Provvedimento del 13 aprile 2023 [9894662]

Ascolta

Stampa Stampa

Trasforma contenuto in PDF

VEDI COMUNICATO STAMPA DEL 9 GIUGNO 2023

[doc. web n. 9894662]

Provvedimento del 13 aprile 2023

Registro dei provvedimenti
n. 183 del 13 aprile 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016.679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

1. SEGNALAZIONI E RECLAMI PERVENUTI ALL’AUTORITÀ.

1.1. Istruttoria preliminare mediante richieste cumulative

1.1.1. Le doglianze ricevute.

Successivamente all’adozione del provvedimento correttivo e sanzionatorio n. 7.2020 nei confronti di Tim spa (di seguito: “Tim” o “la Società”) e in particolare, dopo il termine previsto per l’implementazione delle misure correttive prescritte nel medesimo, sono pervenute all’Autorità, fino al gennaio 2022 - secondo un trend mantenutosi sostanzialmente stabile anche nei mesi successivi (in media, in base ad una stima prudenziale, circa 3 fra segnalazioni e/o reclami per giorno lavorativo, per un totale di circa 15 atti settimanali) - numerosi reclami e segnalazioni relativi a criticità già oggetto del citato provvedimento, ed in particolare:

- telefonate preregistrate o con operatore nei confronti di utenze riservate, o iscritte al registro pubblico delle opposizioni, o comunque per le quali era stato negato il consenso a Tim per la finalità promozionale; di rado, anche sms o mail indesiderate (fasc. 1750063);

- mancato o tardivo riscontro ad istanze di esercizio dei diritti ai sensi degli art. 15-22 del Regolamento;

- l’impossibilità di prendere visione dell'informativa privacy in fase di acquisto online, in data 17/12/2021, di un'offerta mobile sul sito www.tim.it. in quanto il link alla citata informativa conduceva verso altra pagina che forniva un messaggio di errore (v. fasc. 175689);

- un possibile data breach (v. segnalazione contenuta nel fasc. 174492);

- episodicamente (v. fasc. 173198), presunti contatti telefonici atti a promuovere il passaggio a Tim a seguito della segnalazione, da parte dell’interessato, alla Società di guasti tecnici su linea telefonica di diversa compagnia.

Le doglianze in tema di telefonate promozionali indesiderate risultano spesso reiterate (solo per esemplificare: con riferimento ai fasc.li 168940 e 168630 si contano ben 6 analoghe lamentele; n. 5 per il fasc. 153087); numerosissime anche relativamente ai fasc.li 166767, 164516, 174178, 173169, nonché dirette verso molteplici utenze degli interessati (v. fasc.li: 171067-160878) e riguardano talora plurime numerazioni chiamanti, oltre che chiamate reiterate (ad es., v.: 97912; 173169).

In alcune segnalazioni, gli interessati sono giunti ad ipotizzare il fenomeno dello ‘stalking’ e/o ad evidenziare il carattere molesto o aggressivo degli operatori di call center (v. fasc.li 176840 e 166189, nei quali è stato dichiarato di ricevere “da tre a cinque telefonate al giorno … da alcune settimane”), talora indicando chiamate provenienti anche da Paesi extra Ue (fasc. 166051).

Sotto diversi profili, sono pervenuti anche:

- una segnalazione (175689), con la quale è stata lamentata l’impossibilità di prendere visione dell'informativa privacy in fase di acquisto online, in data 17/12/2021, di un'offerta mobile sul sito www.tim.it. in quanto il link all’informativa conduceva verso altra pagina che forniva un messaggio di errore;

- un reclamo (176169) - nell’ambito di una presunta vicenda d’utilizzo fraudolento di dati personali (oggetto anche di denuncia alla Procura della Repubblica) per l’acquisto a carico dell’inconsapevole interessato di alcuni prodotti informatici di Tim – relativo al reiterato mancato riscontro, per 9 mesi, da parte di Tim, rispetto alla richiesta della documentazione relativa al contratto cartaceo sottoscritto dal terzo sostituitosi al reclamante; alla bolla di consegna nonché al documento d’identità fornito al momento della consegna dei prodotti.
Considerata la mole delle segnalazioni e dei reclami pervenuti ed al fine di poter disporre di una visione d’insieme dei trattamenti ivi evidenziati, sono state rivolte a Tim n. 4 richieste d’informazioni cumulative (il 18 ottobre 2021, il 12 gennaio 2022, il 25 gennaio 22 e il 12 febbraio 2022), ognuna avente ad oggetto un certo numero di doglianze, collocate quasi tutte nel periodo compreso fra marzo 2021 e gennaio 2022 (e riunite nel fasc. n. 172861), selezionando quelle a carattere maggiormente reiterato o comunque recanti maggiori elementi utili in chiave istruttoria, per un totale di 134 atti.

A tali richieste Tim ha fornito riscontro con diverse note, fra cui quelle del 30.11.2021; del 21.02.2022; del 23.02.2022; dell’11.03.2022; del 15.03.2022 e del 24.03.2022.

1.1.2. I riscontri di Tim rispetto alle telefonate indesiderate

Con riferimento a quasi tutti i reclami e segnalazioni ricevuti (n. 76), Tim ha rappresentato che le utenze degli interessati non sono state contattate “dalla sua forza vendita commercialmente attiva”, né le numerazioni chiamanti a tal fine utilizzate risultano ad essa riconducibili, disconoscendo così anche le lamentate telefonate con contenuto promozionale prospettato in sede di intervento tecnico (v. fasc. 173198).

La Società ha quindi rappresentato, conseguentemente a tale asserita estraneità, di ritenere di non esser tenuta a fornire ulteriori elementi, aggiungendo tuttavia di aver verificato che vari numeri chiamanti, nell’ambito del servizio dedicato alla trasparenza tariffaria, risultavano inesistenti o momentaneamente non disponibili (es.: fasc.li: 173935; 173987), o ancora assegnati a call center estranei alla propria rete commerciale (ad es. fasc.li: 171067, 160878, 161620-già 155269-; 173259;171453) oppure afferenti al Regno Unito (fasc. 174469).

Per alcune segnalazioni (fasc.li 168344; 167939; 167771; 173502), Tim ha fatto presente di non essere in grado di fornire riscontro non avendo più a disposizione la documentazione relativa alle campagne promozionali (conservate per un periodo massimo di 12 mesi) o non essendo le segnalazioni sufficientemente dettagliate, affermando comunque l’estraneità delle numerazioni chiamanti indicate in atti.

Con riferimento, più in generale, alle liste di contattabilità, Tim ha evidenziato che, prima di acquisire le anagrafiche dai list provider esterni, verifica l’esistenza e la correttezza dei testi dell’informativa e dei consensi privacy utilizzati dal list provider; successivamente viene effettuato un test presso quest’ultimo su un campione casuale di nominativi inclusi nel database oggetto della fornitura, finalizzato ad accertare l’effettività degli adempimenti da parte di tale soggetto cedente. Qualora venga acquisita la lista, Tim estrae le liste dal database ricevuto contenente le numerazioni e provvede a filtrarle, “eliminando preliminarmente le numerazioni di clienti ed ex clienti, che risultano aver fornito o negato il proprio consenso alla Società per attività di marketing; inoltre dal Database sono escluse le numerazioni dei prospect per i quali è stata già registrata l’opposizione a contatti promozionali di TIM (ivi incluse le numerazioni presenti in Black List).”

Con specifico riguardo al fasc. n. 174561, Tim ha rappresentato che il contatto promozionale è stato realizzato mediante un’utenza nella titolarità di un proprio partner (Business Promoter s.r.l.) da un agente di una subagenzia da questo contrattualizzata (Top Solutions s.r.l.), confermando che il numero chiamato non era presente nelle proprie liste di contattabilità. Al riguardo, la Società, nonostante la puntuale richiesta dell’Autorità, non ha allegato, né dimostrato l’esistenza di alcun consenso informato alla finalità promozionale acquisito, direttamente o dai suoi partner, né l’informativa eventualmente rilasciata all’interessato

Con riguardo alle telefonate lamentate, emerge quella di cui al fasc. 164015 (già 154626), effettuata sulla base di una lista di contattabilità acquisita da XX che, per quanto in atti, non risulta aver fornito l’informativa all’interessato, sicché, peraltro, non è stato possibile verificare se la stessa prevedesse la comunicazione dei suoi dati a Tim; inoltre, in base allo screen shot del form di registrazione, non risulta inequivoca la riferibilità dei consensi alla comunicazione dei dati per finalità di marketing. Analoga criticità si riscontra con riferimento al fasc. 163526 (in ordine al quale Tim ha negato di aver effettuato contattati promozionali), sicché non risulta provato che quello acquisito in origine fosse un consenso specifico per la comunicazione a soggetti terzi (fra cui Tim) per finalità di marketing.

Nel fasc. 168248, la Società, pur non riconoscendo le chiamate lamentate, ha tuttavia precisato che l’utenza del segnalante è stata inserita in una lista di contattabilità il 17.1.2021, proveniente da un list provider (anche in tal caso, XX), rispetto alla quale sono stati forniti elementi relativi all’acquisizione del consenso, ma non anche all’informativa rilasciata all’interessato dal detto provider, quale necessario presupposto di legitTimità della comunicazione dei dati a Tim e del successivo utilizzo a fini promozionali, riverberandosi anche sulla validità del consenso per il marketing.

Quanto sopra evidenziato ha reso necessario contestare (per i suindicati fasc.li: 164015 - già 154626; 163526; 168248; 174561) la possibile violazione degli artt. 6 - 7 del Regolamento nonché 130 del Codice. In tutti e tre i casi appena riassunti, inoltre, non risulta che Tim abbia rilasciato una propria informativa ai sensi dell’art. 14 del Regolamento, con ciò ponendosi in possibile violazione anche di tale disposizione.

Inoltre la suindicata riferibilità di numerazioni alla customer care Business e Consumer di Tim (es. fasc. 173169) e ad alcune società del Gruppo Tim (quale Cofitel spa) è parsa elemento idoneo, nell’ambito della contestazione, a far ritenere che le relative chiamate siano state effettuate proprio nell’interesse di Tim (pur senza uno specifico mandato). Al contempo, non si è ritenuto di escludere che molte telefonate, con numerazioni rivelatesi inesistenti, fossero state effettuate per conto o comunque nell’interesse di Tim camuffando la reale numerazione chiamante mediante la tecnica del CLI spoofing, anche considerato che, come noto, l’ID chiamante visualizzato può essere falsificato.

Con riguardo, più in generale, alle numerose chiamate in atti disconosciute da Tim (unitamente alle numerazioni chiamanti), è emerso un sotterraneo fenomeno di commercializzazione dei prodotti di TIM, di cui la Società, pur essendone assai probabilmente beneficiaria, è parsa avere non adeguata contezza e capacità di controllo, con conseguente possibile violazione del principio di ‘accountability’ (art. 5, par. 2 e art. 24, Regolamento), anche tenuto conto del citato Cons. 74 del Regolamento.

Anche l’impossibilità di fornire riscontro per mancanza della documentazione relativa alle campagne promozionali, conservata per un periodo massimo di 12 mesi, è apparsa indicativa del difetto di accountability della Società.

1.1.3. I riscontri di Tim rispetto all’esercizio dei diritti ex artt. 15-22 del Regolamento.

Tim, con le note del 17.11.2021, del 1° e 24.3.22, ha fornito riscontro anche in merito ad alcune doglianze riguardanti la non corretta gestione delle istanze di esercizio dei diritti previsti dagli artt. 15-22 del Regolamento; in particolare:

a) riguardo a quella contenuta nel fasc. 167981, la Società ha affermato di non aver ricevuto la prima istanza del 16.6.2021 e di aver riscontrato l’8.8.2021 la seconda (ricevuta il 6.8.2021);

b) nel caso del fasc. 167342, relativo al mancato riscontro ad una richiesta inoltrata a TIM in data 12.06.2021 e al sollecito inviato il 21.06.2021, la Società ha dimostrato di aver risposto al segnalante in data 24.06.2021, fornendo le informazioni richieste in merito alla procedura da seguire per esercitare il diritto di accesso ai propri dati personali e indicando la documentazione necessaria al fine della sua identificazione.

In tali due circostanze, quindi, Tim risulta aver fornito riscontri tempestivi.

Per quanto riguarda, poi:

c) il fasc. 169170, Tim ha rappresentato di non aver potuto produrre al segnalante copia delle registrazioni delle telefonate intercorse con il servizio Clienti 187 del 15 e 16.12.2020, poiché non effettua siffatte registrazioni; tuttavia – ferma restando tale policy aziendale – non risulta che la Società abbia fornito alcun riscontro alla suddetta istanza, anche solo per comunicare l’assenza della richiesta documentazione;

d) analogamente, con riguardo al fasc. 172518, Tim ha ammesso di non aver dato riscontro alle due istanze (del 20.6.2021 e del 14.9.2021) di accesso alla documentazione (copia del contratto e della registrazione effettuata in sede d’attivazione della linea telefonica) correlata all’avvenuta pubblicazione.

Con riferimento a tali due casi l’Ufficio ha dunque contestato al titolare la violazione degli artt. 12, par. 3, e 15, par. 1, del Regolamento.

Con riferimento:

e) al fasc. 166767 (già 165318), relativo al mancato riscontro ad una richiesta di accesso ai dati inviata in data 2.4.2021 tramite Project Consult Srl, Tim ha dichiarato di aver provveduto il 29.4.2021 ad inoltrare al segnalante una nota interlocutoria, rispettando, a Suo avviso, così il termine massimo di 30 giorni posto dall’art. 12, par. 3, del Regolamento, in quanto la richiesta risultava complessa, per poi dare riscontro compiuto il 1.7.2021;

f) al fasc. 163087, riguardante una richiesta di conferma del trattamento con eventuale accesso, copia e cancellazione dei dati, pervenuta in data 27.01.2021, Tim ha ammesso di aver fornito il riscontro solo il 26.4.2021 pur a fronte, tuttavia, di un riscontro interlocutorio del 26.2.2021;

g) al fasc. 174664, nel quale la parte, in data 9.11.21, ha lamentato, nei confronti della Società, la pubblicazione, a suo dire mai richiesta, dei suoi dati personali in elenco (v. di seguito il par. 5), inviando l’istanza di cancellazione sia al Servizio Clienti sia alla casella del DPO dedicata ai Clienti Consumer, Tim ha ammesso che il Servizio Clienti ha fornito un riscontro “non adeguato”. La richiesta in questione è stata, ad avviso di Tim, correttamente “e tempestivamente” gestita dalla casella DPO Clienti Consumer, nello specifico, in data 7.12.2021 veniva inviata una prima risposta interlocutoria e in data 23.12.2021 veniva trasmesso il riscontro definitivo.

I tre casi suindicati sono stati quindi oggetto di contestazione a Tim, in quanto la procedura seguita non è parsa in linea con l’art. 12, par. 3, del Regolamento, in base al quale il riscontro alle istanze, formulate dagli interessati, ai sensi degli articoli da 15 a 22, dovrebbe essere fornito “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e tale termine può essere prorogato di due mesi solo “se necessario, tenuto conto della complessità e del numero delle richieste”, elementi che, allo stato degli atti, non risultavano comprovati.

h) Con riferimento al fasc. 160287, Tim ha riferito che, in data 20.02.2020, l’interessato inviava ad un indirizzo di posta certificata della Società, nonché all’indirizzo di posta elettronica ordinaria di una società di servizi operante per conto di TIM, una richiesta di chiarimenti relativa alla mancata consegna del cellulare riparato nei termini pattuiti, esercitando altresì il diritto di accesso ex art. 15, del Regolamento. La detta società di servizi ha dichiarato di aver inviato al reclamante, in più date tramite PEC, gli aggiornamenti sulla situazione legata alla riparazione del cellulare, rinviando a Tim per le questioni legate al trattamento dei dati personali. Come ha ammesso quest’ultima, sebbene la succitata richiesta del 20.2.2020 sia stata inviata anche all’indirizzo pec di Tim, questa non ha seguito il corretto processo di tipizzazione, probabilmente a causa di un'anomalia presente a sistema nel periodo di riferimento, sicché non sarebbe stato possibile un riscontro al segnalante.

Tim ha fatto presente che tale anomalia è stata risolta ed è stato introdotto anche un ulteriore report di controllo del processo interno di lavorazione delle pec pervenute. In data 5.5.2020, il reclamante inviava un’ulteriore richiesta al citato indirizzo pec; la detta comunicazione, se pur correttamente “tipizzata” sui sistemi preposti di customer care, non è stata gestita correttamente dall’addetto di tale ufficio. In data 27.6.2020, l’interessato inviava una pec anche ad un indirizzo di posta certificata della Società, nonché, in data 30.06.2020, ad un ulteriore indirizzo pec della Società ed inviava ulteriori richieste, precisamente il 3.7.2020 e il 7.7.2020. In data 29.7.2020 Tim forniva riscontro cumulativo a tutte le quattro precedenti mail di identico contenuto. In particolare, il richiedente veniva informato della necessità di essere identificato affinché la richiesta potesse essere evasa e veniva quindi invitato ad inviare nuovamente quest’ultima con ogni informazione e documentazione (es: fotocopia di documento di identità valido) utile. In pari data e il 14.8.2020, l’interessato reiterava la sua richiesta sempre senza allegare la documentazione necessaria per il riscontro. Tim, nelle comunicazioni del 3.8.2020 e l’11.09.2020, faceva presente tali circostanze e, a seguito di una lunga interlocuzione con il segnalante, lo informava del fatto che l’invio mezzo pec, pur intestata all’interessato, non rientrava tra le modalità ritenute idonee all’identificazione dello stesso.

In merito a tale vicenda, l’Ufficio ha contestato la non corretta gestione delle istanze dell’interessato, rimaste senza riscontro fino al mese di maggio 2020, senza che, in tale ottica, rilevi il possibile contenuto (positivo o negativo) della mancata risposta (che avrebbe potuto, ad esempio, fornire chiarimenti sulla lacunosità dell’istanza presentata); son risultati dunque ravvisabili i presupposti della violazione dell’art. 12, par. 2 e par. 3, e dell’art. 15, par. 1, del Regolamento.

i) Con riferimento al fasc. 172687, Tim ha rappresentato che in data 02.07.2021 l’interessata richiedeva tramite pec la documentazione del traffico addebitato nei mesi di marzo e maggio dello stesso anno, contestando l’addebito superiore rispetto a quanto dovuto. La richiesta veniva lavorata in data 2.8.2021, ma, a causa di un disguido tecnico, veniva fornito un errato riscontro alla segnalante indicando erroneamente che i dati di traffico addebitati a marzo 2021 non erano più disponibili; diversamente, la segnalante veniva informata che si sarebbe proceduto all’invio per la richiesta relativa a maggio 2021 (cfr. riscontro del 2.8.2021). In base a quanto asserito da Tim, le note presenti a sistema confermano l’invio dei dati di traffico relativi al periodo di maggio 2021; non sarebbe tuttavia possibile la verifica dell’attività di invio, in quanto questa può essere effettuata solo entro 15 giorni dall’invio della documentazione. In data 6.9.2021, la segnalante inviava un’ulteriore richiesta, dichiarando di non aver ricevuto il traffico riferito al mese di maggio e lamentando la risposta relativa al mancato invio di marzo. In data 6.10.21, veniva inviato riscontro da Tim al segnalante che contestualmente procedeva a una gestione commerciale della sua lamentela, riconoscendone la fondatezza per il mancato invio della documentazione del traffico richiesto.

j) Con riferimento al caso di cui al fasc. 174463, l’interessato in data 5.6.2021 inviava tramite PEC una richiesta di accesso ai propri dati, in cui richiedeva di ottenere tutte le informazioni ‘sensibili’ riguardo alla sua utenza, in particolare i “tabulati telefonici, qualsiasi informazione riconducibile alla posizione geografica, anche approssimativa (ad esempio, storico delle celle agganciate dal dispositivo mobile; alla navigazione Internet, quali ad esempio registro di connessioni effettuate o richieste DNS effettuate)”. Tim forniva una prima risposta solo il 27.9.2021, peraltro dal contenuto decisamente limitato rispetto alla richiesta formulata (nominativo, numero telefonico, codice fiscale, luogo di nascita, residenza, documento di riconoscimento), sicché il reclamante contestava alla Società la parzialità dei dati, ribadendo le richieste precedenti. In data 11.10.2021, dopo aver richiesto al reclamante di specificare la linea oggetto della segnalazione, veniva inviato riscontro via pec confermando quanto già precedentemente comunicato; in data 18.10.2021 veniva fornito riscontro via mail allegando altresì il modulo previsto per la richiesta della documentazione del traffico prepagato. Anche dopo un ulteriore scambio di missive l’interessato contestava il persistente limitato riscontro alla sua richiesta di accesso ai dati rispetto agli elementi sopra indicati. Solo in data 25.1.2022 veniva inviato al medesimo il tabulato dei dati di traffico in chiaro della sua linea telefonica conservati per finalità di fatturazione per il periodo 24.7.2021-24.1.2022, informandolo, contestualmente, del fatto che le verifiche relative alla posizione geografica e alla navigazione Internet erano in corso, ed infine fornendo al reclamante i relativi esiti il 16.2.2022. Pur tenendo conto dell’ampiezza dell’istanza rivolta dall’interessato, il riscontro compiutamente fornito da Tim solo il 16.2.21, a distanza di più di 8 mesi, rispetto alla richiesta in questione (formulata già il 5.6.2021 e peraltro già completa della generalità del reclamante nonché degli estremi dell’utenza interessata) pare decisamente tardivo. Tale violazione appare più grave se si considera il suo oggetto - i tabulati - che possono essere conservati solo per 6 mesi, con la conseguenza che, nel caso in questione sono stati forniti tabulati relativi ai 6 mesi precedenti al riscontro di Tim (25.01.22, cit.), quindi afferenti ad un periodo di tempo di gran lunga successivo, e quindi ben diversi, rispetto a quelli a cui il reclamante avrebbe avuto diritto a ricevere se l’istanza fosse stata gestita tempestivamente.

Nei due casi di cui sopra l’Ufficio ha dovuto contestare la presunta violazione degli artt. 12, par. 3, e 15, par. 1, del Regolamento, nonché 124, comma 1, del Codice.

k) Con riguardo al fasc. 161814, Tim ha ammesso di aver ricevuto in data 4.11.2020 una richiesta di chiusura dell’account di posta elettronica e che tale richiesta purtroppo non è stata gestita correttamente, sicché non risulta inviato alcun riscontro al segnalante, tanto che nelle date del 29.12.2020, 7.1.2021, 11.2.2021, l’interessato contattava telefonicamente il Servizio Clienti TIM. Tim ha comunque rappresentato anche di aver provveduto poi ad inviare le istruzioni operative per la cancellazione dell’account, che è poi avvenuta anche grazie al comportamento proattivo dell’utente.

l) Con riferimento al fasc. 173533, la Società, confermando la ricezione delle sue richieste in data 23.5.2016, 3.7.2020, 6.10.2020 e 29.10.2021, ha rappresentato che le stesse non sono state gestite correttamente e non risulta quindi inviato il riscontro al segnalante.

m) Relativamente al fasc. 175169, Tim, anche alla luce del riscontro integrativo del 24.3.22, ha comunicato di aver chiesto chiarimenti al vettore incaricato della consegna di due sim e di due apparati telefonici mobili, affinché fornisse idonea prova della consegna del suddetto materiale all’effettivo intestatario, previa verifica della sua identità (come da istruzioni fornite); prova che non è stata fornita, cosicché Tim ha provveduto alla formale contestazione delle condotte in violazione del contratto di servizi al vettore medesimo. Ciò detto, non è risultato che la Società e abbia dato alcun riscontro al reclamante, né, conseguentemente, che abbia fornito allo stesso copia della documentazione contrattuale da lui richiesta.

Anche con riferimento ai tre casi sopra richiamati, si son ravvisati dunque i presupposti della violazione degli artt. 12, par. 3 e 15, par. 1, del Regolamento.

1.1.4. I riscontri di Tim rispetto alla pubblicazione di dati negli elenchi telefonici pubblici.

Con riferimento alle doglianze concernenti la pubblicazione negli elenchi telefonici, ad esito dei riscontri forniti da Tim il 26.10.21 e l’11.3.21, si è rilevato quanto segue:

n) relativamente al fasc. 165665, Tim ha rappresentato che, in data 24.1.2020, a seguito dell’attivazione della linea telefonica, inviava al cliente copia delle condizioni contrattuali nelle quali veniva indicato il consenso da lui prestato alla pubblicazione dei suoi dati personali sugli elenchi telefonici; in data 25.2.2020, l’interessato inviava tramite canale web una richiesta di riservatezza in elenco dei suoi dati personali. La segnalazione veniva chiusa dal Customer Care in data 13.3.2020, con l’indicazione di aver apportato la modifica dei consensi valorizzando la riservatezza a SI, senza fornire riscontro al segnalante. In proposito, secondo quanto riferito da Tim, la revoca del consenso in questione, a causa di un disallineamento tra il sistema commerciale e il DBU, non generava alcuna variazione in quest’ultimo, necessaria agli Editori per recepire l’aggiornamento. In data 25.2.2021, il reclamante inviava una pec a Tim richiedendo la cancellazione dei dati personali dagli elenchi pubblici. In tale occasione la competente struttura di customer care interessava la struttura di gestione dei sistemi informatici di TIM, per dar seguito alla richiesta, che risultava correttamente registrata sui sistemi commerciali della Società. L’anomalia veniva risolta il 9.6.2021 confermando l’allineamento della posizione sul DBU. I riscontri pervenuti dalla Struttura competente hanno confermato che il DBU ha correttamente recepito la pubblicazione della riservatezza in elenco a far data dal 21.5.2021 e che il numero dell’interessato risulta riservato a far data dal 15.6.2021;

o) in merito ai fasc.li 165144-165619–165752-165585, Tim ha comunicato che: il 22.02.2018, l’interessata inviava tramite canale web una richiesta volta a far considerare la propria utenza telefonica fissa come utenza riservata; la richiesta veniva gestita nella medesima data, con contestuale riscontro al richiedente; tuttavia, “nei sistemi non si rileva la modifica e non è chiaro se tale errore è da attribuire ad un’anomalia del sistema o all’omessa operatività da parte dell’operatore”. In data 23.04.2020, il reclamante chiedeva nuovamente l’inserimento della riservatezza in elenco tramite canale web; “dalle relative note inserite nel motivo di contatto si evince purtroppo una mal interpretazione della richiesta; risulta infatti riportata la riservatezza del solo numero civico e non di tutti i dati personali come richiesto dalla cliente.” Il 10.05.2021, a seguito di richiesta telefonica dell’interessata, veniva inserita la riservatezza in elenco cartaceo e on line. Al riguardo, Tim ha rappresentato che la riservatezza risulta recepita nel DBU dalla prima decade di maggio 2021 e che il numero risulta correttamente riservato negli elenchi telefonici pubblici on-line, mentre per gli elenchi cartacei si è dovuto attendere la prima pubblicazione-distribuzione utile prevista nel periodo novembre/dicembre del medesimo anno;

p) con riguardo al fasc. 164121, Tim ha rappresentato che, in sede di attivazione della linea telefonica dell’interessato, il cliente esprimeva i consensi, recepiti anche nelle condizioni contrattuali inviate in copia al suo indirizzo postale in data 05/05/2020, alla pubblicazione dei dati negli elenchi telefonici cartacei e on line, sia con ricerca anagrafica, sia con ricerca per linea. In data 14/04/2021 l’interessato inviava una pec ad un indirizzo di posta certificata della Società, esercitando i diritti in materia di protezione dei dati personali, ai sensi degli artt. 15-22 del GDPR e esprimendo la volontà di voler cancellare i Suoi dati personali dagli elenchi telefonici pubblici. All’interessato veniva inviato un primo riscontro interlocutorio in data 14/05/2021, confermando il corretto aggiornamento recepito dal DBU in merito alla riservatezza dei suoi dati personali. In data 13/07/2021, veniva fornito “sempre nei termini di legge”, ulteriore riscontro al segnalante, in merito alla richiesta da lui precedentemente avanzata, inerente all’esercizio dei diritti in materia di protezione dei dati personali. Infine, Tim ha evidenziato che, come da volontà del segnalante, la riservatezza per la numerazione oggetto della segnalazione è stata recepita ad aprile 2021 ed inviata al DBU a maggio 2021;

q) con riferimento al fasc. 162474, Tim ha rappresentato che la linea mobile oggetto della segnalazione risulta attiva come Prepagato Consumer e intestata al segnalante dal 19 maggio 2017; in relazione alle linee mobili, la procedura aziendale prevede che l’inserimento, la variazione e la cancellazione nell’elenco unico debbano avvenire necessariamente tramite richiesta scritta effettuata con specifica modulistica firmata e corredata da un documento d’identità valido del richiedente. Le verifiche svolte dalla Società sui sistemi commerciali Consumer non avevano evidenziato richieste di inserimento e/o riservatezza della citata linea nel DBU. Tuttavia, a seguito di specifica indicazione dei termini della richiesta da parte del segnalante, Tim ha ammesso che il medesimo aveva effettivamente inviato la richiesta mediante posta elettronica certificata, richiesta che è stata “correttamente ricevuta, ma purtroppo è stata erroneamente assegnata a una struttura non competente”, sicché “la richiesta in argomento non è stata né lavorata né riscontrata”.

r) in merito al fasc. 174664, Tim ha rappresentato che, in relazione alla circostanza che la numerazione telefonica dell’interessato aveva fatto rientro nella gestione Tim, si sarebbe realizzata un’anomalia (in seguito risolta) per cui il sistema deputato non avrebbe tenuto conto della richiesta di riservatezza dei dati in elenco. Tale anomalia potrebbe aver condizionato l’operatività dell’addetto che ha correttamente inserito a sistema in data 20.8.2021 la volontà espressa dal cliente di non essere pubblicato in elenco. In data 9.11.21, l’interessato ha reclamato a TIM la pubblicazione, a suo dire mai richiesta, dei dati personali in elenco. In base a tale anomalia, l’interessato ha evidenziato che la propria numerazione è stata oggetto di pubblicazione negli elenchi telefonici. Come rappresentato dalla Società, il 26.11.2021, “il Servizio Clienti forniva un riscontro purtroppo non adeguato e la richiesta veniva correttamente e tempestivamente gestita in data 7.12.2021.” Tim ha assicurato che i dati dell’interessato non sarebbero stati più presenti negli elenchi cartacei (in occasione della prima edizione utile dell’anno 2022). Tim, nel caso concreto, ha dunque ammesso che, anche se per un’anomalia tecnica (non meglio identificata e chiarita), non è stata garantita la riservatezza dell’interessato.

s) riguardo al fasc. 172121, Tim ha affermato che, al momento della richiesta di attivazione della linea, dai dati registrati nel sistema commerciale della clientela consumer, non sarebbe risultata richiesta la non pubblicazione dei dati della linea telefonica negli elenchi. In data 29.09.2021, il segnalante contattava telefonicamente il Servizio Clienti di Tim, richiedendo informazioni in merito. Inoltre, in pari data, l’interessato presentava richiesta di riservatezza in elenco sia mediante il sito web societario sia inviando un messaggio di posta elettronica certificata. Pertanto, sempre in data 29.9.2021, il Customer Care provvedeva a rendere la citata linea “Riservata” sul sistema commerciale della clientela consumer, variazione acquista dal DBU nella terza decade di settembre 2021. Al riguardo, Tim ha fornito riscontro al segnalante, con comunicazione del 22.10.2021, inviata tramite e-mail. In virtù di quanto rappresentato, Tim ha evidenziato di aver provveduto a registrare la “riservatezza totale in elenco” sui propri sistemi sin dalla prima richiesta pervenuta dal segnalante (in data 29.09.2021).

Nel caso concreto, si è ritenuto in sede di contestazione che fosse configurabile una ipotesi di pubblicazione indesiderata dei dati sugli elenchi telefonici imputabile a Tim, poiché avvenuta in assenza di un consenso espresso degli interessati, e in particolare, quindi che vi fossero i presupposti della violazione degli artt. 6 e 7 del Regolamento nonché 129, comma 2, del Codice.

t) Riguardo al fasc. 159767, Tim ha fatto presente che fin dall’attivazione della linea telefonica, avvenuta il 1° agosto 2017, il segnalante non avrebbe formulato alcuna richiesta di riservatezza della medesima, così pubblicata nel DBU nella prima decade di agosto 2017 e, di conseguenza, negli elenchi telefonici. In data 24.3.2020, la linea telefonica è stata oggetto di portabilità presso altro operatore. Il 14.1.2021 l’interessato inviava un messaggio pec a Tim, richiedendo la cancellazione dei suoi dati personali pubblicati nel sito www.paginebianche.it; la Società evidenziava che il riscontro fornito da parte del servizio clienti a tale richiesta non era stato corretto, ma precisava, che non avrebbe potuto dar seguito alla richiesta del segnalante, in quanto la linea in questione non era più attiva su rete TIM.

u) Analogamente, con riferimento al fasc. 172674, a seguito di rientro della linea in Tim, l’interessato non ha formulato una richiesta di riservatezza e quindi la propria numerazione è risultata pubblicata nel DBU e sugli elenchi telefonici. Non sono risultati registrati nei sistemi commerciali della clientela di Tim richieste o reclami dell’interessato per la variazione della riservatezza in elenco telefonico. In data 4.10.2021, il medesimo ha inviato una richiesta per l’aggiornamento dati suoi dati nel DBU alla pec istituzionale della Società. In data 15.10.2021 il Customer Care provvedeva a modificare il livello di riservatezza per la linea telefonica fissa del segnalante a “Riservato in elenco”: variazione acquisita dal DBU nella seconda decade di ottobre 2021.

v) Riguardo al fasc. 175715, Tim ha affermato che, al momento dell’attivazione della linea dell’interessato, dai dati registrati nei sistemi TIM per la sezione “Elenco”, non risultava richiesta la non pubblicazione in elenco. In data 26.08.2021, il segnalante ha formulato tale richiesta e, in pari data, pertanto, veniva dato corso a quanto richiesto.

w) In riferimento al fasc. 171194, Tim ha rappresentato che al momento della richiesta di attivazione il 13.7.2020 di una linea telefonica, “non risulta richiesta la riservatezza negli elenchi telefonici. Pertanto, tale linea telefonica è stata pubblicata sul Data Base Unico nella seconda decade di luglio 2020 e di conseguenza sugli elenchi telefonici”. Successivamente, secondo la Società, non sono stati presentati reclami (telefonici o scritti) da parte dell’interessato relativi alla pubblicazione negli elenchi telefonici della detta linea. A seguito della segnalazione inviata al Garante, in data 07.3.2022, il Customer Care ha provveduto a rendere riservata tale linea telefonica. Tale registrazione è stata acquisita dal DBU nella prima decade di marzo 2022. La “Riservatezza totale in elenco” sarebbe stata quindi recepita dai diversi editori degli elenchi telefonici e avrebbe comportato la cancellazione dell’utenza in questione dagli stessi.

x) Con riguardo, invece, ai fasc.li 172846 e 165434, la pubblicazione indesiderata – secondo quanto riferito da Tim – sarebbe dipesa esclusivamente dall’editore degli elenchi pubblici e quindi Tim non avrebbe alcuna responsabilità.

Pertanto, in tutti i suindicati casi, salvi gli ultimi due sopra richiamati sub x), l’Ufficio ha ritenuto che vi fosse stata una pubblicazione indesiderata dei dati negli elenchi telefonici imputabile a Tim, poiché avvenuta in assenza di un consenso espresso degli interessati. In particolare, quindi, in sede di contestazione è stata rilevata la sussistenza di condotte in violazione degli artt. 6 e 7 del Regolamento nonché 129, comma 2, del Codice, anche considerato che la mancata espressione della volontà negativa rispetto a siffatto trattamento non può mai essere parificata a un consenso, che invece deve essere espresso ed inequivocabile, oltre che specifico e documentabile.

1.1.5. Il riscontro di Tim rispetto all’informativa del sito www.tim.it

Con riguardo alla segnalazione di cui al fasc. 175689 con la quale l’interessato ha lamentato di non aver potuto prendere visione dell'informativa privacy in fase di acquisto online, in data 17.12.2021, Tim ha rappresentato che ciò è dipeso da un’anomalia temporanea che, purtroppo, non rendeva accessibile in fase di acquisto tale informativa sul trattamento dei dati della clientela Consumer. Detta anomalia –ha affermato Tim- è stata risolta, ripristinando la possibilità di visualizzarla da parte dei clienti prima di concludere il processo di acquisto e di fornire i consensi per le finalità ulteriori rispetto all’esecuzione del contratto. Mancando in atti: indicazioni sul periodo in cui si è protratta l’anomalia in questione; elementi chiarificatori della detta anomalia; elementi quantitativi relativi agli interessati coinvolti, Tim è stata invitata – con il richiamato atto di di avvio del procedimento del 4.5.2022 - a fornire elementi documentati al riguardo. Per quanto in atti, è comunque stata contestata la presunta violazione dell’art. 13 del Regolamento.

1.1.6. Il riscontro di Tim rispetto al data breach.

Con riferimento alla segnalazione di cui al fasc. 174492, relativa alla ricezione dal 30.12.2012 di e-mail all’indirizzo del medesimo di comunicazioni riferite ad altro cliente, Tim ha anzitutto evidenziato che non sono risultate registrate segnalazioni o reclami inerenti al caso in oggetto. Dalle verifiche effettuate sui sistemi commerciali, in relazione all’indirizzo mail del segnalante, è emerso che lo stesso è risultato associato al codice fiscale dell’altro cliente, ma senza che sia stato tuttavia possibile risalire al motivo di tale associazione; che, in merito alla tipologia di comunicazioni inviate all’indirizzo del segnalante, sono state inviate prevalentemente: e-mail di avviso di emissione fattura (senza l’allegato della fattura stessa), una e-mail di attivazione dell’offerta Opzione Mobile e due email di remind per il pagamento di fattura scaduta riportanti i seguenti dati personali: nome, cognome, codice fiscale e numero di telefono.

Poiché non è risultata esser stata assicurata “su base permanente” la riservatezza dei dati della propria clientela con riferimento allo specifico episodio sopra riportato, è stata ipotizzata in sede di contestazione la violazione dell’art. 32, par. 1, lett. b), del Regolamento.

1.2. Istruttorie svolte su specifici casi e relativi esiti.

Alcuni casi, caratterizzati da numerose reiterate segnalazioni (fasc. n. 147099; fasc. n. 169442; 166823-165813), sono stati oggetto di specifiche istruttorie.

A) Riguardo al fasc. 147099, il segnalante, in particolare, fin dal 2020, ha lamentato la ricezione di telefonate ed email promozionali e la presunta comunicazione dei suoi dati a call center per tale finalità di marketing, nonché la difficoltà riscontrata nel chiudere il proprio account MY Tim e la casella di posta elettronica “Alice” (in particolare, da ultimo, con le comunicazioni del 26 luglio e 2 agosto 2021), richiedendo altresì l’eliminazione di tutti i dati annessi.

B) Con riferimento al fasc. 169442, la segnalante. con plurime comunicazioni, a far data dal 3/8/2021, ha lamentato la mancata produzione da parte di Tim della variazione contrattuale (di cui la medesima interessata aveva disconosciuto la stipula e le relative condizioni), nonché, per quanto di interesse dell’Autorità, della documentazione relativa al consenso informato per il trattamento dei dati personali e dei tabulati telefonici relativi alla linea a lei intestata.

C) Un’associazione di consumatori (fasc.li 166823-165813), con due distinte segnalazioni (17/5/21 e 7/6/21), dirette anche alla Procura della Repubblica, ha lamentato la ricezione di telefonate promozionali indesiderate ed aggressive (in particolare una con operatore; l’altra con modalità preregistrata).

A) Tim ha evidenziato che gli account My TIM e TIM Mail funzionano con processi separati; che il primo poteva essere eliminato dalla sezione “Profilo”; diversamente, Alice Mail è il servizio di posta elettronica dal quale si può recedere collegandosi al link https://gestione.servizi.tim.it/closeaccnt/entrata.do. La Società ha evidenziato altresì che, per la chiusura dell’account, era necessaria un’azione positiva da parte del cliente mediante apposito link fornito da Tim al segnalante nel riscontro del 23.04.2021. Il link (https://gestione.servizi.tim.it/closeaccnt/entrata.do),conduce direttamente alla pagina di cessazione Mail TIM in cui è richiesto l’inserimento dell’indirizzo e-mail da cancellare e della relativa password. Tim ha inoltre rappresentato, con la medesima nota, che “In considerazione della reiterata e manifestata volontà di voler cessare l’account simonecandela@alice.it, in via del tutto eccezionale, in data 27.08.2021, la struttura informatica di TIM ha avviato il processo di cessazione dell’account stesso, conclusosi positivamente in data 30.08.2021.” Ciò, tuttavia, è avvenuto a distanza di numerosi mesi dalle pur numerose istanze del segnalante, risalenti al 24 marzo 2020, dato che -come detto- solo il 23/4/2021 veniva fornito all’interessato il link cui collegarsi per dar corso autonomamente alla cessazione dell’account ‘Alice’; il 6, 13 e 17 maggio 2021 il segnalante reiterava la sua richiesta di cancellazione dell’account “Alice”, dichiarando il mancato funzionamento del link fornito da TIM; solo il 19 maggio 2021, veniva inviata all’interessato una mail sul detto account avente per oggetto “Conferma la richiesta di cessazione di TIM Mail”, con la conseguente necessità per l’interessato di cliccare il link in calce alla mail, per perfezionare l’iter; nelle date 6, 13 e 17 maggio 2021, il segnalante, non riuscendo a completare la procedura, inviava ulteriori segnalazioni che venivano riscontrate da TIM solo in data 3 giugno 2021 fornendo nuovamente le istruzioni per procedere alla disattivazione dell’account in questione (v. riscontro Tim, 8/6/2021).

Tim ha inoltre rappresentato che “negli ultimi sei mesi, la mail (dell’interessato) non è risultata inserita nelle liste di contattabilità di TIM, non risulta siano stati comunicati/ceduti i (suoi) dati ai partner commerciali di TIM e non è stata oggetto di invio di mail promo-pubblicitarie di TIM”. Nell’occasione, dunque - ferma restando la legittima conservazione da parte di Tim dei dati personali degli ex clienti (qual è l’interessato) necessari per adempiere ad eventuali finalità di contenzioso contrattuale oppure previste dalla legge - è emersa una procedura di cancellazione, complessivamente, non idonea ad agevolare la pronta attuazione delle istanze degli interessati che incontrino difficoltà tecniche nel provvedere in autonomia, e quindi non in linea con l’art. 12, par. 2, del Regolamento. Inoltre, pare ravvisabile una lacuna nella capacità di Tim d’aver contezza del trattamento di dati effettuato a fini promozionali per conto della Società (ai sensi degli artt. 5, par.2 e 24, Regolamento).

B) Riguardo alle segnalazioni inoltrate alla Società, con i riscontri del 2/9/2021 e dell’11/11/2021, Tim ha comunicato che il contratto (risalente al 1989) non era più disponibile in considerazione del notevole lasso di tempo trascorso dall’attivazione della linea telefonica in questione. Al riguardo, ha fornito elementi relativi alla data di attivazione, ai dati della nuova ubicazione a seguito della richiesta di trasloco della stessa intervenuto ad agosto 2016 ed ai dati contrattuali attuali acquisiti con il subentro della ditta individuale intestata all’interessata nella SNC originaria, producendo, altresì, copia del modulo dei consensi privacy, dove emerge il diniego al trattamento dei dati del 7/7/2017 per finalità diverse da quelle contrattuali. Fermo restando che il trattamento dei dati per le finalità contrattuali trova la sua base giuridica nel contratto stesso, al quale può essere ricondotto il modulo per il subentro in questione (art. 6, par.1, lett. a), senza dunque abbisognare di alcun consenso, non si è, però, rinvenuta in atti, copia dell’informativa, al tempo o successivamente, rilasciata alla detta impresa individuale, con la possibile violazione dell’art. 13 Regolamento.

C) Riguardo alle segnalazioni dell’associazione consumeristica, Tim, a fronte delle richieste di fornire informazioni formulate dall’Ufficio, ha fatto presente (v. riscontro 5/7/21) che le telefonate in questione non sono state effettuate dalla propria forza vendita e che le numerazioni chiamanti, indicate dalla segnalante, non appartengono a quelle da lei utilizzate. Tale riscontro va valutato, anche alla luce dei numerosi casi di seguito riportati, per i quali Tim riferisce un analogo riscontro, ai fini della valutazione della possibile violazione del principio di accountability (artt. 5, par. 2 e 24, del Regolamento).

2. LA CONTESTAZIONE DELLE PRESUNTE VIOLAZIONI

Come sopra riportato in relazione ai singoli casi, con atto datato 2.5.2022 – al quale si fa integrale rinvio per quanto non riprodotto nel presente provvedimento- è stato notificato a Tim l’avvio del procedimento amministrativo per l’eventuale adozione di provvedimenti correttivi e sanzionatori ai sensi dell’art. 166, comma 5, del Codice e 12 del Regolamento del Garante n.1/2019, in ragione della presunta violazione dei seguenti articoli del Regolamento:

- 5, par. 2;

- 6-7;

- 12, parr. 2 e 3;

- 13;

- 14;

- 15, par.1;

- 24;

- art. 32, par.1, lett. b);

nonché dei seguenti articoli del Codice:

- 124, comma 1;

- 129, comma 2;

- 130.

3. L’ATTIVITÀ DIFENSIVA DI TIM.

3.1 Telemarketing indesiderato.

Con riferimento alle chiamate indesiderate oggetto di contestazione da parte dell’Autorità, la Società, nella memoria difensiva del 15.06.2022, ha rappresentato anzitutto che 128 segnalazioni rappresentano una percentuale minima, se non nulla, rispetto al totale dei contatti (pari a circa lo 0,0008%) effettuati dalla Forza Vendita per conto di Tim. Inoltre, tale seppur minimo numero non sarebbe da imputarsi a contatti originati da liste fornite o autorizzate dalla Società, né da liste originate dalle lead, ma “esclusivamente al c.d. ‘sottobosco’ che tutti i processi di controllo condivisi con l’Autorità e posti in essere, in nessun modo possono essere in grado di eliminare completamente”, per le ragioni di seguito meglio argomentate.

La Società ha poi sostenuto l’infondatezza della contestazione della violazione degli artt. 5 e 24 del Regolamento, rappresentando di aver, a seguito dell’attuazione del provv. 15 gennaio 2020 n. 7, posto in essere “uno strutturato sistema di accountability e privacy by design tramite un complesso e costoso novero di misure di sicurezza organizzative e tecniche.”

In particolare, oltre a quelle indicate nella relazione di ottemperanza al provvedimento del 15.1.2020, Tim ha affermato di aver implementato:

- un monitoraggio capillare e verifiche periodiche, basate su 3 diversi livelli, della propria Forza Vendita, anche al fine di prendere i provvedimenti opportuni (diffide, penali, risoluzioni contrattuali);

- una consistente riduzione dei telesellers ed agenzie contrattualizzate con una diminuzione percentuale del 46,6% per il canale consumer, a seguito della razionalizzazione dei canali attuata anche in ottica di riduzione del rischio di non conformità alla normativa;

- un flusso automatizzato che consente, in base alle istruzioni privacy e a quelle operative aggiornate messe a disposizione della Forza Vendita, di recepire tutte le opposizioni al trattamento ricevute e confrontarle con i dinieghi presenti nelle black-list di Tim;

- un meccanismo di notifica automatica per comunicare i dinieghi espressi al customer care di Tim a tutti quei soggetti della Forza Vendita consumer che hanno tali numerazioni in lista;

- un meccanismo di controllo automatico di tutte le informazioni fornite dalla Forza Vendita in base alle istruzioni privacy e a quelle operative impartite da Tim e che in automatico genera specifici report di coerenza;
inoltre, sempre in via suppletiva alle indicazioni ricevute nel citato provvedimento, “a comprova della sua estrema attenzione al fenomeno delle chiamate indesiderate”, Tim ha affermato di aver:

- approvato un nuovo modello contrattuale per tutti i partner in ambito consumer e business con l’obiettivo di rafforzare l’impianto sanzionatorio in caso di violazioni riconducibili all’ambito privacy; modello che sarebbe stato pienamente adottato dagli outsourcer di customer care e dai telesales consumer;

- adottato, per tutte le agenzie consumer e business contrattualizzate (sia vecchie che nuove), un piano di incentivazione che garantisce a Tim il diritto di non riconoscere il compenso sui contratti attivati e non conformi ai criteri di contattabilità previsti dalle istruzioni privacy;

- posto in essere l’analisi sistematica dei log telefonici generati dalla barra telefonica della Forza Vendita; qualora nel corso delle verifiche vengano rilevate anomalie, le stesse sono pesate con un tool standardizzato (c.d. “valutometro”), che permette di graduare i provvedimenti da avviare nei confronti della Forza Vendita (dalla lettera di sensibilizzazione alla risoluzione del contratto in essere nei casi più gravi).

La Società ha poi rappresentato di aver sporto, fra il 2020 e il 2022, sei denunce penali e di essersi costituita parte civile in un ulteriore procedimento penale “relativamente a fatti anche rilevati come conseguenza dell’implementazione del sistema di monitoraggio e controllo”; nonché di aver segnalato, il 12.4.2022, ad AGCM, e per conoscenza ad AgCom, i comportamenti scorretti identificati, anche per il tramite di un apposito servizio messo a disposizione nel sito www.tim.it per consentire le segnalazioni degli utenti e relativi a contatti indesiderati effettuati da soggetti ignoti che si presentavano falsamente come addetti Tim nei confronti di clienti e non clienti, promuovendo false offerte promozionali. Nell’occasione, la Società ha evidenziato che un’elevatissima percentuale dei contatti indesiderati (circa il 78%) era riconducibile a chiamate provenienti da “numerazioni inesistenti”, attribuibili al fenomeno del CLI spoofing, che rendono oggettivamente impossibile per gli operatori, in ragione dell’attuale struttura tecnologica delle reti di telecomunicazioni, identificare tutte le numerazioni chiamanti quando provenienti da interconnessione dall’estero o effettuate tramite CLI manipolati e, individuando, per una parte delle dette segnalazioni, sugli attraverso gli archi di numerazione attestati sulla rete propria o di altri operatori, il soggetto a cui ricondurre la numerazione chiamante.

Tim ha inoltre rappresentato che, nel luglio 2022, avrebbe sperimentato “l’utilizzo di un tablet geolocalizzato tramite “Digital App” … per rendere più stringente il rispetto delle modalità di contrattualizzazione dei potenziali clienti anche in relazione al luogo dove il contratto viene sottoscritto dal cliente in presenza del venditore e, nel contempo, assicurare la completezza e l’immodificabilità della documentazione acquisita con firma elettronica, la sua archiviazione e la successiva facilità di reperimento, nonché permettere l’invio al cliente finale di copia informatica di quanto da lui accettato e sottoscritto”. La Società ha inoltre evidenziato di aver sperimentato la tecnologia dello smart contract per la certificazione di tutte le fasi della commercializzazione e di aver contribuito, mediante la partecipazione ad un apposito “Comitato Tecnico sulla Sicurezza delle Comunicazioni Elettroniche dell’AgCom, allo studio di altre possibili soluzioni (normative e tecnologiche) utili al contrasto del fenomeno del CLI spoofing.

Alla luce di quanto sopra, la Società ha sottolineato che, a Suo avviso, il fenomeno del “sottobosco” non è riconducibile a Tim, ma è “un problema di sistema da affrontare dall’intero mercato e non solo delle comunicazioni elettroniche.” e di ritenere - “in assenza di un’apposita regolamentazione, di apposite linee guida o di un apposito codice di condotta” - “di aver fatto tutto quanto in suo potere per garantire il rispetto del principio di accountability, in quanto le procedure poste in essere consentirebbero un controllo diretto e capillare sulla propria Forza Vendita”.

Elementi e valutazioni analoghe, con specifico riferimento alla Forza Vendita, Tim ha formulato con nota del 28.9.2022 (a cui si fa integrale rinvio), a riscontro di una richiesta integrativa di elementi e documenti formulata dall’Autorità il 9.9.2022, con la quale veniva chiesto, in particolare: 1) se alla data del 1° gennaio 2021 fossero stati contrattualizzati da/per conto di Tim contatti telefonici effettuati – da suoi partner o da soggetti estranei alla forza vendita – al di fuori delle proprie liste di contattabilità, indicandone il numero complessivo; 2) se e quali verifiche fossero state effettuate riguardo agli adempimenti dell’informativa e del consenso da parte dei soggetti indicati al punto precedente.

Con la richiamata nota Tim ha precisato che, per propria “Forza Vendita” si riferisce sempre ai canali di vendita suddivisi per segmento consumer e business che effettuano attività di telemarketing per suo conto (come specificamente dettagliati al pt. 7 della memoria), mentre sono esclusi da tale definizione: i) i negozi fisici; ii) il canale web del sito della Società, tramite il quale l’interessato in autonomia può acquistare i prodotti e servizi di Tim; e iii) i comparatori web, che offrono quali autonomi titolari del trattamento un servizio di comparazione di tariffe nel mercato delle comunicazioni elettroniche.

Secondo quanto riferito dalla Società, tutti i contratti che vengono da essa attivati con l’outbound telefonico in questione provengono esclusivamente dalla Forza Vendita e le informazioni fornite con la comunicazione suindicata riguardano solo tali contatti.

In secondo luogo, Tim, nella medesima nota ha richiamato quanto rappresentato nella memoria difensiva in merito al fenomeno dei c.d. “fuorilista” (o, come indicato dall’Autorità al pt. 1 della richiesta, i “contatti telefonici […] al di fuori delle liste di contattabilità”). Come indicato al pt. 23 della memoria, ed in particolar modo all’ivi richiamato Allegato 1 (“Istruzioni privacy partner commerciali …) ed Allegato 1-bis (“Schema istruzioni privacy ed obblighi di legge”), il rapporto tra Tim e la propria Forza Vendita prevede che:

i) c.d. ‘liste proprie’: TIM abbia facoltà di fornire proprie liste di contattabilità alla Forza Vendita formate nel rispetto della normativa. Le fonti di tali liste possono essere¬: i sistemi CRM di Tim (che riguardano clienti attivi o ex clienti, cfr. pt. B1 a) del citato Allegato 1; oppure, liste reperite dall’elenco telefonico pubblico (DBU – cfr. pt. B1 c), all. 1); liste acquistate direttamente da Tim (cfr. pt. B1 b) del citato Allegato 1); oppure ancora le “liste terze autorizzate” dei list provider che sono, prima dell’utilizzo, preventivamente approvate e bonificate da TIM, passando sempre per i sistemi della Società;

ii) c.d. “liste terze autorizzate”: la Forza Vendita ha facoltà di utilizzare liste acquisite da soggetti terzi (c.d. list provider) per la promozione di prodotti/servizi di Tim ma esclusivamente previa autorizzazione e verifica di quest’ultima, nel rispetto delle istruzioni e dei controlli dalla stessa forniti ed indicati in materia di protezione dati personali (cfr. pt. C1-C4 dell’Allegato 1 e dell’Allegato 1-bis). Una volta autorizzate, tali liste (come detto al precedente pt. i.) sono considerate come liste di contattabilità “proprie” di Tim.

iii) c. d. “lead” (ossia dati di contatto che non presuppongono la raccolta di un consenso per finalità di marketing, provenendo invece da specifica richiesta dell’interessato di essere contattati tramite telefono con operatore per una specifica esigenza relativa a prodotti e/o servizi Tim): la Forza Vendita ha facoltà, previa autorizzazione di Tim, di raccogliere lead nel rispetto delle istruzioni e dei controlli da questa forniti ed indicati (cfr. pt. D1-D2, all. 1 e all. 1-bis).

Nella medesima nota del 28.9.22, la Società ha sottolineato inoltre che tutte le liste suindicate (i; ii; iii) sono considerate “‘liste proprie” di Tim “in ragione delle istruzioni e dei controlli già ampiamente trattati in Memoria” e, pertanto, tutte queste sono da intendersi come “liste di contattabilità”. Inoltre, la Società evidenzia che, in base a quanto sopra esposto, “Vi è pertanto un espresso divieto per la Forza Vendita di effettuare attività di “fuorilista” diverse da quelle di cui ai precedenti punti I. ed I. (cfr. pt. E dell’Allegato 1 e dell’Allegato 1-bis) (ossia ‘fuorilista non giustificati’).”, aggiungendo che “per il periodo gennaio 2021 – giugno 2022, il dato complessivo dei fuori lista non giustificati che la Società ha riscontrato e sanzionato in base al proprio documentato sistema di monitoraggio e controllo (sviluppato in linea e per certi aspetti anche andando oltre a quanto dall’Autorità imposto in seno al più risalente Provv. 7.2020) è pari a: I) per il canale consumer: a) telesales Consumer: 0% su 207.611 contratti (tale valore è indicativo dei partner attivi alla data di novembre 2021; b) agenzie Consumer: 0,10% su 158.166 contratti nel 2021 e 0% su 84.301 contratti fino a giugno 2022; II) per il canale business: 0,29% su 399.372 contratti a far data da novembre 2021.”.

3.2. Esercizio dei diritti ex artt. 15-22 del Regolamento.

Tim ha poi rappresentato di aver aggiornato il proprio sistema privacy relativo all’esercizio dei diritti da parte degli interessati, al fine di assicurare una gestione delle numerosissime richieste in modo proattivo e conforme, evidenziando alcuni dati statistici (96,9% delle richieste lavorate nei 30 giorni; 1,8%, nei due mesi successivi). Richiamando le misure già adottate in attuazione del provv. 15 gennaio 2020, la Società ha inoltre evidenziato l’operatività delle linee guida per la gestione delle richieste sia pervenute nelle caselle del DPO sia tramite molteplici altri canali preposti a tal fine, ivi inclusi plurimi use cases di risposte standard in costante aggiornamento e basato sulle interazioni con gli interessati.

Ha inoltre evidenziato: a) di aver reso operativo un presidio centralizzato per la gestione delle richieste che pervengono ai customer care tramite vari canali (e-mail, web, digitali, fisici, etc.) con la finalità di consentire la corretta individuazione, analisi e gestione delle richieste di esercizio dei diritti entro i termini di legge; b) di aver investito notevoli risorse nella formazione del personale addetto alla gestione delle istanze di esercizio dei diritti, sviluppando un team dedicato alla gestione delle richieste in materia di dati di traffico.

Tim ha anche sottolineato che, mediamente, ogni addetto alla gestione delle richieste di esercizio dei diritti si occupa di circa 280 richieste mensili. Con la memoria del 15.6.2022, da intendersi qui integralmente richiamata e riprodotta, la Società ha contestato le violazioni ravvisate nei singoli casi (artt. 12, par. 3 e 15, del Regolamento, nonché 124 del Codice), rappresentando anche quanto segue.

- Fasc. 169170: Tim ha fatto presente che “a seguito del reclamo ricevuto in data 16 dicembre 2020 e 4 gennaio 2021, in cui la reclamante richiedeva una copia delle registrazioni delle telefonate effettuate nelle date del 15 e 16 dicembre 2020, TIM dava puntuale riscontro in data 13 gennaio 2021, informandola che non è prevista la registrazione delle telefonate in occasione di contatti da parte dei clienti ai customer care per informazioni contrattuali.commerciali.”

- Fasc. 166767-già 165318: in relazione all’istanza del segnalante del 2.04.2021, Tim ha dichiarato di aver risposto dando atto del ritardato riscontro in ragione della complessità della richiesta, dal momento che trattavasi di richiesta concernente l’accesso, la limitazione, la portabilità dei dati, e l’opposizione al trattamento verso Tim e tutti i soggetti destinatari dei dati, nonché la prova dell’avvenuta comunicazione dell’opposizione agli stessi. Successivamente, veniva inviato un riscontro definitivo il 1.07.2021.

- Fasc. 163087: “a fronte di una richiesta di evidente complessità (del 26.01.2021), poiché riguardante l’esercizio del diritto di accesso, cancellazione e opposizione”, Tim forniva “un primo riscontro, seppur non interamente risolutivo.” (26.2.2021) nel quale veniva rappresentato che, “vista la particolare complessità di tali operazioni”, TIM, al fine di concludere le procedure e le indagini necessarie per l’evasione della richiesta, usufruiva della proroga di cui all’art. 12, par. 3, Regolamento (per un periodo complessivo di 90 giorni, essendo il riscontro finale datato 25 aprile 2021).

- Fasc. 174664: Tim ha rappresentato che al reclamo del 9.11.2021 avente ad oggetto la richiesta di cancellazione dei dati dell’interessato dagli elenchi telefonici pubblici, “forniva pronto riscontro in data 26.11.2021”, rappresentando come l’interessato risultasse già escluso dagli elenchi. Lo stesso giorno, l’interessato presentava ulteriore reclamo all’Autorità, dal momento che il numero risultava ancora pubblicato in elenco. Di conseguenza, ed a seguito di approfondimenti anche tecnici, TIM verificava che, sebbene in fase di conclusione dell’offerta la Società avesse correttamente recepito la volontà del cliente (al riguardo, allegando il relativo screenshot), per un’anomalia tecnica (prontamente risolta), la stessa non risultava correttamente registrata negli altri sistemi adibiti alla gestione degli elenchi pubblici. Dopo ulteriori interlocuzioni, TIM forniva riscontro conclusivo in data 23.12.2021 all’interessato.

- Fasc. 160287: Tim ha rappresentato che, a suo parere, le tre richieste via pec rimaste inevase dovevano ritenersi collocate in un periodo temporale antecedente al termine assegnato per il completo adeguamento alle prescrizioni contenute nel provv. n. 7.2020 e che, non essendo stato allegato il documento d’identità, non poteva dirsi certa l’identità del richiedente.

-Fasc. 172687: Tim ha ribadito la fondatezza delle richieste formulate in primo luogo dall’interessato, “riconducendo il ritardo ad un mero errore umano”, eccependo l’infondatezza invece della violazione di cui all’art. 124 del Codice, in quanto, a suo avviso, la risoluzione delle già menzionate problematiche in accordo con l’interessato, avrebbe determinato “il venir meno dell’interesse alla consultazione del traffico del periodo in questione.” (“Infatti, la richiesta originale riguardava l’accesso ai dati di traffico ai fini di una contestazione di una fattura che riportava un aumento dei costi verificatosi per un disallineamento dei sistemi nel passaggio da un’offerta ad un’altra). A conclusione delle interlocuzioni con l’interessato, Tim, riconosciuta tale problematica, ha provveduto a compensare l’importo erroneamente addebitatole nelle fatture successive, venendo pertanto meno l’interesse ad ottenere i dati di traffico.”.

- Fasc. 174463: secondo quanto riferito da Tim, l’interessato aveva esercitato la richiesta di esercizio dei diritti anche ai sensi dell’art 124 Codice, in data 5.6.2021; alla suddetta richiesta la Società aveva fornito un primo riscontro in data 8.6.2021; successivamente, venivano presentati da parte dell’interessato ulteriori solleciti ai quali Tim forniva riscontro tardivo, ma giustificato dalla complessità della richiesta presentata.

- Fasc. 161814: confermando la tardività del riscontro, Tim ha evidenziato che si tratterebbe di un caso praticamente isolato, imputabile probabilmente ad un errore umano in un’organizzazione articolata e complessa, riconoscendo che, contrariamente a quanto previsto dalle proprie procedure interne, non è stata in grado di fornire tempestivo riscontro alle richieste dell’interessato, ricordando però il notevole carico di lavoro mediamente assegnato ad ogni addetto incaricato della gestione delle richieste riguardanti i diritti ex artt- 15-22 del Regolamento.

- Fasc. 173533: al riguardo, la Società ha fatto presente che la prima segnalazione (2016) si collocava temporalmente ben prima dell’ottemperanza imposta dal citato provv. n. 7.2020; si trattava di “un caso praticamente isolato, imputabile probabilmente ad un errore umano che, in un’organizzazione così articolata e complessa come quella di TIM, non è da considerarsi come probatorio delle condotte aziendali normalmente prescritte per la gestione delle richieste”. Per quanto riguarda, invece, le segnalazioni pervenute successivamente al 2016, Tim ha confermato invece di non aver fornito un adeguato riscontro.

- Fasc. 175169: con riguardo alla segnalazione dell’interessato pervenuta il 7.6.2021, inerente alla documentazione relativa al contratto di cui l’interessato risultava formalmente intestatario, nonché ai dati di traffico generati dalle due sim del contratto, la Società ha riferito di aver fornito tre differenti riscontri, anche in ragione della complessità della richiesta per quel che riguarda i dati di traffico, di cui, i primi due entro i 30 giorni, ed uno, avendo fornito motivazione del ritardo, entro 90 giorni. Un ulteriore riscontro sarebbe stato inviato all’interessato il 22 febbraio 2022, fornendogli - ad integrazione della documentazione già inviata - gli ulteriori documenti richiesti.

3.3. Pubblicazione di dati negli elenchi telefonici.

Con la memoria del 15.6.2022, cui si fa integrale rinvio, Tim ha fornito elementi in parte integrativi rispetto a quanto emerso in sede d’istruttoria preliminare, rappresentando, con riferimento ai singoli casi contestati, quanto segue ed affermando l’insussistenza della violazione degli artt. 6 e 7 Regolamento e 129, comma 2, Codice.

- Fasc. 165665: Tim ha aggiunto che, a suo avviso - in base al provv. 15 luglio 2004 doc. web [1032381], par. 6 - “l’obbligo di conformazione tecnica ai fini dell’aggiornamento immediato degli elenchi sia in capo tanto agli operatori quanto in capo al gestore dell’elenco generale (DBU). Di conseguenza, avendo TIM correttamente recepito sui propri sistemi la revoca del segnalante, non può essere ritenuta imputabile di un mancato aggiornamento dal momento che questo parrebbe dipeso da una problematica tecnica relativa al disallineamento dei sistemi del gestore dell’elenco generale”;

- Fasc.li 165144 -165619-165752-165585: Tim ha fatto presente di aver ricevuto una prima richiesta, in data 22.2.2018 e una seconda, in data 23.4.2020; che entrambe le richieste però, a causa di anomalie tecniche (non dipendenti dal gestore dell’elenco generale) e/o ad una lavorazione parziale dell’addetto di customer care non risultavano essere state gestite correttamente. In ogni caso, previa ulteriore segnalazione del 10.5.2021, la richiesta veniva recepita nel DBU in data 12.5.2021. A parere della Società, la vicenda andrebbe inquadrata come “un caso certamente isolato ed imputabile verosimilmente ad un errore che, in un’organizzazione così articolata e complessa come quella di TIM, non è da considerarsi come probatorio delle condotte aziendali prescritte per la gestione delle richieste in materia di pubblicazione negli elenchi.”;

- Fasc. 164121: la Società, nel ribadire quanto già evidenziato in sede di istruttoria, ha rappresentato che “alle tre pec con cui l’interessata ha esercitato i diritti di accesso, rettifica, cancellazione, limitazione e opposizione, in data 14.05.21, TIM forniva riscontro a tale richiesta di esercizio dei diritti, confermando da un lato l’avvenuta revoca del consenso e rappresentando, per via della complessità della richiesta, che il riscontro definitivo in merito all’esercizio dei diritti sarebbe pervenuto entro ulteriori due mesi, come effettivamente avvenuto in data 13.07.21.”. Ha altresì aggiunto che “in base all’elevatissimo impegno medio degli addetti alla gestione delle richieste di esercizio dei diritti, deve comunque tenersi in considerazione anche l’elevato numero di richieste previsto dall’art. 12, par. 3, Regolamento.”

- Fasc. 162474: Tim non avrebbe mai pubblicato alcun dato del segnalante; la pubblicazione sarebbe esclusivamente attribuibile al gestore degli elenchi pubblici “in ragione di un meccanismo di arricchimento dei dati esclusivamente sotto il controllo dell’editore”.

- Fasc. 174664: la Società ha rappresentato di aver correttamente recepito in fase di attivazione del contratto la volontà del segnalante di considerare riservata la propria utenza telefonica. Tuttavia, “a seguito di una anomalia tecnica interna”, tale volontà non sarebbe stata correttamente recepita all’interno del DBU. Pertanto (“comunque entro i termini di legge per il riscontro in materia di esercizio dei diritti”), si risolveva detta problematica e, infine, si recepiva la volontà dell’interessato. Anche in tal caso, secondo Tim, si sarebbe trattato di un caso isolato.

- Fasc.li 172121, 172674, 175715 e 171194: Tim ha affermato di aver accomunato tali 4 casi, in virtù delle loro comuni caratteristiche. Infatti, come sarebbe comprovato dalle relative relazioni già in atti, detti interessati, anche nel rivolgersi al Garante, avrebbero omesso di allegare il modulo (che è parte del set contrattuale della Società) “per mezzo del quale questi potevano esprimere o meno il proprio consenso alla pubblicazione negli elenchi. Tim ha invece, come comprovato nelle citate relazioni, dimostrato che detti interessati avessero prestato tale consenso”; avrebbe inoltre, a suo dire, “sempre fornito un adeguato e puntuale riscontro, modificando la preferenza degli utenti affinché non venissero più pubblicati in elenco. “;

- Fasc. 159767: il caso sarebbe simile ai quelli suindicati, ma ne differirebbe, dal momento che le utenze oggetto di segnalazione sono state poi portate ad altro operatore. Con specifico riferimento all’utenza fissa (oggetto di segnalazione) attivata il 1°.8.2017 e cessata il 24.3.2020, Tim ha sostenuto che risulta prestato detto consenso, che sarebbe stato poi gestito dalla Società in coerenza con il provvedimento del Garante “Trattamento dei dati degli abbonati in caso di number portability - 1° aprile 2010 [1711492]” e che la prima lamentela è avvenuta in una data (14.1.2021) in cui le utenze dell’interessato già appartenevano da diverso tempo ad altro operatore.

3.4. L’informativa del sito www.Tim.it.

Tim, nella memoria del 15.6.2022, ha evidenziato che l’anomalia che ha impedito l’accesso alla pagina web recante l’informativa della Società “è stata così eccezionale e temporanea da non aver generato un warning di sistema, come invece dovrebbe accadere nel caso di disservizi applicativi. A dimostrazione di ciò si forniscono …. per mezzo del servizio di Google analytics, la prova degli accessi continuativi alle pagine del dominio gruppoTim.it che comprendono anche la pagina web contenente l’informativa oggetto di segnalazione per le giornate del 17, 18 e 19 dicembre 2021 (All. 15). In particolare, come evidenziato in giallo nel citato allegato, con riferimento all’Url oggetto di segnalazione, per la giornata del 17 dicembre 2021 ore 15.00 – 16.00, risulta evidente che in tale fascia oraria plurime persone hanno effettuato l’accesso a tale pagina web.”.

3.5. Il Data breach.

In relazione al fascicolo 174492, con riguardo alla comunicazione indebita dei dati personali di un cliente Tim, con la citata memoria del 15.6.2021, la Società ha aggiunto che il problema di erronea associazione dell’e-mail al codice fiscale, era stato risolto correttamente rendendo edotto il segnalante; che, considerato il notevole lasso di tempo (10 anni) senza che il segnalante od altri avessero fatto presente il problema, “risulta impossibile, ad oggi, ricostruire gli avvenimenti e risalire alle anomalie tecniche che hanno provocato un simile incidente. Tuttavia, è meritevole attenzionare che il perimetro del rischio perpetrato ai danni dell’interessato (…) risulta essere molto limitato poiché non avente ad oggetto dati particolari e, poiché il numero dei dati personali interessati è esiguo.”.

3.6. Istruttorie svolte su specifici casi.

Tim, con la richiamata memoria difensiva - alla quale sempre si fa integrale rinvio - ha fornito ulteriori delucidazioni rispetto ai casi oggetto di specifica istruttoria (fasc.li 147099; 169442; 166823 e 165813), anche in ragione del carattere reiterato delle segnalazioni. In particolare:

- con riguardo al fasc. 147099, la Società ha rappresentato di aver fornito ogni informazione utile e necessaria al fine di agevolare l’interessato ad effettuare la cancellazione, regolata da una procedura automatica “che, tuttavia, richiede un’azione positiva dell’interessato a conferma della propria volontà di eliminare l’account”; aggiungendo che ”deve ritenersi, secondo una presunzione legale propria del Codice civile in materia di obbligazioni, che l’uomo medio possegga i requisiti medi di esperienza idonei per interpretare tale processo di cancellazione ivi inclusa la necessità di cliccare un apposito link per manifestare la propria volontà di cancellazione. Ove ciò invece non accada, ogni eventuale ritardo per dar seguito alla procedura non può certo imputarsi al titolare del trattamento (che nei fatti ha predisposto una procedura rapida ed agevole), bensì all’interessato che – in concreto – non è riuscito ad applicare i passaggi della procedura.”;

- con riferimento al fasc. 169442, Tim ha fatto presente che, a seguito di ulteriori approfondimenti, l’informativa (indicata dapprima come mancante) è invece risultata “effettivamente inserita all’interno del modulo di subentro e che quindi, sia stata visionata contestualmente alla compilazione del modulo stesso da parte dell’interessata” (v. all. 8 alla memoria);

- relativamente ai fasc.li 166823 e 165813, Tim ha richiamato la difesa sopra esposta con generale riguardo alle chiamate indesiderate promozionali da essa non riconosciute e alla conformità del proprio operato al principio di accountability.

Alla luce di tutto quanto sopra esposto, la Società ha chiesto l’archiviazione del procedimento avviato o, in subordine, l’applicazione di una sanzione nel suo valore minimo edittale, chiedendo peraltro di poter svolgere l’audizione prevista dall’art. 166, comma 6, del Codice, “per meglio illustrare la propria posizione all’interno di una fattispecie così articolata e complessa”.

3.7. L’audizione di Tim.

In sede d’audizione, tenutasi il 18.7.2022, Tim, nel ribadire riflessioni e dati contenuti nella memoria difensiva, ha posto in evidenza l’elevato numero di diffide e risoluzioni contrattuali, con riferimento alle violazioni dei vari adempimenti privacy, non riguardo al tema dei fuori lista (“che di regola non esistono più”), ma all’implementazione del controllo della barra telefonica (e dei file di log) utilizzata dai call center partner, tale da impedire eventuali eccezionali contatti fuori lista e, ove ci fossero, saperli riconoscere, precisando però che “il contratto viene comunque introitato per rispettare la volontà degli utenti interessati”. Ha aggiunto che “è stata peraltro attivata per 9 mesi una politica di quality check per verificare l’effettiva volontà contrattuale dell’utente, pur contattato in modo indesiderato. Inoltre, se non venisse attivato e reso operativo il contratto, la normativa Agcom prevede un indennizzo di circa 7,5 euro per ogni giorno di ritardo nell’attivazione del servizio; poi lo abbiamo sospeso perché le persone contattate al solo fine predetto, si dichiaravano disturbate da tale servizio.” Inoltre Tim ha fatto riferimento a come il documento “ECC, doc. n. 338 del 7 giugno 2022 su CLI spoofing”, evidenzi “che la tecnologia attualmente in uso non è idonea ad evitare il fenomeno dello spoofing. “

4. VALUTAZIONI DI ORDINE GIURIDICO.

4.1. Considerazioni di carattere generale

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni in relazione ad aspetti riguardanti la disciplina in materia di protezione dei dati personali.

In primo luogo non può condividersi il tentativo di considerare il numero di segnalazioni complessivamente portato dall’Autorità all’attenzione di Tim come percentualmente non significativo. In più circostanze, il Garante, con particolare riferimento ai casi di telefonate indesiderate, ha avuto modo di precisare, peraltro, che “la mera non riferibilità delle numerazioni chiamanti alla rosa di quelle in uso da parte della società e dei propri partner commerciali, più volte ripetuta da (Tim) come elemento di risposta alle richieste inviate dal Garante, si pone, infatti, in chiave critica in ragione di quell’ottica proattiva che definisce il principio di responsabilizzazione del titolare del trattamento e che permea tutto il nuovo assetto normativo di data protection”. Proprio la rilevanza del fenomeno e la circostanza che i contatti telefonici sono stati effettuati in nome di Tim nonché il ruolo primario che essa riveste quale operatore del mercato delle telecomunicazioni e le notevoli possibilità organizzative e gestionali che la connotano, avrebbero necessitato attività più in linea con la necessaria ed imprescindibile opera di costante vigilanza e di monitoraggio dei fenomeni emersi a seguito delle doglianze pervenute anche direttamente alla società nell’ambito del telemarketing (v. per simili argomentazioni, ord. ing. 16 dicembre 2022. doc. web n. 973567]).
Ciò doverosamente premesso, non possono non valutarsi positivamente gli sforzi avviati da

Tim per ottenere un miglior controllo sulla filiera e, più in generale sul trattamento dei dati personali dell’utenza. Tuttavia, dall’analisi svolta, residuano ampi margini di miglioramento, in particolare in relazione alla necessità di indirizzare efficaci azioni al contrasto delle attività dei procacciatori abusivi di proposte contrattuali, che, come si vedrà in relazione ai singoli punti, sono alla base delle violazioni riscontrate.

4.2. Telemarketing indesiderato.

Con riguardo alle contestazioni rivolte in materia di telemarketing indesiderato, occorre necessariamente ribadire preliminarmente quanto più volte affermato dall’Autorità in merito alle telefonate non provenienti dalla forza vendita ufficiale dell’impresa o per le quali non sia possibile giungere all’individuazione del numero chiamante per l’adozione di tecniche di camuffamento quale quella dello spoofing.

Le risultanze di questi anni di indagini sul fenomeno hanno infatti evidenziato che le attività del c.d. “sottobosco”, di operatori che illecitamente raggiungono telefonicamente persone che non hanno fornito idoneo consenso, o addirittura si sono opposte espressamente a tale forma di contatto, fondano la loro sopravvivenza nel riassorbimento delle attività andate a buon fine nell’ambito della filiera ufficiale delle imprese che finiscono per approvare il contratto e riconoscere i relativi diritti di vendita, che, in tal modo – attraverso vari flussi fra intermediari – continuano ad alimentare il mercato illecito.

Alla luce di tali considerazioni, non possono condividersi affermazioni quali quelle rilasciate da Tim sul fatto che il fenomeno del “sottobosco” non sarebbe questione da essa risolvibile, “ma sia un problema di sistema da affrontare dall’intero mercato e non solo delle comunicazioni elettroniche.”. La soluzione di tale problema, invece, deve passare necessariamente dalle iniziative di ogni operatore, che in ragione dei principi di accountability e privacy by design, devono porre in essere tutte le iniziative volte ad evitare il perpetrarsi di trattamenti illeciti di dati personali.

In tal senso è ormai chiaro che i controlli e le attività di interdizione vanno posti in essere con riguardo ai contratti proposti dalla rete di vendita, verificando con ogni possibile mezzo che essi originino da un contatto regolare e in linea con quanto previsto dalla disciplina di settore.
In altre parole, fino a quando nei sistemi delle compagnie committenti sarà tecnicamente possibile inserire proposte contrattuali e attivare servizi insinuandosi nella filiera ufficiale di vendita e introducendo nel patrimonio informativo delle compagnie medesime dati personali raccolti illecitamente dai quali sono originati contatti non consentiti, il c.d. “sottobosco” del telemarketing avrà sempre una possibilità di finalizzare le proprie attività e realizzare i propri indebiti guadagni economici.

Tim, nella propria difesa, ha invece fornito elementi per lo più legati alla dimensione della liceità contrattuale tra sé e i propri partner, senza però produrre la necessaria evidenza di idonee e risolutive iniziative concrete nei confronti dei soggetti abusivi (ulteriori rispetto alle denunce e segnalazioni alle varie Autorità, dai vari tavoli di lavoro e delle sperimentazioni tecniche, tutte misure ed iniziative comunque, chiaramente, degne di apprezzamento), assunte in qualità di titolare e responsabile finale del trattamento, a fronte del dilagare di un fenomeno così invasivo.

Non ha comprovato, in particolare, l’aver svolto adeguati controlli sui contratti che possano essere stati attivati da soggetti che spendono indebitamente il nome di Tim. La storia, la struttura e la dimensione organizzativa di Tim ben avrebbero consentito a questa società, leader nel mercato telefonico italiano e da sempre protagonista della vita economico-produttiva del Paese, “di approntare con la dovuta diligenza misure organizzative all’avanguardia nella tutela degli interessati, nonché appropriati ed efficaci strumenti di controllo sull’intera filiera (anche quella esterna alla forza vendita) coinvolta nel trattamento dei dati personali.” (v. ord. ing. 16 dicembre 2021, cit.).

Ciò, a maggior ragione, in considerazione, da un lato, della mole di dati personali di cui la società è detentrice; dall’altro, dell’elevato numero di segnalazioni ricevute direttamente e delle reiterate richieste di informazioni inviate dal Garante.

Ad attestare un non adeguato controllo su tale versante, è opportuno rilevare che Tim -pur richiesta, il 9.9.2022, dall’Autorità di fornire informazioni sui contratti attivati per il tramite della rete estranea alla forza vendita- nel citato riscontro del 28.9.2022, e parimenti in altre fasi del presente procedimento (memoria difensiva; audizione), non ha fornito alcun elemento al riguardo, limitandosi a descrivere la gestione del solo outbounb telefonico effettuato dalla Forza Vendita e della sporadica rilevazione di ‘fuori lista’ rispetto a tale rete ufficiale.

L’importanza della verifica della liceità del contatto originario era d’altronde ben nota a Tim che, infatti, ha riferito di aver posto in essere, in relazione ai fuori lista provenienti dalla propria forza vendita, una puntuale attività di verifica presso il cliente in ordine alla liceità dell’origine del dato personale alla base della proposta contrattuale, ma di averla sperimentata per un periodo limitato di tempo, per poi abbandonarla, asseritamente a fronte della reazione infastidita di alcuni interessati.

In merito al significativo numero di telefonate “fuori lista” attuate dalla rete ufficiale di Tim, come dalla stessa rappresentato nella propria memoria difensiva (complessivamente 1.715 nel periodo gennaio 2021 – giugno 2022), occorre peraltro ricordare che con il provvedimento, del 5 gennaio 2020 era stata ingiunta alla Società “l’implementazione di una procedura tecnica ed organizzativa, nel sistema di campaign management, che consent(isse) a Tim di conoscere e governare correttamente, nonché di documentare adeguatamente il fenomeno delle chiamate rivolte ad utenze c.d. “fuori lista”, nonché di garantire che tali utenze ven(issero) contattate per fini promozionali solo qualora si dispon(esse) di un idoneo consenso o sulla base di altra circostanziata e documentabile base giuridica ai sensi degli artt. 6 e 7 del Regolamento”(prescrizione di cui alla lettera e) del dispositivo del provv. 15 gennaio 2020).

Lungi dall’approntare efficaci sistemi di controllo sull’origine del contratto, Tim ha dichiarato di introitare comunque i contratti (v. audizione sopra citata) e, inoltre, nella complessiva fase istruttoria, ha dapprima rappresentato di non essere tenuta a fornire ulteriori elementi in ordine alle telefonate provenienti dalla rete non ufficiale, proprio perché tali telefonate esulerebbero dalla propria sfera di competenza e responsabilità, poi ha dichiarato di aver svolto un’opera di controllo che ha portato ad una rilevante quantità di risoluzioni contrattuali nella propria rete di vendita, senza chiarire le cause di tali risoluzioni e, soprattutto, senza evidenziare quali impatti tale scelta abbia avuto sulle proposte contrattuali eventualmente formate a seguito di contatti illeciti. Tali elementi, in uno con la constatazione che la gran parte delle segnalazioni pervenute sia all’Autorità che alla stessa Tim di contatti promozionali illeciti provengono da numerazioni non appartenenti alla rete di vendita della Società, dimostrano una rilevante sottovalutazione del fenomeno e delle connesse responsabilità che incombono anche sulle compagnie committenti.

A tale riguardo, l’Autorità non ha mancato, in altre occasioni, di richiamare, proprio in una logica preventiva e di rispetto della privacy by design, la possibilità di ricorrere a scelte societarie e organizzative volte, ad esempio, a inibire l’attivazione contrattuale di offerte o servizi quando esse non siano certamente riconducibili ad attività svolte nel rispetto delle norme e dei diritti degli interessati fin dal momento del primo contatto e dell’origine del dato (cfr. i già menzionati provv.ti 12 novembre 2020 e 25 marzo 2021).

Un contratto acquisito in violazione della disciplina in materia di protezione dei dati personali, non dovrebbe trovare ingresso nei sistemi delle compagnie, poiché lo stesso risulterebbe originato da un fatto illecito e in palese violazione dell’art. 2-decies del Codice, secondo il quale “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati…”.

Si è consapevoli dell’apparente contrastante esigenza di andare incontro comunque alla volontà negoziale dell’interessato, ma tale obiettivo può essere raggiunto semmai dopo una procedura di sanatoria che verifichi necessariamente quella stessa volontà, una volta che sia stata prospettata, anche successivamente al contraente l’illiceità del contatto originario.

Ed è solo attuando misure punitive, all’esito della suddetta procedura di verifica, ed evitando la corresponsione delle provvigioni nei confronti di chi abbia presentato alla compagnia un contratto affetto da tali vizi che l’alimentazione illecita proveniente dal “sottobosco” può essere arginata.

La Società, acquisendo nei propri sistemi i dati personali dei soggetti che, dopo essere stati contattati hanno aderito alle offerte proposte, dovrebbe adottare misure di particolare garanzia al fine di comprovare che tali contratti siano originati da contatti effettuati nel pieno rispetto delle disposizioni in materia di protezione dei dati personali, in particolare quelle di cui agli artt. 5, 6 e 7 del Regolamento relative al consenso. Gli interventi del Garante sopra menzionati e la parallela attività del legislatore nazionale in materia di chiamate indesiderate (da ultimo, con il rafforzamento delle tutele apprestate dal Registro Pubblico delle Opposizioni) danno atto del livello raggiunto dall’insofferenza degli utenti che impone di pretendere un innalzamento delle misure di garanzia da parte di chi beneficia di tali attività economiche, tenuto conto che, allo stato dell’arte, sono già disponibili ulteriori e più avanzate soluzioni di carattere tecnico e organizzativo. Le numerose attività istruttorie condotte negli anni dal Garante in materia di telemarketing così come le parallele interlocuzioni portate avanti con i vari titolari del trattamento, hanno consentito di concludere, come dati di esperienza, che l’implementazione di procedure che governano le attività di telemarketing e di teleselling non può costituire da sola un valido argine alle diffusissime pratiche di contatti indebiti se ad essa non si affiancano procedure altrettanto rigorose di controllo dei contratti e delle attivazioni.

Da quanto sopra evidenziato, dunque, pur dando atto delle importanti misure implementate da Tim, emerge ancora un quadro non soddisfacente sotto il profilo del rispetto dei principi di accountability confermando la violazione degli artt. 5, par. 2 e 24 del Regolamento, tale da poter essere considerato alla base anche delle singole violazioni che si procede qui di seguito a riassumere:

i. anzitutto, vengono in rilievo i casi di cui ai fasc.li 164015 (già 154626); 168248 e 163526, accomunabili nelle sottese dinamiche fattuali e giuridiche.

Per il primo di essi, il contatto, secondo Tim, è stato effettuato sulla base di un consenso documentato reso direttamente alla Società, ma anche sulla base della comunicazione dei medesimi dati per finalità di marketing da parte di XX. Tuttavia, l’informativa non prevede alcuni elementi essenziali ai sensi dell’art. 13 del Regolamento, come i tempi di conservazione dei dati o i criteri per calcolarli e la possibilità di far ricorso al Garante; l’inidoneità dell’informativa si riverbera anche sui consensi acquisiti da XX, che dunque devono ritenersi non validi (v. ord. ing. 10 febbraio 2022, doc. web n. 9756869).

Nel caso in esame, in base alla documentazione fornita dalla Società, si ritiene che né il titolare né il list provider abbiano fornito elementi atti a comprovare l’integrità della base dati in cui sono stati raccolti gli esiti della registrazione degli interessati e l’adeguatezza delle misure di produzione e conservazione dei log del sistema, e che gli stessi non abbiano indicato le modalità di conservazione atte a garantire l’immodificabilità dei dati raccolti. In tale ottica, la mera proposizione di una stringa di testo, asseritamente attestante l’espressione di un consenso, priva degli elementi sopra indicati, non può ritenersi adeguata a documentare compiutamente le modalità della sua acquisizione nonché la sua genuinità e integrità, né, più in generale, il processo di acquisizione dei dati degli interessati. A tal fine, non può certo ritenersi idonea l’ostensione di tabelle Excel- presuntamente relative ai dati di registrazione - copiate sui testi forniti in riscontro alle richieste del Garante.

Com’è noto, l’art. 7, par. 1 del Regolamento, stabilisce in maniera chiara l’obbligo del titolare del trattamento di dimostrare il consenso dell’interessato. La documentazione del consenso on line deve essere fornita con modalità tecniche tali da garantire la registrazione immodificabile dell’autentica volontà dell’utente. In tal senso, con riguardo alla liceità dei consensi asseritamente espressi dagli interessati, si osserva che la documentazione prodotta dai list provider non risulta idonea a dimostrare la reale e genuina espressione del consenso alla ricezione di messaggi promozionali e al trasferimento a terzi. Ai fini della dimostrazione del consenso rilasciato dall’interessato, sarebbe utile produrre non solo l’indirizzo IP e il Timestamp, ma, per certificare la volontà inequivocabile degli interessati, sarebbe opportuno produrre anche i relativi file di log. Peraltro l’Autorità, più volte, ha ritenuto necessario, come misura minima e sostenibile, allo stato dell’arte, che il titolare adottasse misure ulteriori, come l’invio di un messaggio di conferma al recapito indicato in fase di iscrizione –c.d. double opt-in (v. provv. 26 ottobre 2017, doc. web n. 7320903 e provv. 25 novembre 2021, doc. web n. 9737185).

Peraltro, più precisamente, con riguardo alla documentazione relativa al consenso acquisito dagli interessati, può essere utile, quale esempio di modalità per comprovare il consenso degli interessati quanto previsto all’art. 3, comma 1, lettera c) del d.P.C.M. 13 novembre 2014 recante “Regole tecniche in materia di formazione, trasmissione, copia, duplicazione, riproduzione e validazione temporale dei documenti informatici nonché di formazione e conservazione dei documenti informatici delle pubbliche amministrazioni ai sensi degli articoli 20, 22, 23-bis, 23-ter, 40, comma 1, 41, e 71, comma 1, del Codice dell’amministrazione digitale (d.lgs. n. 82.2005”), secondo cui è un documento informatico la “registrazione informatica delle informazioni risultanti da transazioni o processi informatici o dalla presentazione telematica di dati attraverso moduli o formulari resi disponibili all’utente”. Per quanto riguarda l’immodificabilità del documento così formato, elemento essenziale per attestare pienamente l’espressione del consenso dell’interessato, giova ricordare che, ai sensi del comma 6 del medesimo articolo, “le caratteristiche di immodificabilità e di integrità sono determinate dall’operazione di registrazione dell’esito della medesima operazione e dall’applicazione di misure per la protezione dell’integrità delle basi di dati e per la produzione e conservazione dei log di sistema, ovvero con la produzione di una estrazione statica dei dati e il trasferimento della stessa nel sistema di conservazione”

Pertanto, di riflesso, la comunicazione dei dati, da parte del list provider, a Tim è illecita e ne consegue che i successivi trattamenti per finalità promozionali effettuati dalla Società, sono da ritenersi parimenti illeciti. Inoltre, Tim non ha comprovato il rilascio all’interessato di una propria informativa ai sensi dell’art. 14 del Regolamento, risultando in atti solo la dichiarazione del citato list provider di aver inviato una e-mail informativa ai soggetti i cui dati sono stati ceduti, ma di non poterla produrre (al pari del relativo report), perché, essendo passati 23 mesi dall’invio dell’email, quest’ultima non sarebbe “più disponibile nella piattaforma d’invio” (all. 12 alla memoria).

Analogamente, può dirsi illegittimo il pur ridotto trattamento effettuato da Tim, dei dati di cui al fasc.168248 (registrazione e conservazione, prendendo atto della dichiarazione della Società di non avere utilizzato la relativa utenza telefonica per campagne promozionali), dato che non risultano alcuna informativa rilasciata da Tim né alcun consenso acquisito, se non quelli ascrivibili a XX con le medesime criticità rilevate per il precedente caso.

Anche con riferimento al fasc. 163526, il consenso acquisito dal cedente titolare del trattamento (XX), per la comunicazione a terzi (“acconsento alla cessione a terzi per le finalità descritte nell’informativa”), risulta inidoneo perché formulato genericamente e non, come necessario, per la specifica finalità di marketing dei terzi. Ciò, considerato anche che nel testo dell’informativa resa dal detto titolare sul sito www.listeprofilate.com, è risultata prevista la comunicazione dei dati degli interessati anche per finalità diverse (“potranno essere comunicati dal Titolare, nei limiti in cui ciò sia necessario per dare esecuzione ad obblighi contrattuali e.o per adempiere ad obblighi di legge, a terzi autonomi titolari del trattamento, quali notai e funzionari camerali incaricati dell’individuazione dei vincitori del concorso a premio organizzato sul Sito, nonché i soggetti terzi indicati nel regolamento del concorso a premio, a cui i dati dovranno essere necessariamente comunicati per consentire all’Utente di usufruire dei premi eventualmente vinti (es. agenzie di viaggi, biglietterie, hotel, ecc.)”. Il che evidentemente non agevola la comprensione dell’esatta portata del consenso genericamente richiesto (per la cessione a terzi). Inoltre, l’asserita mancanza di contatti promozionali non incide sull’illiceità di alcuni trattamenti in sé rilevanti, come la registrazione e conservazione dei dati raccolti con modalità non conformi alla normativa. Si deve peraltro considerare che la ‘raccolta’, al pari della ‘conservazione’, dei dati personali - è in sé - a prescindere da eventuali ulteriori trattamenti, quale l’invio di comunicazioni per finalità promozionale, un'operazione di trattamento rilevante ai fini della normativa in materia (v. art. 4, par. 1, lett. lett. a), del Regolamento, che riprende il disposto del previgente art. 4 del Codice; in questo senso, v., fra agli altri: provv. 12 giugno 2019, doc. web n. 9120218; provv. ti 27 ottobre 2016, doc. web n. 568777; 20 novembre 2014, doc. web n. 3657934).

ii. Anche per quanto riguarda il fasc. 163526, non è risultato in atti l’adempimento informativo dovuto da Tim ai sensi dell’art. 14 del Regolamento e la Società si è limitata a far riferimento alla propria prassi operativa di rilasciare “un’informativa sintetica orale con la possibilità di prendere visione dell’informativa completa presente sul sito web”, senza tuttavia fornire dimostrazione o documentazione in proposito (in argomento, v. anche provv. 27 maggio 2021, doc. web n. 9689375).

Peraltro, la detta informativa va comunque resa, anche se non è stato effettuato il contatto promozionale, “entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati” (v. art. 14, par.3, lett. a), oppure -ove fosse previsto l’invio di comunicazioni all’interessato- “non oltre la prima comunicazione”.

iii. pacifica poi appare la conferma della violazione degli artt. 13 nonché 6-7 del Regolamento, in relazione al caso del fasc. 174561 considerato che Tim ha ammesso il contatto telefonico indesiderato, senza dare evidenza né del consenso né dell’informativa eventualmente rilasciata dall’interessato.

Emerge dunque la necessità di confermare, nei termini di cui sopra, per le riferite doglianze in materia di telemarketing indesiderato, la violazione di cui agli artt. 5, par. 2 e 24, nonché -con limitato riguardo ai fasc.li 164015 (già 154626), 163526; 168248 - degli artt. 6, 7 e 14 del Regolamento e 130 Codice, nonché di adottare un provvedimento di divieto di trattamento per finalità promozionale di tutti i dati acquisiti da XX, XX e da altri list provider, con analogo vizio, per i quali Tim non disponga di un consenso informato, altrimenti acquisito, e documentabile nei termini sopra indicati.

4.3. Esercizio dei diritti.

In via preliminare, è opportuno evidenziare che l’Autorità, esaminata la relazione di ottemperanza, predisposta dalla Società riguardo all’attuazione delle prescrizioni impartite con il citato provv. n. 7.2020, ha ritenuto di rivolgere, il 19.01.2021, una richiesta d’informazioni, con l’occasione fornendo alla Società chiarimenti in merito anche alle misure da adottare per garantire la miglior conformità alla normativa. Peraltro con la citata nota, oltre ad alcune indicazioni operative in materia di telemarketing, si è provveduto a ricordare che, ai sensi dell’art. 12, comma 3, del Regolamento: “Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste”. Per il legislatore, quindi, quello di 30 giorni è un termine massimo, al quale si dovrebbe ricorrere eccezionalmente, ove non risulti possibile soddisfare prima la richiesta, come si deve ritenere, tanto più eccezionale, la proroga di due mesi..

- Fasc. 172687: il ritardo è stato chiaramente ammesso da Tim e la definizione della controversia contrattuale, intervenuta dopo il reclamo dell’interessato, non può elidere le violazioni acclarate, che quindi si devono ritenere confermate;

- Fasc. 174463: Tim non ha smentito quanto riferito in sede d’istruttoria preliminare, a riscontro della richiesta d’informazioni dell’Ufficio, aggiungendo il riferimento a un primo riscontro, non documentato, ed ammettendo riscontri tardivi ad ulteriori solleciti che sarebbero giustificati dalla complessità della richiesta presentata, senza però spiegare l’addotta complessità;

- Fasc.li 161814 e 173533: la Società ha ammesso espressamente il ritardo, pur affermando che si tratta di casi praticamente isolati, imputabili probabilmente “ad un errore umano in un’organizzazione così articolata e complessa come quella di TIM”; ritardi contrari “a quanto previsto dalle proprie procedure interne”.

- Fasc.li 165144-165619-165752-165585 (in vero, riferiti ad un’unica doglianza proveniente da un unico segnalante): anche in tal caso, il ritardo è stato ammesso espressamente dalla Società;

- Fasc. 175169: pur prendendo atto del carattere composito dell’istanza nonché del riscontro infine fornito da Tim all’interessato, si deve osservare che sia la gestione per fasi (la richiesta dei dati di traffico evasa in due momenti diversi, senza una ragione apprezzabile, sotto l’aspetto logico-giuridico), sia la gestione complessiva (l’ultimo riscontro fornito dalla Società è del 22.2.2022) contrastino con la normativa, che prevede un riscontro senza ingiustificato ritardo, considerato che l’istanza dell’interessato risale al 7.6.2021;

- Fasc.li 163087 e 166767 (già 165318): si ritiene che le ragioni complessivamente addotte da Tim possano essere condivise e consentire di esonerare la Società dall’applicazione della sanzione e quindi che le violazioni prospettate possano essere archiviate;

- Fasc. 162474: risulta confermato che non è stato dato riscontro alla richiesta via pec dell’interessato;

- Fasc. li 160287 e 169170: l’Autorità ritiene di archiviare le relative contestazioni, considerato, per il primo, che le segnalazioni dell’interessato si collocano all’inizio del periodo di adeguamento stabilito per l’adempimento delle prescrizioni contenute nel provv. 15 gennaio 2020 n.7; e, per il secondo, che la Società ha chiarito di aver dato riscontro all’interessata anche con riguardo all’impossibilità di fornire copia delle registrazioni delle telefonate intercorse con il servizio clienti, in quanto tali registrazioni non sono effettuate.

Pertanto, esclusi i fasc.li 160287, 169170, 163087 e 166767 (già 165318) - quest’Autorità deve confermare, per gli altri suindicati interessati le violazioni degli artt. 12, parr. 2 e 3 e 15, par. 1, del Regolamento, nonché 124, comma 1, del Codice (quest’ultima norma, limitatamente al fasc. 172687 e al fasc. 174463).

Si ritiene altresì necessario ingiungere a Tim l’adozione di misure organizzative e tecniche atte a migliorare la gestione di siffatte istanze.

4.4. Pubblicazione negli elenchi telefonici.

Con riguardo ai fasc.li 175715, 172121 e 171194, dall’esame complessivo degli atti, non risulta la prova della raccolta di un consenso specifico, prestato dagli interessati, per la pubblicazione negli elenchi. Infatti Tim – pur obbligata a dimostrare i propri adempimenti anche in base al principio di accountability - si è limitata a produrre copia della schermata della visualizzazione del detto consenso nei propri sistemi, senza allegare copia del modulo cartaceo.form web sottoscritto dagli interessati, o altra documentazione (es.: registrazione vocale), con riferimento alla scelta relativa alla pubblicazione in elenco. È evidente come siffatta documentazione costituisca il necessario coerente presupposto operativo di quanto presente nei sistemi societari e come l’eventuale mancata espressione di volontà (“richiesta di riservatezza”), da parte degli interessati, dovesse essere registrata come diniego (e non come consenso), occorrendo un consenso espresso e preventivo, oltre che libero, informato e documentato (v. anche art. 12, par. 2, direttiva 2002.58.CE, in base alla quale: “Gli Stati membri assicurano che gli abbonati abbiano la possibilità di decidere se i loro dati personali –e in caso affermativo- “quali debbano essere riportati in un elenco pubblico, sempreché tali dati siano pertinenti per gli scopi dell´elenco dichiarati dal suo fornitore. Gli Stati membri provvedono affinché gli abbonati abbiano le possibilità di verificare, rettificare o ritirare tali dati.”).

Analogo ragionamento (relativo alla necessità della documentazione sottesa al consenso asseritamente reso per la pubblicazione in elenco) può essere applicato anche al caso di cui al fasc. 159767, con riguardo alla pubblicazione originaria dell’utenza fissa, rispetto alla quale Tim peraltro ha ammesso di non aver fornito un riscontro “pertinente”, non rilevando, in funzione esimente della violazione, il successivo passaggio del cliente ad altro operatore.

Sotto un diverso aspetto - per i casi dei fasc.li 174664, 165144, 165619, 165752, 165585 e 165665 - non può riconoscersi funzione esimente alle problematiche tecniche (indicate nella difesa di Tim), dato che il titolare non è stato in grado di ricondurre compiutamente i diversi eventi alla causa concreta che li ha singolarmente prodotti. Infatti, l’indicazione fornita è generica e non circostanziata, e non permette di avere contezza circa l’effettiva correttezza del trattamento in essere, oltre che in merito alle misure poste a protezione dei dati a garanzia dell’integrità degli stessi.

Dunque, con riguardo ai suindicati eventi (fasc.li 171194; 174664; 165144; 65619; 165752; 165585; 165665; 159767; 172121 e 175715), si deve dunque ritenere confermata la violazione degli artt. 6 e 7 del Regolamento nonché 129, comma 2, del Codice.

Relativamente invece al fasc. 164121, alla luce dei chiarimenti forniti da Tim, e in particolare della documentazione contrattuale da questa allegata, si ritiene di archiviare la contestazione relativa al mancato consenso (per la pubblicazione negli elenchi), al pari di quella relativa all’art. 12, par. 3, del Regolamento.

Si ritiene infine di archiviare anche la contestazione prospettata in relazione al fasc. 162474, poiché nel caso di specie non risulta alcuna richiesta, da parte di Tim, di pubblicazione dei dati negli elenchi pubblici.

Ciò detto, si ritiene tuttavia necessario ingiungere a Tim l’adozione di misure organizzative e tecniche atte a migliorare l’attuazione della disciplina di cui all’art. 129, co.2, del Codice.

4.5. Informativa per l’e-commerce nel sito www.Tim.it.

Considerato quanto evidenziato al riguardo da Tim sull’accesso effettuato dall’interessato senza poter visualizzare l’informativa privacy, si ritiene di dover archiviare la relativa contestazione, considerato che, come chiarito dalla Società, si è trattato di un problema tecnico di breve durata e plausibilmente spiegabile con il caso fortuito o forza maggiore (es. eccessivo congestionamento della rete Internet) e non con una condotta dolosa o colpevole di Tim.

4.6. Data breach.

Anche alla luce delle risultanze agli atti dell’Ufficio, riguardo alla notifica della Società di altri data breach all’Autorità, e pur prendendo atto delle osservazioni di Tim (perimetro limitato della violazione e natura comune dei dati violati) riguardo a quello in esame nel presente provvedimento, si ritiene di dover confermare la prospettata violazione dell’art. 32, par.1, lett. b), del Regolamento, considerato che non solo il segnalante ma anche Tim è rimasta inerte nel tempo, non avendo verificato e rilevato il problema lamentato per un lungo periodo.

4.7. Istruttorie svolte su specifici casi e relativi esiti.

Con riguardo alle istruttorie sollevate su specifici casi, si evidenzia quanto segue:

- Fasc. n. 147099, si ritiene che - a fronte alla problematica tecnica esplicitata più volte dall’interessato, ferma restando la conservazione dei dati per eventuali finalità contrattuali, amministrative, contabili od imposte dalla legge- il titolare debba provvedere ad eseguire la richiesta di cancellazione (nel caso specifico, dell’account), senza indugiare, soprattutto ove l’interessato incontri difficoltà tecniche nell’attuare le procedure previste dal titolare, e dunque va confermata la violazione dell’art. 12, par. 2, del Regolamento;

- Fasc. 169442, considerato che la copia dell’informativa prodotta dalla Società non reca alcun segno del mezzo di trasmissione, né delle circostanze temporali dell’invio asseritamente effettuato all’interessata, si deve ritenere confermata la violazione dell’art. 13 del Regolamento;

- fasc.li 166823 e 165813, si ritiene di dover confermare la contestazione alla luce di quanto detto nel paragrafo suindicato (4.2.), “Telemarketing indesiderato”, riguardante la violazione delle disposizioni ivi indicate, con particolare riferimento del principio di accountability.

5. RISULTANZE COMPLESSIVE E CONSEGUENTI MISURE DA ADOTTARE.

In considerazione di quanto sopra esposto, complessivamente, risultano violate le seguenti disposizioni del Regolamento:

- art. 5, par.2 e 24;

- art. 6;

- art. 7;

- art. 12, par.2 e 3;

- art. 13;

- art. 14;

- 15, par. 1;

- 32, par.1, lett. b);

nonché le seguenti norme del Codice:

- artt. 124, comma 1; 129, comma 2; 130.

In base all’accertamento di tali violazioni, pur prendendo atto delle articolate misure già adottate dalla Società, si rende necessario, nei confronti di Tim spa:

a) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di adeguare ogni trattamento svolto per le finalità di telemarketing e di teleselling a modalità e misure idonee a prevedere e comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e ferma restando la necessaria verifica delle liste di contattabilità e, per ciascuna proposta contrattuale, della certa riconducibilità di ogni attività, dal primo contatto al caricamento delle informazioni nel sistema della compagnia telefonica, a figure operanti nell’ambito della rete di vendita ufficiale, debitamente censite e responsabilizzate dalla compagnia telefonica medesima;

b) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, vietare il trattamento per finalità promozionale di tutti i dati acquisiti da XX e XX, per i quali Tim non disponga di un consenso informato e documentabile nei termini sopra indicati, nonché, eventualmente, da altri fornitori di liste, con analogo vizio;

c) ai sensi dell’art. 58, par. 2, lett. d), ingiungere l’adozione di misure organizzative e tecniche atte a migliorare la gestione delle istanze di esercizio dei diritti ex artt. 15-22 del Regolamento e 124, comma 1, del Codice;

d) ai sensi dell’art. 58, par. 2, lett. d), ingiungere l’adozione di misure organizzative e tecniche atte a migliorare l’attuazione della disciplina di cui all’art. 129, co. 2, del Codice;

e) adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689.1981, per l’applicazione delle sanzioni amministrative pecuniarie previste dall’art. 83, par. 4 e 5, del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA.

In base a quanto sopra rappresentato, considerate le violazioni richiamate, si rendono applicabili le sanzioni previste dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l'art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi.

Nello specifico, le suindicate violazioni -avendo ad oggetto, tra gli altri, i diritti degli interessati- sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave prevista per l’inosservanza dei predetti presupposti di liceità, con conseguenziale applicazione della sola sanzione prevista all’art. 83, par. 5, del Regolamento.
Ai fini della quantificazione della sanzione amministrativa il citato art. 83, par. 5, nel fissare il massimo edittale nella somma di 20 milioni di euro ovvero, per le imprese, nel 4% del fatturato mondiale annuo dell’esercizio precedente ove superiore, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi elencati al par. 2 dell’art. 83 in parola, da valutare all’atto di quantificarne il relativo importo.

Quali circostanze aggravanti, nel caso di specie, devono essere considerati:

1. il rilevante numero degli interessati coinvolti, con particolare riguardo alle utenze acquisite da XX e da XX, per le finalità promozionali di Tim (lett. a) e, più in generale, dei destinatari del telemarketing selvaggio;

2. la natura grave della violazione, con particolare riguardo al trattamento di liste di utenze acquisite con un consenso per la finalità promozionale con modalità non comprovabili, nonché alla pubblicazione negli elenchi pubblici dei dati di più interessati, con la conseguente diffusione dei medesimi dati; nonché il carattere fortemente pervasivo delle suddette attività di telemarketing (lett. a);

Pur ravvisandosi il carattere recidivo di alcune violazioni (nello specifico, riguardo alla gestione delle istanze degli interessati) rispetto a quelle oggetto di precedenti provvedimenti (fra cui in particolare, da ultimo, il provv. 15 gennaio 2020, cit.; lett. i), si ritiene di non considerare la reiterazione, in ragione dell’avvenuto pagamento in misura ridotta della sanzione prevista dall’ordinanza ingiunzione, inserita nel citato provvedimento del 2020 (v. art. 8-bis, comma 5, l. n.689/1981).

Quali elementi attenuanti, si ritiene di dover invece tener conto:

1. del fatto che, nel complesso, si è registrata una notevole diminuzione del numero di segnalazioni e reclami pervenuti al Garante nei confronti di Tim rispetto a quanto registrato nel periodo oggetto dell’istruttoria che ha condotto al provvedimento del 15 gennaio 2020, nonché della percentuale di violazioni riscontrate rispetto alle doglianze in questione (lett. a);

2. delle misure adottate per limitare le problematiche riscontrate, con particolare riferimento alle attività promozionali della forza vendita (lett. c);

3. della costante collaborazione fornita durante l’istruttoria condotta (lett. f).

Il complesso degli elementi sopra indicati va valutato tenendo in debito conto i principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, e, in quest’ottica, i significativi risultati economici della Società, ma, al contempo, anche il necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società. Tutto ciò premesso, si ritiene debba applicarsi a Tim S.p.A. la sanzione amministrativa del pagamento di una somma di euro 7.631.175, pari all’1,5% del massimo edittale (euro 508.745.019), calcolato -analogamente ai precedenti provvedimenti adottati nella medesima materia- rispetto al fatturato della Società (12.718.625.495) e non del gruppo societario di appartenenza.

Nel caso in argomento si ritiene che debba applicarsi altresì la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1.2019, tenuto conto delle materie oggetto di istruttoria, ed in particolare del pernicioso fenomeno del telemarketing ‘selvaggio’, anche in relazione alla circolazione ed impiego per finalità promozionali di liste non adeguatamente informate e consensate, acquisite da terzi, nonché della lacunosa gestione di alcune istanze di esercizio dei fondamentali diritti degli interessati (v., fra gli altri, provv. 22 maggio 2018, doc. web n. 8995274 e provv. 18 aprile 2019, doc. web n. 9105201), rispetto alle quali questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1.2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento effettuato da Tim S.p.A. -con sede legale in Via Gaetano Negri, 1, Milano; p. iva 00488410010- descritto nei termini di cui in motivazione, e, quali misure correttive, nei confronti della medesima Società:

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere di adeguare ogni trattamento svolto per le finalità di telemarketing e di teleselling a modalità e misure idonee a prevedere e comprovare in qualsiasi momento che l’attivazione di offerte e servizi e la registrazione di contratti avvenga solo a seguito di contatti promozionali effettuati dalla rete di vendita della Società attraverso numerazioni telefoniche censite e iscritte al ROC – Registro degli Operatori di Comunicazione e ferma restando la necessaria verifica delle liste di contattabilità e, per ciascuna proposta contrattuale, della certa riconducibilità di ogni attività, dal primo contatto al caricamento delle informazioni nel sistema della compagnia telefonica, a figure operanti nell’ambito della rete di vendita ufficiale, debitamente censite e responsabilizzate dalla compagnia telefonica medesima;

c) ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, vieta il trattamento per finalità promozionale di tutti i dati acquisiti da XX, XX, per i quali Tim non disponga di un consenso informato e documentabile nei termini sopra indicati, nonché, eventualmente, da altri fornitori di liste, con analogo vizio;

d) ai sensi dell’art. 58, par. 2, lett. d), ingiunge l’adozione di misure organizzative e tecniche atte a migliorare la gestione delle istanze di esercizio dei diritti ex artt. 15-22 del Regolamento e 124, co. 1, del Codice;

e) ai sensi dell’art. 58, par. 2, lett. d), ingiunge l’adozione di misure organizzative e tecniche atte a migliorare l’attuazione della disciplina di cui all’art. 129, co. 2, del Codice;

f) ai sensi dell’art. 58, par. 1, del Regolamento, invita a comunicare, entro 30 giorni dalla data di ricezione del presente provvedimento, quali iniziative siano state intraprese al fine di dare attuazione a quanto prescritto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato. Si ricorda che il mancato riscontro alla richiesta ai sensi dell’art. 58 è punito con la sanzione amministrativa di cui all'art. 83, par. 5, lett. e), del Regolamento;

ORDINA

a Tim spa di pagare la somma di euro 7.631.175, a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 7.631.175, secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689.1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1.2019, la pubblicazione sul sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1.2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.

Ai sensi dell’art. 78 del Regolamento (UE) 2016.679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di ses166189 giorni se il ricorrente risiede all’estero.

Roma, 13 aprile 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
9894662

Data
13/04/23

Argomenti

Consenso Informativa Spam Telemarketing Elenchi telefonici Data breach

Tipologie

Ordinanza ingiunzione o revoca

Header seguici su

Selettore lingua

Garante per la protezione dei dati personali

GGpdp5SearchToggleBar

I miei diritti

Imprese ed enti

Menù di navigazione

Provvedimento del 13 aprile 2023 [9894662]

g-docweb-display Portlet