Diritti interna

Doveri interna

ricerca avanzata

Ordinanza ingiunzione nei confronti di Telecom Italia S.p.A. - 16 maggio 2018 [9370122]

VEDI ANCHE NEWSLETTER DEL 29 MAGGIO 2018

 

[doc. web n. 9370122]

Ordinanza ingiunzione nei confronti di Telecom Italia S.p.A. - 16 maggio 2018

Registro dei provvedimenti
n. 297 del 16 maggio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

RILEVATO che l'Ufficio del Garante, con atto n. 22728/113611 del 26 giugno 2017 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente riportato, ha contestato alla Telecom Italia S.p.A. (di seguito "Tim S.p.A." o "Società"), in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Gaetano Negri n. 1, C.F. 00488410010, le violazioni previste dagli artt. 23, 24, 32-bis, commi 1 e 2, 162, comma 2-bis, 162-ter e 164-bis, comma 2, del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito denominato "Codice");

RILEVATO che dall'esame degli atti del procedimento sanzionatorio avviato con la contestazione di violazione amministrativa è emerso, in sintesi, quanto segue:

- il Garante ha adottato, in data 6 aprile 2017, il provvedimento n. 176 (in www.gpdp.it, doc. web n. 6376175), al quale integralmente si fa richiamo, all'esito dell'istruttoria di un procedimento amministrativo avviato nei confronti di Tim S.p.A.;

- il procedimento ha tratto origine da un reclamo con il quale un cittadino ha lamentato l'illecito trattamento di dati personali a sé riferiti in relazione all'ingiustificata attivazione, a suo nome e a propria insaputa, di un numero elevato di linee di telefonia residenziale (826) da parte di Tim S.p.A., la quale, nel corso del tempo, avrebbe anche incaricato diversi operatori di procedere ad attività di recupero crediti, in relazione alle predette utenze e nei confronti del predetto reclamante;

- l'istruttoria svolta dall'Ufficio anche mediante verifiche ispettive ha consentito di appurare che il reclamante è risultato ingiustificatamente assegnatario nei sistemi della Società di un numero rilevante di numerazioni telefoniche residenziali, complessivamente pari a 826 linee;

- secondo quanto dichiarato nel corso degli accertamenti, tale erronea attribuzione delle linee telefoniche sarebbe stata causata da non meglio precisati errori occorsi durante le attività di migrazione dei dati dei clienti da un sistema all'altro di gestione dei clienti medesimi (CRM), migrazione che sarebbe avvenuta fra il settembre 2002 e il marzo 2004;

- l'erronea intestazione di linee telefoniche avrebbe interessato anche numerosi altri clienti e si sarebbe propagata anche ad altri sistemi tra i quali il sistema di fatturazione e il sistema RAC (richiesta anagrafica cliente);

- in base a quanto rappresentato da Tim S.p.A. nella relazione presentata al Garante il 16 giugno 2017, dalle verifiche interne sarebbe emerso che i titolari di linee telefoniche con possibili difformità sostanziali fra intestatario della fattura e intestatario della linea sarebbero 5.448 clienti attivi e 38.949 clienti cessati;

- nel richiamato provvedimento del Garante è stato quindi osservato che "alla luce delle circostanze di fatto che è stato così possibile accertare a campione […] deve ritenersi che […] la condotta tenuta dalla Società non sia stata conforme alle disposizioni dettate dalla disciplina in materia di protezione dei dati personali. In particolare, devono ritenersi illeciti il trattamento di dati personali consistente nell'associazione, in capo al reclamante di utenze residenziali […] e la comunicazione a terzi di dati personali che lo riguardano";

- "in proposito, devono ritenersi effettuate in violazione dei principi di qualità dei dati (cui all'art. 11, comma 1, lett. b), del Codice) nonché in assenza di alcuna base giuridica (ai sensi degli artt. 23 e 24 del Codice) le operazioni di trattamento che hanno determinato l'attribuzione, in capo al reclamante (e la persistenza della stessa, nonostante i reclami pervenuti alla Società), di un numero rilevante di utenze telefoniche residenziali nel Crm, con la conseguente propagazione di tali informazioni su altri sistemi della Società, anzitutto nel sistema di fatturazione e quindi nel "RAC" (sistema la cui delicatezza è di tutta evidenza essendo preordinato a consentire la corretta effettuazione di verifiche da parte delle forze di polizia e della magistratura) nonché l'attribuzione in capo allo stesso della qualità di "moroso", nella misura in cui la stessa sia riconducibile al mancato pagamento di fatture relative a linee telefoniche delle quali non è stato reale intestatario. Deve inoltre essere segnalata la condotta negligente e omissiva tenuta dalla Società la quale, durante un assai ampio arco temporale, anche in tempi successivi alla segnalazione dell'erroneità delle predette assegnazioni, in violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), non ha svolto le necessarie verifiche che avrebbero potuto assicurare l'approntamento di rimedi nei confronti del reclamante anzitutto e, quindi, di quanti si trovano in una situazione analoga";

- "quanto alla comunicazione a terzi di dati riferiti al reclamante, come pure ad altri clienti, la stessa risulta effettuata in violazione degli artt. 23 s. del Codice sia con riferimento alla comunicazione ai soggetti intestatari delle fatture del codice fiscale dello stesso e di quanti si sono trovati nella medesima situazione, sia con riguardo alla comunicazione dei dati che lo riguardano alle società di recupero crediti, che mai avrebbero dovuto essere poste nella disponibilità di tali dati, non essendo il reclamante mai stato il reale assegnatario delle linee telefoniche che nel tempo sono state interessate da inadempimenti";

- sulla scorta di quanto accertato con il provvedimento n. 176 del 6 aprile 2017, l'Ufficio ha provveduto a contestare a Tim S.p.A. la violazione di cui: a) agli artt. 23 e 24 del Codice, per aver trattato e comunicato dati personali a soggetti terzi in assenza di un fondamento giuridico, sanzionata dall'art. 162, comma 2-bis, del Codice; b) all'art. 32-bis, comma l, per aver omesso di comunicare al Garante una violazione dei dati personali, sanzionata dall'art. 162-ter, comma 1, del Codice; c) all'art. 32-bis, comma 2, per aver omesso di comunicare al reclamante la violazione dei dati personali, sanzionata dall'art. 162-ter, comma 2, del Codice; d) all'art. 164-bis, comma 2, in riferimento alla circostanza che Tim S.p.A. ha commesso le violazioni di più disposizioni, nei termini di cui alle contestazioni sub a), b) e c), in relazione a banche dati e sistemi di gestione dei dati dei clienti di Tim S.p.a., qualificabili di particolare rilevanza e dimensioni;

- con nota del 3 agosto 2017 Tim S.p.A. ha comunicato al Garante di aver provveduto al pagamento in misura ridotta delle sanzioni previste per le violazioni di cui ai capi a), b) e c), per un importo complessivo di € 70.300;

RILEVATO che con il citato atto del 26 giugno 2017 sono state contestate a Tim S.p.A. le violazioni sopra indicate, per le quali è intervenuto pagamento in misura ridotta, ad eccezione della violazione di cui al punto d) (più violazioni commesse in relazione a banche dati di particolare rilevanza e dimensioni) per la quale la legge non consente la definizione in via breve;

LETTO il verbale di audizione del 24 aprile 2018, nel corso della quale la difesa di Tim S.p.A. ha depositato gli scritti difensivi che qui si intendono integralmente richiamati e nei quali si rappresenta:

- applicazione costituzionalmente orientata dell'art. 164-bis, comma 2, del Codice "Ferma la questione di costituzionalità dell'art. 164 bis, comma 2, sollevata nelle Sedi proprie dalla Scrivente in relazione ad altri procedimenti allo stato pendenti (questione ovviamente non riproducibile nel presente procedimento), appare opportuno richiamare un importante precedente del Tribunale di Roma [sentenza n. 1314/2016 del 21 gennaio 2016], che, seppure discutibile sotto taluni punti di vista, nell'affrontare l'assetto sanzionatorio disegnato dall'art. 164 bis, comma 2, ha avuto il merito di ideare una soluzione che permette di evitare la potenziale distorsione che connoterebbe una applicazione di tale norma senza un necessario raccordo con il precedente art. 162, comma 2-bis e con i principi generali dell'ordinamento giuridico applicabili in materia";

- "Sulla base di tale ragionamento, il Tribunale di Roma ha provveduto all'annullamento della sanzione per la violazione dell'art. 162, comma 2-bis, ed all'assorbimento della stessa in quella irrogata ai sensi dell'art. 164 bis comma 2. Ora, nella fattispecie odierna, escluso ovviamente che l'Autorità possa seguire lo stesso iter (essendo ormai, in esito al pagamento in misura ridotta, cristallizzata la sanzione di cui all'art. 162 comma 2 bis), sembrano però sussistere i presupposti quantomeno per la limitazione al minimo della irrogazione della sanzione di cui all'art. 164 bis comma 2 (€ 50.000,00), e ciò proprio valorizzando una lettura costituzionalmente orientata della norma medesima, che, seppur insuscettibile di risolversi in una piena applicazione del principio di consunzione, venga utilizzata come parametro per la commisurazione della sanzione nel minimo edittale.";

- gravità della violazione "Nella valutazione della minore gravità della contestata violazione di cui all'art. 164-bis, comma 2, anche sotto il profilo dei requisiti soggettivi e dell'intensità dell'elemento psicologico, si chiede inoltre di tener conto della circostanza che, in ogni caso, parrebbe illogico o quanto meno discutibile sul piano interpretativo, per TIM come per qualsiasi altro titolare del trattamento, anche solo prevedere o prefigurarsi la possibilità di applicazione dell'obbligo di acquisizione del consenso o verifica della sussistenza di altri presupposti per operazioni di trattamento che, a causa di errori od anomalie dei sistemi a livello tecnico, siano a priori illecite, in quanto riguardanti dati personali risultati poi inesatti e non aggiornati (per erronei disallineamenti tra dati di intestatari linee e dati di intestatari fatture). Come noto, non esiste infatti alcuna base giuridica che possa legittimare attività di trattamento di dati personali comunque svolte in violazione dei principi di cui all'art. 11 del Codice privacy, come quelle verificatesi nel caso di specie, pacificamente frutto di erronee associazioni di dati riferiti a diverse persone, dalle quali sarebbero derivate, sempre a causa di asseriti, "plurimi" malfuzionamenti tecnici, le altrettanto erronee propagazioni degli errori su altri sistemi e comunicazione ai soggetti destinatari delle fatture di dati relativi a codici fiscali concernenti altri soggetti. Seppure, dunque, si ritenga (come ha ritenuto l'Autorità) di poter ritenere violato l'art. 23 in un contesto del genere, appare almeno necessario valutare il bassissimo grado di gravità di tale specifica violazione, atteso che l'applicazione della sanzione di cui all'art. 164 bis comma 2, postula la mancata acquisizione di un consenso che TIM non avrebbe mai potuto acquisire.";

- valutazione dell'opera svolta dall'agente "Sotto questo profilo, si invita a tenere presente, oltre all'avvenuto pagamento in misura ridotta delle altre sanzioni (ad eccezione di quella oggetto dell'odierno procedimento, non pagabile in tale forma), la condotta tenuta da TIM nel corso e a seguito degli accertamenti e le attività svolte dalla stessa Società in piena collaborazione con l'Autorità anche in relazione all'attuazione delle complesse e gravose verifiche e misure prescritte dal Provvedimento n. 176 del 2017 (notificato dal Garante a TIM il 20/04/17): la Società si è immediatamente attivata per l'attuazione delle sette prescrizioni impartite; è stato creato un gruppo di lavoro cui hanno partecipato i rappresentanti delle numerose unità organizzative coinvolte, con SAL periodici, inizialmente a cadenza quindicinale e successivamente mensile; per il monitoraggio puntuale delle complesse attività individuate per l'attuazione delle prescrizioni, è stato predisposto un documento di Master Plan aggiornato e fornito mensilmente al competente Dipartimento Comunicazioni e reti telematiche, tenuto costantemente aggiornato sullo stato di attuazione delle prescrizioni del Provvedimento, tramite l'invio di documentazione comprovante le attività svolte a cui ha fatto seguito, di regola, un incontro con il Dirigente del Dipartimento medesimo (cfr. i riscontri forniti da TIM segnatamente in data, 19/05/17, 01/06/17, 19/06/17, 30/06/17, 12/07/17, 29/09/17, 31/10/17, 30/11/17, 20/12/17, 31/01/18, 28/02/18, 31/03/18)";

RITENUTO che le argomentazioni addotte non riguardano gli aspetti relativi alla sussistenza della responsabilità di Tim S.p.A. in ordine alle violazioni contestate, che appare pacifica, ma attengono alla quantificazione della sanzione, di cui si dirà nell'apposita sezione della presente ordinanza. Tuttavia, con riferimento alla "lettura costituzionalmente orientata dell'art. 164-bis, comma 2, del Codice", pur prendendo atto della sentenza richiamata dalla difesa, deve comunque ribadirsi il costante orientamento del Garante, confermato dalla Corte di Cassazione (Prima sezione civile, sentenza 30 giugno 2016, n. 17143) circa l'inapplicabilità del principio di ne bis in idem in relazione alle autonome contestazioni della violazione di cui all'art. 164-bis, comma 2, e delle violazioni ad essa presupposte. In tali casi, come sottolinea la Suprema Corte, "la diversità delle ipotesi astratte considerate risulta dalla rilevata difformità dei beni giuridici tutelati che […] non differiscono affatto tra loro sul piano meramente quantitativo (ossia, omogeneo) ma […] risultando seriamente apprezzabili e discreti sul piano qualitativo. Infatti, altro è la gestione ed il trattamento di dati personali, per quanto aggruppati e consistenti, altro è invece la gestione ed il trattamento di intere banche dati, ancor più quando esse assumano la consistenza, come può accadere per quelle in tema di agglomerati di dati anagrafici e telefonici, di «particolare rilevanza o dimensioni". In tali casi, infatti, il comportamento sanzionato assume una rilevanza qualitativa, che prescinde dall'entità numerica dei dati raccolti e trattati in violazione dei criteri legali, cosicché, indipendentemente dalla rubrica della previsione sanzionatoria (che effettivamente parla di ipotesi aggravate), nella specie, la condotta punibile si pone all'interno di una fattispecie di illecito del tutto autonoma e, perciò, sanzionata in modo proprio, con la previsione di una diversa forbice comminatoria". Per quanto riguarda le osservazioni difensive relative alla gravità della violazione, una valutazione in ordine alla minore gravità della condotta non può certo risiedere nella considerazione che un trattamento illecito in radice non avrebbe mai potuto essere sanato mediante l'acquisizione di un idoneo consenso. I trattamenti di dati personali devono essere in ogni caso sorretti da appropriate basi giuridiche, come quelle indicate negli artt. 23 e 24 del Codice. L'impossibilità di ricomprendere i predetti trattamenti nell'ambito delimitato dalle norme, determina l'illegittimità dei trattamenti medesimi e la conseguente applicabilità della sanzione prevista dall'art. 162, comma 2-bis, del Codice, proprio con riferimento al richiamato contesto normativo.

RILEVATO, quindi, che Tim S.p.A., sulla base degli atti e delle considerazioni di cui sopra, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, le violazioni indicate ai capi a), b) e c) dell'atto di contestazione n. 22728/113611 del 26 giugno 2017, per le quali è intervenuta definizione in via breve e, conseguentemente, la violazione prevista dall'art. 164-bis, comma 2, per aver commesso le violazioni di cui ai punti a), b) e c) in relazione a banche dati e sistemi di gestione di particolare rilevanza e dimensioni;

VISTO l'art. 164-bis, comma 2, del Codice che punisce le violazioni di un'unica o più disposizioni indicate nella parte III, titolo III, capo I del Codice (ad eccezione di quelle previste dagli articoli 162,  comma  2,  162-bis  e  164), commesse in relazione ad una banca dati di particolare rilevanza e dimensioni, con la sanzione amministrativa del pagamento di una somma da euro 50.000 ad euro 300.000;

CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge n. 689/1981, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;

CONSIDERATO che, nel caso in esame:

a. in ordine all'aspetto della gravità con riferimento agli elementi dell'entità del pregiudizio o del pericolo e dell'intensità dell'elemento psicologico, le violazioni risultano oggettivamente di rilevante gravità sia in considerazione del fatto che i trattamenti illeciti hanno interessato un numero elevato di soggetti, sia perché le irregolari associazioni delle anagrafiche alle linee telefoniche sono state riversate su diversi sistemi, fra i quali quelli che gestiscono le richieste dell'autorità giudiziaria, sia perché la società si è disinteressata del problema nonostante le numerose segnalazioni e gli evidenti elementi che l'avrebbero dovuta indurre a svolgere una immediata e incisiva attività di rilevazione e bonifica delle anomalie. Al riguardo, si deve tenere presente che il comportamento negligente della Società in ordine alle segnalazioni pervenute ha determinato il protrarsi dei trattamenti illeciti per un arco temporale assai ampio. Infine, con riferimento alle banche di dati coinvolte, deve evidenziarsi la natura intrinsecamente più rilevante del CRM, del sistema di fatturazione e del RAC rispetto alle banche dati utilizzate nelle attività di telemarketing, le quali hanno formato oggetto, nel corso del tempo, di provvedimenti che costituiscono precedenti in termini di quantificazione delle sanzioni in tema di grandi banche dati (da ultimo, ordinanza-ingiunzione nei confronti di Tim S.p.A. del 18 gennaio 2018, in www.gpdp.it, doc. web n. 7665804);

b. ai fini della valutazione dell'opera svolta dall'agente, deve essere considerato in termini favorevoli il fatto che la Società abbia adottato incisive iniziative al fine di rilevare tutte le anomale intestazioni delle linee telefoniche e di provvedere alla "bonifica" dei dati presenti nei propri sistemi;

c. circa la personalità dell'autore della violazione, deve essere considerata la circostanza che la Società risulta gravata da numerosi precedenti procedimenti sanzionatori definiti in via breve o a seguito di ordinanza ingiunzione (tra i quali si evidenzia quello richiamato al punto a., di recente adozione);

d. in merito alle condizioni economiche dell'agente, è stato preso in considerazione il bilancio d'esercizio per l'anno 2016;

RITENUTO, quindi, di dover determinare, ai sensi dell'art. 11 della L. n. 689/1981, l'ammontare della sanzione pecuniaria, in ragione dei suddetti elementi valutati nel loro complesso, nella misura di euro 200.000 (duecentomila) per la violazione di cui all'art. 164-bis, comma 2, del Codice.

RITENUTO inoltre che, in relazione alle condizioni economiche del contravventore, avuto riguardo in particolare ai dati relativi al patrimonio netto, all'utile complessivo dell'esercizio e all'ammontare dei ricavi e dei proventi operativi, nonché alla circostanza che Tim S.p.A. risulta a tutt'oggi, quanto a numero complessivo di linee di telefonia fissa e mobile, l'azienda leader del settore delle telecomunicazioni in Italia, le sopra indicate sanzioni pecuniarie risultano inefficaci e devono pertanto essere aumentate del quadruplo, come previsto dall'art. 164-bis, comma 4, del Codice (da € 200.000 a € 800.000);

VISTA la documentazione in atti;

VISTA la legge n. 689/1981, e successive modificazioni e integrazioni;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE la dott.ssa Augusta Iannini;

ORDINA

a Telecom Italia S.p.A., in persona del legale rappresentante pro-tempore, con sede legale in Milano, via Gaetano Negri n. 1, C.F. 00488410010, di pagare la somma di euro 800.000 (ottocentomila) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione;

INGIUNGE

alla predetta Società di pagare la somma di euro 800.000,00 (ottocentomila), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dall'art. 27 della legge 24 novembre 1981, n. 689.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 maggio 2018

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia