VEDI ANCHE Newsletter dell'11 settembre 2023

[doc. web n. 9920942]

Provvedimento del 18 luglio 2023

Registro dei provvedimenti
n. 321 del 18 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

1. ATTIVITÀ ISPETTIVE EFFETTUATE DALL’AUTORITÀ PRESSO LA SEDE SOCIETARIA E RELATIVI ESITI.

1.1. Premessa

Nell’ambito dell’attività di controllo delle attività di marketing e di profilazione condotte dalle Società telefoniche, è stato effettuato un accertamento ispettivo, nelle date 3-5 maggio 2022, presso Tiscali Italia S.p.A. (di seguito anche: “Tiscali” o “la Società”).

Quest’ultima ha inviato una nota il 20 maggio a scioglimento delle riserve contenute nei verbali ispettivi e un’ulteriore nota il 23 giugno, con specifico riferimento alle azioni correttive intraprese sulla scorta di alcune criticità emerse durante l’accertamento in loco. A ciò è seguito, il 14 ottobre e il 9 dicembre 2022, l’invio, da parte di questa Autorità di una richiesta di informazioni e documenti integrativi per meglio comprendere i trattamenti oggetto d’indagine e lo stadio di avanzamento delle modifiche apportate dalla Società, anche in considerazione dello sviluppo del processo d’incorporazione per fusione della società Linkem, operante nel medesimo settore. La Società ha fornito riscontro completo con nota del 13 gennaio u.s. (alla quale si fa rinvio integrale per maggior dettagli).

Dall’esame degli atti ispettivi è emerso quanto segue.

1.2. Informativa e consensi per il trattamento dei dati

Con riferimento ai tempi di conservazione dei dati, la Privacy Policy della Società (all. 5 al verbale 4 maggio), identica per il sito web societario come per i negozi- in particolare al paragrafo “Diritto alla cancellazione dei dati personali”, si limita a dichiarare “Conserviamo i dati degli utenti solo per il tempo necessario a fornire il servizio richiesto o per adempiere ad obblighi di legge.”, aggiungendo che: ”Se si ritiene che li stiamo conservando per un periodo di tempo superiore a quello necessario, per prima cosa sarà opportuno verificare che il contratto con Tiscali sia cessato.  Se non si è più clienti da almeno 6 mesi e non vi è alcun oggetto di fatturazione attivo e/o situazioni di credito, frodi, reclami aperte con Tiscali, l’utente può anche richiedere la cancellazione dei propri dati, in modo da non renderli più visibili nei sistemi informatici Tiscali. Tuttavia, anche in tal caso e a determinate condizioni, potremmo essere comunque obbligati a non cancellare definitivamente i dati dell’utente per: motivi di pubblica sicurezza; l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria ovvero per l’adempimento di un obbligo legale”.  Analoga formulazione presenta in sostanza l’informativa privacy, rilasciata dalla Società nel sito web come nei negozi e che contempla le sole finalità contrattuali e quelle previste dal legislatore.

Non si prevede dunque alcun termine temporale di riferimento, tanto meno distinto per tipo di modalità e finalità (in particolare per quelle di marketing e profilazione), nonché in base al tipo di dato trattato, quindi i menzionati testi informativi non forniscono agli interessati elementi sufficienti per consentire agli interessati di esser consapevoli rispetto a tale fondamentale aspetto del trattamento, peraltro con il rischio di inficiare anche il consenso eventualmente prestato. La lacuna si appalesa ancor più grave rispetto ai dati dei soggetti prospect e dei soggetti lead richiamati nell’ambito del servizio di call-back, i cui dati vengono conservati, rispettivamente, per 5 anni e per 2 anni (v., di seguito, par. 1.6, del presente atto).

1.3. Servizio call back mediante pop-up.

La Società ha evidenziato che “l’unica attività di marketing svolta sui contatti (lead) raccolti sul detto sito nell’ambito del servizio call back, mediante pop up, è quella riferita alla richiamata per la proposizione dei relativi servizi Tiscali e che il contatto non è inserito in liste per futuri ricontatti generici, venendo inserito invece “in un apposito sistema di call-back, che serve solo per gestire le richiamate”.

Con specifico riferimento ad uno dei comparatori (“bolletta amica”), è stata rinvenuta, nel pop-up, la seguente formulazione di acquisizione del consenso – utili: “Letta l'informativa sulla privacy ai sensi del D.lgs.196/03 e del Regolamento (UE) 679/2016 (GDPR) cliccando su "Chiamami Gratis" dò il consenso al trattamento dei dati personali per essere ricontattato al fine di ottenere informazioni commerciali in merito al presente servizio di Tiscali”. Tuttavia, a fronte di tale formula, è risultato presente il seguente avviso raggiungibile mediante il previsto link: “Qualora tu abbia prestato il consenso facoltativo per finalità di marketing, ti informiamo che i tuoi dati di contatto potranno essere utilizzati per l’invio da parte di Tiscali di informazioni, comunicazioni ed offerte commerciali, materiale pubblicitario e informativo, tramite strumenti automatizzati (sms, email, whatsapp) o canali tradizionali (posta cartacea e telefonate con operatore) relativi a tutti i servizi Tiscali.”

A specifica domanda del personale dell’Autorità, la Società ha confermato che la suindicata formulazione contenuta nell’informativa si riferisce al consenso di cui al pop-up. Al riguardo, è stata evidenziata, già in sede ispettiva, l’incongruenza fra il consenso acquisito tramite il pop-up di call-back e quello esplicato nell’informativa; incongruenza di cui la Società ha preso atto per eventuali modifiche (v. verbale 4 maggio).

1.4. L’utilizzo del c.d. “soft spam”.

Con riguardo a quanto indicato al punto 2 dell’informativa del sito web e dei moduli cartacei, e, in particolare, alle comunicazioni di c.d. soft spam, dirette ai soggetti già clienti che non abbiano manifestato il proprio consenso alle attività promozionale, la Società ha confermato di aver “utilizzato in maniera residuale ed episodica anche l’sms per inviare comunicazioni commerciali su prodotti/servizi analoghi a quelli già acquistati dai clienti Tiscali. Nel periodo 2021-2022 …. ha fatto 2 campagne promozionali via SMS, seguendo la logica ex 130, 4°Co., del Codice. La prima ha coinvolto 70.000 clienti, fra ottobre e novembre 2021. La seconda ha riguardato 95.000 clienti, fra dicembre 2021 e febbraio 2022.” Al riguardo, la Società ha aggiunto di aver compiuto “una valutazione in base alla quale l’sms è stato considerato per i clienti di linea mobile analogo alla mail, in termini di invasività, tenuto conto che il numero di telefono è l’unico dato certo rilasciato dai clienti in fase di sottoscrizione del contratto.”

1.5. Gestione dei dinieghi e delle opposizioni al trattamento.

La Società, nel precisare che attualmente non effettua campagne di telemarketing, avvalendosi invece, ai medesimi fini promozionali, della posta elettronica e, saltuariamente di messaggi sms (v. par. 1.4 ”L’utilizzo del soft spam”) , ha specificato che “considera valido il consenso rilasciato per 10 anni dalla data di cessazione del contratto, a meno di revoca. A tal proposito, … tiene traccia delle richieste di revoca, per quanto riguarda i prospect, in un’apposita black-list, costituita, ad oggi da 975 righe, valorizzata a partire dal 2018” (All. 4, verbale 3 maggio) e  “… in caso di revoca da parte di un ex cliente, viene aggiornato il relativo consenso nel CRM.”

Relativamente alla gestione dei dinieghi e alla black-list, eventualmente utilizzata nel periodo in cui la società effettuava attività di teleselling, Tiscali ha dichiarato di non essere in grado (“al momento”, ossia alla data dell’ispezione in questione), “di fornire documentazione e informazioni, in ragione degli avvicendamenti di personale e di sistemi, avvenuti negli ultimi anni. Anche con riguardo alla black list, la società non è in grado di reperire la precedente lista, ulteriore rispetto a quella già fornita all’Autorità, i cui primi inserimenti si collocano nel 2019”. Tiscali ha aggiunto che: “In precedenza, i dinieghi venivano sicuramente registrati, ma allo stato la società non può fornire documentazione al riguardo; dal 2019 la funzione privacy ha iniziato ad inserire nella attuale black-list i dinieghi al trattamento, in numero ridotto in quanto la società non effettua più telemarketing. Per rafforzare tale aspetto, è in lavorazione una CR per automatizzare il processo di inserimento in black-list e far comunicare direttamente CRM e black-list relativa ai prospect.”

A specifica richiesta del personale ispettivo riguardo all’eventuale funzione del CRM o altro sistema societario di restituire le date, i canali o altre circostanze relative alle variazioni dei consensi privacy eventualmente manifestate nel corso del tempo dai singoli interessati, la Società ha rappresentato “di non disporre di questo tipo di funzione, ma che tuttavia ha traccia dell’opzione di volontà più recente ed attuale”.

1.6. Conservazione dei dati per finalità di marketing e profilazione

Dall’analisi della “Policy di Data retention” (all. 6, verbale 3 maggio) sono emersi i seguenti aspetti critici:

- per svolgere attività di marketing e di profilazione, tutti i dati ((incluso lo “storico degli acquisti di prodotti e servizi Tiscali”) vengono conservati per 10 anni, sia in relazione a clienti inattivi nonché ai clienti, a far data dell’”ultimo acquisto” o dell’”ultima interazione”;

- per le medesime finalità, vengono conservati per 5 anni i dati (incluso lo “storico degli acquisti di prodotti e servizi Tiscali; dati anagrafici e di contatto quali nome, cognome, indirizzo email, informazioni acquisite dal profilo pubblico sui social ecc..”) dei soggetti prospect. Come termine iniziale della conservazione, la Società ha individuato la data dell’”ultima interazione” (in tal caso prevedendo alcune ipotesi esemplificative “partecipazione ad un evento o concorso), rispetto al marketing e quella della “raccolta del consenso”, rispetto alla profilazione.

Peraltro, nella detta Policy relativa alla gestione delle liste lead, ai fini del servizio di call-back, viene indicato un tempo di conservazione di 2 anni (v., per il medesimo termine, il registro dei trattamenti, con riferimento alla relativa sezione).

Peraltro, il numero degli interessati assume un rilevante importo; ad es., quanto ai clienti inattivi e sospesi, “il risultato dell’interrogazione si riferisce a 2.926.458 righe in cui i dati identificativi del cliente sono stati oggetto di anonimizzazione, in linea con i criteri di data retention di Tiscali” (v. nota 20 maggio 2022).

2. AZIONI CORRETTIVE POSTE IN ESSERE DALLA SOCIETÀ.

Il 23 giugno 2022 Tiscali ha inviato una nota – alla quale si fa integrale rinvio - in cui ha esposto  alcune azioni correttive anche tenuto coto delle criticità emerse in sede ispettiva. In particolare, la medesima rappresentava peraltro: di aver reso più chiara la formulazione del banner cookie, anche relativamente alla dichiarazione di consenso alle finalità del trattamento nonché la formula di accettazione di termini contrattuali e dell’informativa privacy, separando le relative caselle proposte agli utenti in sede di registrazione al sito web.

Inoltre la Società, riguardo all’incongruità sopra rilevata, informava che “in data 19/5/22 la Società ha istruito il proprio responsabile del trattamento Engineering, per mezzo di un ticket ad hoc …., al fine di sanare l’anomalia rilevata in sede di ispezione e riallineare gli strumenti Siebel e MyTiscali. Tale attività si è conclusa da parte di Engineering in data 03/06/22”, allegando, “a comprova di ciò, uno screenshot relativo alla conclusione della lavorazione positiva”.

Relativamente al “soft spam”, la Società ha prodotto l’informativa modificata con il riferimento a tale attività promozionale verso chi è già cliente (finché questo non si opponga), mediante posta elettronica, chiedendo all’Autorità di valutare, “anche con il ricorso ad una interpretazione dell’art. 130, co. 4 del Codice Privacy in base al c.d. “diritto vivente”, se quanto ivi previsto in materia di soft spam possa ritenersi – in base all’attuale evoluzione tecnologica e sociale – estendibile anche alla comunicazione tramite SMS. Ciò in considerazione del fatto che, ad oggi, l’SMS ha una portata sensibilmente ridotta rispetto al passato (anche in ragione dell’avvento di nuovi sistemi di messaggistica istantanea). Si tenga comunque presente che a seguito dell’ultima campagna effettuata a febbraio 2022, la Società aveva già sospeso tali attività di soft spam.”.

Tiscali ha rappresentato inoltre che era in fase di lavorazione, sempre per mezzo della società IT, responsabile del trattamento, l’allineamento in real time tra la black list ed il CRM.

3. INTEGRAZIONE DELL’ISTRUTTORIA.

In considerazione del perfezionamento dell’operazione d’incorporazione nel gruppo Tiscali di Linkem (ora: Opnet S.p.A.), nonché delle attività correttive poste in essere dalla Società, si è ritenuto necessario rivolgere a quest’ultima una richiesta di elementi e documenti, in data 14 ottobre 2022– rinnovata il 9 dicembre non avendo ricevuto riscontro-  al fine di verificare i ruoli di Tiscali Italia spa e Linkem spa nel trattamento dei dati dei clienti/prospect; quantità e qualità (tipologie) di dati acquisiti a seguito della fusione; policy di conservazione dei dati; informative rilasciate agli interessati, nonché eventuali misure correttive intraprese relativamente alle possibili criticità emerse in sede ispettiva o autonomamente rilevate dalla Società.

Tiscali -con ritardo asseritamente dovuto a problematica tecnica nella gestione del servizio di posta certificata- forniva riscontro, con nota del 13 gennaio u.s. (cui si rinvia per il dettaglio dei vari profili esaminati), rappresentando anzitutto che: ”L’operazione straordinaria perfezionata in data 1° agosto 2022 è consistita in una serie di operazioni societarie che … hanno comportato l’incorporazione da parte di Tiscali del ramo d’azienda retail di Linkem S.p.A. ed il conseguente subentro di Tiscali, a norma delle disposizioni dettate dagli artt. 2501 e ss. c.c., in una molteplicità di rapporti attivi e passivi di Linkem S.p.A.”. In particolare, in data 22 luglio 2022 veniva formalizzato l’atto di fusione per incorporazione tra Tiscali S.p.A. (oggi, Tessellis S.p.A.), holding del Gruppo Tiscali (società incorporante) e Linkem Retail S.r.l. (società incorporata) con efficacia a far data dal 1° agosto 2022; contestualmente, la Società procedeva ad una riorganizzazione interna al proprio gruppo, al fine di centralizzare in capo a sé tutte le attività di retail, subentrando “A far data dal 1° agosto 2022 … nella titolarità di tutte le attività incluse nel ramo retail, fra cui quelle di trattamento di dati personali dei soli clienti attivi al 31 luglio 2022, precedentemente svolte da Linkem ... Al contrario, i trattamenti dei dati dei clienti di Linkem cessati antecedentemente al 31 luglio 2022 … sono rimasti in capo ad Opnet S.p.A. (allora Linkem S.p.A.).”

La Società ha aggiunto di aver “provveduto ad inviare una comunicazione ai clienti a mezzo e-mail in data 28 luglio 2022 recante altresì l’informativa sul trattamento dei dati personali (Allegati 1 e 2, alla citata nota di riscontro); comunicazione messa a disposizione sul sito web dedicato al servizio Linkem e tutt’ora disponibile alla pagina https://www.linkem.com/fusione-linkem-tiscali.”

Quanto alla data retention, a seguito dell’Operazione straordinaria, la Società ha rappresentato di aver avviato l’analisi interna necessaria e finalizzata ad “una completa commistione dei database precedentemente nella titolarità di Linkem S.p.A. all’interno dei propri sistemi. Poiché tale obiettivo non è ancora stato raggiunto, … detiene i dati personali dei clienti acquisiti …. su sistemi diversi ed ulteriori – parimenti acquisiti nella (detta vicenda societaria)- rispetto a quelli utilizzati per effettuare le attività di trattamento di dati personali già oggetto delle attività (ispettive)”.

Inoltre, con particolare riguardo ai termini di conservazione, la Società ha richiamato quelli espressamente previsti dalla suindicata informativa privacy.

Riguardo a tali termini, nello specifico, emerge dall’analisi della detta policy che, analogamente ai clienti Tiscali, è prevista la conservazione dei dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi “fino all’(eventuale) revoca del consenso”.

Pur se espressamene indicata, nell’informativa suindicata, fra le finalità del trattamento, non è invece risultata alcuna traccia della conservazione dei dati personali in questione per finalità di profilazione.
In ultimo, questa Autorità in data 28 gennaio 2023 ha chiesto alla Società di voler specificare i seguenti dati quantitativi: - numero dei clienti (attivi e cessati) e - lead, distinguendo fra i due marchi “Tiscali” e “Linkem”. La Società, fornendo riscontro il 7 febbraio u.s., ha rappresentato che, con riferimento al marchio Tiscali, i clienti attivi sono 17.808.080; quelli cessati 1.384.029 8.076; i lead 19.576; con riferimento al marchio Linkem: attivi 530.614; cessati 47.474; lead 19.576.

4. LA CONTESTAZIONE EFFETTUATA DALL’AUTORITÀ.

4.1. 1nformativa e consensi per il trattamento dei dati

Le suindicate lacune dell’informativa hanno evidenziato la presunta violazione dei principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché dell’art. 13 del Regolamento.

Richiamando quanto detto nel par. 2 del presente provvedimento, non sono risultati indicati i tempi di conservazione per le pur invasive finalità di marketing (anche mirato) e della sottesa profilazione, non consentendo agli interessati di valutare se e quali dati rilasciare od eventualmente disiscriversi dal sito societario. Sono dunque risultati ravvisabili i presupposti per la violazione dei principi di trasparenza (artt. 5, par.1, lett. a) e 12, par.1, del Regolamento) e dell’idonea informativa (art. 13, par.2. lett. a) del medesimo Regolamento.

Peraltro ciò è risultato in contrasto anche con le Linee Guida del Comitato europeo per la protezione dei dati ai sensi del Regolamento (wp260rev.01), in www.edpb.europa.eu, che, in coerenza con la suindicata normativa, valorizzano espressamente l’adempimento informativo in termini di semplicità, chiarezza, immediata intellegibilità, anche tenuto conto delle categorie maggiormente vulnerabili (quali anziane e persone con disabilità), ed in particolare connotate da una minor capacità di discernimento.
Con limitato riferimento ai clienti che acquistino prodotti e/o servizi Tiscali, è emersa la possibile violazione -peraltro in relazione ad un trattamento invasivo come la profilazione- dell’art. 6 del Regolamento, non ravvisandosi l’uso di una corretta base giuridica: non risulta infatti che detto trattamento si fondi sul consenso dell’interessato (par.1, lett. a), né sul legittimo interesse (par.1, lett. f), la cui applicazione, come noto, si sarebbe dovuta basare – circostanza che non risulta agli atti -  su un preventivo apposito test di bilanciamento fra l’interesse del titolare e quello degli interessati o anche di soggetti terzi (v. Linee Guida del Gruppo ex art. 29 su tale specifico presupposto; v. anche provv. 15 gennaio 2020 n.7, doc. web n.9256486).

4.2. Servizio call back mediante pop-up.

L’emersa incongruenza fra il consenso acquisito tramite il pop-up di call-back e quello esplicato nell’informativa –non consentendo all’interessato di comprendere rispetto a quali iniziative promozionali stia prestando il consenso- è apparso in contrasto con il principio di correttezza e trasparenza (artt. 5, par.1, lett. a, e 12, par.1, del Regolamento).

4.3. L’utilizzo del c.d. “soft spam”,

L’invio di sms promozionali – anziché di e-mail- a soggetti già clienti, che non avevano prestato il consenso al marketing, ha configurato la possibile violazione ex 130, 4° co., del Codice Privacy, che, nel consentire l’utilizzo della posta elettronica per finalità promozionali nei confronti di soggetti che abbiano già acquistato un prodotto o servizio, disciplina un’eccezione –non suscettibile di applicazione estensiva- rispetto alla regola generale del consenso preventivo, specifico, comprovabile ed inequivocabile. Peraltro, occorre considerare l’elevato numero di interessati coinvolti (70.000 clienti, fra ottobre e novembre 2021; 95.000 clienti, fra dicembre 2021 e febbraio 2022).

4.4. Gestione dei dinieghi e delle opposizioni al trattamento

Riguardo alla mancanza di una procedura idonea a restituire (eventualmente sin dalla costituzione della Società) le date, i canali o altre circostanze relative alle manifestate variazioni dei consensi privacy nel corso del tempo dai singoli interessati, si son ravvisati i presupposti della violazione del principio di accountability (artt. 5, par.2 e 24, del Regolamento), dato che la Società non ha saputo comprovare un’adeguata gestione del fondamentale diritto dell’interessato all’autodeterminazione (anche ai sensi del suindicato art. 6, par.1. lett. a, del Regolamento) rispetto alla propria sfera di dati personali.

4.5. Conservazione dei dati per finalità di marketing e profilazione

Riguardo ai termini di conservazione, come evidenziati nel par. 1.6. del presente atto (nello specifico, dunque, riferiti ai dati dei clienti attivi, di quelli cessati e dei lead), al pari del termine (“fino all’(eventuale) revoca del consenso” - previsto al suindicato par. 3 “Integrazione istruttoria” in relazione ai “dati personali raccolti e trattati per finalità di marketing relativi a clienti attivi “- è emerso il probabile contrasto con i principi di ‘finalità, di minimizzazione e di limitazione della conservazione’, ai sensi dell’art. 5, par.1, lett. b), c), ed e) del Regolamento. I suddetti termini, pur presupponendo che siano stati individuati dalla Società nell’esercizio della propria accountability, paiono comunque eccessivamente dilatati. Infatti, in base al provv. generale 24 febbraio 2005 [doc. web 1103045] vige la regola generale, riguardo ai tempi di conservazione, è un massimo di 2 anni per i dati relativi al marketing e di 1 anno, per quelli relativi alla profilazione.

Inoltre, si è ricordato che esistono alcuni eccezionali casi in cui il termine (in particolare, quello relativo all’attività di profilazione) è stato aumentato (comunque fino a 7 anni e non fino a 10 o all’eventuale revoca del consenso), ma si tratta del termine preso a riferimento da società-brand appartenenti al comparto del lusso, autorizzato dal Garante, peraltro in un ben diverso contesto socio-economico e tecnologico, a seguito di apposita richiesta di prior cecking e di una specifica istruttoria. Si aggiunga che, per quanto in atti, non si è ritenuto che la tipologia di prodotti posti in vendita dalla Società fosse assimilabile a quella commercializzata da tali società (quali: Bulgari, Ferragamo; v. provv. ti, 24 aprile 2013, doc. web 2499354 e 30 maggio 2013, doc. web n.2547834).

5. NOTIFICA DELLE PRESUNTE VIOLAZIONI AI SENSI DELL’ART. 166, COMMA 5, DEL CODICE.

In base a quanto sopra evidenziato, è risultato necessario contestare alla Società la presunta violazione delle seguenti disposizioni del Regolamento:

artt. 5, parr. 1, lett. a), b) c) ed e) nonché par. 2; 6, par.1, lett. a);

12, parr. 1, e 13, par. 2, lett. a);

24;

nonché dell’art. 130, co. 4, del Codice.

E’ stato pertanto comunicato l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni pecuniarie di cui all’art. 83, parr. 4 e 5, del Regolamento.

6. LA MEMORIA DIFENSIVA.

Mediante la propria memoria difensiva del 22 marzo 2023, al testo integrale della quale si rinvia, la Società ha rappresentato che:

6.1. Informative e consensi per il trattamento dei dati.

Riguardo alla “mancata indicazione dei termini di conservazione dei dati per le finalità di marketing e di profilazione nell’informativa rivolta alla clientela”, la Società ha rappresentato “come, a seguito dell’Operazione Straordinaria di incorporazione fra Tiscali e il ramo d’azienda retail di Linkem S.p.A., la Società abbia provveduto ad aggiornare l’informativa sul trattamento dei dati personali ex art. 13 del Regolamento rivolta ai clienti dei servizi Tiscali a marchio Linkem, inserendo all’interno della stessa l’indicazione puntuale dei termini di conservazione dei dati personali rispetto a ciascuna finalità di trattamento perseguita, comprese quelle di marketing (“fino alla revoca del consenso da Lei espresso ex art. 7 del GDPR e/o fino alla Sua opposizione al trattamento ex art. 21 del GDPR” ) e profilazione generale basata sul legittimo interesse (“12 mesi” dalla raccolta). Le medesime modifiche saranno apportate anche all’informativa privacy contrattuale rivolta alla clientela dei servizi a marchio Tiscali”. La Società ha altresì evidenziato che “l’assenza di qualsivoglia reclamo confluito nel presente procedimento è una ulteriore prova che, pur nella presenza di una policy di data retention non aggiornata, Tiscali ha sempre operato in ossequio alle relative informative senza cagionare alcun tipo di pregiudizio nei confronti dell’interessato”.

Venendo all’attività di profilazione, la Società ha rappresentato: “come il trattamento indicato all’interno dell’informativa con il termine di “profilazione aggregata” consista in una attività di trattamento dei dati finalizzato alle analisi di orientamento strategico effettuato dalla Società, qualificabile, utilizzando una terminologia di recente conio, come “analisi aggregata” o “classificazione”. Il citato trattamento, in realtà, consiste nell’analizzare, in maniera generale e aggregata, le informazioni anagrafiche e di acquisto dell’intera base dati della propria clientela per creare modelli strategici aziendali e migliorare i propri prodotti e servizi, senza effettuare valutazioni, previsioni o trarre conclusioni in merito a persone fisiche specifiche.

“A differenza della profilazione intesa nei termini di cui all’art. 4 del Regolamento”, la Società ha inoltre precisato che “nessun attributo e/o marcatore profilato viene associato all’anagrafica dei clienti presenti nel database. I dati personali dei clienti della Società sono, dunque, utilizzati per eseguire elaborazioni aggregate di business intelligence che conducono a informazioni di alto livello non riferite ai singoli clienti, consentendo alla Società di conoscere il numero di quanti (e non di chi) abbiano fruito di servizi specifici in una determinata area geografica in un dato periodo di tempo. Tipici casi di elaborazioni aggregate di business intelligence svolte sono, ad esempio, le analisi generali delle offerte dei propri servizi attraverso cui si verifica, tramite valutazioni aggregate, quanti clienti dell’intera base dati hanno aderito ad una specifica promozione in un determinato periodo e/o area geografica; o anche l’analisi generale dell’intera customer base volta a conoscere a livello statistico i target che contraddistinguono la base clienti (ad esempio, valutazione statistica della percentuale di donne e uomini, distribuzione percentuale per fasce d’età, area geografica, ecc.). L’attività di analisi generale svolta da Tiscali – a differenza dell’attività di profilazione – così come definita ai sensi dell’art. 4 del GDPR – non implica, dunque, alcuna ricaduta personalizzata sui clienti, in quanto non è direttamente e funzionalmente volta alla implementazione di azioni commerciali o pubblicitarie mirate e personalizzate. La citata attività di analisi, proiettandosi nella dimensione delle scelte strategiche della Società, è direttamente funzionale alla soddisfazione di un interesse tipicamente imprenditoriale della stessa; il trattamento dei dati che ne deriva può quindi trovare fondamento nel legittimo interesse ex art. 6, par. 1, lett. f) del Regolamento …“.

6.2. Servizio call-back mediante pop-up.

A tale riguardo, Tiscali ha rappresentato che: “Nel corso dell’attività ispettiva (cfr. verbale del 4 maggio 2022), è emerso che – nel contesto dell’attività di marketing inbound effettuata a seguito di una raccolta di lead da parte di terzi fornitori di servizi di comparazione delle offerte nel mercato delle telecomunicazioni – esclusivamente per uno di detti fornitori (“bolletta amica”), la formula del consenso commerciale da rilasciare per essere ricontattati (call back) fosse disallineata rispetto a quanto a riguardo previsto nella relativa informativa privacy di call back. La Società ha ribadito che “trattasi di un mero errore materiale di allineamento e/o aggiornamento del testo, atteso che per gli altri comparatori analizzati durante l’Attività Ispettiva, detta incongruenza è assente ... come indicato nella nota del 20 maggio 2022; (ha) provveduto a correggere/allineare  …  tale informativa di call back riguardante “bolletta amica” affinché i riferimenti al consenso ivi presenti combaciassero con la formula di consenso suddetta, che prevede il ricontatto commerciale specifico per il solo servizio Tiscali pubblicizzato. Ad ulteriore conferma del mero errore materiale ed a riprova che ciò non ha avuto alcun impatto concreto nei confronti degli interessati, la Società ha aggiunto che: “- da un lato, i dati raccolti per la fase di call back non confluivano sul CRM aziendale bensì in uno specifico sistema per la call back (cfr. all. 8 al verbale del 4.5.22 con gli screenshot al sistema di call back). Pertanto, era escluso il rischio di un contatto commerciale al di fuori del consenso al ricontatto per il singolo servizio Tiscali … Solo gli amministratori del sistema di call back avevano visibilità delle numerazioni archiviate “fino a massimo 30 giorni prima. Il dato è stato verificato e confermato in sede di ispezione, avvenuta dal 3 al 5 maggio 2022, ove è emerso che i dati più risalenti facevano riferimento al 24 aprile 2022 sicché all’evidenza venivano conservati per un periodo di non oltre 30 giorni”.  Tiscali ha poi affermato che: “dalle evidenze dei sistemi raccolte nell’Attività Ispettiva è stato appurato che detto errore non ha avuto alcun impatto sui sistemi e, dunque, tantomeno nei confronti degli interessati”; al contempo evidenziando che “ai sensi dell’art. 3 (principi generali) del Regolamento 1/2019 … l’Autorità deve tener conto “della natura e della gravità degli illeciti da accertare in rapporto ai relativi effetti e all’entità del pregiudizio che essi possono comportare per uno o più interessati, della probabilità di comprovarne la sussistenza, nonché delle risorse disponibili.” 

6.3. L’utilizzo del soft spam.

La Società ha rappresentato “come tale modalità di invio delle campagne abbia riguardato esclusivamente due campagne promozionali e sia stata, susseguentemente, interrotta definitivamente allo scadere della seconda campagna nel febbraio 2022 …   l’attività ha riguardato solo due campagne per un bacino di clienti esiguo rispetto all’intera customer base comunicata a questa Autorità”. 

6.4. Gestione dei dinieghi e delle opposizioni al trattamento.

La Società ha preliminarmente osservato, ribadendo quanto dichiarato in sede ispettiva, di non effettuare attività di telemarketing e teleselling già da prima del 2018. “Di conseguenza, le opposizioni dei prospect raccolte nella blacklist si compongono dei soli casi di opposizioni “generiche”, vale a dire di comunicazioni inviate dagli interessati indistintamente nei confronti dei principali operatori di comunicazione elettronica (inclusa Tiscali) per opporsi a eventuali campagne, e non a seguito di specifiche campagne di teleselling/telemarketing avviate da Tiscali almeno dal 2018 in avanti direttamente e/o indirettamente  … non ha attivato neanche un canale Agenzie per la proposizione diretta di contratti commerciali. Per tale ragione, il contenuto della blacklist riporta un numero relativamente esiguo di opposizioni.” La Società ha altresì documentato che “è stata condivisa la blacklist includente circa 350 opposizioni registrate simultaneamente alle ore 00:00 del 25 settembre 2019, che sono il frutto di un caricamento massivo di tutte le opposizioni precedentemente raccolte e provenienti da altro Data Base, a far data, nel minimo, dal 25 maggio 2018, data di applicazione del GDPR. … ha recuperato tutte le blacklist precedentemente raccolte in data antecedente al 2019 sino al 2018 .. Come agevolmente verificabile tramite un confronto, tutti i nominativi presenti in tali blacklist coincidono con le circa 350 opposizioni …”

6.5. La conservazione dei dati per finalità di marketing e profilazione.

Con riferimento alla policy di data retention relativa ai clienti, la Società ha affermato “in primo luogo come la versione condivisa con l’Autorità non fosse aggiornata ed è attualmente in fase di revisione anche a seguito della citata Operazione Straordinaria. Come infatti dimostrato nel corso dell’Attività Ispettiva tramite prove raccolte anche sui sistemi …: - Tiscali non effettua attività di profilazione; - quanto al marketing nei confronti dei prospect, è opportuno ricordare come tali soggetti rappresentano le c.d. “lead” e, dunque, come da relativa informativa visionata in Attività Ispettiva, detti dati erano conservati esclusivamente per 30 giorni.”.

La Società ha poi affermato che la “censura mossa riguardo ai tempi di conservazione dei dati per finalità di marketing e profilazione, secondo l’orientamento del provvedimento del 24 febbraio 2005, in base al quale “i tempi di conservazione dei dati relativi ai dettagli degli acquisti con riferimento ai clienti andrebbero individuati in 24 mesi (decorrenti dalla registrazione) per la finalità di marketing e in 12 mesi (decorrenti dalla registrazione) per la finalità di profilazione – non pare possa trovare” applicazione. Secondo la Società, spetterebbe infatti al Titolare, in virtù del principio di responsabilizzazione “l’onere di effettuare ogni più opportuna valutazione, adottando adeguate misure tecnico-organizzative al fine di garantire la conformità del trattamento al Regolamento.”, richiamando “alcuni provvedimenti dell’Autorità che hanno riconosciuto la possibilità di estendere il termine di conservazione per il trattamento dei dati relativi ai dettagli degli acquisti anche fino a un periodo pari a 10 anni e ciò non solo a favore di società/brand appartenenti al comparto moda/lusso (cfr., ad esempio, il provvedimento n.274 del 9 maggio 2018 [doc. web n. 8998319], il provvedimento n.297 del 12 giugno 2014 [doc. web n.3315156], il provvedimento n.329 del 22 maggio 2018 [doc. web n.9022048]). “

6.6. Quadro delle misure migliorative adottate.

La Società ha rappresentato di aver spontaneamente implementato un insieme di azioni migliorative, a comprova della propria accountability, sia già avviate e/o concluse, anche quale misura di ulteriore collaborazione con questa Autorità. Fra queste:

- la correzione dell’informativa privacy call-back con riferimento al comparatore “bolletta amica”;

- l’ulteriore precisazione della formula del consenso marketing;

- la separazione, tramite differente e specifico flag, della presa visione dell’informativa rispetto alle condizioni contrattuali;

- il “raffinamento dell’informativa privacy clienti, per mezzo dell’utilizzo di termini ancor più semplici ed efficaci nel rappresentare la finalità di marketing ed eliminando i riferimenti al soft-spam tramite SMS”;

- l’implementazione di un automatismo tecnico che allinei in real-time la blacklist delle opposizioni con il CRM; - la uniformizzazione delle informative di call-back, a seguito della detta fusione. 

6.7. Conclusioni formulate dalla Società.

Alla luce di tutto quanto sopra esposto, Tiscali, nella memoria in questione, ha chiesto l’archiviazione del procedimento e, in subordine, di  applicare una sanzione nel suo valore minimo edittale, tenendo conto: (1) delle misure adottate dal titolare del trattamento per attenuare eventuali danni subiti dagli interessati; (2) del grado di responsabilità del titolare del trattamento tenendo conto delle misure tecniche ed organizzative da esso messe in atto; (3) del grado di cooperazione con l’Autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi.

La Società ha peraltro documentato, in modo dettagliato, la propria condizione di grave crisi economica e finanziaria tale da aver “chiuso 9 degli ultimi 10 esercizi di bilancio con un risultato netto fortemente negativo al quale si deve aggiungere la difficoltà diffusa di tutte le società di telecomunicazioni medio piccole.” 

7. L’AUDIZIONE DELLA SOCIETÀ.

In sede di audizione, tenutasi il 27 aprile u.s., la Società, nel richiamare quanto rappresentato già nella memoria difensiva, ha aggiunto che nell’ambito della detta procedura di fusione con Linkem la protezione dei dati è stata assunta a valore sempre più centrale nell’ambito della riorganizzazione societaria, costituendo nuove funzioni (IT e compliance) nella medesima Direzione che si occupa di privacy, nominando un DPO abilitato a rapportarsi direttamente con l’Amministratore delegato della Società, rivedendo ancora ed uniformando informative, corrispondenti consensi,  procedure e documentazione fra Tiscali e Linkem. 

8. NOTA INTEGRATIVA DELLA SOCIETÀ DEL 30 MAGGIO U.S.

Con nota del 30 maggio 2023, Tiscali ha infine rappresentato che, “nonostante la critica condizione economica e finanziaria dei propri bilanci, confermata da ultimo anche in occasione dell’approvazione dei dati finanziari dell’esercizio 2022, e del mercato delle telecomunicazioni nell’attuale contesto storico in cui tutti i principali operatori hanno annunciato esuberi per migliaia di posti di lavoro, ha responsabilmente optato per salvaguardare i propri dipendenti non riducendo l’organico in eccedenza; e che, a valle della fusione, ha internalizzato il personale in appalto di servizi presso alcuni call center, nonché ricollocato senza alcun esubero il personale di cui al ramo d’azienda IT affittato (ad altra società), e rientrato a fine 2022”.

La Società ha altresì ribadito come il trattamento indicato all’interno dell’informativa con il termine di ‘profilazione aggregata’ “consista in una attività di trattamento dei dati finalizzato alle analisi di orientamento strategico effettuato dalla Società, qualificabile, utilizzando una terminologia di recente conio, come ‘analisi aggregata’ o ‘classificazione” e che consiste nell’analizzare, in maniera generale e aggregata, le informazioni anagrafiche e di acquisto dell’intera base dati della propria clientela per creare modelli strategici aziendali e migliorare i propri prodotti e servizi, senza effettuare valutazioni, previsioni o trarre conclusioni in merito a persone fisiche specifiche”; che la detta classificazione risponde alla definizione da ultimo rinvenibile nel Codice di condotta per attività di telemarketing e teleselling approvato da questa Autorità il 9 marzo u.s. 

Infine, la Società, in ragione della rappresentata esigenza di “salvaguardare i propri lavoratori e la continuità aziendale, nella denegata ipotesi in cui venisse irrogata una sanzione a carico della medesima”, ha chiesto di poter “dilazionare il dovuto pagamento anche in caso di oblazione immediata della sanzione stessa. "

9. OSSERVAZIONI LOGICO-GIURIDICHE DELL’AUTORITÀ.

9.1. Informative e basi giuridiche per il trattamento.

Con specifico riguardo all’adempimento informativo, ritenendo che le difese formulate non siano sufficienti ad esimere da responsabilità amministrativa la Società, si ritiene di dover confermare la violazione dei principi di ‘correttezza’ e di ‘trasparenza’ (artt. 5, par.1, lett. a, e 12, par.1), nonché dell’art. 13 del Regolamento, alla luce delle argomentazioni sopra esposte con la contestazione. Peraltro, non rileva, a differenza di quanto sostenuto dalla Società, che “pur nella presenza di una policy di data retention non aggiornata, Tiscali (abbia) sempre operato in ossequio alle relative informative senza cagionare alcun tipo di pregiudizio nei confronti dell’interessato”, poiché, in base al combinato disposto degli artt. 12 e 13 del Regolamento, l’inidoneo adempimento del fondamentale obbligo di informativa completa e trasparenza è sanzionabile, in base all’art. 83, par. 5, del Regolamento,  a prescindere dalle eventuali pregiudizievoli correlate conseguenze.

Riguardo alla possibile base giuridica dell’attività di profilazione (individuale od aggregata), intesa, ai sensi dell’art. 4, par.1, lett. d) del Regolamento, come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”,  va evidenziato che  la Società, in particolare con le citate note del 22 marzo e del 30 maggio u.s., ha chiarito che, in realtà, la propria attività consiste in un’analisi generale ed aggregata per macro-criteri (come età o sesso) senza alcuna valutazione o ricaduta per le persone interessate, e che dunque –a dispetto della terminologia utilizzata nell’informativa- non può essere assimilata alla profilazione.

Alla luce di quanto sopra, questa Autorità – considerata la funzione di mera segmentazione e generica classificazione della base clienti -può escludere la ricorrenza, nella fattispecie, di un’attività di profilazione e, pertanto, ritiene di poter archiviare la violazione a suo tempo contestata.

9.2. Servizio call back mediante pop-up.

Considerate le articolate argomentazione addotte dalla Società (e, in particolare, il carattere meramente formale della violazione in questione e l’assenza di un effettivo pregiudizio agli interessati), si ritiene di poter archiviare la relativa contestazione (artt. 5, par.1, lett. a, e 12, par.1).

9.3. L’utilizzo del soft spam.

L’Autorità, richiamando quanto già evidenziato al riguardo in sede di contestazione, ritiene di che gli argomenti dedotti dalla Parte non possano essere considerati sufficienti per superare la censura mossa, poiché –è bene ribadire- quella dell’art. 130, comma 4, è una norma eccezionale, insuscettibile quindi di applicazione analogica.

Ciò considerato è da ritenersi confermata la violazione della suddetta disposizione.

9.4. Gestione dei dinieghi e delle opposizioni al trattamento.

La Società ha infine dato prova di avere contezza delle opposizioni ricevute a partire dalla piena operatività del Regolamento, producendo le relative black list, ma nulla ha aggiunto, rispetto a quanto emerso in sede ispettiva, riguardo alla mancata implementazione di una “funzione del CRM o altro sistema societario di restituire le date, i canali o altre circostanze relative alle manifestate variazioni dei consensi privacy nel corso del tempo dai singoli interessati” e alla propria attuale impostazione della black list, in grado solo di tener “traccia dell’opzione di volontà più recente ed attuale”.

Occorre evidenziare che il titolare deve saper circostanziare le varie manifestazioni di consenso e di diniego, in modo tale da poter riscontrare adeguatamente le istanze degli interessati ai sensi degli artt. 15-22 del Regolamento nonché le richieste istruttorie dell’Autorità nell’ambito della sua attività di vigilanza.

Si ritiene pertanto di dover confermare la violazione degli artt. 5, par.2, e 24, del Regolamento e altresì di ingiungere alla Società l’implementazione di una procedura idonea a restituire, nei termini suddetti, le variazioni dei consensi privacy formulate nel corso del tempo dai singoli interessati.

9.5. Tempi di conservazione.

Come sostenuto dalla Società, il provvedimento del Garante del 24 febbraio 2005 “Fidelity card´ e garanzie per i consumatori”, sebbene non più di carattere vincolante, è da considerarsi ancora applicabile con valore di linea guida e pertanto lo è anche la tempistica ivi prevista (24 mesi per i dati relativi al marketing; 12 mesi per i dati relativi alla profilazione). Peraltro, pur valorizzando il principio di accountability, anche con riferimento alla delicata materia della data retention, non si può certo giungere alla conclusione che un titolare, in base a tale principio che necessità di essere contemperato con gli altri fondamentali principi previsti dal Regolamento- possa scostarsi in modo eccessivo rispetto alle suddette previsioni, senza poter incorrere nella violazione del principio di limitazione della conservazione (v. art. 5, par.1, lett. d) del Regolamento). Ad esempio, è da ritenersi non congrua la conservazione dei dati relativi al marketing fino alla data della revoca del consenso al trattamento, ai sensi dell’art. 7 del Regolamento, anche considerato che l’interessato potrebbe anche non mutare mai la propria volontà o mantenerla invariata per anni.

Inoltre, non può darsi rilievo ai precedenti citati dalla Società (v. provv. ti, 24 aprile 2013, doc. web 2499354 e 30 maggio 2013, doc. web n.254783) adottati dal Garante in condizioni diverse e riferite ai tempi di conservazione dei dati relativi all’acquisto di beni di lusso, ossia in relazione a fattispecie non adattabili al caso di specie.

10. CONCLUSIONI.

Per quanto sopra complessivamente esposto, si ritiene accertata la responsabilità di Tiscali in ordine alle seguenti violazioni del Regolamento:

artt. 5, par. 1, lett. a), b) c) ed e) nonché par. 2; 12, par. 1; 13, par. 2, lett. a); 24;

nonché dell’art. 130, co. 4, del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario ingiungere alla medesima di:

- stabilire ed applicare tempi differenziati di conservazione, in relazione alle categorie degli interessati (clienti attivi; clienti cessati; lead), in conformità al principio di limitazione della conservazione (art. 5, par.1, lett. e) del Regolamento), distinguendo peraltro fra i trattamenti di marketing e quelli di classificazione, e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti (v., analogamente, i recenti provv. ti 20 ottobre 2022; 27 aprile 2023; 8 giugno 2023).

- implementare una procedura idonea a restituire le date, i canali o altre circostanze relative alle variazioni dei consensi privacy eventualmente manifestate nel corso del tempo dai singoli interessati.
Con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento.

11. Ordinanza ingiunzione per l’applicazione della sanzione amministrativa pecuniaria

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti de La Tiscali spa della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi.

Nello specifico, le suindicate violazioni - avendo ad oggetto anche il principio di ‘limitazione’ della conservazione (art. 5 del Regolamento) - sono da ricondursi, ai sensi dell’art. 83, par. 3, dello stesso Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Ai fini della quantificazione della sanzione amministrativa il citato art. 83, nel fissare al par. 5 il massimo edittale nella somma di 20 milioni di euro, specifica le modalità di quantificazione della predetta sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), individuando, a tal fine, una serie di elementi, elencati al par. 2, da valutare all’atto di quantificarne il relativo importo.

Non rilevandosi nella fattispecie elementi aggravanti fra quelli indicati in detta disposizione, di contro, emergono, quali circostanze da prendere in considerazione, in funzione attenuante:

1) la tempestiva adozione di misure correttive, alcune delle quali avviate subito dopo la conclusione degli accertamenti ispettivi, tale da distinguere Tiscali nell’ambito del comparto telefonico (lett. f);

2) la costante e proficua collaborazione con questa Autorità (lett. f);

3) la dimensione meramente nazionale della sua attività ed il ruolo relativamente marginale nell’ambito del mercato della telefonia (lett. k);

4) la grave crisi socio-economica in atto e i suoi gravi riflessi anche sulla situazione economico-finanziaria della Società ( “… 9 degli ultimi 10 esercizi di bilancio con un risultato netto fortemente negativo”), che, tuttavia, al contempo, ha deciso di mantenere inalterata la propria forza lavoro e ha provveduto  all’internalizzazione del personale di altre aziende, destinato altrimenti al licenziamento (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Tiscali – tenendo in considerazione casi analoghi, quali il provv. 20 ottobre 2022, doc. web n. 9825667 - la sanzione amministrativa del pagamento di una somma di euro 100.000,00, pari allo 0,5 % della sanzione edittale massima.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della delicatezza della materia oggetto di istruttoria (conservazione dei dati per finalità di marketing e di profilazione; obbligo di valutazione d’impatto per trattamenti invasivi e su larga scala) nonché dell’esigenza di non discriminazione rispetto a fattispecie analoghe (v. provv. 20 ottobre, cit.).

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte della Tiscali Italia S.p.A., con sede legale in Cagliari, Località Sa Illetta, SS 195 Km 2,300, Cod. Fiscale P. IVA: 02508100928; e per l’effetto;

b) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di stabilire ed applicare tempi differenziati di conservazione, in relazione alle categorie degli interessati (clienti attivi; clienti cessati; lead), in conformità al principio di limitazione della conservazione (art. 5, par.1, lett. e) del Regolamento), distinguendo peraltro fra i trattamenti di marketing e di classificazione e cancellando, od anonimizzando, i dati che risultino conservati al di là dei termini stabiliti;

c) ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge di implementare una procedura idonea a restituire le date, i canali o altre circostanze relative alle variazioni dei consensi privacy eventualmente manifestate nel corso del tempo dai singoli interessati;

d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento;

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Tiscali Italia S.p.A., in persona del suo legale rappresentante, di pagare la somma di euro 100.000 (centomila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 100.000,00 (centomila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 18 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei