti nell’ambito delle attività di telemarketing (potenzialmente lesivi di vari diritti fondamentali e, in particolare, oltre al diritto alla protezione dei dati personali, il diritto alla tranquillità individuale e il diritto alla riservatezza); (ii) del livello di danno effettivamente subito dagli interessati e delle crescenti difficoltà che gli stessi incontrano per arginare il fenomeno; (iii) della molteplicità delle condotte poste in essere da Fastweb; (iv) degli episodi di illecita acquisizione dei dati dei contraenti che i plurimi accessi indebiti ai database aziendali hanno determinato, con elevati rischi di furti d’identità, attività di spamming e phishing, e comunicazioni non autorizzate a soggetti terzi;
- la durata delle violazioni, alcune a carattere permanente e altre della durata pari o superiore a 5 mesi;
- l’elevatissimo numero dei soggetti coinvolti (si pensi agli oltre 4 milioni di interessati presenti nelle liste acquisite dai partner commerciali);
- il carattere significativamente negligente delle condotte, soprattutto con riferimento alle gravi vulnerabilità riscontrate nei database aziendali e del grave ritardo nella notificazione dell’accesso indebito agli stessi;
- la reiterazione delle condotte e la precedente adozione da parte dell’Autorità di analoghi provvedimenti correttivi e sanzionatori in tema di telemarketing.
Viceversa, con riferimento ai fattori attenuanti, l’Autorità ha tenuto conto dell’adozione di misure volte a mitigare le conseguenze delle violazioni (e.g., le attività di controllo e di contenimento delle anomalie nei contatti promozionali operati dalla rete di vendita; l’implementazione di nuove piattaforme per adeguare i trattamenti con finalità promozionali alla normativa e alla indicazione dell’Autorità; la progressiva dismissione delle attività di telemarketing che non presentano requisiti di affidabilità; il rafforzamento delle misure di sicurezza per l’accesso ai database aziendali; l’adeguamento delle informative e delle procedure di riscontro agli interessati), nonché la cooperazione con l’Autorità nel corso dell’istruttoria preliminare.