L’Autorità garante per la protezione dei dati personali (“Garante Privacy” o “Autorità”) - con il provvedimento n. 224 del 12 novembre 2020 - ha irrogato a Vodafone Italia S.p.A. (“Vodafone” o “Società”) una sanzione pecuniaria pari a 12.251.601 euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. La sanzione è stata comminata all’esito di una complessa istruttoria avviata dal Garante Privacy a seguito di centinaia di segnalazioni e reclami inviati da interessati, che lamentavano continui contatti telefonici indesiderati effettuati dalla Società per promuovere i propri servizi di telefonia e internet. Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema”, che riguardano la violazione di numerose previsioni del Regolamento (UE) 2016/679 (“Regolamento” o “GDPR”), tra cui i principi di privacy by design (art. 25, GDPR)[1] e di responsabilizzazione (art. 24, GDPR)[2], nonché l’obbligo di adottare idonee misure di sicurezza (art. 32, GDPR)[3]. In particolare, nel corso dell’istruttoria è emerso che la Società non ha implementato controlli sulla filiera dei dati personali acquisiti nella fase di promozione dei servizi, idonei a escludere contatti provenienti da numerazioni sconosciute (riconducibili al “sottobosco” dei call center abusivi) e, in generale, a garantire la correttezza dell’attività di telemarketing. Tali garanzie, sottolinea il Garante Privacy, potrebbero invece essere assicurate se - nell’ambito del ciclo di gestione della campagna promozionale e, in particolare, al momento dell’attivazione dei servizi - venissero valorizzati i seguenti elementi: Inoltre, dall’istruttoria è emerso che Vodafone ha ricevuto da alcuni partner commerciali (e.g., SeiSicuro.it e Problem Solving S.r.l.) liste di anagrafiche che questi avevano a loro volta acquisito da altri soggetti e che hanno inoltrato alla Società in assenza del consenso degli interessati per la comunicazione dei dati personali fra autonomi titolari del trattamento. Il Garante Privacy ha rilevato, altresì, che - a causa della mancata adozione di idonee misure tecniche e organizzative ai sensi dell’art. 32, GDPR - sono stati effettuati indebiti accessi plurimi e sistematici ai database della Società (contenenti dati anagrafici e di pagamento, numeri di telefono, etc.), a seguito dei quali 222 clienti venivano contattati da ignoti soggetti che si presentavano come operatori Vodafone e che richiedevano una copia di varie tipologie di documenti con intenti fraudolenti (e.g., spamming[4] e phishing[5]). Un ulteriore profilo di violazione è stato accertato, infine, con riferimento alla scorretta gestione, in più occasioni, delle richieste di esercizio dei diritti inoltrate dagli interessati a seguito di telefonate e/o sms indesiderati. Come anticipato, in virtù delle predette violazioni, l’Autorità ha irrogato nei confronti della Società una sanzione pecuniaria di oltre 12 milioni di euro e quella accessoria della pubblicazione del provvedimento sul sito del Garante Privacy, prescrivendo altresì l’adozione di ulteriori misure, quali adeguare i trattamenti di dati personali in materia di telemarketing e implementare le misure di sicurezza per l’accesso ai database aziendali. Il quantum della pena pecuniaria è stato determinato alla luce dei parametri di cui all’art. 83, GDPR e, in particolare, considerando i seguenti elementi negativi: Viceversa, con riferimento ai fattori attenuanti, l’Autorità ha tenuto conto dell’adozione di misure volte a mitigare le conseguenze delle violazioni (e.g., lo svolgimento di audit nei confronti dei partner commerciali, l’implementazione di strumenti di controllo delle piattaforme per la gestione delle campagne promozionali e il rafforzamento delle misure di sicurezza per l’accesso ai database), nonché la cooperazione con l’Autorità nel corso dell’istruttoria preliminare. In conclusione, le condotte sopra illustrate rappresentano la riprova del contesto in cui deve inquadrarsi il fenomeno del telemarketing, oggetto di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante Privacy. Sul punto, l’Autorità ha evidenziato come, nonostante i numerosi provvedimenti adottati in materia[6], non vi sia stato un sensibile miglioramento del fenomeno, tanto da indurla, nell’aprile 2019, ad inviare un’informativa alla Procura della Repubblica presso il Tribunale di Roma, evidenziando le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali. In di tale contesto, sottolinea il Garante Privacy, “appare oggi necessario fare pieno riferimento ai nuovi principi dettati del Regolamento, che inquadrano le competenze del titolare del trattamento in un’ottica di responsabilizzazione e impongono a tutti gli attori del trattamento dei dati personali comportamenti proattivi e coerenti con la finalità di comprovare, in ogni fase, la liceità dei trattamenti medesimo”. [1] In particolare, il principio di privacy by design impone ai titolari e ai responsabili del trattamento di implementare delle tutele privacy fin dalla fase di progettazione del trattamento dei dati personali. [2] Il principio di responsabilizzazione (in inglese, “accountability”) impone ai titolari e ai responsabili del trattamento di adottare comportamenti proattivi, tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del GDPR. [3] In particolare, ai sensi dell’art. 32, GDPR, “il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”. [4] Per “spamming” s’intende l’invio indiscriminato, senza il consenso del destinatario, di messaggi di posta elettronica o newsletter, capaci di porre a rischio il funzionamento del servizio di posta elettronica della vittima. [5] Per “phishing” s’intende una particolare tipologia di truffa, realizzata principalmente attraverso messaggi di posta elettronica ingannevoli. [6] Da ultimo, si pensi ai provvedimenti emessi dal Garante Privacy nei confronti di Eni Gas e Luce (i.e., provvedimenti n. 231 e n. 232 dell'11 dicembre 2019) e di TIM S.p.A. (i.e., provvedimento n. 7 del 15 gennaio 2020).
