[doc. web n. 9927358]

Provvedimento del 6 luglio 2023

Registro dei provvedimenti
n. 334 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. L’ATTIVITÀ ISTRUTTORIA

1.1. Telefonate promozionali e modalità di contatto

Nei giorni 30 e 31 marzo 2022, avendo questa Autorità ricevuto nel 2021 e 2022 alcune segnalazioni e reclami riguardanti comunicazioni promozionali indesiderate effettuate utilizzando numerazioni chiamanti iscritte al Registro degli Operatori di Comunicazione (c.d. ROC) e riconducibili a Meglioquesto Digital S.r.l. (di seguito “Meglioquesto Digital” o “Società”),  - è stato eseguito un accertamento ispettivo presso la sede legale della Società per verificare i trattamenti dei dati personali posti in essere nell’attività di telemarketing e tramite sito internet (https://meglioquesto.it/).

Delle diverse segnalazioni oggetto di accertamento, rispetto alle quali Meglioquesto Digital ha confermato di aver effettuato le telefonate lamentate, soltanto in tre casi sono state rilevate le seguenti criticità. 

In un caso (XX) l’utenza dell’interessato è stata inserita in due campagne pubblicitarie promosse da Wind - rispettivamente a luglio 2021 (con validità fino al 15 agosto 2021) e a ottobre 2021 (con validità fino al 15 novembre 2021) – e non è risultata presente nella black list della Società. In base agli screenshot dell’anagrafica in questione, prodotti nel corso dell’accertamento, Meglioquesto Digital avrebbe effettuato attività telefonica in modo insistente e concentrato verso la medesima utenza (fino a 6 telefonate al giorno per un totale di 20 interazioni nel mese di luglio) contravvenendo alle istruzioni impartite da Wind che, sulla base di quanto dichiarato, prevedevano un massimo di 10 ricontatti durante il periodo di validità della lista (un mese), con un minimo di 4 ore fra un tentativo e il successivo (verbale del 31 marzo 2022, pag. 5). Dalle evidenze prodotte, infatti, i tentativi di contatto all’utenza intestata al signor XX avrebbero ecceduto il limite di 10 interazioni in un mese nonché l’intervallo temporale di 4 ore tra una telefonata e l’altra, registrando tentativi di chiamata anche in meno di un’ora.

Analogamente, l’utenza intestata al signor XX (fascicolo n. 178768) sarebbe stata contattata per campagne pubblicitarie Wind ben 37 volte, di cui 12 nel mese di marzo 2022 e 23 a febbraio 2022, registrando tentativi di contatto fino a 5 volte nella stessa giornata anche a distanza di un’ora dall’ultima chiamata. La numerazione non è risultata presente nella black list della Società.

Con riguardo al fascicolo n. 164736 (XX), la Società, nel produrre la cronologia dei contatti che hanno interessato il segnalante (6 interazioni relative a campagne eseguite per conto di ENI G&L nel periodo 27 aprile – 4 maggio 2021), ha fornito le istruzioni della committente per lo svolgimento delle attività promozionali a cui “l’agente” (call center) deve attenersi. Tale documento, rubricato “Modalità operative VOICE ORDER”, contrariamente a quanto dichiarato dalla Società, non contiene l’indicazione delle modalità di ricontatto dell’utente, potendosi pertanto ritenere che le citate interazioni con il signor XX, peraltro registrate ad intervalli molto ravvicinati (come nel caso dei tentativi di contatto del 30/04/2021 ore 17.42.19 e 17.42.49), siano avvenute con frequenze stabilite da Meglioquesto Digital. La numerazione chiamante utilizzata nell’interesse di Eni per contattare l’utenza in questione è risultata nella disponibilità della Società da gennaio a giugno 2021.

Al fine di ricostruire un quadro più ampio e completo dei trattamenti in parola per una compiuta valutazione dei profili di liceità e di qualificare, in concreto, ruoli e responsabilità della Società e dei committenti delle campagne promozionali, a seguito dell’accertamento ispettivo del 30 e 31 marzo 2022, è stato necessario richiedere a Wind e Eni di fornire informazioni, corredate da pertinente documentazione, sulle modalità operative per lo svolgimento delle attività di marketing affidate a Meglioquesto Digital, come formalizzate nei relativi contratti (richieste di informazioni, ai sensi dell’art. 157 del Codice, del 5 settembre 2022).

Dalla lettura delle “Istruzioni Operative” prodotte da Wind (Allegato G del contratto), in risposta alla citata nota del 5 settembre 2022, è emersa, tra i “principi cardine” ai quali deve attenersi il partner nello svolgimento delle obbligazioni assunte con la sottoscrizione del contratto, la regola di “Non contattare la medesima numerazione per più di una volta al mese”.

Le “regole sulla frequenza di contatto (Contact Policy)” che Eni ha illustrato nel riscontro del 26 settembre 2022, hanno previsto che la persona che non abbia risposto ai tentativi di contatto o che sia risultata irraggiungibile possa essere chiamata fino a 10 volte nell’arco di validità temporale della lista con almeno 4 ore di intervallo da una telefonata e l’altra.

In occasione dei riscontri all’Autorità, Wind ha precisato di aver eseguito, nell’ambito di verifiche periodiche su base annuale, un’attività ispettiva (c.d. “Attività on site”) avvenuta in modalità di videoconferenza con Meglioquesto Digital nelle date del 15/11/2021 e del 13/12/2021. Eni ha dichiarato di svolgere anche monitoraggi “in incognito da parte di operatori civetta che simulano di essere clienti o prospect contattati nell’ambito della normale attività di teleselling e che registrano i KPI relativi alla conduzione della chiamata, al rispetto degli script e delle principali policy in essere”.

1.2. List provider e liceità dei trattamenti (informativa e consenso)

1.2.1. XX.  

In sede ispettiva la Società ha prodotto l’elenco dei list provider sottoposti ad un processo di accreditamento in vista delle future campagne promozionali; ha dichiarato, ai sensi dell’art. 168 del Codice, di aver accreditato, tra le società indicate, soltanto XX (di seguito «XX»), avendo provveduto a verificare la conformità al Regolamento dell’informativa resa e dei consensi acquisiti, fornendo al riguardo la relativa documentazione, riferita, in particolare, ai siti XX e XX, gestiti da società terze, dai quali XX avrebbe ricevuto i dati personali comunicati poi, a sua volta, in qualità di intermediario, a Meglioquesto Digital per l’attività promozionale di quest’ultima.

Con particolare riguardo al sito web XX, gestito da XX in qualità di titolare del trattamento, l’informativa resa e i consensi acquisiti sono già stati oggetto di accertamento ispettivo dell’Autorità da cui è scaturito il provvedimento del 15 dicembre 2022 al quale si fa completo rinvio (in www.garanteprivacy.it, doc. web n. 9860553).

Con riferimento al sito XX, di cui XX è titolare, il consenso alla comunicazione dei dati a terzi è parso finalizzato, dalla lettura dell’informativa privacy, non soltanto all’attività di marketing diretto da parte dei soggetti terzi riceventi ma anche alla promozione dei servizi della Piattaforma XX. Infatti, nella citata informativa privacy si prevede che è possibile “comunicare i […] dati personali ai […] partner commerciali allo scopo: (i) di poter offrire i servizi della Piattaforma […]”, senza chiarire l’imputabilità soggettiva dell’attività promozionale, e quindi se quest’ultima sia posta in essere dalla società che ha raccolto i dati (XX) oppure dai soggetti terzi (a cui i medesimi dati sono comunicati). Pertanto per le due finalità di trattamento (comunicazione a soggetti terzi e attività promozionale del soggetto cedente) è parso essere stato acquisito un consenso non specifico né libero.

1.2.2. XX e XX

Con comunicazione del 14 aprile 2022, a scioglimento delle riserve del 30 marzo 2022 ed integrando quanto già dichiarato durante l’ispezione, la Società ha aggiunto di essersi avvalsa nell’anno 2021 di due ulteriori list provider - XX (editore) e XX (intermediario) – senza tuttavia fornire i testi delle informative rilasciate da tali soggetti né le formule di acquisizione dei consensi, ma producendo documentazione relativa a XX, peraltro già assunta nel corso dell’accertamento ispettivo.

1.3. Qualificazione dei ruoli

Con riferimento al sito internet www.meglioquesto.it sono emerse criticità in ordine al rapporto intercorrente tra la Società e Meglioquesto Lead S.r.l. (di seguito «Meglioquesto Lead»), entrambe facenti parte del medesimo gruppo societario - Meglioquesto S.p.A. In particolare:

- i dati raccolti tramite il citato sito web – che, al momento dell’accertamento ispettivo, sono risultati riconducibili a 470 anagrafiche - sono trattati da Meglioquesto Lead, quale titolare del trattamento, per lo svolgimento dell’attività promozionale per conto di terzi, tramite Meglioquesto Digital, nominata responsabile del trattamento (v. verbale 30 marzo 2022 p. 5);

- la casella di posta elettronica cancellami@meglioquesto.it, indicata nell’informativa privacy (https://meglioquesto.it/privacy-policy/) cui sono destinate le richieste di cancellazione degli utenti del sito, è risultata invece essere di titolarità di Meglioquesto Digital che ha prodotto, a scioglimento della riserva del 31 marzo 2022, l’atto di nomina, peraltro privo di sottoscrizione, di Meglioquesto Lead a responsabile del trattamento in parola.

Sulla base dell’analisi della complessiva documentazione acquisita, non è risultato chiaro il rapporto tra Meglioquesto Digital e Meglioquesto Lead; in particolare, non è stato possibile comprendere se le due Società siano legate da un rapporto di titolare/responsabile, contitolari o titolari autonomi. Tale circostanza, aggravata da informazioni poco chiare rinvenibili nel sito internet, è idonea ad indebolire notevolmente l’autodeterminazione dell’individuo che esplica i suoi effetti nel controllo sui dati che lo riguardano attraverso l’esercizio dei suoi diritti. Infatti, a titolo esemplificativo, si rappresenta che la Società, asseritamente titolare dei dati afferenti alle richieste di cancellazione indirizzate alla citata preposta casella di posta elettronica, non viene neanche indicata nell’informativa privacy quale destinataria delle istanze.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Con nota del 15 novembre 2022 (rif. prot. n. 64343/22) è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento, con il quale, sulla base degli elementi acquisiti nel corso dell’attività ispettiva e delle successive integrazioni pervenute a scioglimento delle riserve, è stata contestata a Meglioquesto Digital la possibile violazione delle seguenti disposizioni del Regolamento:

2.1. artt. 5, par. 1, lett. a) e 25, par. 1, del Regolamento, per aver effettuato telefonate indesiderate con modalità di contatto non formalizzate dalle committenti (Wind e Eni nella fattispecie) e in violazione delle regole di condotta impartite dalle stesse;

2.2. artt. 6 e 7 del Regolamento, nonché 130 del Codice per aver acquisito anagrafiche da list provider in assenza di idoneo consenso e senza produrre i testi delle informative e le formule dei consensi rilasciate agli interessati dai fornitori di liste XX e XX, nonostante la richiesta dell’Autorità;

2.3. artt. 5, par. 2 e 24, del Regolamento per aver acquisito le citate liste anagrafiche da soggetti terzi in assenza di adeguate verifiche e, quindi, senza porre in essere gli adempimenti in materia di protezione dei dati personali (quali: informativa; consenso; esattezza e qualità dei dati), in contrasto al principio di accountability;

2.4. artt. 5, par. 1, lett. a) e 12, par. 1, del Regolamento non risultando chiara la titolarità dei trattamenti effettuati mediante sito internet, con particolare riferimento ai ruoli rivestiti da Meglioquesto Digital e Meglioquesto Lead anche relativamente alla gestione delle istanze di cancellazione indirizzate alla casella di posta elettronica cancellami@meglioquesto.it indicata nell’informativa privacy.

3. MEMORIA DIFENSIVA

La Società, nell’esercizio del diritto di difesa, ha fatto pervenire, in data 14 dicembre 2022, una memoria con la quale ha replicato ai rilievi sollevati dall’Autorità con l’atto di contestazione.

3.1. In merito alle telefonate promozionali effettuate per conto delle committenti Wind e Eni, nel precisare di aver operato esclusivamente in qualità di responsabile del trattamento, la Società ha dichiarato di aver gestito i contatti lamentati entro i limiti posti dai titolari nelle specifiche istruzioni impartite in occasione degli accordi, chiedendo, pertanto, l’archiviazione dell’ipotizzata violazione di cui al punto 2.1. In tale occasione ha chiarito che non può definirsi “contatto” “una telefonata che non porti a nessuna connessione tra chiamante e chiamato”, potendo quindi considerare molti di quelli oggetto del presente procedimento “meri tentativi di utilizzo di numeri telefonici per stabilire un contatto con l’interessato”.

Nei tre casi segnalati al Garante, infatti, le telefonate contestate - che avrebbero ecceduto il numero delle interazioni stabilite dalle committenti nonché l’intervallo temporale tra un contatto e l’altro – sarebbero consistite in tentativi di chiamata senza alcuna connessione con il destinatario delle stesse. Nello specifico, con riferimento all’utenza del signor XX (fascicolo n. 164084) “delle 20 chiamate conteggiate nel mese di luglio 2021” 9 non hanno ottenuto risposta mentre le altre 11 hanno prodotto come esito “Occupato” o “Chiamata Fallita”. Pertanto, l’utenza dell’interessato non è risultata presente nella black list al momento dell’accertamento ispettivo in quanto “nessuna richiesta telefonica di cancellazione [è] mai pervenuta […] (tanto più che nessun contatto verbale è mai avvenuto […])”. Analogamente, “delle 35 telefonate conteggiate nella contestazione [e destinate al signor XX - fascicolo n. 178768] quelle che hanno portato ad un contatto con il numero telefonico chiamato […] sono 4 (una con risposta della segreteria telefonica e le altre risposte con esiti “Non risponde”, “Richiama”, “Richiamo generico”); le tre chiamate effettuate il 21 febbraio 2021 sono dovute alla circostanza che l’interessato non ha risposto. Tutte le ulteriori telefonate non sono andate a buon fine per ragioni tecniche”. Con riguardo all’utenza del signor XX (fascicolo n. 164736), oggetto delle 6 telefonate contestate, “solo in 3 casi hanno portato ad un contatto verbale con l’interessato”. Peraltro le istruzioni specifiche sulla frequenza dei contatti non sono contenute nel documento denominato “Modalità Operative VOICE ORDER” ma nelle “Regole di Frequenza di contatto (Contact Policy) “ove [il titolare ENI] ha indicato in 10 il numero dei contatti autorizzati”.

3.2. Con riferimento al punto 1.2 - List provider e liceità dei trattamenti (informativa e consenso) – la Società ha sottolineato, anche in questo caso, di aver agito per conto dei committenti in qualità di mero responsabile. Tale qualifica è stata formalizzata nell’“Accordo quadro di licenza d’uso di database” tra XX e Meglioquesto Digital sottoscritto il 13 aprile 2022. In base all’accordo, XX, quale intermediario, avrebbe concesso a Meglioquesto Digital la licenza d’uso dei dati acquisiti tramite i siti web XX e XX affinché la Società, dopo “averne verificato la legittimità della raccolta” in termini di informativa e consenso, utilizzasse tali anagrafiche per lo svolgimento di campagne di marketing nell’interesse dei committenti.

Ciò posto, con riferimento ai citati siti web oggetto di accertamento ispettivo, la Società ha confermato di aver verificato nel 2021 l’adeguatezza delle informative fornite agli interessati al momento della raccolta e la congruità delle formule di consenso proposte agli stessi. Al riguardo, ha eccepito quanto rappresentato in sede di contestazione in ordine all’acquisizione, in un’unica opzione, di dati personali per le diverse finalità del trattamento effettuato mediante il sito web XX (comunicazione a soggetti terzi e promozione dei servizi del soggetto cedente), di cui al punto 1.2.1. del presente provvedimento. In particolare, ha precisato che “il trattamento consistente nella comunicazione dei dati ad un terzo che intenda svolgere attività di marketing con i dati ricevuti, comporta che l’unico consenso espresso dall’interessato per tale trattamento riguardi inevitabilmente due finalità tra loro compatibili: la comunicazione dei dati al terzo e l’utilizzo che il terzo farà dei dati ricevuti, essendo stato dichiarato che la comunicazione fosse finalizzata a permettere al terzo di svolgere attività di marketing proprie”.

Inoltre, con riguardo ai due ulteriori list provider accreditati nell’anno 2021 – XX (editore) e XX (intermediario) –, sono stati prodotti i testi dell’informative rilasciate e le formule di acquisizione dei consensi degli interessati.

Come già rappresentato nel corso dell’ispezione, la Società ha sostenuto di aver attuato un nuovo processo di accreditamento dei list provider che tenga conto della corretta modalità di acquisizione del consenso, con verifiche a campione, con cadenza mensile, anche del “timestamp della spunta della checkbox privacy”.

3.3. La Società, ad ulteriore integrazione dei riscontri del 14 aprile e 16 maggio 2022, con comunicazione del 15 novembre 2022 e nella memoria difensiva del 14 dicembre 2022, ha chiarito di aver migliorato la gestione delle richieste di cancellazione dei dati personali indirizzate alla casella cancellami@meglioquesto.it, predisponendo nel footer del sito internet un’apposita sezione nella quale sono indicate le Società del Gruppo Meglioquesto cui destinare le eventuali citate istanze. Inoltre ha precisato che la titolarità del trattamento della gestione delle richieste di cancellazione sarebbe in capo alla Società (avente una nuova denominazione sociale: MeglioQuesto Voice in luogo di MeglioQuesto Digital), con nomina a responsabile di MeglioQuesto S.p.A.; invece, la titolarità del trattamento dei dati acquisiti mediante sito internet www.meglioquesto.it, originariamente riconosciuta a Meglioquesto Lead, è attualmente riconducibile a Meglioquesto S.p.A., come peraltro indicato nell’informativa privacy di cui, in virtù di tale cambiamento, è stato pubblicato un nuovo testo. Ciò in quanto “il sito web www.meglioquesto.it non [è] più abilitato a raccogliere i dati personali degli utenti interessati al servizio di comparazione in precedenza offerto [di cui era titolare Meglioquesto Lead]”.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1. Con riferimento al punto 3.1. della memoria difensiva, si rappresenta che l’unica regola sulla frequenza delle telefonate è cristallizzata nelle “Istruzioni Operative” di Wind (allegate al contratto sottoscritto nel 2011 cui fa seguito l’integrazione del 2020) e consiste nel “Non contattare la medesima numerazione per più di una volta al mese”. Non emergendo, dalla documentazione in atti, una definizione di “contatto”, e non potendo quindi stabilire se per contatto si intenda l’interlocuzione verbale con i destinatari della telefonata oppure mere chiamate senza risposta, ai 9 tentativi confermati dalla Società verso l’utenza del signor XX, potrebbero aggiungersi anche le “chiamate fallite” che Meglioquesto Digital ha conteggiato tra le ulteriori 11 registrate, in tal caso facendo lievitare il numero delle telefonate asseritamente consentite. Nel caso del signor XX, le tre chiamate del 21 febbraio 2021, dovute alla mancata risposta dell’interessato, sono state realizzate ad intervalli temporali inferiori alle 4 ore imposte dalla committente tra una telefonata e l’altra.

Con riferimento alle telefonate effettuate per conto di Eni nei confronti del signor XX, si osserva, in prima istanza, che le “Regole di Contatto” di cui fa menzione la Società nella memoria difensiva e inerenti a istruzioni specifiche in merito alla frequenza delle chiamate, sono descritte al punto 9.2. del Campaign Operation Evolution, documento approvato il 20 giugno 2022, e quindi successivamente all’accertamento ispettivo dell’Ufficio nonché alla campagna promozionale che ha interessato l’utenza del citato segnalante ad aprile 2021. Ne consegue che i contatti verso l’utenza del signor XX sono avvenuti senza specifiche indicazioni sulle modalità di ricontatto dell’utente, dal momento che il documento prodotto dalla Società durante l’ispezione e recante le istruzioni operative di Eni (v. pag. 5 del verbale del 31 marzo 2022 – All. n. 3-bis) – rubricato “Modalità Operative VOICE ORDER” – non contiene alcuna indicazione in tale senso (come peraltro confermato nella memoria difensiva a pag. 3), potendosi pertanto ritenere che le citate interazioni con l’interessato siano avvenute con frequenze stabilite da Meglioquesto Digital.

Ciò posto, nei casi all’esame dell’Autorità (fascicolo n. 164087 – XX; fascicolo n. 178768 – XX; fascicolo n. 164736 – XX), è risultato che la Società ha effettuato attività telefonica in modo reiterato e insistente verso le utenze degli interessati, con modalità che appaiono invasive dei fondamentali diritti alla riservatezza e alla tranquillità individuale, nonché in violazione del principio di correttezza (ex art. 5 par. 1, lett. a del Regolamento) (v. provv. 15 gennaio 2020, n. 7, par. 3.2, doc. web n. 9256486; v. provv. 11 marzo 2021, n. 98, doc. web n. 9577371).

Considerato tuttavia che i contatti accertati hanno riguardato solo 3 utenze telefoniche, in assenza di istanze di carattere analogo nei confronti di Meglioquesto Digital, si ritiene di poter soprassedere dall’applicazione di una sanzione di carattere pecuniario e di poter rivolgere alla Società, quale misura proporzionata e dissuasiva, un ammonimento, ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, richiamando l’importanza di adottare modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine (ex art. 5, par. 1, lett. a del Regolamento).

4.2. Con riguardo al punto 3.2. della memoria difensiva si osserva, in primo luogo, che l’Accordo quadro, che relegherebbe la Società a mero responsabile, risulta essere stato sottoscritto con XX solo successivamente all’accertamento ispettivo del marzo 2022 (e precisamente in data 13 aprile 2022); ne consegue che le verifiche condotte nel 2021 sulle informative e sui consensi rilasciati in occasione della registrazione ai siti XX e XX, che la Società ha ritenuto fossero adeguati al punto da accreditare XX nella fornitura di liste, sarebbero avvenute in assenza di accordi o direttive, anche non esplicitati nella forma contrattuale, che consentissero di definire i ruoli privacy.

Ad ogni modo, a prescindere dal ruolo assunto dalla Società nell’acquisizione delle liste (titolare autonomo o responsabile del trattamento), non può escludersi una responsabilità in capo a Meglioquesto Digital nella verifica dei presupposti di liceità dei dati raccolti; ciò in quanto la raccolta e la conservazione dei dati acquisiti da terzi attengono ad una fase del trattamento precedente e indipendente dalla promozione di servizi e prodotti dei committenti e consistente in un’attività svolta dalla Società in piena autonomia e sottoposta solo ad autorizzazioni preventive e a controlli successivi da parte delle compagnie mandatarie al fine di consentire l’ingresso delle anagrafiche nei database aziendali (come si evince anche dai contratti stipulati con Wind e Eni, gli unici di cui si dispone).

Ciò doverosamente chiarito, con riferimento ai profili contestati al punto 2.2., si osserva che il rilievo sollevato nelle argomentazioni difensive circa la genuinità del consenso unico per due finalità di trattamento ritenute compatibili (comunicazione dei dati a terzi e attività di marketing da parte del soggetto cedente) risulta inconferente rispetto a quanto rappresentato con l’atto di avvio del procedimento: non è il consenso alla comunicazione a terzi per la realizzazione di marketing diretto di tali soggetti ad essere contestato bensì la commistione, in un’unica formulazione, di tale finalità con quella  promozionale della società cedente che ha raccolto i dati e li ha forniti al cessionario (nel caso di specie XX). Analogamente, in riferimento al sito XX, l’acquisizione in un’unica opzione di dati personali per le diverse finalità del trattamento (comunicazione ad ulteriori soggetti terzi; marketing e profilazione) non è risultata conforme alla normativa in materia, come già accertato con il citato provvedimento del 15 dicembre 2022.

Con riferimento ai list provider XX e XX (dei quali, tuttavia, non è stata fornita documentazione contrattuale che regolasse i rispettivi ruoli privacy) si rappresenta che le informative e i consensi rilasciati sono stati prodotti solo in occasione della memoria difensiva e, per questo, esclusi dai profili contestati nella comunicazione di avvio del procedimento. Inoltre, dal momento che i trattamenti posti in essere da XX sono oggetto di una separata istruttoria, si ritiene di sospendere in questa fase ogni valutazione dell’Autorità.

Alla luce di quanto sopra - considerato  che, in ogni caso, la raccolta di dati personali per una specifica finalità rappresenta un’operazione di trattamento anche laddove tale finalità non sia ancora stata in concreto perseguita e, seppur per la mera conservazione, è pertanto necessario acquisire un idoneo consenso – si ritiene di confermare la sussistenza della contestata violazione di cui ai punti 2.2 e 2.3 del presente provvedimento e, ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, imporre il divieto di trattamento per finalità promozionali di tutti i dati acquisiti da list provider per i quali Meglioquesto Digital non disponga di un consenso informato, libero, specifico e documentabile, nei termini sopra indicati, ai sensi degli artt. 6 e 7 del Regolamento, nonché 130 del Codice.

4.3. Con riferimento al punto 3.3. della memoria difensiva, si osserva in primo luogo come Meglioquesto S.p.A. ricopra il duplice ruolo di titolare del trattamento dei dati mediante sito internet e responsabile nella gestione delle richieste di cancellazione indirizzate alla casella cancellami@meglioquesto.it di titolarità di Meglioquesto Voice (già Meglioquesto Digital). Qualificazioni, queste, peraltro non formalizzate in un atto di nomina. Ciò posto, nell’informativa privacy, pubblicata nel sito internet www.meglioquesto.it e rinvenibile al link https://meglioquesto.it/privacy-policy/ (che, come descritto nella memoria, differisce nei contenuti da quella acquisita in sede ispettiva), è espressamente rappresentato che le richieste di esercizio dei diritti, tra cui la cancellazione, possono essere indirizzate al titolare del trattamento dei dati personali, originariamente identificato con Meglioquesto Lead e attualmente riconducibile a Meglioquesto S.p.A., utilizzando come recapiti meglioquesto@pec.meglioquesto.it o dpo@meglioquesto.it.

La circostanza descritta consente di constatare il perdurare della mancata indicazione, nella citata informativa privacy, di Meglioquesto Digital (ora Meglioquesto Voice) quale titolare del trattamento delle istanze di cancellazione. Tale qualificazione non emerge neanche nella sezione dedicata alle richieste di cancellazione dirette all’indirizzo e-mail cancellami@meglioquesto.it e rinvenibile nel footer del sito internet, producendo negli interessati un vulnus nella conoscenza delle operazioni svolte dalla Società medesima e inducendo erroneamente gli utenti a ritenere Meglioquesto S.p.A.  titolare del trattamento in questione. Peraltro, l’indicazione di indirizzi e-mail ulteriori rispetto alla casella preposta alle richieste di cancellazione dei dati (cancellami@meglioquesto.it) non favorisce la comprensione dell’effettivo recapito necessario a vedere soddisfatte le relative istanze degli interessati. Né le linee guida prodotte a corredo della comunicazione del 15 novembre 2022, consentono di sanare tale lacuna, dal momento che le stesse si limitano a descrivere il processo di smistamento delle richieste di cancellazione indirizzate alla casella cancellami@meglioquesto.it contemplando tempi di riscontro differenti a seconda che le Società del Gruppo Meglioquesto operino in qualità di Titolare o Responsabile del trattamento.

Considerato, tuttavia, che la Società ha dichiarato di non effettuare più il trattamento dei dati personali mediante il sito internet in questione (circostanza, peraltro, verificata dall’Autorità), si ritiene di poter soprassedere dall’applicazione di una sanzione di carattere pecuniario e, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di fornire agli interessati un’idonea informativa presente nel citato sito internet nella quale sia indicato chiaramente il soggetto titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali, unitamente alla specifica casella di posta elettronica preposta alla sua trattazione, ai sensi degli artt. 12 e 13 del Regolamento.

5. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Meglioquesto Digital in ordine alle seguenti violazioni del Regolamento:

- art. 5, par. 1, lett. a) e par. 2;

- artt. 6 e 7;

- art. 12, par. 1;

- artt. 24 e 25, par. 1;

- nonché art. 130 del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

- ai sensi dell’art. 58, par. 2, lett. b), del Regolamento, rivolgere un ammonimento, richiamando l’importanza di adottare modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine (ex art. 5, par. 1, lett. a del Regolamento);

- ai sensi dell’art. 58, par. 2, lett. f), del Regolamento, di imporre il divieto di trattamento per finalità promozionali di tutti i dati acquisiti da list provider per i quali Meglioquesto Digital non disponga di un consenso informato, libero, specifico e documentabile, nei termini sopra indicati, ai sensi degli artt. 6 e 7 del Regolamento, nonché 130 del Codice.

- ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiungere di fornire agli interessati un’idonea informativa presente nel sito internet nella quale sia indicato chiaramente il soggetto titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali, unitamente alla specifica casella di posta elettronica preposta alla sua trattazione, ai sensi degli artt. 12 e 13 del Regolamento;
con riguardo ai trattamenti già realizzati e con finalità dissuasiva, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83 del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Meglioquesto Digital della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento. Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l'importo totale della sanzione amministrativa pecuniaria non supera l'importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi, con conseguente applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento. 

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1. la gravità delle violazioni rilevate, in ragione del fatto che i dati sono stati oggetto di trattamento per finalità promozionale in assenza di un idoneo consenso libero e specifico (art. 83, par. 2, lett. a);

2. il carattere negligente delle condotte posto che la presenza della Società nel mercato da molti anni avrebbe dovuto consentire alla medesima di acquisire un bagaglio sufficiente di esperienza e competenza per adottare scelte di fondo maggiormente aderenti al dettato normativo (art. 83, par. 2, lett. b);

3. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing con particolare riferimento all’informativa e al consenso (art. 83, par. 2, lett. k).

Quali elementi attenuanti, si ritiene di dover tener conto:

1. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e);

2. dall’esiguo numero delle utenze destinatarie delle telefonate (n. 3) accertate dall’Autorità (art. 83, par. 2, lett. a);

3. della tempestiva adozione di misure correttive avviate subito dopo la conclusione degli accertamenti ispettivi (art. 83, par. 2, lett. f);

4. l’elevato grado di cooperazione nell’interazione con l’Autorità di controllo tale da rendere agevole lo svolgimento delle attività di indagine in particolare nel delicato periodo di emergenza (art. 83, par. 2, lett. f).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Meglioquesto Digital – anche tenendo in considerazione altri casi analoghi - la sanzione amministrativa del pagamento di una somma di euro 10.000,00 (diecimila/00), pari a circa lo 0,05% del massimo edittale.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento, dichiara illecito il trattamento descritto nei termini di cui in motivazione da parte di Meglioquesto Digital S.r.l., con sede legale in Milano, Viale Francesco Restelli 3/1, P.IVA 11538761005, e conseguentemente:

a) ai sensi dell’art. 58, par. 2, lett. b) del Regolamento, ammonisce la Società sulla necessità di adottare modalità corrette e non invasive nello svolgimento delle telefonate promozionali e nell’eventuale utilizzo di altri mezzi al medesimo fine (ex art. 5 par. 1, lett. a del Regolamento);

b) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta ogni ulteriore trattamento per finalità promozionali di tutti i dati acquisiti da list provider per i quali Meglioquesto Digital non disponga di un consenso informato, libero, specifico e documentabile, ai sensi degli artt. 6 e 7 del Regolamento, nonché 130 del Codice;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge di fornire agli interessati un’idonea informativa nel sito internet della Società nella quale sia indicato chiaramente il soggetto titolare a cui dovrà essere indirizzata la richiesta di cancellazione dei dati personali, unitamente alla specifica casella di posta elettronica preposta alla sua trattazione (ex artt. 12 e 13 del Regolamento);

d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5 lett. e) del Regolamento;

e) ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, dispone l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Meglioquesto Digital S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 10.000,00 (diecimila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 10.000,00 (diecimila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente   provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei