(di Laura Spagnoli e Luigi Manna)

Con un provvedimento dello scorso 29 novembre 2018, il Garante per la protezione dei dati personali ha ingiunto alla società Wind Tre S.p.A. il pagamento di una sanzione di 600.000 euro per la violazione di diverse norme del Codice della Privacy[1] nell’ambito di un’attività di telemarketing. La sanzione ha fatto seguito al provvedimento del 22 maggio 2018 con cui l’Autorità aveva accertato l’illiceità del trattamento dei dati in relazione a chiamate ed SMS promozionali indesiderati, effettuati nell’interesse della società.

Nel precedente procedimento, infatti, era emerso che i clienti di Wind Tre venivano sistematicamente contattati dalla società o dai relativi partner nonostante la propria opposizione al trattamento dei dati a fini commerciali. Ciò era imputabile ad una serie di carenze organizzative della compagnia telefonica: anzitutto, Wind Tre non aveva predisposto una “black list” relativa ai soggetti che avevano negato (o revocato in tempi successivi) il proprio consenso per alcune delle attività di telemarketing svolte, in modo tale che fosse possibile escluderli da ulteriori contatti indesiderati; inoltre, l’opposizione del cliente al trattamento in questione spesso non veniva tempestivamente registrata nei sistemi; infine, l’operatore non svolgeva controlli preventivi sull’attività dei propri partner per assicurarsi che le proprie liste di esclusione fossero rispettate. Queste lacune, tradottesi in un aumento dei contatti commerciali indesiderati, venivano aggravate dalla mancanza di adeguati controlli successivi alle segnalazioni della clientela; Wind Tre, infatti, si limitava a rivolgere alla propria rete commerciale dei richiami generali, o segnalazioni occasionali indicanti una lista molto contenuta di soggetti da non contattare ulteriormente, o ancora comunicazioni individualizzate in cui venivano però semplicemente richiamate le norme di legge applicabili.

Al termine dell’istruttoria, il Garante aveva accertato che Wind Tre aveva fornito l’accesso ai dati dei propri clienti ad un numero molto ampio di partner commerciali, qualificati erroneamente come “titolari del trattamento” e che invece, considerato il tipo di attività svolta e la propria relazione con Wind, avrebbero dovuto essere più correttamente individuati come “responsabili del trattamento”. Tale circostanza si è tradotta, secondo il Garante, in una sistematica e prolungata comunicazione illecita dei dati a terzi, ovvero gli stessi partner contrattuali che avevano, appunto, accesso ai gestionali della società in assenza di una specifica designazione a “responsabili del trattamento” che ne disciplinasse le attività e gli obblighi.

Rilevata l’assenza di un idoneo consenso informato ex artt. 13 e 23 del Codice della Privacy da parte degli interessati, l’Autorità aveva accertato l’illiceità dei trattamento dei dati in questione e ne aveva vietato ogni ulteriore uso, prescrivendo alla società l’adozione delle necessarie misure tecnico-organizzative e riservandosi di aprire un autonomo procedimento sanzionatorio per le violazioni accertate; quello, appunto, qui commentato.

Con il secondo provvedimento, l’Autorità ha, quindi, contestato a Wind la mancata acquisizione del consenso della clientela in relazione alle chiamate promozionali; la mancata acquisizione del consenso della clientela stessa per la comunicazione dei relativi dati ai partner commerciali della società (condotte entrambe sanzionate all’art. 162 comma 2bis del Codice della Privacy, oggi abrogato); e la realizzazione delle condotte appena descritte con riferimento a banche dati di grandi dimensioni (condotta contemplata dall’art 164-bis comma 2 come autonoma fattispecie di illecito, oggi abrogata).

In relazione alle prime due contestazioni, la società ha estinto il procedimento mediante oblazione, ovvero il pagamento in misura ridotta della sanzione di cui all’art. 162 comma 2bis. L’art. 164-bis comma 2 esclude invece espressamente questa facoltà per le violazioni riguardanti banche dati di grandi dimensioni, prevedendo sanzioni da un minimo di 50.000 ad un massimo di 300.000 euro. Per determinare la sanzione applicabile al caso di specie, l’Autorità ha tenuto conto dei fattori indicati dall’art. 11 L. 689/1989, ovvero: le condotte riparatorie che Wind Tre ha posto in essere per eliminare le conseguenze dell’illecito; la rilevante gravità della violazione, dovuta all’utilizzo di “differenti canali di contatto che hanno determinato un esponenziale aumento del livello di invasività delle campagne promozionali”; i numerosi procedimenti sanzionatori (già conclusi) in capo alla compagnia; ed infine le sue condizioni economiche.

La sanzione, così commisurata in 150.000 euro, è stata però aumentata del quadruplo in considerazione delle grandi dimensioni di Wind Tre, primo operatore in Italia con una quota rilevante di mercato, che l’avrebbero resa, nel concreto, inefficace. Il Garante ha perciò escluso l’applicabilità dell’istituto di definizione agevolata introdotto successivamente al GDPR (in particolare con l’art. 18 della l. 101/2018) che avrebbe consentito di ridurre la sanzione fino a due quinti del minimo edittale, poiché tale facoltà si applica ai procedimenti instauratisi anteriormente all’entrata in vigore del GDPR e non ancora definiti in tale data (mentre il procedimento sanzionatorio qui esaminato è stato instaurato nel mese di luglio 2018).

Con l’entrata in vigore del GDPR, analoghe violazioni sarebbero punite a norma dell’art 83 dello stesso con sanzioni pecuniarie fino ad un massimo di € 20.000.000 o fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.


[1] Nella versione antecedente alla data di efficacia del c.d. GDPR e all’entrata in vigore delle norme nazionali di attuazione dello stesso; le condotte qui considerate erano, infatti, occorse in data anteriore.