Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Wind Tre s.p.a. - 22 maggio 2018 [9018431]

[doc. web n. 9018431]

Ordinanza ingiunzione nei confronti di Wind Tre s.p.a. - 22 maggio 2018

Registro dei provvedimenti
n. 330 del 22 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; 

RILEVATO che, all’esito di un procedimento amministrativo a fronte di segnalazione, il Garante, con il provvedimento inibitorio e prescrittivo n. 437 del 27 ottobre 2016 (avverso il quale è stato presentato ricorso ai sensi dell’art. 152 del Codice tutt’oggi pendente), ha accertato che Wind Telecomunicazioni s.p.a., oggi Wind Tre s.p.a. P.Iva: 13378520152, con sede in Trezzano sul Naviglio (Mi), via Leonardo da Vinci n. 1, non ha trattato lecitamente i dati personali dei propri clienti avendo effettuato sugli stessi una pluralità di operazioni di trattamento per finalità di marketing. In particolare, gli accertamenti ispettivi formalizzati con il verbale di operazioni compiute datato 31 agosto 2016, con riguardo alle intere campagne della Wind denominate “Raccolta consensi […]” che hanno interessato circa 5.000.000 di utenti, hanno consentito di appurare che la società ha effettuato operazioni di trattamento finalizzate allo svolgimento di attività promozionali in violazione della disciplina rilevante in materia di protezione dei dati personali, con particolare riferimento alla mancanza di consenso degli interessati, come richiesto invece dagli artt. 23 e 130, commi 1 e 2, del Codice. Nel caso in esame, l’Autorità ha accertato che Wind, in violazione di quanto previsto dal combinato disposto di cui agli artt. 23 e 130, commi 1 e 2 del Codice, mediante l’invio di sms “ha realizzato una pluralità di campagne volte all’acquisizione del consenso […] che hanno interessato due tipologie di clienti, quelli oggetto di nuova acquisizione e quelli già presenti nella “customer base” della società. […] con le seguenti caratteristiche:

a)  n. 9 campagne denominate “Raccolta consensi su GA senza consenso [dove per GA si intende Gross Add - nuove acquisizioni]”,  che hanno coinvolto, nell’anno 2015, circa 1.300.000  utenze mobili, con la conseguente acquisizione di 21.000 consensi circa;

b)  n. 6 campagne denominate “Raccolta consensi di GA senza consenso […]”, che hanno coinvolto, nell’anno 2016 (fino al mese di agosto), circa  730.000 utenze mobili, con la conseguente acquisizione di 19.000 consensi circa;

c)  n. 3 campagne denominate “Raccolta consensi su CB senza consenso [dove per CB si intende Customer base]”, che hanno coinvolto […] circa 3.000.000 utenze mobili, con la conseguente acquisizione di 44.000 consensi circa”; 

attività condotte sistematicamente nel corso degli anni 2015 e 2016, che hanno consentito alla società di addivenire a circa 84.000 “contatti utili”, e tali condotte sostanziano l’ipotesi di violazione riguardante più violazioni commesse in relazione a banche di dati di particolare rilevanza e dimensione ai sensi dell’art. 164-bis, comma 2, del Codice;

VISTO il verbale nr. 37913/110824 del 16 dicembre 2016 redatto dall’Ufficio del Garante (che qui si intende integralmente richiamato) con cui sono state contestate a Wind Telecomunicazioni s.p.a., oggi Wind Tre s.p.a, in persona del legale rappresentante pro-tempore: a) la violazione amministrativa di cui agli artt. 23 e 130, commi 1 e 2, del Codice, con riferimento alla mancata acquisizione del consenso preventivo degli interessati per i trattamenti effettuati per finalità di marketing, sanzionate dall’art. 162, comma 2-bis del Codice; b) la violazione amministrativa, non definibile in via breve ai sensi dell’art. 16 della legge 24 novembre 1981, n. 689, di cui all’art. 164-bis, comma 2, del Codice, con riferimento alla circostanza che Wind ha commesso le violazioni di più disposizioni di cui al Capo I del Codice, nei termini di cui alla contestazione sub a), in relazione a banche dati di particolare rilevanza e dimensioni;

RILEVATO che la società, ai sensi e per gli effetti di quanto previsto dall’art. 16 della legge 24 novembre 1981, n. 689, non risulta aver effettuato il pagamento in misura ridotta dell’importo pari al doppio del minimo afferente il rilievo per la violazione dell’art. 162, comma 2-bis del Codice di cui alla lettera a) del citato atto di contestazione del 16 dicembre 2016;

VISTO lo scritto difensivo datato 16 gennaio 2017 e inviato ai sensi dell’art. 18 della legge 24 novembre 1981, n. 689, con il quale la società ha osservato come “Il Garante muove dal presupposto erroneo che gli SMS inviati da Wind, finalizzati all’aggiornamento delle preferenze degli utenti sul consenso, avrebbero natura promozionale ma così non è in quanto nessuna proposizione commerciale è stata avanzata con detti SMS. (…) L’attività nella specie svolta da Wind era finalizzata esclusivamente ad ottenere un aggiornamento delle preferenze dei propri clienti in materia di trattamento dei dati personali. D’altro canto, “(…) lo stesso Garante riconosce che l’attività (…) svolta da Wind era meramente volta alla acquisizione del consenso – cfr 2.2 e 3.1 del provvedimento -”. 

Inoltre la società rileva come “Tenuto conto del loro contenuto, i messaggi di testo di cui trattasi sono a ben vedere non dissimili dai c.d. messaggi di servizio che, ai sensi della disciplina del Codice delle Comunicazioni elettroniche (D.lgs. n. 259/2003), operatori, quali appunto Wind, sono tenuti ad inviare ai propri clienti per tenerli costantemente aggiornati in merito ai principali aspetti contrattuali di proprio interesse. In tale quadro, rileva in particolare la previsione di cui all’art. 71, comma 2-bis, lett. e) del Codice delle Comunicazioni”. Con riferimento alla medesima normativa evidenzia, altresì, come vada “(…) rammentata la previsione del successivo art. 71 comma 2-quater del Codice delle Comunicazioni elettroniche che impone tra l’altro di diffondere all’occorrenza informazioni gratuite di pubblico interesse agli attuali e nuovi contraenti tramite gli stessi canali normalmente utilizzati dalle imprese per le loro comunicazioni con i contraenti – riguardo – i mezzi di protezione contro i rischi per la sicurezza personale, per la vita privata e per i dati personali nella fruizione di servizi di comunicazione elettronica”. 

La società ha poi osservato come “Il divieto disposto dal provvedimento si pone in contrasto con la libertà di impresa di Wind; (…) Un tale divieto limiterebbe indebitamente l’attività economica di Wind impedendole, di fatto, lo svolgimento di future attività di direct marketing”.

“Un’altra circostanza meritevole di analisi (…) è che il Provvedimento oggetto di impugnativa attesta che, a fronte di invii che hanno interessato circa 5.000.000 di utenze, solo 3 clienti (…) hanno ritenuto di aver subito un qualche nocumento meritevole di segnalazione al Garante (…)”.

Con specifico riferimento “(…) ai profili sanzionatori attinenti al provvedimento di contestazione (…)”, ha osservato come “(…) Wind abbia nella specie agito in buona fede. Nell’effettuare le iniziative censurate dal Garante, l’Azienda ha operato nel pieno convincimento della legittimità della propria condotta e, dunque, della sua coerenza con le previsioni del Codice in materia di consenso. Come risulta anche dalle argomentazioni sviluppate da Wind nel ricorso presentato al Tribunale di Roma, tale convinzione deriva da un’attenta interpretazione della normativa nazionale ed europea conferente, nonché dall’analisi della prassi sviluppata dallo stesso Garante e da altre autorità europee in materia di consenso in relazione ad attività promozionali” argomentando, poi, in ordine “(…) al quantum della sanzione, ai sensi dell’art. 11 della legge n. 689/1981 (…)”.

VISTO il verbale di audizione delle parti redatto in data 4 maggio 2018 ai sensi dell’art. 18 della legge n. 689/1981, nel quale la società, ribadendo le argomentazioni prospettate nella citata memoria, ha sottolineato come “(…) Wind, a differenza dei suoi competitor, sia stata l’unica società che ha rivolto tale attività di servizio (campagne di aggiornamento della manifestazione del consenso) esclusivamente alla propria base clienti attiva, senza quindi inviare alcun tipo di comunicazione a soggetti cessati o cosi detti prospect. Inoltre, “(…) tali sms di servizio non sono mai stati indirizzati a clienti che avevano espressamente negato il consenso a comunicazioni di natura commerciale. Peraltro, (…) la società non ha mai fatto seguire alcun tipo di proposta commerciale unitamente al messaggio di servizio (…). Sotto diverso profilo (…) si rileva come l’Autorità, con apposito provvedimento di cui al doc. web 2542348 del 4 luglio 2013 abbia previsto la possibilità di utilizzare canali automatizzati di contatto per inviare comunicazioni commerciali anche in assenza di specifico consenso a condizione che la comunicazione stessa avesse ad oggetto prodotti o servizi analoghi a quelli già consensati”;

RITENUTO che le argomentazioni addotte non risultano idonee a determinare l’archiviazione del procedimento sanzionatorio. Riguardo quanto rappresentato nella memoria difensiva, si osserva come solo le argomentazioni afferenti“(…) ai profili sanzionatori attinenti al provvedimento di contestazione (…)” ineriscano direttamente il verbale in argomento. Le rimanenti, oltre a non introdurre alcun elemento di novità rispetto a quelli già presi in considerazione nella fase istruttoria del procedimento amministrativo conclusosi con il provvedimento inibitorio e prescrittivo n. 437 del 27 ottobre 2016, sono state sostanzialmente utilizzate nel ricorso presentato da Wind Telecomunicazioni s.p.a. (oggi Wind Tre s.p.a.) ai sensi dell’art. 152 del Codice avente ad oggetto il citato provvedimento del Garante presso il Tribunale di Roma ad oggi ancora pendente. Avverso tali argomentazioni l’Autorità, costituendosi in giudizio, ha controdedotto, evidenziando che:

“Come affermato da Trib. Milano 23.4.2014, Fastweb c/ Garante:

“Non pare inutile ricordare in premessa che il D. Lgs.vo n. 196/2003, costituente attuazione della direttiva europea 95/46/CE, ha arricchito il complesso degli strumenti di protezione istituiti dall'ordina1nento, affermando all'art. 1 D. L.gs.vo n. 196/2003, corrispondente al contenuto dell'art. 8 Carta di Nizza (CEDU), il diritto alla protezione dei dati personali. Già nei ‘considerando’ della direttiva CE n. 95/46/CE, pur a fronte dell'interesse generale alla conoscenza e alla libera circolazione delle informazioni, viene riconosciuta preminenza agli interessi fondamentali della persona estrinsecantesi in dati personali che ne consentano l'identificazione e la profilazione in ogni aspetto di rilievo e che possono essere sacrificati non in considerazione di interessi collettivi generali, ma soltanto di interessi primari della collettività. 

Deve quindi affermarsi l'esistenza, se non di un "diritto al dato personale" inteso in senso potestativo assoluto, quanto meno di un '”diritto alla protezione dei propri dati personali", da considerarsi diritto fondamentale, previsto e riconosciuto nella stessa Costituzione Europea (art. 8); esso non può essere considerato in veste meramente funzionale alla tutela degli altri diritti e libertà fondamentali della persona, essendo configurato quale diritto autonomo alla protezione stessa, da intendersi come salvaguardia da accessi illegittimi al dato personale stesso.

La norma costituzionale menzionata, al comma due, appare sovrapponibile all'art.2, comma uno del decreto legislativo in esame, prescrivendo che i dati personali devono essere trattati correttamente, per finalità determinate, e sulla base del consenso dell'interessato o di altro fondamento legittimo, e che ciascuno abbia diritto ad accedere ai dati che lo riguardano e di ottenerne la rettificazione.

In tale prospettiva, il diritto alla protezione dei dati evidenzia un interesse fondamentale della persona alla corretta e legittima utilizzazione dei propri dati personali, pur non configurando un diritto alla titolarità di quel dato.”

Alla luce di questo quadro normativo va considerato il fenomeno della ricezione, da parte dei cittadini, delle comunicazioni indesiderate finalizzate ad attività promozionale, fenomeno molto diffuso e che, nonostante i ripetuti interventi del legislatore e del Garante, continua a manifestarsi in misura preoccupante.

Basti pensare che, nel corso del 2015, su totale di 3.650 segnalazioni e reclami pervenuti al Garante, ben 1.412 (ossia, poco meno del 40%) hanno riguardato il c.d. marketing telefonico e che, nello stesso periodo, su un totale di 4.638 provvedimenti adottati dall’Autorità (relativi a segnalazioni pervenute nel 2015 o sul finire dell’anno precedente), quelli riguardanti lo spam telefonico per motivi commerciali hanno raggiunto il numero di 1.650 

Per tale motivo, il legislatore ha dedicato al fenomeno dello spam disposizioni specifiche del Codice che ribadiscono i principi fondamentali della materia della protezione dei dati personali, ossia, principalmente, che il trattamento dei dati personali, da parte dei soggetti privati deve, come regola generale , avvenire previo il consenso informato degli interessati (art. 23 del Codice).

In particolare, l’art. 130 del Codice stabilisce, nei primi due commi, che “l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.

La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.”

A fronte del quadro descritto, appare chiaro che la capziosa tesi di Wind si appalesa come un tentativo di aggirare il sistema di tutela dei dati personali nel settore considerato.

Innanzitutto, infatti, occorre valutare che un messaggio sms finalizzato chiedere ad un soggetto di prestare il consenso al fine di ricevere le proposte commerciali è, di per sé, una comunicazione a fini promozionali, poiché la finalità alla quale è imprescindibilmente connesso il consenso richiesto caratterizza necessariamente anche il trattamento. In altre parole, il trattamento dei dati dell’interessato per chiedere il consenso al fine di marketing è un trattamento per finalità di marketing.

Se è vero che il dichiarato scopo dell’invio degli sms  effettuati nell’ambito delle campagne "Raccolta consensi su GA e CB senza consenso"  era quella di ottenere, da chi non aveva fornito  il consenso o lo aveva espressamente negato, ad essere contattato per finalità commerciali, appare evidente che tale iniziativa, proprio in quanto finalizzata ad ottenere il consenso “a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale” (così l’art. 7 del Codice) è una comunicazione a fini promozionali.

Il punto di equilibrio tra il diritto alla protezione dei dati personali e la libertà di iniziativa economica – che la ricorrente pretende minacciata dal provvedimento del Garante – è stato raggiunto dal Legislatore comunitario e da quello nazionale, stabilendo che la comunicazione per fini commerciali può essere effettuata, ma solo previo consenso dell’interessato. In tale prospettiva, non è già il provvedimento del Garante, bensì la tesi di Wind che, ove accolta,  disarticolerebbe il meccanismo legislativo che regola la materia del consenso nell’ambito delle comunicazioni per finalità promozionali ed il sotteso equilibrio tra interessi contrapposti, faticosamente raggiunto in sede europea.

A questo punto, giova osservare che le Linee guida in materia di direct marketing, redatte dall’Information Commissioner’s Office (ICO), non contraddicono la posizione espressa dal Garante italiano, come sostiene il ricorrente, ma anzi la confermano.

(…) la difesa di parte ricorrente, nel riportare il passo delle predette Linee guida sopra indicato, ne ha “dimenticato” una parte, stravolgendone così il significato.

Infatti, se è vero che nel paragrafo 194 delle Linee guida è riportato, come detto dalla ricorrente, “Riteniamo che possa essere ragionevole inviare un messaggio immediatamente a coloro i quali non abbiano fornito il consenso confermando loro l'esercizio dell'opt-out e fornendo loro informazioni su come fornire nuovamente il consenso, o per ricordare loro che possono optare di nuovo per il trattamento ai fini commerciali ”, è altrettanto vero che la frase non si conclude così, avendo precisato l’Autorità inglese: “if the reminder forms a minor and incidental addition to a message being sent anyway for another purpose”, ossia “purché questo promemoria costituisca un’aggiunta secondaria e incidentale rispetto a un messaggio che sia inviato comunque per altri scopi” (si riporta il testo ufficiale prelevato dal sito internet dell’istituzione inglese, url https://ico.org.uk/media/for-organisations/documents/1555/direct-marketing-guidance.pdf).

Questo passaggio, dimenticato dalla ricorrente, consente di apprezzare il senso compiuto dell’affermazione dell’Autorità inglese, secondo cui un eventuale promemoria sul “ripensamento” in materia di consenso per finalità promozionali è ammissibile solo se costituente il contenuto incidentale e sintetico di una comunicazione inviata ad altri fini, come una fatturazione o la comunicazione di una variazione dei termini tecnici o delle condizioni commerciali del servizio offerto.

Wind, invece, ha fatto della richiesta di ravvedimento in tema di consenso il contenuto esclusivo di una campagna promozionale che ha interessato cinque milioni di utenti.

Ma v’è di più.

In realtà, il Garante inglese ha espresso, nelle stesse Linee guida, una posizione esattamente corrispondente a quella adottata dal Garante italiano ed opposta a quella propugnata dalla ricorrente. Infatti, nel paragrafo 193 l’ICO ha precisato che “Le organizzazioni non devono contattare le persone indicate in una ‘suppression list’   a una data successiva per chiederle se vogliono optare per ricevere marketing. Questo contatto comporterebbe l'utilizzo dei propri dati personali per scopi di marketing diretto e rischia di violare il DPA [Data Protection Act 1998], e violerà anche il PECR [The Privacy and Electronic Communications Regulations 2003 (EC Directive)] se il contatto è per telefono, testo o e-mail.”. 

Anche nel “Parere 5/2004 relativo alle comunicazioni indesiderate a fini di commercializzazione diretta”, adottato il 27 febbraio 2004 dal Gruppo di lavoro Articolo 29 , si precisa che “La norma del consenso esplicito si basa sul consenso previo, così come viene specificato al paragrafo 1 dell'articolo 13 della direttiva 2002/58/CE: ‘1. L'uso di sistemi automatizzati di chiamata senza intervento di un operatore (dispositivi automatici di chiamata), del telefax o della posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso’. […] D'altro canto, non sarebbe compatibile con l'articolo 13 della direttiva 2002/58/CE la semplice richiesta, attraverso un messaggio di posta elettronica generale inviato ai riceventi, del consenso a ricevere messaggi commerciali di posta elettronica, considerando il requisito che i fini devono essere legittimi, espliciti e specifici.” (paragrafo 3.2; evidenze aggiunte).

Tornando al diritto interno, il provvedimento oggetto dell’attuale ricorso rappresenta la conferma di un orientamento costantemente seguito dal Garante, di cui è espressione anche nel recente provvedimento 22 giugno 2016, n. 275 (in www.garanteprivacy.it, doc. web n. 5255159) (…), assunto nei confronti di una società concorrente di Wind, perfettamente calzante al caso di specie.

In tale provvedimento, al di là delle differenze di contesto, è stato affermato il principio secondo cui il trattamento dei dati dell’interessato tramite invio di comunicazioni (in quel caso telefoniche, tramite un responsabile del trattamento esterno), allo scopo di chiedere il consenso per finalità di marketing è un trattamento per finalità di marketing.

Tale provvedimento è stato oggetto di impugnazione da parte della società telefonica destinataria, ma il ricorso è stato respinto dal Tribunale di Milano (sentenza n. 5022, pubblicata il 5 maggio 2017). Il Tribunale, dopo una attenta ricostruzione del diritto comunitario e nazionale rilevante nella questione, ha accolto integralmente la tesi del Garante, ritenendo che “la natura promozionale sia ontologicamente connessa” ad una “campagna finalizzata allo scopo di “verificare la permanenza del dissenso a ricevere comunicazioni commerciali e quindi ad acquisire i futuro, relativo consenso”, in considerazione della “ontologica inscindibilità tra una campagna di acquisizione consenso e le finali di marketing”.

Anzi, in questa prospettiva di scorrettezza, per tornare alla citata sentenza del Tribunale di Milano, si finirebbe per ammettere, gradatamente, l’SMS per acquisire il consenso all’SMS volto al recupero del consenso, e così via, in una frammentazione paradossale idonea a generare, a danno dell’interessato, SMS all’infinito.

In questo senso cfr. anche Cassazione n. 17143/2016 (Fastweb c Garante), per “il principio di stretta interpretazione che informa tutta la materia del trattamento dei dati personali (per l'incidenza di essa sui beni primari della persona, ed in particolare sul principio della sua dignità, proclamato dall'art. 2 Cost.)”.

In  definitiva le regole, in base alle quali i  dati devono essere trattati “secondo il principio di lealtà” (art. 8 della Carta dei dritti fondamentali UE europea) e “lealmente e lecitamente”, (direttiva 95/46, art. 6.1. lett. a)), impongono al titolare un dovere di correttezza e di protezione dell’interessato e non ammettono né l’espediente escogitato da Wind, né, ancor meno, un’ interpretazione delle norme interne che lo ritenesse legittimo.

Anche le ulteriori argomentazioni poste dalla ricorrente apporto delle sue tesi difensive risultano del tutto infondate. 

Così, appare avventuristico il ritenere che le comunicazioni di servizio previste (rectius: imposte) dall’art. 71 del Codice delle comunicazioni elettroniche (come quelle che contengono informazioni sulle tariffe in vigore riguardo a ogni numero o servizio soggetto a particolari condizioni tariffarie, o sulle modifiche alle condizioni che limitano l'accesso o l'utilizzo di servizi e applicazioni), sono assimilabili a quelle che invitano a prestare il consenso per ricevere offerte commerciali.

Circa il carattere episodico degli sms promozionali, si ricorda solo che la campagna promozionale di Wind ha riguardato circa cinque milioni di utenze.

Diversamente, relativamente a quanto esposto circa il fatto che “(…) Wind abbia nella specie agito in buona fede”, nel ribadire quanto sopra argomentato circa la corretta interpretazione delle disposizioni regolanti lo specifico settore, se ne deduce l’impossibilità di ravvisare gli elementi costitutivi della disciplina dell’errore scusabile di cui all’art. 3 della legge n. 689/1981, anche alla luce della giurisprudenza di settore in base alla quale l'errore sulla liceità del fatto, comunemente indicato come buona fede, può rilevare come causa di esclusione della responsabilità solo quando esso risulti, diversamente dal caso che ci occupa, incolpevole.

Sempre relativamente alla tesi secondo cui gli sms inviati sarebbero finalizzati all'aggiornamento delle preferenze degli utenti sul consenso e non avrebbero natura promozionale, si rileva, riguardo le ulteriori specificazioni esposte nel verbale di audizione datato 4 maggio 2018, come quanto rappresentato circa il fatto che“(…) Wind, (…), sia stata l’unica società che ha rivolto tale attività di servizio (campagne di aggiornamento della manifestazione del consenso) esclusivamente alla propria base clienti attiva; circa il fatto che “(…) la società non ha mai fatto seguire alcun tipo di proposta commerciale unitamente al messaggio di servizio (…)” e circa il fatto che “(…) tali sms di servizio non sono mai stati indirizzati a clienti che avevano espressamente negato il consenso a comunicazioni di natura commerciale(…)”, anche sulla scorta di quanto sopra argomentato, pur non sostanziando alcuna esimente rispetto ai rilievi contestati, può essere preso in considerazione in ordine alla quantificazione della sanzione.

Diversamente, riguardo il fatto che “(…) si rileva come l’Autorità, con apposito provvedimento di cui al doc. web 2542348 del 4 luglio 201 abbia previsto la possibilità di utilizzare canali automatizzati di contatto per inviare comunicazioni commerciali anche in assenza di specifico consenso a condizione che la comunicazione stessa avesse ad oggetto prodotti o servizi analoghi a quelli già consensati”, la società non tiene in considerazione la circostanza che il provvedimento in argomento recante “Linee guida in materia di attività promozionale e contrasto allo spam” del  4 luglio 2013, si riferisce al cosi detto “soft spam” (punto 2.7) che consente l’utilizzo, secondo le modalità esposte, del solo dato personale dell’indirizzo di posta elettronica, come del resto esplicitamente statuito dall’art. 130, comma 4 del Codice;

RILEVATO, quindi, che Wind Tre s.p.a. in qualità di titolare del trattamento, ha effettuato operazioni di trattamento finalizzate allo svolgimento di attività promozionali in violazione della disciplina rilevante in materia di protezione dei dati personali, con particolare riferimento alla mancanza di consenso di 5.000.000 di utenti, come richiesto invece dagli artt. 23 e 130, commi 1 e 2, del Codice e tali condotte sostanziano l’ipotesi di violazione riguardante più violazioni commesse in relazione a banche di dati di particolare rilevanza e dimensione ai sensi dell’art. 164-bis, comma 2, del Codice;

VISTO l’art. 162, comma 2-bis del Codice che punisce la violazione delle disposizioni indicate nell’articolo 167 del medesimo Codice (tra le quali gli artt. 23 e 130) con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;

VISTO l’art. 164-bis, comma 2 del Codice in base al quale, in caso di più violazioni (tra le quali quella prevista dall’art. 23) di un unica o di più disposizioni commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, come quella presa in considerazione nel caso di specie e costituita da 5.000.000 di utenti/interessati, prevede l’applicazione della sanzione amministrativa da euro cinquantamila a euro trecentomila; 

CONSIDERATO che, ai fini della determinazione dell’ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell’art. 11 della legge 24 novembre 1981 n. 689, dell’opera svolta dall’agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore e che pertanto:

• l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 162, comma 2-bis del Codice deve essere quantificato nella misura di euro 50.000,00 (cinquantamila);

• l’ammontare della sanzione pecuniaria per la violazione di cui all’art. 164-bis, comma 2 del Codice deve essere quantificato nella misura di euro 100.000,00 (centomila),

per un importo complessivo pari a euro 150.000,00 (centocinquantamila);

CONSIDERATO inoltre, che, l’importo della sanzione deve essere considerato inefficace in ragione delle condizioni economiche del contravventore e che pertanto, in applicazione di quanto previsto dall’art. 164-bis, comma 4 del Codice, la sanzione deve essere aumentato del quadruplo per un importo pari a euro 600.000,00 (seicentomila);

VISTA la documentazione in atti;

VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;

VISTE le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Wind Tre s.p.a. P.Iva: 13378520152, con sede Trezzano sul Naviglio (Mi), via Leonardo da Vinci n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma complessiva di euro 600.000,00 (seicentomila);

INGIUNGE

al medesimo soggetto di pagare la somma di euro 600.000,00 (seicentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia