g-docweb-display Portlet

Ordinanza ingiunzione nei confronti di Nos s.r.l.s. - 28 aprile 2022 [9779025]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9779025]

Ordinanza ingiunzione nei confronti di Nos s.r.l.s. - 28 aprile 2022

Registro dei provvedimenti
n. 153 del 28 aprile 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000, adottato con deliberazione del 28 giugno 2000;

RELATORE l’avv. Guido Scorza;

1. L’ATTIVITÀ ISTRUTTORIA SVOLTA

1.1. Premessa

Con atto n. 7450/22 del 3 febbraio 2022 (notificato in pari data mediante posta elettronica certificata), che qui deve intendersi integralmente richiamato, l’Ufficio ha avviato, ai sensi dell’art. 166, comma 5, del Codice, un procedimento per l’adozione dei provvedimenti di cui all’art. 58, par. 2, del Regolamento nei confronti di Nos s.r.l.s. (di seguito “Nos” o “la Società”), in persona del legale rappresentante pro-tempore, con sede legale in Napoli, corso Umberto I, n. 217, C.F. 08959641211.

Il procedimento trae origine da un’istruttoria avviata dall’Autorità a seguito dell’adozione di un provvedimento correttivo nei confronti della compagnia telefonica Vodafone Italia S.p.A. (provvedimento n. 224 del 12 novembre 2020, in www.gpdp.it, doc. web n. 9485681). In tale provvedimento, con riferimento a Nos, si evidenziava che la Società risultava operare per conto di Vodafone in qualità di teleseller e, quindi, per promuovere la conclusione di contratti relativi alla fornitura di servizi di telecomunicazioni, in virtù di una cessione di contratto stipulata con la cooperativa Nuovi Orizzonti. La società utilizzava, per le attività di promozione dei servizi della compagnia telefonica, anagrafiche acquisite in autonomia da Nova TLC s.r.l.s. e da KData ltd. (società con sede in Londra) senza che nella documentazione contrattuale e negli altri do-cumenti esibiti fossero presenti atti di individuazione di Nos quale responsabile del trattamento per la specifica attività di procacciamento di liste anagrafiche. Con riferimento al trattamento dei dati personali connessi alle attività di agenzia, non risultava nel contratto a suo tempo stipu-lato con Cooperativa Nuovi Orizzonti alcun riferimento alle liste di anagrafiche acquisite da Nova Tlc e da Kdata ovvero ad attività di acquisizione di dati personali per conto di Vodafone. Il provvedimento evidenziava che, nel corso dell’istruttoria, era stato riferito che le liste acquisite in autonomia da Nos potevano entrare nel circuito promozionale della Società in base ad un modello di business che prevedeva che le stesse fossero acquisite e utilizzate dai partner (telesel-ler) che, per tale attività, assumevano la veste giuridica dei titolari autonomi del trattamento. In tale caso le liste anagrafiche restavano nella esclusiva disponibilità dei partner che, nel corso del-le telefonate, declinavano agli utenti contattati una propria informativa e un proprio script di chiamata. Le uniche operazioni di trattamento svolte da Vodafone con riferimento a tali liste erano costituite dalle cd. “dedupliche”, finalizzate alla eliminazione dei nominativi dei soggetti presenti nel Registro pubblico delle opposizioni, nelle black list della Società e nelle campagne promozionali in corso di realizzazione. Il provvedimento concludeva l’esame della posizione di Vodafone con riferimento alle liste acquisite da Nos, evidenziando che, nel passaggio dei dati, le due società, individuate quali autonomi titolari del trattamento, avevano realizzato una comu-nicazione in assenza di idonei presupposti giuridici (consenso degli interessati).

1.2. La richiesta di informazioni formulata dall’Autorità

Al fine di stabilire gli ambiti operativi di pertinenza di Nos nel quadro dei trattamenti svolti per promuovere i prodotti e i servizi di Vodafone, l’Autorità ha quindi rivolto una richiesta di informazioni ed esibizione di documenti, ai sensi dell’art. 157 del Codice, a cui la Società ha dato riscontro con nota del 22 novembre 2021.

In essa è stato rappresentato che: Nos, agenzia monomandataria partner di Vodafone, ha ac-quisito e comunicato a quest’ultima, fra il 2019 e il 2020, 3 milioni e 800 mila anagrafiche. Dette anagrafiche sono state acquisite dalle società Kdata ltd. (con sede legale a Londra) e Dynamic Web Solution Limited (con sede legale a Blackpool); le anagrafiche acquisite da Nos, prima di fa-re ingresso nei sistemi di Vodafone, sono state sottoposte ad alcuni controlli e, segnatamente ad un’analisi relativa alla modalità di raccolta del consenso e di rilascio dell’informativa (realizzata direttamente da Vodafone con i documenti acquisiti da Nos) nonché ad alcune verifiche specifi-che a campione; le anagrafiche sono state quindi caricate sulla piattaforma Vodafone denomina-ta VDL (Vodafone Deduplica Liste) che ha provveduto alla cancellazione dei dati presenti nel Registro delle Opposizioni ovvero nelle black list della compagnia; le liste acquisite dalle due so-cietà di diritto inglese sono state trasferite a Vodafone sul presupposto che fosse da considerare valido il consenso alla comunicazione a terzi fornito dagli interessati alle medesime due società (Kdata acquisisce un consenso per la comunicazione alla categoria merceologica “telefonia”; Dynamic acquisisce un consenso per la comunicazione alla categoria merceologica pertinente indicando che i dati potranno essere comunicati a Vodafone).

Dall’esame del contratto stipulato fra Nos e Kdata il 1° marzo 2019, è emerso che i dati da quest’ultima raccolti presso soggetti che si registrano sui propri siti Internet vanno a formare un “Database Telemarketing”, in ordine al quale è stato concesso il diritto di utilizzo a Nos per la durata di 90 giorni. Tale database è stato trasferito a Nos “con conseguente assunzione di totale re-sponsabilità” da parte della stessa “in qualità di titolare del trattamento dei dati”.

La documentazione contrattuale formata tra Nos e Dynamic ha fatto emergere un rapporto nel quale, da un lato Nos è risultato essere il “cliente” al quale Dynamic trasferiva in licenza d’uso il proprio “Database Telemarketing” per effettuare “una sola attività di telemarketing […] per un intervallo di tempo che va dalla ricezione del dato ai successivi 3 mesi”, cliente che, in base a quanto stabilito dall’art. 7 del contratto stesso, assume la veste giuridica del “titolare autonomo del trattamento dei dati personali”, dall’altro la stessa Nos sarebbe stata designata quale responsabile del trattamento proprio da Dynamic, in relazione ad un vincolo contrattuale intercorrente fra le due società “finalizzato all’erogazione, in favore di Dynamic web solution (titolare del trattamento) di servizi relativi al trattamento dei dati personali denominato ‘trattamento in materia di licenza d’uso per il trattamenti di liste consensate’”.

Gli “script” prodotti da Nos, relativi alle campagne promozionali realizzate con l’utilizzo del-le liste provenienti da Kdata e Dynamic riportano testualmente, quanto all’origine dei dati, la seguente dichiarazione, da leggere all’interessato: “I Suoi dati personali sono stati estratti da un da-tabase di proprietà di [KDATA ltd / Dynamic Web Solution] e raccolti in occasione della registrazio-ne al sito […] a seguito della quale ha rilasciato il Suo consenso alla ricezione di comunicazioni aventi finalità promozionali da parte di terze aziende. Nel caso in cui non volesse più ricevere comunicazioni informative da NOS lo può fare adesso telefonicamente. Qualora volesse anche opporsi al trattamento dei dati da parte di [KDATA ltd / Dynamic Web Solution] può farlo scrivendo una mail all’indirizzo […].

Con riferimento ai rapporti fra Vodafone e Nos, quest’ultima ha rappresentato che “Nos è un’agenzia monomandataria partner di Vodafone, pertanto le liste fornite vengono utilizzate solo ed esclusivamente per conto di Vodafone, dopo accettazione e filtraggio sul sistema VDL” e che “Nos […] effettua solamente le attività sopra descritte, promuovendo prodotti e servizi Vodafone secondo le istru-zioni impartite dalla stessa e concludendo con le persone interessate contatti in nome e per conto di Vo-dafone. […] In caso di conclusione di un contratto, lo stesso viene caricato direttamente sui sistemi Vo-dafone o spedito al titolare in formato cartaceo”; Nos ha prodotto un documento denominato “Poli-cy di gestione anagrafiche nelle attività di telemarketing e teleselling”, realizzato dalla medesima il 25 maggio 2018 (“Recepimento Regolamento UE 2016/679”) e aggiornato al 15 giugno 2020 (“Adeguamento Provvedimenti del Garante in materia di Telemarketing”), nel quale è stabilito, con riferimento alle liste di anagrafiche acquisite presso terzi che Nos può “ottenere dal list provi-der e fornire al Committente informazioni e documentazione preliminare sulla lista da acquistare, […] fornire le suddette informazioni e documentazione al Committente che provvederà ad effettuare le verifi-che necessarie sui documenti di cui sopra. Se le verifiche danno esito positivo, il Committente autorizza la Società all’acquisto della lista, diversamente comunica il rigetto della lista. In caso di autorizzazione del Committente, [Nos può] procedere all’acquisto della lista, tramite formalizzazione del contratto con il list provider”.

1.3.  Contestazione delle violazioni amministrative

L’Ufficio ha preso atto che Nos ha svolto una duplice attività che si innesta nel rapporto di partnership con Vodafone. La prima attività consisteva nell’acquisire liste di anagrafiche da soggetti terzi, anagrafiche che, dopo una verifica effettuata da Vodafone e dopo la “deduplica” operata con l’utilizzo della piattaforma VDL, entravano a far parte delle liste di contattabilità della compagnia telefonica. La seconda attività era invece quella tipicamente di natura promo-zionale e consisteva nel contattare le persone inserite nelle liste di anagrafiche acquisite (e auto-rizzate da Vodafone) per promuovere i servizi della compagnia telefonica e caricare gli eventua-li contratti stipulati. Nell’atto di contestazione si evidenzia che l’acquisizione delle liste di ana-grafiche è stata operata da Nos in qualità di titolare autonomo del trattamento. Ciò si evince dal contenuto dei contratti, nei quali non solo non vi è alcuna menzione di un eventuale comparte-cipazione di Vodafone nell’acquisto, ma Nos (definito il “Cliente”) viene espressamente indivi-duata quale autonomo titolare del trattamento. In questo contesto, l’esibita designazione di Nos quale responsabile del trattamento di Dynamic Web Solution sembra essere un tentativo, in con-trasto con gli altri documenti prodotti e con la realtà emersa nel provvedimento del 12 novem-bre 2020, di costituire una cornice di legittimità alla cessione dei dati dai list provider a Nos e da quest’ultima a Vodafone, cornice di legittimità che poteva essere realizzata solo se Nos avesse fornito agli interessati una propria informativa e acquisito un proprio consenso per la comuni-cazione dei dati alla compagnia telefonica. Come riportato nell’atto di contestazione, Nos risulta aver acquisito circa 3 milioni e 800 mila anagrafiche dalle società Kdata e Dynamic, che ha poi comunicato a Vodafone per la effettuazione di campagne promozionali realizzando una cessio-ne tra autonomi titolari del trattamento. Con riferimento a tale cessione non risulta che Nos ab-bia fornito agli interessati una propria informativa ai sensi degli artt. 13 e 14 del Regolamento e abbia acquisito dai medesimi il consenso previsto dagli artt. 6 e 7 del medesimo Regolamento.

L’Ufficio ha pertanto adottato il sopra richiamato atto di avvio del procedimento amministra-tivo n. 7450/22 del 3 febbraio 2022, con il quale ha contestato a Nos le seguenti ipotesi di viola-zione:

a) artt. 13 e 14, del Regolamento, per avere effettuato comunicazioni di dati personali di in-teressati presenti nelle liste di anagrafiche fornite dalle società di diritto britannico Kdata ltd. e Dynamic Web Solution ltd., senza aver fornito ai medesimi le necessarie preventive informazioni sul trattamento dei dati personali;

b) artt. 5, comma 1, lett. a), 6 e 7 del Regolamento, per aver comunicato i dati di cui al punto a) a terzi senza aver acquisito dagli interessati il prescritto consenso.

2. OSSERVAZIONI DIFENSIVE E VALUTAZIONI DELL’AUTORITÀ

2.1. La memoria difensiva e l’audizione di Nos.

La Società ha fatto pervenire nei termini (4 marzo 2022) una memoria difensiva e ha chiesto di essere ascoltata in audizione. Tale audizione si è svolta in video-conferenza, attese le proble-matiche legate all’emergenza pandemica, in data 8 marzo 2022 ed i suoi contenuti sono stati riassunti in un verbale sottoscritto dall’Ufficio e dalla Società.

Nella memoria difensiva Nos ha rappresentato che, nell’ambito del rapporto intercorso dap-prima fra la Cooperativa Nuovi Orizzonti e Vodafone e poi fra Nos e la medesima compagnia telefonica, i rapporti fra le società sono stati regolati da un originario contratto e da numerosi addenda. Dal 31 gennaio 2022 Vodafone ha comunicato di non voler rinnovare ulteriormente l’accordo e, pertanto, da tale data Nos, che operava esclusivamente per conto di Vodafone, ri-sulta inattiva.

Entrando nello specifico del rapporto contrattuale, Nos ha evidenziato di aver operato sem-pre quale responsabile del trattamento, come confermato nell’addendum del 20 ottobre 2016 e in quello del 17 febbraio 2021, e che le attività svolte erano quelle connesse alla promozione e alla conclusione di contratti di vendita dei prodotti elencati nei listini “One to One” e alla promozio-ne e attivazione di tutti i piani tariffari disponibili nell’offerta Vodafone.

Afferma Nos che le attività di cui sopra potevano essere effettuate solo su liste di contatti predeterminate da Vodafone e che l’elemento contrattuale dal quale l’Autorità avrebbe desunto la titolarità di Nos nell’ambito delle acquisizioni di liste da soggetti terzi (clausola 2.7 del contrat-to del 2012), risultava meglio precisato nell’addendum del 2016, nel quale si stabiliva che l’Agente, “in qualità di Responsabile del Trattamento” avrebbe dovuto attenersi agli obblighi sanciti dai provvedimenti dell’Autorità del 26 giugno 2008 (in www.gpdp.it, doc. web n. 1544326) e 15 giugno 2011, n. 230 (in www.gpdp.it, doc. web n. 1821257): “In attuazione del predetto obbligo, le liste dei potenziali Clienti oggetto di contatto dovranno essere acquisite e/o formate nel rispetto della Normativa Privacy; dovranno contenere solo ed esclusivamente anagrafiche di utenti presenti sugli Elenchi Telefonici Pubblici aggiornati e non iscritti nel Registro delle Opposizioni gestito dalla Fonda-zione Ugo Bordoni; potranno essere utilizzate soltanto in conformità alla procedura operativa allegata sub Allegato E”. Tale procedura stabiliva che “qualora l’Agente operi su liste proprie, vale a dire liste non fornite da Vodafone, queste dovranno essere sottoposte alla procedura di deduplica prima dell’utilizzo. Vodafone segnalerà quando l’utente potrà inserire le liste dei numeri contattabili su VDL ai fini della pianificazione del mese”.

Nos evidenzia pertanto che l’utilizzo delle liste acquisite dalla Società era comunque soggetto ad autorizzazione implicita di Vodafone, autorizzazione che poteva avvenire solo a seguito del-la “deduplica” operata tramite il sistema VDL.

Nos rappresenta che, in base a quanto stabilito da Vodafone, ha sempre acquisito esclusiva-mente liste tratte dal Data Base Unico, e solo in un ultimo periodo, in base all’addendum del 17 febbraio 2021, le cui disposizioni erano state precedentemente esplicitate da Vodafone in via in-formale, ha acquisito anche liste da soggetti (nello specifico Dynamic Web Solution) che avevano raccolto dagli interessati il consenso alla comunicazione dei dati a Vodafone. Evidenzia inoltre che nei contratti con i list-provider Nos figura quale titolare autonomo del trattamento ma che tale individuazione è dovuta al fatto che i predetti soggetti operano in base a contratti standard che non sono di regola modificabili.

Quanto agli script di chiamata, indicati nell’atto di contestazione, Nos evidenzia che tali script sono stati sempre predisposti da Vodafone e inseriti in VDL per l’utilizzo da parte degli agenti, i quali, pertanto, non avevano alcuna possibilità di configurare e prospettare autonomamente le caratteristiche del trattamento.

Richiamando gli elementi che qualificano la figura del titolare ed evidenziando che tali eleemnti devono essere valutati in concreto e devono corrispondere a quanto indicato nelle “Guidelines 07/2020 on the concepts of controller and processor in the GDPR” oltre che nell’art. 4, n. 7, del Regolamento (il titolare del trattamento è colui che “singolarmente o insieme ad altri, deter-mina le finalità e i mezzi del trattamento di dati personali”), Nos evidenzia come, nell’atto di conte-stazione, l’Autorità si sia soffermata solo su aspetti formali e non sostanziali degli atti prodotti dalla Società in sede di riscontro alla richiesta di informazioni. Un corretto esame avrebbe infatti confermato che Nos ha sempre agito, nel trattamento di dati finalizzato alla promozione dei servizi Vodafone, quale responsabile del trattamento, e tale concetto è stato ribadito anche in se-de di audizione, laddove la Società ha rappresentato che: “Nos non ha mai trattato dati autono-mamente e pertanto nel caso di specie non sussiste quello che l’Autorità ha definito in più occasioni come “doppio passaggio” dei dati. Come detto, l’acquisizione da parte di Nos delle liste avveniva in nome e per conto di Vodafone e, soprattutto, tale acquisizione non poteva determinare autonomi e ulteriori uti-lizzi da parte di Nos che operava per un solo cliente. A riprova di ciò, non c’è stato alcun riversamento dei dati nei sistemi di Nos ma un passaggio diretto dal list provider al sistema VDL, di proprietà di Vo-dafone”; “la vendita della lista di Dynamic non si sarebbe potuta perfezionare senza l’assenso di Voda-fone, ulteriore riprova che l’acquisizione della predetta lista è avvenuta con Nos che ha agito per conto della compagnia telefonica”; in generale, “Nos non aveva alcuna libertà operativa con riferimento a mezzi e modalità del trattamento: le liste erano validate da Vodafone, gli script erano forniti da Vodafo-ne, le numerazioni erano verificate da Vodafone. Sulla base di tale assetto operativo e con riferimento a quanto esplicitato anche in sede di linee guida EDPB sulla titolarità del trattamento, discende una situa-zione in cui Nos sia nella fase dell’acquisizione delle liste, sia nella successiva fase promozionale e con-trattuale, ha operato esclusivamente in qualità di responsabile non determinando in alcun modo finalità e mezzi del trattamento, neanche quelli intesi come mezzi non essenziali”.

Nos, nelle memorie difensive e in sede di audizione, ha anche richiamato l’attenzione sul fat-to che la Società “è attualmente in procedura di liquidazione. Dal 2019 Nos ha registrato un calo co-stante del fatturato a seguito del provvedimento del 12 novembre 2020 e, con la chiusura del rapporto con Vodafone, ha cessato ogni attività con conseguente licenziamento di tutto il personale e il manteni-mento degli incarichi sociali esclusivamente per completare le procedure di liquidazione”. Inoltre, in ra-gione della responsabilità solidale del titolare “una eventuale sanzione irrogata alla scrivente Società sulla medesima fattispecie andrebbe a confliggere con il suddetto principio di responsabilità solidale. Di-fatti Vodafone, ai sensi di legge, avrebbe un potenziale diritto di rivalersi economicamente contro Nos per una parte della sanzione ricevuta. Questa, conseguentemente, si troverebbe nella paradossale – quanto illegittima – situazione di dover pagare “due sanzioni” sulla medesima fattispecie, oltre al danno economico dovuto al fatto di aver perso la totalità del proprio fatturato”.

2.2. Le osservazioni dell’Autorità.

Le argomentazioni addotte dalla Società non appaiono idonee ad escludere la responsabilità della medesima in relazione alle condotte contestate.
In primo luogo, deve osservarsi che già con il provvedimento n. 224 del 12 novembre 2020 ri-sultava accertato, per ammissione di Vodafone e in base ai documenti prodotti, che Nos avesse agito quale autonomo titolare nei trattamenti di dati personali connessi all’acquisizione di liste anagrafiche da soggetti terzi (list provider).

Al fine di inserire Nos nell’ambito di un completo contraddittorio fin dalla fase istruttoria, l’Autorità ha richiesto alla Società di fornire informazioni ed esibire documenti dai quali potessero ricavarsi elementi non emersi in precedenza sull’esistenza di accordi o direttive, anche non esplicitati nella forma contrattuale, che consentissero di ricondurre le acquisizioni di liste ana-grafiche al complesso dei trattamenti di dati personali svolti in qualità di responsabile del trattamento per conto di Vodafone (punto 3 della richiesta di informazioni ex art. 157 del Codice: “modalità di acquisizione delle liste e base giuridica prevista per la comunicazione delle predette liste a Vodafone”). Ciò proprio al fine di superare il dato formale e qualificare in concreto ruoli e re-sponsabilità delle due società.

I riscontri forniti da Nos non hanno fatto emergere elementi significativi nel senso indicato dalla Società e, anzi, in più punti richiamati nell’atto di contestazione è apparso confermato che le acquisizioni di liste anagrafiche da soggetti terzi non costituivano un “incarico” che Vodafone aveva commissionato a Nos, ma un’attività da quest’ultima svolta in piena autonomia e sotto-posta solo ad autorizzazioni preventive e a controlli successivi da parte della compagnia telefo-nica al fine di consentire l’ingresso delle anagrafiche nei database aziendali. In questo senso, il disciplinare esibito dalla stessa Nos nella versione revisionata il 15 giugno 2020, chiarisce senza margine di dubbi che le attività di verifica svolte da Vodafone e le disposizioni generali fornite preventivamente avevano la sola finalità di “fare in modo che il consenso alla cessione a terzi dispie-ghi i suoi effetti sul Committente stesso”, operazione questa sì dai connotati meramente formalistici giacché la necessaria premessa a tale obiettivo non poteva essere altro che l’individuazione di Vodafone quale parte nel contratto di cessione delle anagrafiche ovvero soggetto conferente un mandato specifico nei confronti di Nos per l’acquisizione delle anagrafiche medesime.

Inoltre, nell’addendum del 2021 risultano chiaramente individuate le due diverse tipologie di dati che le agenzie possono utilizzare nell’ambito delle attività promozionali, ed è esplicitato che quelle non reperite direttamente da Vodafone o da soggetti specificamente incaricati da essa, devono intendersi quali liste “proprie” del partner: “Qualora l'Agente operi su liste fornite da Vo-dafone o da soggetti terzi dalla stessa incaricati, le liste gli saranno consegnate dopo essere state sottopo-ste alla procedura di deduplica. In tal caso l'Agente dovrà attenersi alle indicazioni fornite e adoperare ciascuna lista non oltre il termine indicato al momento della consegna. Qualora l'Agente operi su liste proprie, vale a dire liste non fornite da Vodafone, queste dovranno essere sottoposte alla procedura di deduplica prima dell'utilizzo. Vodafone segnalerà quando l'utente potrà inserire le liste dei numeri con-tattabili sul VDL ai fini della pianificazione del mese. All'interno di questo periodo ci saranno dei giorni stabiliti in cui il sistema effettuerà l'attività di deduplica”.

Per quanto riguarda l’ingresso delle anagrafiche nei database di Vodafone, appare significati-vo quanto rappresentato da Nos in sede di audizione, nel corso della quale è stato specificato che la comunicazione dei dati dal list provider a Nos avveniva con l’invio di un file criptato alla Società, che la stessa provvedeva ad aprire e riversare nel sistema VDL. Ecco quindi rappresen-tato anche figurativamente il cd. “doppio passaggio” dei dati dal list provider a Nos e da Nos a Vodafone, doppio passaggio evidentemente non necessario nel caso in cui Vodafone fosse stato il reale diretto acquirente delle anagrafiche.

Quanto poi agli script di chiamata, l’Autorità prende atto che gli stessi, in base alle dichiara-zioni rese da Nos, risulterebbero essere stati predisposti da Vodafone, tuttavia è necessario preci-sare che la funzione degli script è quella di fornire all’interessato un ampio quadro di informa-zioni funzionali a mantenere il pieno controllo dei propri dati e a esercitare compiutamente i propri diritti: nel caso in argomento si è ritenuto che le informazioni da rendere agli interessati indicassero i list provider e Nos quali riferimenti per il controllo dei dati e l’esercizio dei diritti, assunto che non fa che confermare la titolarità di Nos in ordine alle anagrafiche acquisite.

Sulla base delle considerazioni di cui sopra si devono confermare le osservazioni svolte in se-de di contestazione e affermare la responsabilità di Nos la quale ha acquisito da soggetti terzi li-ste anagrafiche entrando in contatto in maniera autonoma con tali soggetti, sottoscrivendo in proprio i relativi contratti che, nel caso di Dynamic Web Solution avevano anche una portata più ampia della comunicazione dei dati, acquisendo direttamente le liste e riversandole poi nel sistema VDL, di proprietà di Vodafone. In tale modo si è realizzato il cd. “doppio passaggio” dei dati, dai list provider a Nos e da Nos a Vodafone, a nulla rilevando la destinazione esclusiva dei dati medesimi (che rappresentava solamente una garanzia nell’interesse dei list provider) e la preventiva autorizzazione e successiva validazione dei dati da parte di Vodafone (funzionale esclusivamente all’ingresso delle liste nei database societari).

3. CONCLUSIONI

Per quanto sopra esposto si ritiene accertata la responsabilità di Nos in ordine alle seguenti violazioni:

a) artt. 13 e 14, del Regolamento, per avere effettuato comunicazioni di dati personali di in-teressati presenti nelle liste di anagrafiche fornite dalle società di diritto britannico Kdata ltd. e Dynamic Web Solution ltd., senza aver fornito ai medesimi le necessarie preventive informazioni sul trattamento dei dati personali;

b) artt. 5, comma 1, lett. a), 6 e 7 del Regolamento, per aver comunicato i dati di cui al punto a) a terzi senza aver acquisito dagli interessati il prescritto consenso.

Accertata altresì l’illiceità delle condotte della Società con riferimento ai trattamenti presi in esame, si rende necessario:

- imporre a Nos, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati acquisiti da Kdata ltd. e Dynamic Web Solution ltd.;

- adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Nos della sanzione amministrativa pe-cuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento

4. ORDINANZA-INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra indicate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Nos della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento (pagamento di una somma fino a € 20.000.000);

Per la determinazione dell’ammontare della sanzione occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Nel caso in esame, assumono rilevanza:

1) la gravità della violazione (art. 83, par. 2, lett. a) del Regolamento), in ragione del carattere di pervasività dei trattamenti in ambito del telemarketing, della durata dei trattamenti medesimi e del numero particolarmente elevato di interessati coinvolti, elementi mitigati dalla circostanza che le condotte poste in essere da Nos sono state in parte influenzate dalla compagnia telefonica committente;   

2) quale fattore attenuante, l’apprezzabile collaborazione con l’Autorità nell’ambito dell’istruttoria (art. 83, par. 2, lett. f) del Regolamento);

3) quali fattori ulteriori da tenere in considerazione per parametrare la sanzione (art. 83, par. 2, lett. k) del Regolamento), i dati in ordine alla capacità economica della Società, desunti dal bi-lancio abbreviato d’esercizio per l’anno 2020, ai quali devono aggiungersi le dichiarazioni rese dalla Società in sede di memoria difensiva e audizione, circa l’imminente avvio della pro-cedura di liquidazione della Società, attualmente inattiva a seguito della conclusione del rap-porto con Vodafone.

In base al complesso degli elementi sopra indicati, e ai principi di effettività, proporzionalità e dissuasività previsti dall’art. 83, par. 1, del Regolamento, e tenuto conto del necessario bilancia-mento fra diritti degli interessati e libertà di impresa, in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal Regolamento, anche al fine di limitare l’impatto econo-mico della sanzione attese le richiamate recenti vicende societarie di Nos, si ritiene debba appli-carsi ala medesima la sanzione amministrativa del pagamento di una somma di euro 20.000, pa-ri allo 0,1 % della sanzione massima edittale.

Nel caso in argomento si ritiene che debba trovare applicazione la sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7 del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della natura dei trat-tamenti e del numero di soggetti coinvolti, nonché degli elementi di rischio per l’esercizio dei di-ritti degli interessati;

Ricorrono infine i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione del provvedimento nel registro interno dell’Autorità previsto dall’art. 57, par. 1, lett. u), del Regolamento.

TUTTO CIO’ PREMESSO IL GARANTE

a) impone a Nos, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulte-riore trattamento dei dati acquisiti da Kdata ltd. e Dynamic Web Solution ltd.;

b) ingiunge a Nos, ai sensi dell’art. 157 del Codice, di comunicare all’Autorità, nel termine di trenta giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alla misura imposta; l’eventuale mancato adempimento a quanto disposto nel pre-sente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento.

ORDINA

a Nos s.r.l.s., in persona del legale rappresentante pro-tempore, con sede legale in Napoli, corso Umberto I, n. 217, C.F. 08959641211, di pagare la somma di euro 20.000,00 (ventimila/00) a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione, rappresentando che il contravventore, ai sensi dell’art. 166, comma 8, del Codice ha facoltà di definire la controversia, con l’adempimento alle prescrizioni impartite e il pagamento, entro il termine di trenta giorni, di un importo pari alla metà della sanzione irrogata.

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 20.000,00 (ventimila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dall’art. 27 della legge n. 689/1981.

DISPONE

L’applicazione della sanzione accessoria della pubblicazione sul sito del Garante del presente provvedimento, prevista dagli artt. 166, comma 7 del Codice e 16 del Regolamento del Garante n. 1/2019, e l’annotazione del medesimo nel registro interno dell’Autorità - previsto dall’art. 57, par. 1, lett. u), del Regolamento, nonché dall’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante - relativo alle violazioni e alle misure adottate in conformità all'art. 58, par. 2, del Regolamento stesso.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la sede il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso.

Roma, 28 aprile 2022

IL VICEPRESIDENTE
Cerrina Feroni

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei