Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. 15 gennaio 2020 [9256486]

estimated reading time: 107 min

VEDI ANCHE: comunicato del 1° febbraio 2020

[doc. web n.  9256486]

Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. - 15 gennaio 2020

Registro dei provvedimentin. 7 del 15 gennaio 2020

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al Trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei Dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTI i numerosi reclami e segnalazioni pervenuti al Garante, con riguardo a vari trattamenti di Dati personali effettuati da parte di TIM S.p.A. (di seguito indicata anche come: “TIM” o “la Società”);

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

1.  L’ATTIVITÀ ISTRUTTORIA SVOLTA

Sono pervenute all’Autorità, dal 1° gennaio 2017 ai primi mesi del 2019, numerosissime segnalazioni e reclami (nell’ordine di alcune centinaia secondo una dinamica costantemente confermatasi prima e anche dopo il predetto intervallo temporale), riguardanti trattamenti di dati aventi ad oggetto la ricezione di chiamate promozionali indesiderate, nell’interesse TIM S.p.A. (di seguito anche “la Società”), effettuate in assenza di Consenso degli interessati; oppure nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni; ovvero anche dopo l’esercizio del diritto di opposizione nei confronti della Società; o ancora nell’ambito di procedure finalizzate alla soluzione di guasti tecnici inerenti ai servizi di telefonia erogati agli altri interessati da altre compagnie telefoniche.

Ulteriori doglianze hanno inoltre evidenziato il mancato riscontro alle istanze formulate dagli interessati con riguardo ai diritti sanciti dalla normativa in materia di protezione dei dati personali, e in particolare a quelli di accesso ai propri dati e di opposizione al Trattamento per finalità promozionali, nonché la richiesta di un consenso, da rilasciare obbligatoriamente per il Trattamento a fini di marketing, in sede di attivazione del programma “TIM Party” nell’ambito del sito web della Società e la raccolta di un Consenso unico e indistinto al Trattamento dei dati per svariate finalità - anche ulteriori all’esecuzione del contratto - nell’ambito della modulistica predisposta per l’autocertificazione di possesso di linea prepagata.

TIM ha poi trasmesso, nel periodo considerato, diverse notifiche relative a violazioni di Dati personali (c.d. “data breach”) che, in particolare, hanno evidenziato alcuni disallineamenti fra i sistemi che trattano i Dati personali della clientela tali da provocare, ad esempio, l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e i dati di contatto utilizzati dalla Società.

Muovendo da tali elementi, questo Ufficio ha svolto, ai sensi dell’art. 10 del Regolamento del Garante n. 1/2019 (in www.garanteprivacy.it, doc. web n. 9107633), una complessa attività istruttoria, formalizzata attraverso richieste di informazioni rivolte alla Società, accertamenti ispettivi condotti presso la stessa, a partire dal mese di novembre 2018 fino al mese di febbraio 2019.

Ulteriori attività ispettive sono state inoltre svolte, anche mediante il Nucleo Speciale Tutela privacy e Frodi Tecnologiche della Guardia di Finanza, fra il marzo e il giugno 2019, presso talune società affidatarie dell’attività promozionale della Società stessa (c.d. “partner”), quali XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l.; XX s.r.l..

All’esito di tali attività, in data 25 luglio 2019, si è proceduto a comunicare alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, contenente l’invito a far pervenire eventuali osservazioni entro 30 giorni dal ricevimento della stessa, concedendo alla Società, su richiesta della medesima, una proroga al 10 ottobre 2019 per fornire riscontro.

Nell’ambito dell’attività istruttoria, è stata accolta la richiesta di TIM ad accedere, a fini difensivi, alla documentazione istruttoria, inclusa quella relativa agli accertamenti effettuati presso i partner della medesima (v. determinazione dirigenziale del 12 settembre 2019). Si è poi proceduto all’esame della memoria difensiva di TIM datata 10 ottobre 2019, del verbale dell’audizione del 5 novembre 2019, nonché degli ulteriori atti difensivi integrativi del 12 novembre 2019, sia pur tardivamente prodotti (oltre il termine del 10 ottobre 2019).

Tutta la documentazione fornita da TIM si intende integralmente richiamata e considerata – per una compiuta rappresentazione delle fattispecie, nonché a beneficio del diritto di difesa della Società – nelle valutazioni contenute nel presente provvedimento.

2. ESITI DELL’ISTRUTTORIA

Al termine dell’attività ispettiva e dall’esame della documentazione prodotta dalla Società, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei Dati personali richiamate a seguire e illustrate in dettaglio nei successivi paragrafi. Nello specifico:

- contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect” (ossia a soggetti non clienti), in assenza del Consenso degli interessati; numerazioni contattate fino a 155 volte in un mese; assenza di controllo da parte della Società sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali (cfr. par. 2.1.);

- errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black list)”; mancato aggiornamento delle black list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari; incongruenze, non sufficientemente chiarite, dei dati presenti nelle black list di TIM rispetto a quelli delle black list dei suoi partner; utenze inserite nelle black list molti giorni dopo l’espressione del diniego al marketing; utenze presenti nelle black list dei partner ma non inserite in quelle della Società (cfr. par. 2.1);

- telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di Consenso degli interessati o di altra idonea base giuridica; telefonate commerciali verso numerazioni “fuori lista” per le quali il provvedimento dell’Autorità del 22 giugno 2016 (in www.gpdp.it. doc. web n. 5255159) aveva vietato alla stessa TIM il Trattamento per finalità di marketing (cfr. par. 2.2);

- contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati ovvero effettuati nel quadro di contatti di servizio o ancora senza dare tempestivo riscontro agli interessati o recepire nei propri sistemi l’avvenuto esercizio del diritto di opposizione (cfr. par. 2.3);

- casi di conservazione, nel CRM (Customer Relationship Management),  della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni); casi di utilizzo abusivo di dette numerazioni per finalità promozionali (cfr. par. 2.4);

- acquisizione del Consenso promozionale nell'ambito del programma “TIM Party” con modalità che non ne assicurano la libera manifestazione (cfr. par. 2.5);

- rispetto ad alcune App destinate alla clientela, il rilascio agli interessati di indicazioni non corrette, né trasparenti sul Trattamento dei dati, nonché modalità di acquisizione del Consenso non conformi alla disciplina vigente (cfr. par. 2.6);

- utilizzo di modulistica cartacea di raccolta di Dati personali con richiesta di un unico Consenso per diverse finalità (cfr. par. 2.7);

- gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati; inadeguata gestione della Società dei sistemi che trattano dati personali, in violazione, in particolare, dei principi di esattezza dei dati, nonché di riservatezza e integrità dei sistemi (cfr. par. 2.8).

2.1. Le campagne promozionali rivolte a soggetti c.d. “prospect”, la gestione delle black list e dei dinieghi espressi dagli interessati nel corso di un contatto commerciale

Per quanto concerne le campagne di telemarketing per offerte di telefonia fissa e di telefonia mobile effettuate dalla Società nel periodo luglio 2018-febbraio 2019, rivolte a clienti (registrati nel Customer Base TIM) e non clienti (i c.d. prospect), TIM ha dichiarato che l’elenco acquisito dall’Ufficio in sede ispettiva “contiene gli identificativi delle 650 campagne realizzate, con associate per ciascuna di esse la data di validazione e la quantità delle numerazioni” per un totale di 50 milioni di numerazioni presenti nelle liste di TIM (cfr. p. 9, riscontro 8/3/2019).

Di tali 650 campagne, effettuate nel suddetto limitato periodo, 484 sono state rivolte a clienti coinvolgendo 15 milioni di numerazioni, mentre le restanti 166, secondo quanto prospettato da TIM, sono state rivolte a 13 milioni di prospect raggiungendo circa 5,2 milioni di numerazioni, poiché “le campagne Prospect” avrebbero “una soglia di 'raggiungibilità media' nell’ordine del 40% circa” (memoria 10/10/2019). Con specifico riferimento alle campagne commerciali indirizzate nei confronti dei menzionati prospect, da un confronto fra le liste di c.d. contattabilità (cioè le liste di numeri contattabili per fini promozionali predisposte e fornite ai partner da TIM), e quelle associate alle chiamate in uscita registrate sui sistemi automatizzati di chiamata di alcuni call center oggetto di attività ispettiva (in particolare: XX, con riferimento alle telefonate effettuate per conto di TIM nei mesi di novembre-dicembre 2018 e gennaio 2019 e XX relativamente agli “IDLista” forniti nel corso delle attività ispettive del 14 maggio 2019), sono state riscontrate le seguenti anomalie:

- le chiamate effettuate dai citati call center sono risultate associate a liste di contattabilità di TIM, che non figurano fra le liste fornite dalla Società all’Ufficio; al riguardo, TIM ha dichiarato che “allo stato” poteva “esclusivamente supporre che le discrepanze contestate [fossero] essenzialmente dovute: all’utilizzo di criteri di codifica dei flussi di dati distinti da parte dei Partner, che generano nomenclature diverse; [al] confronto effettuato su liste parziali nella disponibilità dei Partner; (al) confronto rispetto a codici campagna diversi in quanto le liste fornite da TIM riportano la codifica dell’ID Lista Marketing, mentre quelle fornite dai Partner ID Lista Sales” (memoria 10/10/2019, cit.).

In proposito, si rileva quindi che TIM - in quanto committente dei trattamenti in questione - dimostra di non avere contezza sufficiente dei criteri di codifica dei flussi utilizzati dai partner ovvero delle modalità di denominazione delle liste di contattabilità, anche al fine di un proprio miglior controllo;

- un medesimo numero di telefono, nell'arco di un mese, è stato contattato fino a 155 volte ed è risultato censito in diverse liste di contattabilità, in contrasto con le stesse policy dichiarate da TIM, secondo cui: “le regole di richiamata impartite ai partner prevedono che ogni numerazione in lista possa essere oggetto di un contatto utile al mese, intendendo per contatto utile una telefonata con risposta con esito OK (adesione alla proposta contrattuale), KO (mancata adesione), diniego (opposizione al trattamento). Per tale motivo, un numero raggiunto da un contatto utile non viene più richiamato nell’ambito di una stessa campagna” (v. verbale 5/2/2019, p. 4);

- sono risultati presenti nel campo “esito” delle chiamate promozionali (effettuate dal partner XX) diciture non riconosciute dalla Società, secondo la quale le stesse rientrerebbero esclusivamente nell’autonomia imprenditoriale del partner medesimo (es. “Diniego Clienti CB TI NON CONSENSATI”; “Recupero Consenso su ex-TIM ed ex TI (OK)”; v. memoria 10/10/2019).

Con specifico riferimento a XX, la Società, oltre ad ammettere le telefonate fuori dalle liste di contattabilità (cfr. infra par. 2.1), ha ammesso anche le gravi difformità operative della frequenza dei contatti promozionali effettuati da tale partner rispetto a quanto astrattamente stabilito nelle proprie policy (la “condotta risulta apertamente in spregio delle regole di produzione delle liste di contattabilità di TIM per l’esecuzione di campagne commerciali”), negando la propria responsabilità, in ragione di una propria presunta estraneità alle modalità operative di XX (v. memorie 10/10/19 e 12/11/19 cit.).

Così però TIM - trascurando il proprio fondamentale ruolo di committente - ha dimostrato di non avere la necessaria consapevolezza in ordine a tale condotta, né di aver adeguatamente vigilato sull’operato del partner.

La Società ha rappresentato che, per escludere dalle liste di contattabilità numerazioni appartenenti a interessati non clienti (c.d. “prospect”) che abbiano manifestato la volontà di non ricevere comunicazioni promozionali, utilizza due diverse black list:

1. una prima (“black list marketing”), alimentata manualmente e caricata sul sistema di campaign management sulla base dell’opposizione al Trattamento per scopi promozionali inviate dagli interessati al Customer Care aziendale; comprende un totale di 2.272.226 numerazioni, di cui, però, ben 2.232.935 inserite dalla Società a seguito del divieto di Trattamento dei dati a fini promozionali impartito dal Garante con il provvedimento del 22 giugno 2016 (doc. web n. 5255159) e solo 39.291, quindi, riferibili ad interessati la cui opposizione al Trattamento è stata registrata dalla Società;

2. una seconda (“black list dinieghi”), alimentata automaticamente sul sistema di campaign management, costituita dagli esiti di diniego (cioè le “opposizioni al Trattamento per finalità di marketing”) espressi dai c.d. prospect nel corso delle telefonate commerciali effettuate dai partner; comprende 6.215 numerazioni.

In totale quindi, gli interessati che, complessivamente, risultano aver manifestato la volontà di non ricevere comunicazioni promozionali di TIM e che questa ha provveduto a registrare sono 45.506.

Tale dato quantitativo – peraltro relativamente esiguo soprattutto considerato il primario ruolo di TIM nel mercato nazionale degli operatori telefonici – è risultato non allineato con la ben maggiore consistenza delle complessive liste di esclusione utilizzate dai partner commerciali di TIM (ad esempio, la black list acquisita da XX S.r.l. è risultata composta da circa 260.000 numerazioni).

La Società, al 10 ottobre 2019, con riguardo alle perplessità espresse dal Garante con la comunicazione di avvio del procedimento del 25 luglio scorso, pur fornendo alcuni elementi di chiarimento, si è dichiarata “non pienamente in grado di chiarire le ragioni della discrepanza riscontrata dall’Autorità fra le proprie black list e le analoghe black list utilizzate dai Partner” Ciò, in quanto “le black list detenute dai Partner” non rientrerebbero, a dire di TIM, “nell’alveo del processo di gestione dinieghi definito da TIM” e “tutti i dinieghi ricevuti dai Partner, quando operano per conto di TIM, devono necessariamente essere inseriti in Thin Client, unico sistema aziendale deputato alla gestione dei dinieghi espressi dai soggetti contattati dal Partner.”

Inoltre, dal confronto fra le predette black list della Società e gli esiti caricati dai partner nei sistemi della Società e indicati come “diniego” relativi a campagne svolte dalla Società stessa nel periodo sopra individuato, nonché le black list dei partner, pur considerata necessariamente la possibile diversa composizione di tali liste – è emerso che (all. 6 al riscontro 8/3/2019):

a) sono 3.442 i contatti commerciali con esito “diniego” registrati dai partner in occasione delle menzionate campagne prospect;

b) dei suindicati 3.442 contatti, solo 1.026 sono riportati nella black list dinieghi di TIM, mentre i restanti 2.415 non sono presenti in tale lista, che dovrebbe essere proprio “costituita dagli esiti di diniego (cioè le ‘opposizioni al Trattamento per fini di marketing’) espressi da prospect nel corso delle telefonate commerciali effettuate dai partner” (cfr. p. 8, riscontro 20.2.2019).

TIM, senza fornire idonei elementi di prova, ha dichiarato che tali 2.415 dinieghi non sono stati riportati nelle sue black list in quanto sono stati censiti nei sistemi di CRM della Società (che registra l’esistenza o meno del Consenso dei clienti) proprio perché riferibili a numerazioni di clienti, ad eccezione di 5 numerazioni, che sono state scartate in fase di caricamento.

In ogni caso, pur tenendo conto delle molte eccezioni rappresentate dalla Società, occorre notare che alcune numerazioni, riferite sia a clienti TIM di rete fissa o mobile sia a prospect, sono state inserite nelle liste di contattabilità molti giorni dopo l’espressione del diniego (ovvero oltre 300 giorni dopo per alcuni prospect; oltre 200 giorni dopo per alcuni clienti di rete fissa o mobile; v.  atti 12/11/2019).

La Società (v. note 8 marzo e 12 novembre 2019) ha rappresentato che “in conseguenza della … anomalia nell’aggiornamento dell’archivio DWH Consenso Prospect e conseguentemente della Black List Dinieghi usata dalle funzioni marketing”, 184 numerazioni univoche sono state erroneamente incluse nelle liste di contattabilità per le campagne promozionali. La Società – ad attestare la presa di consapevolezza di una gestione non adeguata dei dinieghi - ha fatto altresì presente l'intenzione di introdurre un nuovo sistema, che comporterebbe la registrazione dei dinieghi delle linee fisse attive TIM nell’archivio destinato alla gestione del Consenso (nella specie il “DWH Consenso”: v. nota integrativa 12/11/2019);

c) 862 numerazioni presenti nella black list dinieghi risultano avere un “esito diniego” successivo alla data del loro inserimento, in contrasto con quanto indicato dalla Società circa l’automatica esclusione dalle campagne commerciali delle numerazioni presenti nelle black list (cfr., ad esempio, p. 8 riscontro 20/2/2019 e pp. 3 e 5, verbale 5/2/2019). Al riguardo, la Società (v. nota integrativa 12/11/2019) ha rappresentato ciò è imputabile “all’erronea operatività di alcuni propri partner, che hanno registrato il “diniego tramite THIN Client …. con ritardi anche prolungati rispetto agli “esiti 49” (i.e. il sistema di monitoraggio degli esiti) ed hanno così “disatteso le procedure definite da TIM” al riguardo. Secondo TIM “Accortesi di tali mancanze, i Partner hanno recuperato i caricamenti dei dinieghi tramite THIN Client in modalità massiva nelle date …. concentrate nel mese di novembre 2018 per i dinieghi acquisiti da XX e nei mesi successivi di dicembre e gennaio per quelli acquisiti da XX”. TIM risulta, peraltro aver preso contezza di tali ritardi nel caricamento dei dinieghi solo in occasione degli accertamenti avviati dal Garante a febbraio 2019;

d) nella black list utilizzata dal partner XX S.r.l. (acquisita nel corso dell’accertamento ispettivo del 28/3/2019), sono risultate presenti 1.645 opposizioni al Trattamento recepite nel corso di telefonate commerciali effettuate per conto di TIM; tuttavia, nessuna delle relative numerazioni è risultata presente nella black list dinieghi della Società;

e) nella black list utilizzata dal partner XX S.r.l. sono risultate presenti quasi 200.000 numerazioni che non hanno trovato corrispondenza nella black list della Società (cfr. p. 2, verbale 23/4/2019); tuttavia, ciò risulta difficilmente comprensibile se si considera che il detto partner è monomandatario di TIM, e dunque le due liste dovrebbero essere, perlopiù, corrispondenti o comunque contenere quantitativi analoghi fra loro;

f) nella black list utilizzata da XX, riferita a dinieghi espressi nel corso di telefonate commerciali effettuate per conto di TIM, sono risultate presenti 2.401 numerazioni; tuttavia, di queste solo 3 sono risultate presenti nella black list marketing TIM e nessuna è risultata presente nella black list dinieghi di TIM. Ciò risulta difficilmente comprensibile in quanto tali numerazioni dovevano essere tutte riportate in tale lista, proprio in quanto dinieghi espressi durante le campagne promozionali della Società;

g) nella black list inviata da TIM a XX (cfr. all.  11, verbale 7/5/2019) risultano 22.296 numerazioni; tuttavia, di queste solo 19.488 sono presenti nella black list marketing e 6 sono presenti nella black list dinieghi fornite da TIM all’Autorità.

In vero, le suindicate differenze possono ritenersi riconducibili solo in parte ai diversi criteri di composizione ed implementazione delle black list o alla diversa denominazione/classificazione di liste e degli esiti dei contatti (v. memoria di TIM 10/10/2019 e nota integrativa 12/11/2019, cit.) che TIM non risulta aver concordato con i propri partner o ancora alla sussistenza di committenti-mandanti diversi da TIM, per alcuni di tali partner. Proprio l’utilizzo di criteri e denominazione diversi fa sì che nella fattispecie – oltre a prassi scorrette poste in essere dai partner con riferimento alle modalità di gestione dei dinieghi – emerga anche la mancata adeguata implementazione da parte della Società stessa di procedure gestionali condivise, che - pur garantendo opportuna attenzione alle eventuali specifiche esigenze aziendali delle imprese coinvolte - consentissero un adeguato controllo da parte di TIM quale committente ed anche fornitrice di liste di contattabilità sulla complessiva gestione del Trattamento per finalità promozionali, nonché  il correlato obbligo di render conto delle proprie attività in linea con il principio di accountability.

Inoltre, gli eventi in questione evidenziano un funzionamento, in parte fallace, del sistema automatizzato di esclusione dalle liste di contattabilità, peraltro confermato da diverse anomalie sui sistemi ammesse in più occasioni dalla Società (v. note del 8/3/2019, 3/4/2019 e 12/11/2019), che non hanno garantito una corretta e coerente rappresentazione, nei sistemi informatici a ciò dedicati, della volontà negativa degli interessati, comportando , a seconda delle fattispecie sopra rappresentate, un Trattamento di Dati personali a fini di marketing effettuato senza ottemperare al legittimo esercizio dei diritti degli interessati, in particolare quello di opposizione.

2.2. Telefonate nei confronti di utenze non presenti nelle liste di contattabilità di TIM (c.d. “chiamate fuori lista”)

Numerose doglianze sulla persistenza di chiamate promozionali indesiderate hanno riguardato utenze non inserite nelle liste di contattabilità di TIM (c.d. “fuori lista”).

Al riguardo, la Società ha dichiarato che “…ai partner è vietato contrattualmente l’utilizzo di liste di contattabilità autonomamente reperite e non autorizzate da TIM”, tuttavia “…nel corso del contatto utile con la linea … presente nella lista di contattabilità fornita da TIM, può avvenire che la persona contattata richieda di essere richiamata su un’altra numerazione oppure indichi un’altra persona del nucleo familiare a cui rivolgersi per l’offerta in questione, fornendone la numerazione [c.d. referenze]…”. Sempre con riferimento alle “chiamate fuori lista”, TIM ha affermato che queste “…non possono essere note alla Società in quanto eseguite dai partner tramite i loro sistemi telefonici/CRM…” se non quando “il cliente/prospect accetti l’offerta commerciale, [che] viene tracciata obbligatoriamente nel sistema di ‘Verbal Order’” (di seguito anche “VO”) di TIM (cfr. pp. 7 e 8, riscontro 14/3/2019). Ciò sia che la numerazione contattata derivi dalle liste di contattabilità fornite dalla Società, sia se rientri fra i c.d. “fuori lista”.

La Società non è stata quindi in grado di quantificare le chiamate “fuori lista” effettuate dai propri partner commerciali, né di fornire l’elenco delle numerazioni contattate, e ha quantificato, solo in via parziale e indiretta, tale informazione, fornendo le numerazioni non presenti nelle liste di contattabilità consegnate ai partner che, nel periodo 1° luglio 2018- 28 febbraio 2019, risultavano, sul sistema di gestione delle campagne associate ad un verbal orderl la cui presenza è rivelatrice solo dei contatti commerciali effettuati che si sono conclusi con la sottoscrizione di un contratto, ratificato appunto dal Verbal Order. Pertanto, “…la Società ha applicato una metodologia di calcolo basata sul confronto tra le informazioni conservate nel sistema di “Verbal Order” rispetto alle numerazioni contenute nelle liste di contattabilità fornite ai partner, potendo calcolare solo i “fuori-lista” associati ad un ordine verbalizzato…”, ossia in totale, 116.461, e ben 184.655 a partire dal 1° marzo 2018 (v. memoria TIM 10/10/2019). Anche al fine di comprendere l’ampiezza del fenomeno dei contatti “fuori lista”, può essere utile evidenziare che il numero di Verbal Order fornisce un’indicazione per difetto delle chiamate sottostanti: ad esempio, nel corso degli accertamenti ispettivi, XX ha dichiarato che, su clientela presente nel customer base, il numero dei contratti stipulati rappresenta circa il 9 % delle chiamate promozionali effettuate nel caso di campagne upselling, mentre solo il 3% in caso di campagne destinate ad attivare nuove linee. Tale tasso di adesione, peraltro, risulta in genere ancora più basso nel caso di campagne promozionali rivolte a soggetti “prospect” in ragione della min ore Accuratezza dei dati (es. numerazioni non più attive o soggetti che hanno in essere abbonamenti più vantaggiosi di quelli proposti).

Peraltro, nei contratti stipulati da TIM con i propri partner, è emerso che l’incarico a svolgere contatti telefonici promozionali riguardava non solo liste di contattabilità fornite da TIM, ma anche numerazioni c.d. “lead” ovvero acquisite dai partner a seguito della richiesta degli interessati di essere ricontattati per ricevere una specifica offerta commerciale (v. art. 2 “Oggetto” del contratto TIM-3G s.p.a., allegato ai verbali ispettivi), mentre nel contratto non risultano istruzioni e misure organizzative e tecniche con specifico riguardo alla particolare categoria di “fuori lista” rappresentata dai c.d. “referenziati”. Ciononostante, la Società non poteva non avere contezza del fatto che i partner effettuassero contatti “fuori lista” al di fuori delle numerazioni “lead”, in quanto ciò era concretamente rilevabile dal disallineamento delle numerazioni associate ai Verbal Order, caricate dai partner nei sistemi della Società, rispetto alle numerazioni inserite nelle liste di contattabilità, fornite da TIM ai propri partner. Invero, nel corso degli accertamenti ispettivi, solo due partner hanno dichiarato che i contatti “fuori lista” provenivano da liste lead; negli altri casi, è emerso che i contatti “fuori lista” effettuati hanno riguardato invece soggetti c.d. “referenziati”.

L’analisi delle numerazioni c.d. “fuori lista” e delle black list detenute dalla Società, ha inoltre evidenziato quanto segue:

- 1.504 numerazioni contattate erano presenti nella black list marketing al momento della registrazione del verbal order (e quindi al momento dell’effettuazione del contatto commerciale telefonico);

- di queste 1.504, 1.464 sono state contattate nonostante fossero state inserite dalla Società nella black list marketing a seguito del provvedimento del 22 giugno 2016 cit., il quale – come sopra evidenziato - ne aveva vietato il Trattamento per finalità di marketing;

- 15 utenti avevano espresso un diniego al marketing prima della registrazione del Verbal Order (e quindi prima dell’effettuazione del contatto commerciale telefonico).

Riguardo alle citate 1.504 numerazioni, la Società ha ipotizzato che queste “siano state autonomamente reperite dai Partner con il meccanismo delle lead e delle referenze, e quindi utilizzate ai fini del contatto commerciale sulla base … del Consenso fornito dall’interessato stesso oppure del bilanciamento di interesse sussistente per i referenziati”, ma non ha fornito alcun elemento ulteriore, né ha documentato tale assunto, come invece richiesto dal principio di accountability.

Inoltre, poiché 1.464 utenze risultano inserite da TIM nella sua black list marketing a seguito del citato provvedimento del 22 giugno 2016, per non incorrere in una ripetuta violazione del predetto provvedimento, la Società stessa avrebbe dovuto fornire tale black list ai suoi partner, vigilando sull’attività dei propri partner, al fine di poter consentire un opportuno match con i dati acquisiti o comunque in possesso dei partner, e così evitare un nuovo ulteriore contatto indesiderato.

Al fine di un opportuno approfondimento del fenomeno dei c.d. “fuorilista”, l'Autorità ha svolto accertamenti ispettivi anche presso alcuni partner.

Nella prassi operativa è risultata, di fatto, ammessa la modalità di composizione manuale delle numerazioni oggetto di contatto, modalità che non è risultata disciplinata da TIM nei contratti con i propri partner al fine di limitarne i possibili abusi. Si è potuto rilevare che, in genere, i sistemi di gestione delle chiamate in uscita utilizzati dai call center tengono traccia di tali chiamate, elemento che ha permesso all’Autorità di effettuare alcuni riscontri rispetto ai dati forniti da TIM in merito ai citati Verbal Order, accertando ancora una volta evidenti incongruenze quantitative (v. comunicazione di avvio del procedimento del 25 luglio 2019). In particolare, i dati forniti da TIM riguardo ai Verbal Order (v. riscontro 8/3/2019) sono apparsi quantitativamente e qualitativamente (essendo differenti i numeri risultati oggetto di contatto) diversi da quelli acquisiti presso i citati operatori di call center, ad evidenziare un inadeguato governo del fenomeno in questione da parte della Società.

Le verifiche effettuate hanno evidenziato altresì che - con riferimento ad alcuni call center (XX; XX; XX; XX) – sono state contattate numerazioni di soggetti “referenziati” sebbene in presenza di una precedente opposizione al Trattamento espressa dall’interessato, nonché numerazioni inserite nella black list marketing a seguito del citato provvedimento 22 giugno 2016 (in particolare, ciò è stato riscontrato per: 258 chiamate “referenziate” effettuate da XX; 250 chiamate “referenziate” effettuate da XX; nonché una chiamata “referenziata” effettuata da XX).

Appare evidente che TIM - pur conoscendo ed accettando il fenomeno delle chiamate verso utenze “referenziate”, di cui ha costantemente introitato i relativi profitti, come attestato dai Verbal Order sopra citati - non lo abbia disciplinato con apposite e dettagliate istruzioni in modo da garantirne la conformità alla normativa vigente (in questi termini, v. anche nota XX del 18/10/2019). Ciò ha comportato un Trattamento di Dati personali a fini di marketing effettuato in assenza di un comprovato e idoneo presupposto giuridico (non risultando che per essi sia stato acquisito un Consenso idoneo, quale ad es. per delega, mail, registrazione della telefonata), ovvero senza tenere conto del diritto di opposizione precedentemente manifestato dagli interessati.

Con specifico riguardo ai Verbal Order - nonché alla composizione delle liste di contattabilità - la Società, dopo un asserito confronto con i partner del 7 novembre 2019, ha fornito elementi (come l’ “utilizzo di criteri di codifica dei flussi di dati distinti da parte dei Partner, che generano nomenclature diverse”; il confronto effettuato su liste parziali nella disponibilità dei Partner”; la diversa denominazione della tipologia di contatti “fuori lista”, riferiti da alcuni partner anche ad utenze “Lead”, acquisite direttamente dai medesimi partner, e non solo a utenze “referenziate”; il diverso concetto di VO, utilizzato in concreto), in base ai quali la Società ritiene di poter ragionevolmente circoscrivere e ridurre il fenomeno in questione (v. memoria 10/10/2019 e nota integrativa 12/11/2019, cit.).Tuttavia, tali elementi non risultano giustificare in modo compiuto e puntuale la notevole diversità dei dati quantitativi, in particolare dei VO.

Ancora oggi non risulta adeguatamente dimostrata e rendicontata la gestione delle liste e dei VO - oltre che dei contatti “fuori lista” - da parte di TIM, anche in ragione di evidenti disomogeneità nei criteri utilizzati e non condivisi con i partner, tanto che la Società stessa è giunta a rappresentare che “sono ancora in corso le verifiche puntuali per raffrontare numericamente e riscontrare con i Partner in questione gli elenchi dei fuori lista e dei correlati Verbal Order” e a segnalare “che gli interventi avviati ….e rappresentati (nella memoria 12.11.19) permetteranno di adottare metodi di controllo dei fuori lista basati su riscontri più strutturati e previsti dagli obblighi contrattuali”, a riprova delle lacune emerse.

2.3.  Ulteriori comunicazioni promozionali indesiderate emerse dai riscontri forniti da TIM riguardo a segnalazioni e reclami e gestione dei diritti degli interessati

Ad esito dell’analisi dei riscontri forniti da TIM (6/12/2018; 13/2/2019 e 1/3/2019) riguardo alle richieste formulate dall’Autorità il 7 novembre 2018 e il 14 gennaio 2019, relativamente a molteplici segnalazioni; ad alcuni reclami (riscontri TIM 25/10/2018; 8/1/2019; 5 e 16/9/2019), nonché ad integrazione degli accertamenti ispettivi suindicati (riscontri 8/3/2019, 20/3/2019 e 2/5/2019), è emerso quanto segue:

1) per la quasi totalità delle segnalazioni e reclami, TIM ha negato i contatti promozionali indesiderati, affermando l’estraneità delle utenze dei segnalanti rispetto alle liste utilizzate per finalità promozionali nonché delle utenze chiamanti rispetto alla propria forza vendita;

2) cionondimeno le seguenti segnalazioni sono risultate fondate; in particolare la Società:

a. con riguardo a XX, nonostante l’opposizione da questi esercitata, ha ammesso di averlo erroneamente inserito in liste di contattabilità e di averlo effettivamente contattato, mediante il call center XX s.r.l.;

b. con riferimento a XX, nonostante l’opposizione da questi esercitata, ha rappresentato di aver continuato ad inserirlo nelle liste di contattabilità e quindi a chiamarlo, in quanto XX s.r.l., call center autore della chiamata, non ha recepito “per disguidi interni al …. back office” la volontà negativa dell’interessato “nei sistemi del marketing”, sicché l’utenza in questione è stata inserita in successive liste di contattabilità (v. riscontro TIM 13/2/2019);

3) con riguardo alle istanze di altri interessati (XX; XX; XX; XX; XX; XX; XX; XX; XX), i call center affidatari dell’esecuzione delle telefonate promozionali hanno ammesso (come, peraltro, TIM stessa: v. memoria 10 ottobre 2019) i contatti indesiderati adducendo, genericamente, presunte “sviste” o errori di digitazione dell’utenza telefonica da contattare oppure occasionali iniziative di contatto “in modalità manuale”, non autorizzate, effettuate dal proprio personale e non ulteriormente circostanziate e chiarite (v. anche specifici riscontri di: XX s.r.l. e XX s.r.l. del 30/1/2019: XX s.r.l. e XX s.r.l.s del 30/11/2018; XX s.p.a. del 5/12/2018; XX s.r.l.s. del 19/3/2019 - quest’ultima con complessivo riguardo a 4 segnalazioni, oggetto di distinto riscontro; tutti allegati ai citati riscontri di TIM). Spiegazione generica risulta anche quella fornita da XX s.p.a., la quale adduce, a motivare un ulteriore contatto promozionale indesiderato, “una duplicazione del dato su (proprio) CRM (errore tecnico) accertato in seguito al controllo della reportistica …” (riscontro XX 22/11/2018, allegato al riscontro TIM del 6/12/2018, cit.);

4) nei casi delle telefonate c.d. “ibride”, il contatto promozionale effettato dalla Società è risultato effettuato, nonostante il diniego già espresso al Trattamento per finalità anche promozionali, nel contesto di comunicazioni “endocontrattuali” o comunque “di servizio” (in un primo caso, segnalante XX, mediante telefonata con operatore: v. riscontro TIM 6/12/2018, cit.; in un secondo caso, reclamante XX, mediante sms: v. riscontro TIM 8/1/2019, cit.). In tale secondo caso, secondo la Società, il tardivo riscontro all’istanza del segnalante e l’inserimento in black list – a fronte di più opposizioni effettuate dal reclamante, anche a mezzo di documentata comunicazione a mezzo pec - sarebbe avvenuto per una non meglio circostanziata “…errata operatività da parte degli operatori di customer care”;

5) sono altresì emerse le seguenti criticità con riguardo alle istanze presentate dagli interessati, con particolare riferimento all’opposizione al Trattamento per finalità promozionali:

a) la mancanza di un riscontro scritto, o altrimenti documentato, alle richieste di più interessati (XX; XX; XX; XX: v. riscontro 2/5/2019); il mancato riscontro ad istanze pervenute a mezzo di posta certificata (v. per segnalazione di XX: riscontro 2/5/2019, cit.; v. per reclamo di XX: riscontro 25/10/2018). Nel primo caso, l’istanza “non risulta tracciata nei sistemi … di Archiviazione della corrispondenza pervenuta”; nel secondo caso, si adduce una “presunta perdita di informazioni … nel processo di trasferimento dalla PEC alla documentazione cartacea …”). Analoga mancanza è stata riscontrata per: la segnalazione di XX, la cui istanza è risultata stampata ed inviata all’outsourcer incaricato per la ‘tipizzazione’, ma non riscontrata per un problema relativo alla detta procedura (riscontro 20/3/2019, cit.); per la segnalazione di XX, gestita, con l’inserimento in black list, solo in occasione del riscontro fornito alla richiesta d’informazioni formulata dall’Autorità (riscontri 8/3/19 e 5/11/2018); nonché per il reclamo di XX, in relazione al quale più richieste formulate alla Società - pur inviate, più volte via pec e posta elettronica ordinaria - non risultano rilevate nei sistemi per anomalie tecniche oppure gestite tardivamente e la cui opposizione al Trattamento di tipo promozionale risulta inserita a sistema solo decorso un periodo maggiore di 4 mesi dalla richiesta originariamente formulata (riscontri 5/9/2019 e 10/10/2019);

b) l’avvenuto riscontro a istanze di opposizione, ma senza fattivo recepimento nei sistemi societari, del diniego al Trattamento espresso da ulteriori interessati (XX; XX; XX: v. riscontro 2/5/2019, cit.).

A fronte di alcune suesposte criticità sottoposte a TIM da questa Autorità, la Società (v. memoria 10/10/2019), ha fatto presente che “è attualmente in fase di valutazione l’integrazione del testo degli i-sms con le informazioni circa le modalità tramite cui il cliente può opporsi alla ricezione dei predetti messaggi.”

Tali condotte evidenziano ancora una volta l’effettuazione di chiamate promozionali indesiderate in mancanza di idoneo Consenso o addirittura in presenza di un espresso diniego da parte degli interessati.

2.4. Il Trattamento dei dati dei clienti c.d. “OLO” (Other Licensed Operator)

Nel corso degli accertamenti ispettivi, è emersa la conservazione, nel CRM della Società, di Dati personali appartenenti a soggetti non clienti (nome, cognome o ragione sociale; codice fiscale o partita IVA; linea telefonica; indirizzo; dati di contatto).

In particolare, in relazione ad alcuni eventi di data breach, uno dei quali aveva coinvolto i Dati personali di un “soggetto” mai appartenuto alla clientela TIM, la Società ha rappresentato che il Trattamento dei relativi dati era necessario in quanto lo stesso interessato, pur essendo cliente di un altro operatore telefonico (Other Licensed Operator- OLO/Alternative Network Operator), risultava usufruire di un servizio “wholesale line rental” (WLR), venduto da TIM agli OLO e da questi ultimi offerto ai propri clienti.

La Società ha dichiarato altresì che “nella categoria generale dei “clienti” rientrano anche i clienti dei servizi di telefonia fissa residenziale a cui sono assimilati anche i clienti dei servizi WLR. Per questa tipologia di interessati sono definiti i criteri generali di disponibilità dei Dati personali che prevedono […] la visibilità dei dati per 5 anni dalla cessazione (a meno dei casi in deroga, es. contenziosi, specificati in policy) per le finalità espletate da parte del customer care” e “la disponibilità massima per 10 anni ai fini della gestione fiscale e degli adempimenti tributari (a meno di deroghe, es. contenziosi), tra cui la conservazione delle fatture del servizio erogato.” (cfr. p. 9, riscontro 13/12/2018 e del 14/12/2018, p. 8).

Invece, le risultanze degli accertamenti ispettivi hanno evidenziato – diversamente da quanto disposto nella citata policy di TIM – che l’accesso ai dati dei clienti OLO era consentito agli operatori di customer care anche oltre il periodo di 5 anni. A tal proposito, la Società ha precisato che soltanto a seguito degli accertamenti ispettivi ha provveduto a modificare “la visibilità dei dati anagrafici dei clienti dei servizi WLR da parte degli operatori del customer care” inibendo ai medesimi “la visibilità dei dati di anagrafica dei clienti dei servizi WLR se cessati da oltre 5 anni.” (cfr. p. 8, riscontro 13/12/2018, cit.).

Inoltre, è stata verificata la presenza dell’anagrafica di un segnalante nel CRM (vale a dire il sistema di gestione della clientela) della Società, pur essendo trascorsi addirittura più di 10 anni dalla data di cessazione del contratto con TIM. A tal proposito la Società ha dichiarato che le “…anagrafiche dei clienti rimangono visibili agli operatori del Customer Care di TIM fintanto che la linea telefonica sottostante è attiva con un altro Operatore (OLO) e per i successivi 5 anni dalla cessazione (disattivazione tecnica) della linea” (cfr. riscontro 14/3/2019, p. 6). Tuttavia, per la linea in questione - passata da oltre 10 anni nella gestione di un altro Operatore telefonico - non è risultato attivo alcun servizio WLR (v. relazione allegata al riscontro inviato il 2/5/2019).

Peraltro la risultanza relativa alla presenza nel CRM di TIM di 23.298 assegnatari di linee WLR gestite da altro OLO (complessivamente riferiti a 23.428 linee telefoniche), risulta di dubbia compatibilità con legittime finalità del Trattamento ascrivibili a TIM, tenuto conto che – secondo quanto previsto dal portale on line della Società, “il servizio WLR permette agli Operatori di virtualizzare il collegamento del cliente alla propria rete e di provvedere direttamente a gestire il cliente stesso per quanto riguarda” varie funzioni contrattuali o comunque connesse all’esecuzione del servizio. Inoltre, nel manuale delle procedure relative a siffatto servizio (all. G al riscontro 13/12/2018), viene indicato che “L'Operatore WLR gestisce in maniera completa il proprio cliente per la tassazione e la fatturazione dei corrispettivi economici di abbonamento e di consumo da quest’ultimo utilizzati…”.

Nonostante la Società abbia dichiarato l’intenzione di un riassetto del CRM che porterebbe a rivedere anche i dati dei clienti OLO (memoria 10/10/2019), ad oggi tali dati sono conservati nel CRM della Società oltre il limite previsto dei 10 anni. Ciò rappresenta un lasso di tempo eccessivamente ampio che non trova alcuna giustificazione alla luce delle asserite finalità perseguite da TIM.

Sotto altro profilo, ad esito di verifiche interne condotte dalla Società, la stessa ha dichiarato che sono emersi “comportamenti anomali nell’accesso e nella consultazione della banca dati relativa ai ‘guasti’ asseritamente da parte di dipendenti OLO … oggetto di denuncia alla Procura della Repubblica … in data 1° ottobre 2019, affinché la stessa possa svolgere gli approfondimenti investigativi ritenuti necessari …” (v. nota del 12/11/2019).

Con la medesima nota, la Società ha rappresentato che, “con riferimento alle 23.428 linee corrispondenti a linee attive alla data di clienti “nativi” di OLO per il servizio WLR … solo 2.410 sono state inserite nelle Liste di contattabilità delle campagne prospect per il periodo dall’1 luglio 2018 al 28 febbraio 2019 …”; delle 2410 citate utenze, 414 sarebbero state “acquisite da elenco telefonico e verificate rispetto al Registro delle Opposizioni e 2 invece, sarebbero successivamente rientrate in TIM” (v. memoria 10/10/2019). Ciononostante, la Società non è stata in grado di circostanziare e comprovare - per le 414 utenze - la menzionata attività di verifica e - per le restanti 2 - la circostanza dell’eventuale acquisizione del valido Consenso a fini promozionali (come, ad es.: copia di moduli cartacei oppure on line; registrazione audio; file di log riguardo ad eventuali raccolte on line).

Riguardo alle restanti 1.995 numerazioni, la Società ha rappresentato, che “le successive analisi tecniche, nel frattempo concluse” avrebbero ”confermato che le campagne promozionali su linee fisse attive rivolte ai c.d. “prospect” possono essere destinate anche a ex-clienti TIM di telefonia fissa registrati nel sistema CRMR che abbiano fornito un Consenso al contatto valevole per 5 anni dalla cessazione”, e che tali analisi – evidenziando un nuovo elemento di criticità - “hanno individuato una anomalia nella procedura di estrazione dal CRMR tale per cui la procedura non era in grado di discriminare due casistiche inerenti: (i) le numerazioni di linee cessate e successivamente riattivate e assegnate ad un diverso utente (cliente di OLO) per attivare un nuovo impianto con il servizio WLR … e (ii) le linee attive migrate per il passaggio del cliente TIM ad un OLO. In conseguenza di tale anomalia, 1.995 numerazioni assegnate a clienti OLO e corrispondenti a numerazioni precedentemente utilizzate da clienti ex-TIM con Consenso al contatto sono state inserite nelle Liste delle campagne prospect. Tale anomalia è stata corretta eliminando dalle estrazioni effettuate da CRM … tutte le linee intestate a clienti OLO” (v. nota 12/11/2019). In altri termini, la predetta anomalia ha comportato, con riferimento alle campagne promozionali svolte dalla Società nei confronti di ex-clienti, l’inserimento nelle liste di contattabilità di numerazioni appartenute a clienti della Società, quindi disattivate e, successivamente, riassegnate, in quanto disponibili, a clienti di altri operatori. Ciò ha determinato un Trattamento illecito dei dati relativi alle numerazioni telefoniche di clienti di altri operatori, essendo il contatto commerciale avvenuto in assenza del previo Consenso degli interessati o di altro presupposto giuridico idoneo. Peraltro va tenuto in considerazione che la quantificazione del fenomeno (1.995 numerazioni) è riferita soltanto alle campagne promozionali svolte da TIM nel periodo luglio 2018-febbraio 2019, mentre l’anomalia in questione ha ragionevolmente riguardato un arco di tempo molto più lungo.

A ciò si aggiunge che, le argomentazioni rappresentate dalla Società non sono adeguatamente comprovate in atti. In alcuni casi (213 numerazioni e 638 contatti commerciali) la data di attivazione del servizio WLR è risultata infatti precedente di oltre 5 anni rispetto alla data di effettuazione della campagna commerciale: trascorsi i 5 anni anche l’eventuale Consenso al marketing fornito dall’ex-cliente cessato - erratamente attribuito, a detta della Società, ad un diverso soggetto, cliente OLO - avrebbe dovuto essere considerato - in base alla stessa policy TIM - non più valido per l’effettuazione del contatto commerciale.

Le condotte sopra descritte denotano un Trattamento illecito in quanto effettuato in assenza di idoneo Consenso da parte degli interessati oltre che in difformità ai principi di limitazione della conservazione e dell’obbligo di garantire e comprovare il rispetto della disciplina di protezione dei dati in ottemperanza al principio di Accountability (cfr. infra par. 3.8).

2.5. Il programma on line “TIM Party”

La Società, come è risultato dall'analisi del sito www.tim.it, prospetta ai suoi clienti la possibilità di aderire al programma “TIM Party”, che consente di accedere a vantaggi e sconti, nonché la partecipazione a concorsi a premi, rappresentando agli stessi che “Se ancora non lo hai rilasciato, ti sarà richiesto il Consenso per finalità di marketing da parte di Telecom”. Il cliente, dunque, per accedere a tale programma e ai connessi benefici, deve manifestare il Consenso alle finalità promozionali. Peraltro, risulta elevatissimo il numero dei clienti che hanno aderito a tale programma (circa 2.000.000 di linee telefoniche, fino a dicembre 2018: v. verbali 5 e 6/2/2019).

Al riguardo, TIM ha rappresentato (v. memoria 10/10/2019) che “le offerte dedicate costituiscono non già una attività promozionale ... ma bensì la funzione e finalità specifica e propria del programma stesso, ossia il c.d. oggetto del contratto ... Così, il cliente TIM che intenda aderire al programma compie una consapevole ed informata scelta e manifesta, attraverso l’iscrizione, la propria volontà di ricevere le comunicazioni relative a offerte, vantaggi e concorsi, che rappresentano l’unica finalità di TIM Party. Per tale ragione, l’iscrizione a TIM Party comporta necessariamente la modifica dei consensi registrati nel CRM, in quanto l’iscrizione al Programma risulta ictu oculi incompatibile con il diniego alle offerte commerciali...”. La Società, nella medesima sede, lasciando trapelare qualche proprio ragionevole dubbio sulla legittimità di tale prassi, ha aggiunto che “Qualora tale indicazione non venga condivisa, si rileva in subordine che la 'cessione del consenso' a fronte di vantaggi rimane comunque una libera scelta del consumatore, non espressamente preclusa dal Regolamento.” e ha fatto riferimento ad un presunto, e non identificato, parere richiesto in materia da questa Autorità.

In tal modo, la Società subordinando la partecipazione al programma di fidelizzazione “TIM Party” al rilascio del Consenso al Trattamento per attività promozionali, risulta condizionare la volontà degli interessati in ordine alla (generalizzata e indifferenziata) ricezione di comunicazioni promozionali da parte della stessa e con le modalità più diverse (automatizzate e tradizionali). Ciò, sebbene il predetto Trattamento non sia necessario alle finalità di esecuzione del contratto stipulato dall’interessato mediante l’adesione al programma, il quale ha ad oggetto il conseguimento di premi e sconti. Né risulta doverosamente chiarito nell’informativa resa agli interessati che tale manifestazione di volontà comporti automaticamente la modifica di eventuali dinieghi manifestati dagli stessi precedentemente all’adesione al Programma. Pertanto, la Società, in violazione dei principi di correttezza e trasparenza del trattamento, ha raccolto il Consenso degli interessati a fini promozionali con modalità tali da non garantirne la libera, specifica e consapevole manifestazione.

2.6. App messe a disposizione dei clienti

La Società offre ai propri clienti la possibilità di installare alcune applicazioni on line sui propri dispositivi mobili. In sede ispettiva è emerso che, in particolare, “My TIM”, “TIM Personal” e “TIM Smart Kid” prevedevano che l’utente, per poter usufruire delle varie previste funzionalità, al momento dell’installazione delle stesse, dovesse ‘accettare’ unitamente ai “termini di servizio” anche l’“informativa privacy”, la quale peraltro faceva riferimento a finalità promozionali, di geolocalizzazione e di comunicazione a terzi per finalità promozionali.

Considerato l’elevatissimo numero dei clienti che hanno installato tali applicazioni (7.000.000, “My TIM”; 400.000, “TIM Personal”; 10.000, “TIM Smart Kid”: v. all. 1 al verbale 6/2/2019 cit.), e che per un segnalante (XX) è emersa la valorizzazione del Consenso al marketing nonostante l’originario diniego espresso in sede contrattuale, la Società, su specifica richiesta, ha negato che l’accettazione dei “termini di servizio” unitamente all’“informativa privacy” comportasse una modifica delle manifestazioni di volontà precedentemente espresse dai clienti in sede di attivazione delle Sim (v. verbale 6/2/2019).

Relativamente all’informativa, TIM ha negato di utilizzare i dati raccolti con tali App per lo svolgimento delle menzionate attività promozionali, di geolocalizzazione e di comunicazione a terzi per finalità promozionali. Con specifico riferimento all’App “My TIM”, peraltro la Società ha successivamente prodotto all’Autorità una nuova informativa rivista alla luce della criticità sopra evidenziata (v. verbali 6, 14 e 28/2/2019; nonché riscontro 20/2/2018).

Più in generale, la medesima – nell’invocare la propria “buona fede”, a suo dire, comprovata proprio dalle seguenti modifiche apportate alla configurazione delle App “My TIM”, “TIM Personal” e “TIM Smart Kid” - ha rappresentato che (v. memoria 10/10/2019):

- “l’attivazione delle App in esame non richiede un espresso Consenso per l’uso né consente la modifica dei consensi per finalità di marketing del cliente, che possono essere gestiti dallo stesso attraverso i canali relativi alla gestione della linea TIM (i.e. tramite il portale web My TIM e, dall’agosto 2019, tramite l’App My TIM)”;

-  di aver “preso atto dei rilievi sollevati dell’Autorità circa la potenziale equivocità testuale delle informative in relazione ai possibili effetti derivanti dall’installazione delle App in esame, e ha provveduto a modificare”, nel periodo compreso fra febbraio e agosto 2019, “di conseguenza il testo delle informative medesime”;

- di aver modificato, coerentemente con le criticità emerse in sede ispettiva, anche la procedura relativa all’ “accettazione dei Terms&Conditions e la presa visione Informativa Privacy”, impostando “la necessaria selezione di due pulsanti separati”.

Inoltre le App “My TIM”; “TIM Personal”; “TIM Smart Kid”, al tempo degli accertamenti, non prevedevano l’acquisizione di un Consenso libero e specifico degli interessati per il Trattamento dei Dati personali a fronte di più finalità e di più operazioni di Trattamento (fra le quali, in particolare, attività “statistiche”; di “dimensionamento del servizio”; “diagnostica”), tra loro eterogenee e non tutte apparentemente necessarie ai servizi erogati agli interessati mediante le App.

In sintesi, riguardo alle App sopra indicate, non risulta dunque effettuato un Trattamento corretto e trasparente; è emersa altresì la mancata acquisizione di un Consenso libero e specifico degli utenti in relazione ad ogni singola finalità perseguita. 

2.7. Moduli utilizzati per la “autocertificazione possesso linea prepagata”

L’Autorità ha ricevuto una segnalazione evidenziante la somministrazione al segnalante dei suindicati moduli da parte di TIM, ove, a fronte di svariate finalità di Trattamento (statistiche; promozionali; di profilazione), veniva richiesto un unico indistinto consenso. La Società al riguardo ha rappresentato che: “il modulo di autocertificazione in oggetto (ed. marzo 2009), utilizzato dal Customer Care Business, non era stato aggiornato e pertanto presentava contenuti non più adeguati, tra cui la declaratoria dei consensi privacy ... non è possibile risalire al numero di clienti business che hanno sottoscritto tale modulo, in quanto non è prevista una specifica tracciatura per questa tipologia di modulo (utilizzato solo per intestazione della linea mobile prepagata a terza persona rispetto al Titolare del contratto di telefonia mobile business)”, aggiungendo che “E’ in corso la revisione del modulo … , che, una volta ultimata, sarà diffuso a tutte le strutture del Customer Care Business …” (v. riscontro 20/3/2019).

La Società ha successivamente presentato (il 10/10/2019) documentazione relativa a nuovi moduli preposti alla medesima funzione e già distribuiti, presentanti la richiesta di consensi liberi e specifici in base alle diverse finalità del Trattamento perseguite, segnalando che i dati raccolti dal segnalante e dagli altri interessati non sarebbero stati utilizzati per le finalità indicate nell'informativa (fra cui quelle promozionali), confermando così, tuttavia, l’avvenuta raccolta di un inidoneo consenso.

2.8. Gestione dei data breach - anomalie e disallineamenti relativi ai Dati personali della clientela

In base alle risultanze degli accertamenti ispettivi nonché dell’esame di alcune delle più significative notifiche di data breach presentate dalla Società, si è potuto rilevare che:

- in alcuni casi la Società ha provveduto tardivamente alla individuazione e corretta gestione degli episodi di violazione occorsi, attivando il dpo solo alcuni mesi dopo il rilevamento del problema, nonché all’effettuazione delle comunicazioni a questa Autorità prescritte dalla normativa vigente;

- i sistemi che trattano i Dati personali della clientela vanno frequentemente incontro a “disallineamenti”, “anomalie” ed “errate associazioni”.

Tali eventi risultano essere stati la causa di inconsistenze dei dati, che hanno provocato, ad esempio l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e dati di contatto (si vedano, ad esempio i data breach n. 170, 171, 175 e 186). Da ciò sono derivate comunicazioni, indebite, di Dati personali a soggetti diversi dall’interessato, ad esempio nel momento dell’invio della fattura e dei dati di traffico telefonico e telematico ad essa associati. Inoltre, sono risultati accessi, da parte di clienti, a dati di altri soggetti, visualizzati nella propria area di self-care del portale per la clientela.

I disallineamenti, idonei a pregiudicare l’esattezza dei dati trattati, risultano aver avuto impatto anche sui consensi privacy riportati nelle schede anagrafiche della clientela. A tal proposito, nel corso degli accertamenti ispettivi, è stata constatata la presenza di un’inconsistenza fra i consensi privacy riportati nell’anagrafica di un cliente e il dato desumibile dall’esame dello storico dei consensi (cfr. p. 5, verbale 14/2/2019; p. 7, verbale 28/2/2019).

La Società ha precisato che il disallineamento indicato ha riguardato ulteriori 2.894.292 linee ed è avvenuto a seguito del verificarsi di una “anomalia” nel corso di un’attività di bonifica massiva, che ha riguardato tutte le linee mobili della clientela consumer di TIM, effettuata, a partire dal 14/1/2019, sul sistema DWH-Consenso (v. riscontro 20/3/2019).

Per tali linee quindi, dalla data di effettuazione della bonifica al 18/3/2019 (data in cui la Società ha dichiarato di aver risolto l’anomalia), era presente un’inconsistenza fra i consensi presenti nella scheda anagrafica e lo stato dell’ultima variazione del consenso. Pertanto l’espressione dell’ultima modifica del Consenso effettuata dall’interessato, durante il periodo indicato, non veniva correttamente “propagata” nel CRM consumer, la cui scheda anagrafica continuava a mostrare i valori dei consensi precedenti all’ultima espressione di volontà.

Un’anomalia ha riguardato anche la black list dinieghi, in particolare interessando la data di inserimento delle numerazioni nella black list stessa. La Società risulta averne preso coscienza solo quando, nel corso dei detti accertamenti ispettivi relativi al telemarketing, ha dovuto spiegare i motivi per i quali quasi la metà delle numerazioni inserite nella citata lista di esclusione presentasse la medesima data di inserimento (cfr. p. 2, verbale 28/2/2019; riscontro 3/4/2019). La Società, precisando che il malfunzionamento software aveva preso avvio il 30/1/2018 ed era durato fino al 14/2/2019, ha assicurato di aver “risolto in modo strutturale l’anomalia a far data dal 8/3/19…”, e di aver inserito in black list “tutti i dinieghi 'bloccati' e solo temporaneamente non risultanti su tutti i database e, pertanto, la black list risulta, attualmente, completa e corretta”, così ammettendo che tale black list presentava precedentemente alcune inconsistenze nei dati (v. memoria 10/10/2019). La Società, nella stessa memoria ha evidenziato che tali disallineamenti non hanno “comportato la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, conservati o comunque trattati, ma unicamente il disallineamento tra diversi database e/o interfacce”, poiché “i dati aggiornati ed esatti erano comunque presenti nel DWH-Consenso, ossia dal sistema master sul quale si basano tutte le attività condotte da TIM in virtù dei consensi privacy dei clienti ..”. Si osserva altresì che tale ultima affermazione risulta parzialmente in contrasto con quanto rappresentato dalla Società, nella memoria del 12 novembre 2019, in cui ha affermato che: “l’anomalia già rappresentata al Garante nel Riscontro del 3 aprile 2019, che ha temporaneamente bloccato l’aggiornamento dell’archivio di DWH Consenso Prospect e che è stata ripristinata l’anomalia a partire dal 15 febbraio 2019, alcuni dinieghi sono stati registrati nel DWH Consenso Prospect a partire da quella data. […] Come già rappresentato in Memoria e nel Riscontro del 8 marzo 2019”, secondo TIM, si sarebbe verificata una “anomalia nell’aggiornamento dell’archivio DWH Consenso Prospect e conseguentemente della Black List Dinieghi usata dalle funzioni marketing…” da cui parrebbe evincersi che anche nel sistema DWH Consenso erano presenti anomalie relative allo stato dei consensi degli interessati.

Le predette anomalie rivelano un Trattamento non corretto e non idoneo a garantire l’esattezza dei dati personali, nonché l’integrità e la riservatezza dei sistemi, e quindi la mancata adozione di misure tecniche e organizzative adeguate a tali fini.

3. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle dichiarazioni della Società di cui risponde ai sensi dell’art. 168 Codice, si formulano le seguenti valutazioni in relazione ai profili riguardanti la disciplina in materia di protezione dei dati personali.

3.1. Telefonate effettuate nei confronti di utenze “fuori lista”

Con specifico riguardo alle telefonate effettuate, nei confronti di utenze “fuori lista”, da alcuni call center partner di TIM, è risultato che sono stati contattati soggetti “referenziati”, in base a una costante prassi operativa riconducibile a una cosciente scelta aziendale della Società e non riferibile ad eccezionali iniziative non autorizzate intraprese - ad insaputa del committente – e call center incaricata delle attività promozionali - dal personale (cfr. par. 2.1).

Al riguardo, TIM avrebbe dovuto, direttamente o tramite i propri partner, sottoporre a verifiche le informazioni raccolte sui c.d. “referenziati”, specie in relazione all’origine e alle concrete modalità di acquisizione dei dati (in particolare, l’esistenza del necessario previo Consenso per il fine promozionale ovvero la presenza dell’utenza in un elenco pubblico e, in pari tempo, la sua mancata iscrizione nel Registro pubblico delle opposizioni, cfr. provv. 18 aprile 2018, doc. web n. 9358243). Infatti, lo status di “referenziato” non può surrogare il necessario adempimento dell’obbligo della previa acquisizione di un Consenso specifico, documentato ed inequivocabile dell’interessato. Ciò, in quanto il Terzo referenziante non è (di regola) legittimato a prestare alcun valido Consenso per conto dell’interessato Destinatario della chiamata (v. provv. 26 luglio 2018, doc. web n. 9358243).

In aggiunta è risultato che nelle utenze “fuori lista” contattate figuravano anche 1.464 utenze che, in ottemperanza al citato provvedimento del 22 giugno 2016, erano state collocate in black list e che quindi non avrebbero potuto essere contattate a fini promozionali.

Inoltre, non può invocarsi quale base giuridica - come ha fatto TIM, peraltro, solo con la nota del 13 maggio 2019 e la memoria del 10 ottobre 2019, provando a scostarsi da quanto già emerso e cristallizzato in sede ispettiva - quella del “legittimo interesse” di TIM e dei suoi partner alle attività di marketing, magari unitamente al presunto interesse del soggetto “referenziante”, che coinvolge nella promozione l’amico o il parente.

In proposito, giova ribadire anzitutto che TIM non ha circostanziato né dimostrato lo status di “referenziato” per le singole utenze contattate “fuori lista” (inclusi, fra gli elementi, l’origine e le modalità esatte, anche temporali, di acquisizione dei dati in questione), ma si è limitata a presumere, genericamente ed indistintamente, che potesse trattarsi di utenze “referenziate”.

Va poi evidenziato che il legittimo interesse, di cui all'art. 6, par. 1, lett. f), del Regolamento - già previsto sia dall'abrogata direttiva 95/46/CE, nonché dal Codice previgente alle modifiche apportatevi dal d.lgs. n. 101/2018 (d.lgs. n. 196/2003, art. 24, comma 1, lett. g) - non può surrogare - in via generale - il Consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso – come già la direttiva 95/46/CE all’art. 7, comma 1, lett. f) - lo ammette solo “a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali”. Inoltre, il medesimo Regolamento (v. considerando 47), con specifico riguardo all'applicabilità del Legittimo interesse al marketing esige – con un approccio rigoroso quanto prudente - che si tengano in debito “conto le ragionevoli aspettative nutrite dall'interessato in base alla sua relazione con il Titolare del trattamento. Ad esempio, potrebbero sussistere tali legittimi interessi quando esista una relazione pertinente e appropriata tra l’interessato e il Titolare del trattamento, ad esempio quando l’interessato è un cliente o è alle dipendenze del Titolare del trattamento. In ogni caso, l'esistenza di legittimi interessi richiede un'attenta valutazione anche in merito all'eventualità che l'interessato, al momento e nell'ambito della raccolta dei dati personali, possa ragionevolmente attendersi che abbia luogo un Trattamento a tal fine. Gli interessi e i diritti fondamentali dell'interessato potrebbero in particolare prevalere sugli interessi del Titolare del Trattamento qualora i Dati personali siano trattati in circostanze in cui gli interessati non possano ragionevolmente attendersi un ulteriore Trattamento dei dati personali”. L'applicazione della base giuridica del Legittimo interesse presuppone quindi la prevalenza in concreto (in base a un bilanciamento rimesso al titolare, ma sempre valutabile dall'Autorità di controllo) di quest'ultimo sui diritti, libertà e meri interessi degli interessati (nello specifico, i destinatari delle comunicazioni promozionali non assistite dal consenso). In tale confronto, è necessaria l'attenta ponderazione dell'impatto del trattamento, che si intende effettuare su tali diritti, libertà ed interessi (fra cui, nel caso del marketing, sono ravvisabili anzitutto il diritto alla protezione dei dati e il diritto alla tranquillità individuale dell’interessato, v., da ultimo, Relazione annuale 2018, p. 107; anche provv. 22 maggio 2018, doc. web n. 8995274), ed è necessaria altresì, nel rispetto dei principi di responsabilità e trasparenza, la concreta attuazione di misure adeguate per garantire i diritti degli interessati, quale in particolare quello di opposizione (in questo senso, cfr. già il Parere del Gruppo Art. 29, n. 6/2014, sul concetto di interesse legittimo – WP 217, p. 35: l'istituto del Legittimo interesse “garantisce una maggiore protezione dell’interessato; in particolare, stabilisce che si tengano in considerazione non solo i diritti e le libertà fondamentali dell’interessato, ma anche il suo “interesse” - mero e non qualificato. … tutte le categorie di interessi dell’interessato devono essere prese in considerazione e valutate comparativamente rispetto a quelle del Responsabile del trattamento, nella misura in cui siano pertinenti nell’ambito del campo di applicazione della direttiva”).

Peraltro, “il Titolare del Trattamento non può …. ricorrere retroattivamente alla base dell’interesse legittimo in caso di problemi di validità del consenso. Poiché ha l’obbligo di comunicare [nell’informativa rilasciata all’interessato] la base legittima al momento della raccolta dei dati personali, il Titolare del Trattamento deve aver deciso la base legittima prima della raccolta dei dati” (così v. Linee guida del Gruppo Art. 29 sul Consenso ai sensi del Regolamento (UE) 2016/679, 10 aprile 2018, WP 259 rev.01). 

Pertanto – qualora non ricorrano i sopra delineati presupposti per il Legittimo interesse e ad eccezione delle ipotesi del c.d. “soft  spam” (art. 130, comma 4, Codice), nonché del sistema di “opt-out” per i dati presenti negli elenchi pubblici – si deve ritenere che la regola generale da seguire per i trattamenti per finalità promozionali sia quella del previo Consenso informato, libero, specifico e documentato degli interessati (come sottolineato anche dalle Linee Guida del Garante in materia promozionale, 4 luglio 2013, cit., e ancor prima dal provv. gen. 19 gennaio 2011,“Prescrizioni per il Trattamento di Dati personali per finalità di marketing, mediante l´impiego del telefono con operatore, a seguito dell´istituzione del registro pubblico delle opposizioni”, doc. web n. 1784528, che - nel ricordare la necessità, anche rispetto alle utenze di imprese o liberi professionisti reperibili in elenchi o albi pubblici, l’ulteriore stringente limite, nel rispetto del principio di ‘finalità’, della stretta e diretta funzionalità fra le offerte promozionali telefoniche e oggetto specifico dell’attività imprenditoriale/professionale - ha chiarito che, al di fuori dei summenzionati casi, il Trattamento per finalità promozionali dei “dati contenuti in banche dati comunque formate è consentito solamente nel rispetto dei principi generali del Codice e quindi solo previo rilascio di una idonea informativa e l´acquisizione dello specifico consenso…..”); principi, come noto, confermati e anzi resi più stringenti dal Regolamento mediante le previsioni di cui agli artt. 6, 7, 12 e 13.

Riguardo alle utenze “fuori lista” (in particolare, quelle “referenziate”), la responsabilità “generale” del Trattamento promozionale effettuato va ascritta – diversamente da quanto ritenuto da TIM – anche a quest’ultima, alla luce anche di quanto rilevato dal Gruppo Art. 29, in ordine al concetto di Titolare del trattamento, il quale “è funzionale, finalizzato cioè all’attribuzione di responsabilità laddove intervenga un’influenza effettiva: si basa quindi su un’analisi fattuale piuttosto che formale”. In particolare, ai fini dell’individuazione della titolarità concretamente esercitata, occorre esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l’immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità" (cfr. Parere n. 1/2010).

Invero, in base agli elementi raccolti, la Società infatti costituisce di fatto il soggetto committente per conto del quale viene svolta l’attività di telemarketing (inclusa quella di reperimento e di contatto dei “fuori lista”), sulla base anzitutto del contratto ma anche nella prassi operativa dei call center, impegnati costantemente ad utilizzare il nome e l’ immagine di TIM, nonché gli script dei messaggi promozionali della medesima Società; peraltro la medesima è chiaramente il soggetto cui sono principalmente destinati i vantaggi economici derivanti dai contratti stipulati con gli interessati che aderiscano all'offerta telefonica. A fronte di ciò, non risulta che TIM abbia in origine adeguatamente disciplinato, né monitorato adeguatamente tali modalità di gestione del contatto telefonico, né sia intervenuta per disciplinarla o dissuaderla successivamente alla stipula dei contratti con i partner (almeno fino alla lettera inviata il 9 ottobre 2019 ai detti partner, invitandoli a sospendere siffatta attività di contatto promozionale in attesa della definizione del procedimento avviato dal Garante il 25 luglio 2019).

Al riguardo, si noti altresì che, dai contratti stipulati con i partner, emerge come TIM abbia incaricato tali soggetti di svolgere l’attività promozionale utilizzando non solo le proprie liste di contattabilità, ma anche utenze “fuori lista”, quali quelle “lead”.Tuttavia, TIM nei contratti con i partner non ha ben circoscritto la nozione di “lead”, né ha indicato specifiche modalità procedurali di acquisizione delle relative numerazioni, accettando così il rischio di contatti non conformi alla normativa, anzi incoraggiando, già nelle previsioni contrattuali, tali attività e incamerando nei propri sistemi informativi i dati dei contatti commerciali - effettuati in assenza del Consenso degli interessati, ma andati a buon fine - nonché introitando le conseguenti utilità economiche (derivanti dalla stipula di contratti di fornitura di servizi - cfr., ad esempio, l’art. 7 del contratto tipo TIM-3G s.p.a., in base al quale per “lead” si intende l’ “autorizzazione ad essere ricontattato fornita dal Cliente che rilascia i propri Dati personali (nominativo completo e corretto, numero di telefono corretto ed attivo e/o indirizzo e-mail corretta ed attiva) … in accordo con le norme di legge vigenti, raccolta in forma cartacea, vocale o digitale)” dove inoltre si stabilisce che per “il calcolo dei corrispettivi, saranno presi in considerazione i Contatti utili effettuati ed i contratti acquisiti ed attivati secondo i dati risultanti dai sistemi informativi di Telecom”, in cui di fatto sono rientrati a far parte anche i c.d. “referenziati”). Inoltre, nonostante dati delle numerazioni “fuori lista” – fossero stati raccolti dai partner in violazione della disciplina vigente – e non potessero quindi essere utilizzati (art. 2-decies del Codice), TIM ne ha comunque costantemente accettato la registrazione nei propri sistemi per la gestione dei contratti stipulati, senza preoccuparsi di verificarne l’origine e, in particolare, la legittima acquisizione.

Considerata l’ampiezza del fenomeno dei contatti promozionali indesiderati nei confronti dei “fuori lista” ascrivibile, come sopra illustrato, anche alle perduranti e gravi mancanze della Società, quest’ultima deve ritenersi Responsabile della menzionata violazione del Consenso rispetto alle utenze “referenziate”, in quanto non risulta che abbia posto in essere “misure adeguate ed efficaci, in considerazione della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche” per garantire, ed essere in grado di comprovare, la conformità del Trattamento alla disciplina di protezione dei dati personali, così violando gravemente e ripetutamente gli obblighi di Accountability (v. artt. 24 e 28, specie par. 3, del Regolamento). In particolare, non risultano adottate misure atte ad impedire l’effettuazione di chiamate promozionali non lecite rispetto alle utenze “referenziate”, ovvero a garantire l’acquisizione di un previo valido Consenso degli interessati a fini promozionali o la presenza di altro idoneo presupposto giuridico (come nel caso in cui fossero state poste in essere adeguate verifiche in ordine alla rinvenibilità della c.d. “referenza”  in un elenco pubblico e la sua contestuale assenza nel Registro pubblico delle opposizioni).

Ciò, a tacere del fatto che proprio per le utenze “referenziate” presenti negli elenchi pubblici e al contempo nel Registro pubblico delle opposizioni, l’art. 1, comma 11, della legge n. 5/2018, ha introdotto nel nostro ordinamento un espresso principio di responsabilità solidale del titolare-committente per le attività promozionali affidate a call center terzi, stabilendo che: “Il Titolare del Trattamento dei Dati personali è Responsabile in solido delle violazioni delle disposizioni della presente legge anche nel caso di affidamento a terzi di attività di call center per l'effettuazione delle chiamate telefoniche.”.

Va precisato altresì che la presente impostazione giuridica non risulta smentita, come invece affermato da TIM, dalla richiamata ordinanza-ingiunzione adottata da questa Autorità l’11 aprile 2019, nei confronti di XX s.r.l.s. (doc. web n. 9116053), tenuto conto della diversità sostanziale della fattispecie oggetto della suindicata ordinanza, riguardante un’articolata filiera del Trattamento che discendeva dal committente fino ad una società albanese tramite più soggetti e passaggi intermedi.

Peraltro, non può escludersi nei fatti che si possa giungere a qualificare il rapporto tra TIM e i suoi partner in termini di contitolarità. Risulta, infatti, che detti partner hanno individuato e contattato utenze “fuori lista” al di fuori delle liste di contattabilità e del contratto formalmente stipulato con TIM, eccedendo, di fatto, il ruolo di meri responsabili del Trattamento formalmente affidato loro per l’esecuzione di campagne promozionali rivolte agli interessati presenti nelle liste TIM e determinando “finalità e mezzi del trattamento”, nell’ambito di un disegno unitario e di fatto condiviso, perlomeno riguardo alla finalità di acquisizione di nuovi clienti e nei suoi effetti operativi, con TIM (v. provv. 1° febbraio 2018, doc. web n. 7810723). Ciò anche in considerazione della circostanza inconfutabile, che l’utilizzo di numerazioni “fuori lista” era funzionale al perseguimento di un interesse condiviso, sia di TIM, sia dei suoi partner, dal quale ognuno traeva un vantaggio di natura economica. In tal modo, anche TIM ha sostanzialmente influito sul Trattamento dei dati posto in essere dai partner partecipando la determinazione delle finalità e dei mezzi di tale trattamento.

In questo quadro, l’attività di telemarketing effettuata per conto di TIM nei confronti dei “fuori lista” deve ritenersi un’attività economica sostanzialmente unitaria, non risultando possibile, né corretto, disgiungere e separare i relativi connessi obblighi e responsabilità (per analoghe considerazioni sulla responsabilità del committente rispetto alla condotta dei propri partner nonché degli altri soggetti eventualmente coinvolti nella “filiera del trattamento”, v. provv. 26 ottobre 2017, doc. web n. 7320903; provv. gen. 15 giugno 2011, doc. web n. 1821257, che, nell’argomentare la titolarità del Trattamento in capo ai committenti, evidenzia alcuni precisi elementi: qualora, come nel caso di specie, i contatti promozionali sono effettuati in nome, per conto e nell´interesse della società preponente, “negli interessati si ingenera un legittimo affidamento, dal momento che essi percepiscono di essere destinatari di iniziative pubblicitarie condotte direttamente dalla società per conto della quale viene formulata la proposta di vendita di prodotti o servizi; … - il mandato, spesso con rappresentanza, di volta in volta conferito vincola l´agente alla presentazione di offerte ed alla conclusione di contratti in nome, comunque per conto del preponente utilizzando, peraltro, la modulistica predisposta da quest´ultimo”. Inoltre, in base al citato provv. generale 15 giugno 2011, “i poteri tassativamente previsti dal Codice per la configurazione e l’esercizio della titolarità” …. “sono e restano appannaggio esclusivo dei preponenti. Tra questi, innanzitutto: - assumere decisioni relative alle finalità del Trattamento dei dati dei destinatari di campagne promozionali ai fini di invio di materiale pubblicitario o di vendita diretta o di ricerche commerciali o di comunicazione commerciale effettuate da soggetti terzi che agiscono in outsourcing per lo svolgimento delle richiamate attività di promozione e di commercializzazione di beni, prodotti e servizi”. Per analoghe argomentazioni, v. anche: le Linee guida in materia di attività promozionale e contrasto allo spam, 4 luglio 2013, doc. web n. 2542348; provv. gen. 18 aprile 2019, in materia di propaganda elettorale e comunicazione politica, doc. web n. 9105201; in tal senso v. Trib. Milano, sez. I civ., 28 marzo 2019, n. 2629, che conferma l’orientamento espresso dal Garante nel provv. 26 ottobre 2017, doc. web 7320903, sulla contitolarità del Trattamento in capo al committente; ord. ingiunzione 18 giugno 2015, doc. web n. 4253116; parere n. 1/2010 WP n. 169 del 16 febbraio 2010, che ha evidenziato, già in linea con la direttiva 95/46/CE, che, ai fini dell´individuazione della titolarità concretamente esercitata, occorra esaminare anche "elementi extracontrattuali, quali il controllo reale esercitato da una parte, l´immagine data agli interessati e il legittimo affidamento di questi ultimi sulla base di questa visibilità". V., in tal senso anche l’orientamento della giurisprudenza comunitaria, rispetto alla quale vige l’obbligo di interpretazione conforme delle norme: sent. CGUE, Causa C-131/12 – Google Spain SL, Google Inc./Agencia Española de Protección de Datos, Mario Costeja Gonzáles, sul noto caso “Google Spain”, dalla quale può desumersi che le responsabilità non possono essere scisse dai vantaggi, quali i profitti economici, derivanti dalla medesima attività di trattamento; sent. CGUE, 5 giugno 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein, facente riferimento ad un concetto ampio di (con)titolarità nel trattamento, includendo anche il soggetto che, in qualche modo, ha contribuito alla determinazione anche delle sole finalità del trattamento. Sulla contitolarità, cfr. sent. CGUE, 10 luglio 2018, C-25/17, Tietosuojavaltuutettu; CGUE, 29 luglio 2019, C-40/17, Fashion ID GmbH & Co. KG / Verbraucherzentrale NRW eV).

Tanto considerato, poiché i predetti trattamenti sono avvenuti in assenza del necessario Consenso degli interessati o di altra idonea base giuridica, TIM risulta aver violato gli artt. 5, par. 1, lett. a), e par. 2, 6, 7, 24 e 28 del Regolamento, nonché l’art. 130 del Codice.

3.2. Comunicazioni promozionali “ibride” e violazione delle disposizioni in materia di esercizio dei diritti degli interessati

Variegata si presenta la casistica riguardo il mancato adeguato rispetto dei diritti degli interessati (cfr. par. 2.2 e 2.3).

Risulta accertato il mancato riscontro alle istanze di esercizio dei diritti previsti in materia formulate da parte di alcuni interessati, di cui alcune inviate a mezzo di posta certificata, e quindi una condotta non coerente con l’obbligo del Titolare di agevolare con misure appropriate l’esercizio dei diritti degli interessati previsti dalla normativa in materia e di soddisfare senza ritardo le medesime (v. art. 12, par. 1, 2 e 3, Regolamento; v. peraltro già art. 8, comma 1, Codice previgente, ad attestare il carattere costante di tale obbligo).

Al riguardo si deve però osservare che le lacune emergenti dai riscontri ad alcuni interessati (v. XX, XX, XX, XX, XX, XX, XX, XX) e in particolare il lasso di tempo intercorrente tra la data di esercizio dei diritti e la data d’inserimento nella black list societaria, risultano riferibili al periodo antecedente all’adozione del citato provvedimento del 2016 “e pertanto rispecchia(no) fisiologicamente l’anomalia già rilevata a suo tempo dal Garante… (tanto da essere oggetto di apposite prescrizioni con il citato provvedimento e del successivo piano di adeguamento posto in essere dalla Società ed ampiamente documentato alla stessa Autorità …” (in questi termini, il riscontro 2/5/2019). Confermando (v. nota dell'Autorità 25 luglio 2019) che le dette lacune non possono essere quindi contestate, risultano, tuttavia, successive al citato provvedimento – e quindi meritevoli di censura - le analoghe lacune acclarate nei confronti delle istanze di XX; XX; XX; XX; XX; XX; e, da ultimo, XX, ravvisandosi la violazione del diritto di Revoca del Consenso e di opposizione di cui, rispettivamente, agli artt. 7, par. 3, e 21, par. 2 e 3, del Regolamento (diritto, quello all’opposizione, già sancito dall’art. 7, comma 4, lett. b, Codice previgente).

Una carente gestione della volontà oppositiva degli interessati risulta anche con riferimento al malfunzionamento del software che non ha consentito per un ampio periodo (v. sopra par. 2.8) il tempestivo caricamento dei dinieghi in black list e la loro tempestiva e corretta risultanza su tutti i database societari.

Non risulta, inoltre, che la Società abbia correttamente gestito il Trattamento dei dati dei c.d. “fuori lista” e le eventuali opposizioni effettuate dagli stessi (v. par. 2.1), né che abbia adeguatamente monitorato la corretta gestione dei dinieghi e la corretta implementazione delle black list da parte dei propri partner, essendo emerso, in particolare, che vari dinieghi sono stati registrati nei sistemi societari anche 451 giorni dopo la data del diniego (v. tabella allegata – n.1- a nota del 12/11/2019), e comunque ben al di là del riscontro dovuto per legge (senza ingiustificato ritardo o, tutt’al più, entro un mese dal ricevimento dell’istanza, come stabilito dall’art. 12, par. 3, Regolamento) (v. par. 2.1). La gravità della condotta di TIM emerge tanto più alla luce del fatto che nell’ordinamento vigente, il dissenso espresso one to one (dal singolo interessato al singolo titolare) prevale sul generico meccanismo autorizzatorio al marketing telefonico in regime di opt-out previsto dal Registro pubblico delle opposizioni rispetto alle utenze presenti negli elenchi pubblici (v. provv. gen. 19 gennaio 2011, cit.). 

Anche in base a quanto già detto riguardo alla responsabilità di TIM, quale contitolare riguardo a siffatte chiamate o comunque committente delle campagne promozionali, una ancor più grave violazione risulta riscontrabile rispetto alle utenze telefoniche che - pur poste nella black list marketing a seguito del citato provvedimento 22 giugno 2016, il quale ne aveva vietato il Trattamento per finalità di marketing – tuttavia, risultano contattate nell’ambito delle chiamate “fuorilista” effettuate dai call center, in assenza di un’adeguata attività di monitoraggio e “filtro” di tali contatti promozionali che va rimproverata alla Società, quanto ai call center autori dei contatti. Né risulta che la Società, per tutti gli interessati in questione abbia comprovato, producendo idonea documentazione, il necessario consenso. Ciò, ferma restando la non applicabilità al caso di specie dell'istituto dell’interesse legittimo, ancorché prospettato dalla Società.

Peraltro non risulta in linea con il diritto di opposizione, né con il principio di correttezza, la prassi, talora emersa, di rivolgere, nell’ambito di una medesima campagna promozionale, un numero elevatissimo (anche 155 volte, tanto più considerato il periodo - mensile - del loro svolgimento) di telefonate alla medesima utenza; eccesso che può ritenersi agevolato da TIM nel momento in cui non risulta aver adottato misure organizzative e tecniche adeguate ad evitare, magari con adeguata vigilanza in loco, ricontatti promozionali indesiderati.

Anche con specifico riguardo alle comunicazioni effettuate da TIM, anche via sms, per finalità asseritamente endo-contrattuali, ma contenenti anche un’offerta promozionale nonostante il diniego degli interessati a ricevere comunicazioni promozionali (cfr. par. 2.3), è ravvisabile la violazione dei principi di finalità e correttezza del trattamento, nonché del diritto di opposizione al Trattamento per fini promozionali (sanciti, rispettivamente, dall’art. 5, par. 1, lett. a e b, e dall’art. 21, par. 2 e 3, del Regolamento), nonché la violazione delle norme sulle comunicazioni promozionali automatizzate (artt. 6, 7, del Regolamento, e 130 Codice). Infatti, non rileva se l’offerta promozionale, in concreto, non avvantaggi l’impresa ma l’interessato (v. memoria TIM 10/10/2019), rilevando invece unicamente il contenuto, anche solo in parte, promozionale di prodotti e/o servizi.

Infine, con riferimento alle telefonate indesiderate causate da asseriti “sviste o errori” commessi da alcuni partner di TIM (cfr. par. 2.3), si ritiene che questi ultimi, oltre a rivelare, in capo ai call center, la possibile violazione di regole di diligenza tecnica e professionale, facciano emergere anche la responsabilità della Società, che non ha provato di aver sufficientemente operato per impedirli. Risulta, in particolare, riconosciuta alla medesima una culpa in vigilando, in quanto non emerge che TIM abbia adeguatamente verificato, anche con audit in loco, che non si effettuassero telefonate nei confronti di utenze in difetto di una idonea base giuridica, violando così l’art. 28, par. 3, lett. a), del Regolamento.

3.3. Dati clienti c.d. “OLO” e dati presenti in black list

Per maggiore chiarezza (anche rispetto a quanto indicato dalla Società al fine di ridurre il numero delle chiamate effettuate, facendo presente la percentuale di “raggiungibilità” delle stesse), occorre, preliminarmente, osservare che costituisce Trattamento rilevante già l’inserimento del dato di utenza in liste di contattabilità nonché la telefonata promozionale effettuata, anche se non “raggiunga” l’interessato (perché magari questi non risponda o blocchi il tentativo di contatto).

Con specifico riferimento al quantitativo di clienti OLO inseriti nelle liste delle campagne prospect (cfr. par. 2.4), la Società non ha fornito prova che il Trattamento per finalità promozionale sia stato effettuato in base a un preventivo idoneo Consenso per l’attività di marketing dei singoli interessati, violando così gli artt. 6 e 7; considerando 32, 40, 42 e 43, del Regolamento, nonché art. 130 Codice (come già sancito dagli artt. 23-130, Codice previgente). In proposito cfr. altresì Linee guida in materia di Trattamento di Dati personali per Profilazione on line - 19 marzo 2015), né risulta aver circostanziato e documentato altre diverse ed alternative basi giuridiche, con riferimento ai medesimi interessati.

La Società al riguardo (v. memorie 10/10/2019 e 12/11/2019, cit.), si è limitata a prospettare sull’origine dei dati riferiti agli OLO inseriti in campagne commerciali, che alcune utenze sarebbero ricavate dagli elenchi telefonici pubblici, ma senza documentare la necessaria attività di preventiva verifica presso il Registro pubblico delle opposizioni; altre sarebbero utenze rientrate in TIM, senza però circostanziare tale evenienza (in particolare: tempi; canale di raccolta), né fornire prova degli adempimenti dell’informativa e dell’avvenuta raccolta del Consenso specifico al fine promozionale. Per le restanti, ha fatto espresso riferimento (solo nella nota 12/11/2019) ad un’anomalia della procedura che avrebbe determinato il conseguente inserimento nelle liste per la campagna promozionale. Pertanto, la Società ha altresì violato l’obbligo di cui agli artt. 5, par. 2, e 24 del Regolamento, posto in capo del Titolare del Trattamento di dimostrare la conformità del Trattamento ai principi del Regolamento medesimo.

Per tali dati (clienti OLO) - come per i dati presenti in black list, oggetto di disallineamento sistematico - comunque, è opportuno ricordare che, a prescindere dal loro utilizzo o meno a fini promozionali, il relativo trattamento, per quanto detto, deve ritenersi illecito già in base alla non conformità ai principi di correttezza, limitazione della finalità, limitazione della conservazione, nonché esattezza ed integrità di cui all’art. 5, par. 1, lett. a), b) ed e), del Regolamento.

3.4. Il programma on line “TIM Party”

Con riferimento a “TIM Party” (cfr. par. 2.5), il fatto che la Società abbia subordinato l’adesione del cliente alle varie funzionalità del servizio all’acquisizione del Consenso al Trattamento dei dati che lo riguardano per finalità di marketing, unendo in una formula unitaria e inscindibile le diverse finalità contrattuali (erogazione di vantaggi e sconti; partecipazione a concorsi a premi) con le finalità promozionali, determina anche in questo caso una coazione della volontà dell’interessato, con conseguente violazione, da parte di TIM, dei principi di correttezza del trattamento, e della libertà di manifestazione del Consenso (artt. 5, par. 1, lett. a, e 7, par. 4; considerando 32, 40, 42 e 43, Regolamento; principio peraltro già sancito dall’art. 23 del Codice previgente. Sulla necessità di un Consenso libero e informato, cfr. altresì: Linee guida sul Consenso ai sensi del Regolamento (UE) 2016/679, elaborate dal Gruppo Art. 29 e adottate dal Comitato europeo per la protezione dei dati nella versione del 10 aprile 2018; Parere n. 15/2011 sulla definizione di Consenso – WP 187, adottato dal Gruppo Art. 29 il 13 luglio 2011; Raccomandazione CM/Rec(2010)13 del Comitato dei Ministri del Consiglio d’Europa agli Stati Membri sulla protezione delle persone fisiche con riguardo al Trattamento automatizzato di Dati personali nel contesto dell’attività di profilazione, 23 novembre 2010).

Infatti, non può definirsi libero, e risulta indebitamente necessitato, il Consenso al Trattamento dei Dati personali che l’interessato deve prestare, accettando (nel caso di specie quale condizione per conseguire i vantaggi dell’operazione a premi) l’utilizzo di propri Dati personali conferiti ad altri scopi per l’invio di comunicazioni pubblicitarie (ovviamente, il consens