Provvedimento del 12 ottobre 2023 [9949453]: Disturbatori telefonici seriali – Intervento di buon senso a tutela della collettività.

Provvedimento del 12 ottobre 2023

Registro dei provvedimenti
n. 479 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l’adeguamento dell’ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

Con atto del 31 maggio 2023, n. 86294/23 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato e riprodotto, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Scionti Selezioni Superiori S.r.l., (di seguito “Caffè Scionti” o “Società”), in persona del legale rappresentante pro-tempore, con sede legale in Roma, via Gregorio VII n. 396, C.F. 15932241001.

1. L’ATTIVITÀ ISTRUTTORIA

A seguito di alcune doglianze (segnalazioni e reclami) pervenute all’Autorità nel 2022 – con le quali è stata lamentata la ricezione di diverse telefonate indesiderate effettuate per la promozione del marchio “Caffè Scionti” e indirizzate ad utenze per lo più iscritte al Registro Pubblico delle Opposizioni (c.d. “RPO”) – in data 22 novembre 2022 è stata formulata una prima richiesta di informazioni, ai sensi dell’art. 157 del Codice (rif. prot. n. 68715/22), nei confronti di Caffè Scionti cui possono essere ricondotti i citati contatti telefonici. In pari data la Società ha fornito riscontro sostenendo di aver contattato gli interessati, dei quali non deterrebbe i dati personali, sulla base di un mero “errore di digitazione casuale” delle numerazioni destinatarie delle comunicazioni promozionali. Al riguardo ha precisato di basare “il proprio sviluppo e fatturato sul passaparola dei clienti […] e sulle informazioni digitali raccolte attraverso i link sponsorizzati”, svolgendo attività promozionale telefonica “in modalità manuale” e producendo una media mensile “dagli 8 ai 12 errori di digitazione”.

Considerato che nei primi mesi del 2023, e anche dopo l’avvio dell’istruttoria, si è registrato un sensibile incremento di segnalazioni all’Autorità di analogo contenuto a quelle sopra descritte, in data 24 febbraio 2023 è stata formulata una nuova richiesta di informazioni ex art. 157 del Codice (rif. prot. n. 34224/23). In tale nota è stato rappresentato che l’attività telefonica lamentata sarebbe stata realizzata, talora in modo insistente e concentrato, utilizzando numerazioni chiamanti (nn. 0678563355, 0681925529) intestate alla Società, come da verifica nel Registro degli Operatori di Comunicazione – c.d. ROC -, ovvero avvalendosi di utenze non regolarmente censite nel citato ROC e presumibilmente prodotte mediante “spoofing telefonico”.

Con l’occasione, l’Ufficio ha chiesto alla Società di far pervenire ogni elemento utile ad una valutazione completa dei trattamenti effettuati, con particolare riguardo: all’origine dei dati di contatto degli interessati, specificatamente al “passaparola” e al sito internet; alle modalità di svolgimento delle comunicazioni promozionali; ai consensi e alle informative rese ai destinatari delle telefonate; alla registrazione dell’opposizione manifestata dagli utenti nel corso dei contatti telefonici e mediante formali istanze di esercizio dei diritti, producendo copia della c.d. “wrong list” (di cui si fa menzione in alcuni riscontri che Caffè Scionti ha fornito agli interessati prima dell’avvio dell’istruttoria dell’Autorità).

Con il riscontro del 29 marzo 2023 la Società ha confermato di non detenere i dati personali degli interessati e, in taluni casi, di non aver contattato i medesimi pur riconoscendo di essere intestataria delle numerazioni telefoniche chiamanti utilizzate a tal fine.
In un caso (fascicolo n. 185551), ha assicurato di aver “prontamente” cancellato dalla banca dati l’anagrafica dell’interessato che è risultato essere cliente della Società “dal giorno 03/08/2022”.

Inoltre, nel ribadire di svolgere attività promozionale telefonica “in modalità manuale” e di reperire i dati mediante il “passaparola dei clienti”, ha rappresentato, per quanto è dato comprendere, che la banca dati di cui dispone per finalità di marketing viene implementata da “lead generation” (anagrafiche acquisite da terzi che, mediante Internet, pubblicizzano il marchio Scionti), allegando, al riguardo, “un esempio di lead track ricevuti” (All. E_riscontro).

Infine ha lamentato un’indebita spendita del marchio “Caffè Scionti” da parte di soggetti terzi e di non essere riuscita ad iscriversi al Registro Pubblico delle Opposizioni in qualità di operatore.

2. LA CONTESTAZIONE DELLE VIOLAZIONI

Il 31 maggio 2023, con l’atto n. 86294/23 sopra richiamato, è stato comunicato alla Società l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice, per l’adozione di eventuali provvedimenti di cui all’art. 58, par. 2, del Regolamento. Con tale comunicazione – che ha riguardato anche i trattamenti di dati mediante sito internet – sono state imputate a Caffè Scionti le presunte violazioni delle seguenti disposizioni:

2.1. artt. 5 par. 1 lett. a), 6, 7, 13 del Regolamento e art. 130 del Codice, per aver effettuato le telefonate promozionali in assenza di informativa e consenso;

2.2. artt. 12, 15 e 21 del Regolamento, per non aver soddisfatto le istanze di esercizio dei diritti formulate da alcuni interessati e per non aver comprovato la registrazione della relativa opposizione;

2.3. art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130 comma 3 del Codice, per aver svolto attività di telemarketing senza aver consultato il Registro delle opposizioni a cadenza mensile o comunque prima di ogni campagna;

2.4. artt. 5 parr. 1 e 2, 6 par. 1 lett. a), 7 del Regolamento, per aver introitato nei sistemi aziendali liste di anagrafiche provenienti da soggetti terzi per finalità di marketing senza aver verificato l’acquisizione di un consenso libero, specifico, documentato ed informato degli interessati;

2.5. artt. 12 par. 1, 5 par. 1 lett. a) del Regolamento, per non aver fornito nel sito internet un’informativa trasparente sugli effettivi trattamenti effettuati, non risultando chiaramente indicata l’attività di marketing, pur venendo in concreto svolta;

2.6. artt. 5 par. 1 lett. a), 6 par. 1 lett. a), 7 del Regolamento, per non aver acquisito un consenso specifico al marketing in ordine al trattamento dei dati personali raccolti mediante sito internet;

2.7. artt. 5 par. 2, 24 parr. 1 e 2, 25 del Regolamento, per non aver adottato adeguate misure organizzative volte a tenere traccia delle attività di trattamento unitamente all’incapacità di ottemperare all’obbligo di comprovare il rispetto delle norme.

Inoltre, con la medesima comunicazione del 31 maggio 2023, la Società è stata invitata a chiarire i presupposti di liceità del trattamento dei dati dell’ex cliente di cui ha fatto menzione nel riscontro del 29 marzo 2023 (origine, consenso e informativa) nonché a comunicare quante anagrafiche sono risultate registrate nei sistemi aziendali a seguito della compilazione del form on-line presente nel sito internet.

3. ARGOMENTAZIONI DIFENSIVE

La Società non ha presentato scritti difensivi ma ha chiesto di essere ascoltata dall’Autorità. Nel corso dell’audizione, svoltasi l’8 giugno 2023, Caffè Scionti ha chiarito di non disporre di un call-center dedicato ma di avvalersi, per l’attività di telemarketing, di un ufficio interno all’azienda “addetto alle vendite telefoniche ed assistenza” agli utenti. Tra i canali utilizzati per l’acquisizione della clientela (passaparola; form on-line; inbound) la Società ha indicato anche i c.d. “co-sponsor”, o “inserzionisti” e “list provider”, i quali, nel pubblicizzare il marchio Scionti mediante inserzioni sui propri siti internet, raccolgono, tramite form on-line, i dati personali degli utenti e li trasmettono, previo compenso economico, a Caffè Scionti per l’effettuazione della campagna promozionale del proprio marchio. La Società avrebbe ottenuto garanzie da tali inserzionisti/list provider circa la liceità delle anagrafiche che proverrebbero “da contatti consensati”.

Con riferimento all’attività di telemarketing in modalità inbound, ovvero relativa a telefonate provenienti direttamente dagli utenti interessati a concludere un ordine di acquisto dei prodotti Scionti, la Società ha rappresentato che il modulo di raccolta dati compilato dall’operatore telefonico nel corso del contatto, di cui è stato prodotto un fac-simile, “è valido ai fini della prova del consenso privacy”.

Inoltre ha sostenuto che l’opposizione all’ulteriore trattamento per finalità di marketing manifestata dagli utenti viene registrata mediante inserimento della numerazione interessata in una apposita black-list contenente anche i dati “relativi a ordini non recapitati per problemi legati all’indirizzo postale o di reperibilità dei clienti”; ciò “per individuare clienti potenzialmente non affidabili [e] per prevenire pratiche concorrenziali scorrette da parte di soggetti terzi”. Sul punto, la Società ha lamentato l’indebita spendita del marchio Scionti da parte di terzi abusivi che, al fine di promuove e vendere i propri prodotti e servizi, avrebbero persino utilizzato numerazioni intestate a Caffè Scionti regolarmente registrate al ROC. A conferma di ciò, è stata fornita copia di una e-mail di diffida nei confronti di una ditta con la quale Caffè Scionti avrebbe avuto in passato un rapporto di collaborazione, poi cessato, e che avrebbe utilizzato, per la promozione dei propri prodotti, alcune numerazioni di clienti indebitamente sottratte dalla banca dati della Società.

Infine quest’ultima ha rappresentato di non aver verificato nell’RPO le utenze da contattare a causa dei problemi tecnici che avrebbero impedito la relativa consultazione, producendo al riguardo il prospetto dei tentativi falliti.

Con comunicazione del 22 giugno 2023, Caffè Scionti ha prodotto ulteriore documentazione, richiesta nel corso dell’audizione, tra cui i contratti sottoscritti con gli inserzionisti dai quali avrebbe acquisito liste di anagrafiche utilizzate per attività di marketing.

4. VALUTAZIONI DI ORDINE GIURIDICO

Con riferimento ai profili fattuali sopra evidenziati, anche in base alle affermazioni della Società, di cui il dichiarante risponde ai sensi dell’art. 168 del Codice, si formulano le seguenti valutazioni di ordine giuridico.

4.1. Contatti telefonici, informativa e consenso

Le segnalazioni e i reclami pervenuti, considerati complessivamente, restituiscono un quadro di non adeguato controllo delle norme in materia di protezione di dati personali. Le risposte fornite dalla Società sia agli interessati prima dell’istruttoria, sia all’Ufficio dopo l’avvio del procedimento, non hanno chiarito i presupposti di liceità che avrebbero legittimato i contatti telefonici, attribuendo alcune delle telefonate lamentate alla digitazione casuale delle numerazioni contattate.

Al riguardo occorre chiarire che può essere considerato “dato personale”, ai sensi dell´art. 4 del Regolamento, anche il numero casualmente composto e chiamato telefonicamente per attività promozionale (v. provv. del 3 dicembre 2009, in www.gpdp.it, doc. web n.  1679436). Pertanto, anche con riferimento alle numerazioni composte casualmente per contatti telefonici, si devono ritenere applicabili le norme dettate dal Codice e dal Regolamento che individuano nel preventivo consenso informato e specifico dell’interessato il presupposto giuridico dell’attività di marketing, ritenendo peraltro inverosimile l’accostamento “casuale” di un numero telefonico, erroneamente digitato, con il nome del reale intestatario (v., in particolare, i fascicoli nn. 186650 – 187981 – 188286). Ne consegue, quindi, che le telefonate in parola sono state effettuate in assenza del consenso degli interessati.

Anche le ulteriori modalità di acquisizione dei dati personali descritte nel corso dell’audizione (passaparola; form on-line; inbound) sono risultate realizzate in assenza di un’idonea base giuridica.

Nello specifico, non può considerarsi valida l’acquisizione di dati personali mediante il passaparola dei clienti in quanto il soggetto che li ha forniti non è (di regola) legittimato a prestare alcun valido consenso per conto dell’interessato destinatario della comunicazione promozionale. Né può invocarsi, quale base giuridica, il “legittimo interesse” della Società unitamente al presunto interesse del soggetto che coinvolge nella promozione l’amico o il parente, come già sostenuto dal Garante nel Provvedimento n. 7 del 15 gennaio 2020 (in www.gpdp.it, doc. web n. 9256486). La e-mail dei clienti diretta a Caffè Scionti, contenente i dati di contatto di potenziali acquirenti dell’offerta promozionale, non può surrogare il necessario adempimento dell’obbligo della previa acquisizione di un consenso specifico, documentato ed inequivocabile dell’interessato. Tale circostanza è risultata, peraltro, caratterizzata da una certa sistematicità dal momento che, come rappresentato in sede di riscontro, a fronte di “3.000/4.000 mail a settimana” indirizzate a clienti con la richiesta “PRESENTA UN AMICO”, la Società riceve “circa 100/120 iscrizioni […] a settimana” (v. All. A del riscontro del 29 marzo 2023).

Analogamente il modulo di ordine di acquisto compilato dall’operatore telefonico in occasione del contatto dell’utente interessato ai prodotti Scionti (modalità inbound) non può in alcun modo essere considerato come prova di un espresso consenso al trattamento dei dati personali per finalità promozionali. Infatti, tale modulo contiene esclusivamente la registrazione della volontà dell’utente di acquistare determinati prodotti della Società e non anche il consenso ad utilizzare i dati per scopi promozionali. Ciò che viene garantito in questa circostanza è il solo ambito civilistico del contratto e delle sue caratteristiche, senza che emerga un approccio proattivo a tutela del complesso dei diritti non solo del consumatore (ai sensi del decreto legislativo 6 settembre 2006 n. 205 – «Codice del Consumo») ma anche dell’interessato. Tale modulo, quindi, ha valore solo con riguardo ai rapporti contrattuali tra le parti e non rispetto alle garanzie da prestare all’interessato in relazione ai trattamenti dei suoi dati. Va anche ricordato che, in base a quanto stabilito dall’art. 7, par. 2, del Regolamento, “se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”, elemento non presente nel modulo di ordine di acquisto esibito dalla Società.

Da siffatta non corretta impostazione deriva che tutti i soggetti qualificati come clienti – in quanto aderenti all’offerta commerciale attraverso la compilazione del modulo di acquisto di cialde per il caffè (come nel caso di cui al fascicolo n. 185551) – costituiscono un patrimonio di dati al quale attingere per le comunicazioni promozionali della Società, pur in assenza di un’espressa autorizzazione al marketing.

Pertanto, dal momento che i contatti telefonici per finalità di marketing hanno riguardato utenze reperite con le descritte modalità (digitazione casuale di numeri telefonici, passaparola dei clienti e modalità inbound), si ritiene di confermare quanto osservato nell’atto di avvio del procedimento in merito alla sussistenza della violazione degli artt. 5 par. 1 lett. a), 6, 7, 13 del Regolamento e 130 del Codice per non aver acquisito il previo consenso degli interessati né per aver reso a quest’ultimi, in occasione delle suddette telefonate, la necessaria informativa in ordine al trattamento dei dati.

4.2. Dati provenienti da List Provider e consenso degli interessati

Ad integrazione delle argomentazioni difensive fornite in sede di audizione, il 22 giugno 2023 la Società ha fatto pervenire, a titolo meramente esemplificativo, copia di uno dei contratti di fornitura di anagrafiche per attività di telemarketing.

Affidandosi alle garanzie contrattuali e contando sugli esiti positivi della collaborazione instaurata con i list provider, non emerge che la Società abbia richiesto ai partner (né, conseguentemente, esaminato) la documentazione comprovante la sussistenza dei requisiti di liceità del trattamento; ad esempio, non risulta che Caffè Scionti abbia mai chiesto ai list provider di cui si avvale di documentare la provenienza dei dati, nonché la base giuridica sottesa al loro trattamento per fini di marketing, elementi già considerati essenziali nel Provvedimento del Garante n. 349 del 20 ottobre 2022 (in www.gpdp.it, doc. web n. 9827153).

Di conseguenza, la mancata verifica della presenza o meno di un consenso originario, unitamente all’assenza di riscontri probatori atti a documentarne l’acquisizione, riverberano i loro effetti sulla legittimità dell’attività promozionale della Società. Si ritiene, pertanto, di dover confermare la violazione degli artt. 5 parr. 1 e 2, 6 par. 1 lett. a) e 7 del Regolamento.

4.3. Trattamenti dati on-line  

Riguardo ai dati acquisiti mediante sito internet si ritiene di confermare i rilievi emersi nell’ambito dell’istruttoria preliminare – per il dettaglio della quale, per ragioni di economicità, si rinvia al contenuto integrale dei relativi atti.

Occorre tuttavia rappresentare che, dall’analisi dell’informativa privacy rinvenibile al link https://www.caffescionti.com/privacy-policy/, il marketing diretto – non menzionato tra le finalità perseguite dalla Società (facenti riferimento principalmente all’esecuzione dei servizi richiesti dagli interessati) – costituisce, in realtà, il core business aziendale realizzabile mediante i diversi strumenti di acquisizione dei dati (c.d. “multicanalità”), tra i quali è ricompreso il sito internet (come peraltro confermato da Caffè Scionti nel corso dell’audizione – v. pag. 1 del relativo verbale).

Pertanto, è imputabile alla Società una non conformità all’obbligo di fornire un’informativa trasparente ed effettivamente idonea a rendere consapevoli gli interessati di ciò che viene fatto con i loro dati, in quanto non è risultata chiaramente indicata, nel citato testo informativo, l’attività di marketing pur venendo in concreto svolta. Né è emerso che per tale finalità sia acquisto un consenso specifico degli interessati.

Alla luce di quanto sopra, si ritiene integrata la violazione degli artt. 5 par. 1 lett. a), 6 par. 1 lett. a), 7 e 12 par. 1 del Regolamento.

4.4. Esercizio dei diritti

Dandosi qui per interamente richiamate le motivazioni espresse nel presente atto al punto 2.2, e considerate le argomentazioni difensive della parte, si ritiene di confermare la violazione degli artt. 12, 15 e 21 del Regolamento, per non aver fornito un completo riscontro alla richiesta di esercizio del diritto di accesso presentata da alcuni interessati, limitandosi la Società a ricondurre la condotta lamentata alla digitazione casuale dei numeri contattati e cercando di porvi rimedio mediante assicurazioni verbali circa l’inserimento dei nominativi e delle relative utenze nella “wrong list” di cui, tuttavia, non è stata data evidenza nonostante l’esplicita richiesta dell’Ufficio con nota del 24 febbraio 2023, né successivamente all’avvio del procedimento. Né ancora, in un caso (v. fasc. 186650), risulta che l’opposizione manifestata nel corso dei contatti telefonici sia stata adeguatamente recepita dalla Società stante l’ulteriore attività telefonica verso l’utenza dell’interessato.

In aggiunta, tale “wrong list” non è stata neppure menzionata nel corso dell’audizione, né a scioglimento delle riserve del 22 giugno 2023. La Società ha invece fatto riferimento genericamente ad una “black-list” (di cui, anche in questo caso, non è stata prodotta copia) nella quale viene registrata l’opposizione manifestata dagli interessati.

Non avendo la Società fornito copia delle menzionate liste, come invece richiesto dall’Autorità, non è stato possibile verificare se le stesse siano state adeguatamente implementate, ovvero se contengano elementi circostanziati (data del diniego, dell’inserimento in lista, l’identità dell’utente) tali da consentire di ricostruire correttamente modalità e tempi di acquisizione e revoca del consenso e, di conseguenza, di accertare la liceità dei contatti promozionali e la corretta gestione dell’opposizione manifestata dagli interessati (v. provv. del 15 dicembre 2022, in www.gpdp.it, doc. web n. 9856345).

4.5. Contatti telefonici senza preventiva consultazione del Registro Pubblico delle Opposizioni

Va necessariamente tenuto in considerazione che la Società avrebbe dovuto sottoporre la lista di anagrafiche nella propria disponibilità al riscontro del Registro Pubblico delle Opposizioni, cosa che avrebbe consentito di escludere alcuni degli interessati, che avevano correttamente formulato la propria opposizione, dal novero dei soggetti contattabili. Risulta invece che il riscontro presso l’RPO non sia stato effettuato, a nulla rilevando le problematiche tecniche connesse all’iscrizione della Società nell’elenco degli operatori ai quali è consentita la consultazione del Registro. Infatti, tale iscrizione deve considerarsi quale pre-condizione per poter svolgere correttamente attività di telemarketing e l’impossibilità tecnica di consultare il Registro non può che determinare l’impossibilità di avviare qualsivoglia campagna promozionale per la quale è previsto l’utilizzo del mezzo telefonico. Si ritiene, pertanto, integrata la violazione dell’art. 1, comma 11, della legge n. 5/2018, in relazione al successivo comma 12 e all’art. 130, comma 3, del Codice.

4.6. Accountability

I fatti descritti non possono essere qualificati come di carattere eccezionale ma paiono denotare una sistematica carenza di misure organizzative e di controllo da parte della Società anche in riferimento all’obbligo di comprovare il rispetto delle norme (accountability del titolare).

In primo luogo, la riferibilità di alcune delle numerazioni chiamanti (nn. 0678563355, 0681925529) alla rosa di quelle in uso da Caffè Scionti, che ha confermato di esserne intestataria, solleva dei dubbi in merito all’estraneità invocata in ordine ai contatti lamentati nelle doglianze all’esame dell’Autorità. Pur considerando la circostanza rappresentata dalla Società che ha lamentato di aver subìto la sottrazione indebita della propria banca dati da parte di un soggetto terzo, ex partner, per attività promozionali di quest’ultimo, non è possibile ipotizzare che ciò sia avvenuto utilizzando numerazioni chiamanti regolarmente registrate al ROC e intestate a Caffè Scionti.

Ciò posto, ad eccezione della sola diffida a non utilizzare la banca dati di Caffè Scionti nei confronti della società ex partner infedele, non risultano ulteriori iniziative in tal senso; né, dal contesto rappresentato, vi è evidenza dell’adozione di idonee e risolutive misure concrete nei confronti di eventuali soggetti abusivi che alimenterebbero il mercato illecito mediante l’indebita spendita del nome Scionti (ad esempio, denunce alle Autorità competenti, oppure l’adozione di misure tecniche e organizzative degne di apprezzamento). Peraltro non è possibile escludere che dall’attività promozionale di terzi, asseritamente parallela ed esterna alla Società, non possano derivare vantaggi per quest’ultima in termini di attivazione di servizi o sottoscrizione di nuovi contratti.

Pertanto, si ritiene confermata la violazione degli artt. 5 par. 2, 24 parr. 1 e 2, e 25 del Regolamento, che inquadrano le competenze del titolare in un’ottica di necessaria valorizzazione del principio di responsabilizzazione (accountability) finalizzata a comprovare il rispetto delle norme in materia di protezione dei dati personali.

5. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Caffè Scionti in ordine alle seguenti violazioni del Regolamento:

– art. 5 parr. 1 lett. a) e 2

– art. 6

– art. 7

– art. 12

– art. 13

– art. 15

– art. 21

– art. 24 parr. 1 e 2

– art. 25

nonché art. 130 del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società, si rende necessario:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vietare il trattamento di dati personali raccolti in assenza di un consenso informato, libero, specifico, documentato e inequivocabile degli interessati all’attività di marketing, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere a Caffè Scionti di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per eventuali ragioni contrattuali;

c) nel caso in cui la Società intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiungere:

– di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7, 13 e 14 del Regolamento nonché dell’art. 130 del Codice;

– di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);

– di fornire agli interessati un’idonea informativa nella quale siano indicati tutti gli elementi obbligatoriamente previsti dagli artt. 12 e 13 del Regolamento, nonché, con riferimento al sito internet, le operazioni di trattamento effettivamente svolte da Caffè Scionti;

– di adottare procedure adeguate volte a tenere traccia delle attività di trattamento anche nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali (artt. 5, par. 2, e 24 del Regolamento);

d) ai sensi degli artt. 58, par. 2, lett. i) e 83, parr. 4 e 5, del Regolamento, con riguardo ai trattamenti già realizzati, adottare un’ordinanza ingiunzione per l’applicazione di una sanzione amministrativa pecuniaria.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Caffè Scionti della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 4 e 5, del Regolamento.

Tuttavia, risultando violate varie disposizioni del Regolamento e del Codice in relazione a trattamenti collegati effettuati dalla Società a fini di marketing, si ritiene applicabile l’art. 83, par. 3, del Regolamento, in base al quale, “se, in relazione allo stesso trattamento o a trattamenti collegati, un titolare del trattamento viola, con dolo o colpa, varie disposizioni del Regolamento, l’importo totale della sanzione amministrativa pecuniaria non supera l’importo specificato per la violazione più grave”, assorbendo così le violazioni meno gravi. Nello specifico, le suindicate violazioni sono da ricondursi, ai sensi dell’art. 83, par. 3, del Regolamento, nell’alveo della violazione più grave, con conseguenziale applicazione della sanzione prevista all’art. 83, par. 5, del Regolamento.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1, del Regolamento), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie devono essere considerati, sotto il profilo delle aggravanti:

1. la gravità delle violazioni rilevate (art. 83, par. 2, lett. a) e b), del Regolamento) con specifico riferimento alla natura particolarmente invasiva del telemarketing illegale nonché all’elevato numero di interessati coinvolti e alla molteplicità delle condotte in difformità del Regolamento e del Codice, tali da far ritenere che Caffè Scionti abbia inteso pianificare e realizzare campagne di marketing accettando il rischio di determinare significative elusioni della normativa in materia di protezione dei dati personali;

2. la non adeguata cooperazione con l’Autorità dal momento che la Società – nonostante le reiterate richieste dell’Ufficio sia in fase istruttoria, sia dopo l’avvio del procedimento – ha fornito riscontri parziali e non adeguatamente documentati, non consentendo, quindi, una compiuta verifica e valutazione dei trattamenti, in particolare con riferimento alla consistenza dei database nonché alla effettiva esistenza di “wrong-list” e/o “black-list” e alla corretta implementazione delle stesse ai fini di un tempestivo e efficace riscontro alle richieste di esercizio dei diritti degli interessati (art. 83, par. 2, lett. f) del Regolamento);

3. la difformità della condotta della Società rispetto alla consistente attività provvedimentale dell’Autorità in materia di marketing con particolare riferimento all’informativa e al consenso (art. 83, par. 2, lett. k) del Regolamento);

Quali elementi attenuanti, si ritiene di dover tener conto:

1. dell’assenza di precedenti procedimenti avviati a carico della Società (art. 83, par. 2, lett. e) del Regolamento);

2. della natura dei dati trattati, consistenti in dati comuni anagrafici e di contatto (art. 83, par. 2, lett. g) del Regolamento).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Caffè Scionti la sanzione amministrativa del pagamento di una somma di euro 70.000,00 (settantamila/00), pari allo 0,35% del massimo edittale.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della materia oggetto di istruttoria, vale a dire il fenomeno del marketing indesiderato, idoneo a determinare significative lesioni ai diritti e alle libertà degli interessati, rispetto al quale questa Autorità ha adottato numerosi provvedimenti sia a carattere generale sia diretti a determinati titolari del trattamento e su cui è elevata l’attenzione dell’utenza.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e) del Regolamento.Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 57, par. 1, lett. f) del Regolamento dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da Scionti Selezioni Superiori S.r.l., con sede legale in Via Gregorio VII, n. 396, 00165 Roma, P.IVA 15932241001, e di conseguenza:

a) ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, vieta il trattamento di dati personali raccolti in assenza di un consenso informato, libero, specifico, documentato e inequivocabile degli interessati all’attività di marketing, ex artt. 6, 7 e 12 del Regolamento, nonché 130 del Codice;

b) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, ingiunge a Caffè Scionti di provvedere senza ritardo alla cancellazione di detti dati, fatti salvi quelli che sia necessario conservare per l’adempimento di un obbligo di legge o per eventuali ragioni contrattuali;

c) ai sensi dell’art. 58, par. 2, lett. d) del Regolamento, nel caso in cui la Società intenda in futuro indirizzare l’attività promozionale verso utenze telefoniche fornite da soggetti terzi, ingiunge:

– di adottare idonee procedure volte a verificare costantemente, anche mediante adeguati controlli a campione, che i dati personali siano trattati nel pieno rispetto delle disposizioni in materia (acquisizione preventiva di un consenso libero, specifico, inequivocabile, documentato, oltre che informato, degli interessati per l’invio di comunicazioni commerciali), ai sensi degli artt. 6, 7, 13 e 14 del Regolamento nonché dell’art. 130 del Codice;

– di adottare misure tecniche e organizzative adeguate a facilitare l’esercizio dei diritti previsti dalla normativa in materia di protezione dei dati personali e di soddisfare, senza ingiustificato ritardo, le relative istanze, compreso il diritto di opposizione che può essere avanzato “in qualsiasi momento” dall’interessato (art. 21, par. 2, del Regolamento);

– di fornire agli interessati un’idonea informativa nella quale siano indicati tutti gli elementi obbligatoriamente previsti dagli artt. 12 e 13 del Regolamento, nonché, con riferimento al sito internet, le operazioni di trattamento effettivamente svolte da Caffè Scionti;

– di adottare procedure adeguate volte a tenere traccia delle attività di trattamento anche nell’ambito della filiera e a comprovare il rispetto delle norme in materia di protezione dei dati personali (artt. 5, par. 2, e 24 del Regolamento);

d) ai sensi dell’art. 157 del Codice, ingiunge alla Società di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

a Scionti Selezioni Superiori S.r.l., in persona del suo legale rappresentante, di pagare la somma di euro 70.000,00 (settantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata;

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 70.000,00 (settantamila/00) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente   provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei