[doc. web n. 10007060]

Provvedimento del 22 febbraio 2024

Registro dei provvedimenti
n. 130 del 22 febbraio 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), come modificato dal d.lgs. 10 agosto 2018, n. 101, recante disposizioni per l'adeguamento dell'ordinamento nazionale al citato Regolamento (di seguito “Codice”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

1. LA SEGNALAZIONE DELL’INTERESSATO RIGUARDO ALL’ESERCIZIO DEI PROPRI DIRITTI E LA RELATIVA ISTRUTTORIA.

Un segnalante contattava quest’Ufficio il 27 gennaio 2022, reiterando e precisando una precedente comunicazione del 7 aprile 2021 nei confronti di Coop Italia Società Cooperativa (di seguito indicata anche come “Società” o “Coop Italia”). In particolare, il segnalante rappresentava che:

a) in data 10 dicembre 2021, in qualità di cliente, aveva scritto, mediante posta elettronica, a Coop Italia (con specifico riguardo al servizio “CoopVoce”) per opporsi al trattamento per finalità promozionali e per sapere quali dati personali detenesse la medesima Società;

b) il 17 dicembre 2021 la Società gli aveva inviato una comunicazione, sempre mediante posta elettronica, con cui si limitava a dichiarare di aver provveduto a registrare il suo diniego alle comunicazioni promozionali;

c) pertanto, il 20 dicembre 2021, il medesimo aveva reiterato la propria richiesta di accesso ai propri dati personali e di cancellazione dei medesimi, che tuttavia, per quanto in atti, era rimasta inevasa;

d) la Società aveva continuato ad inviargli messaggi promozionali mediante sms, mostrando così di non aver dato seguito alla sua opposizione.

L’Ufficio, il 15 aprile 2022, avviava al riguardo un’istruttoria preliminare, formulando una richiesta d’informazioni ed elementi documentali, alla quale la Società dava riscontro solo il 27 dicembre 2022, rappresentando che le richieste dell’interessato “per un mero e del tutto eccezionale disguido interno … sono state considerate evase …, ma in realtà non sono state correttamente processate”. Inoltre, la Società ammetteva di aver inviato due ulteriori sms promozionali (anche dopo l’opposizione al trattamento), precisando di aver provveduto alla cancellazione secondo “procedura standard” dei dati dell’interessato “nei termini di legge”, mantenendo solo quelli obbligatori per legge e di aver offerto al medesimo interessato, in ragione dell’occorso “disguido”, un bonus promozionale.

Il 5 maggio 2022 il segnalante – a cui la richiesta dell’Ufficio e il riscontro della Società sono stati indirizzati per opportuna conoscenza - contestava nel merito il riscontro di Coop, evidenziando anche di non aver dato alcun consenso per le finalità promozionali.

2. L’ATTIVITÀ ISTRUTTORIA.

2.1. Richiesta di informazioni e verifiche ispettive.

In aggiunta alla specifica segnalazione, nell’ambito della più generale attività di controllo delle attività di marketing e di profilazione, è stato effettuato un accertamento ispettivo, nelle date 4-6 aprile 2023, presso la Società. Quest’ultima ha poi inviato una nota il successivo 4 maggio, a scioglimento delle riserve contenute nei verbali ispettivi e ha fornito riscontro - con note del 24 e 28 luglio - alla richiesta d’informazioni e documentazione integrative, inviata da questa Autorità in data 4 luglio 2023.

Alla luce degli elementi complessivamente acquisiti, comprese le procedure di registrazione ai siti web della Società, sono emerse le seguenti criticità, con particolare riguardo al servizio Coopvoce; alla raccolta di immagini ed altri dati personali in occasione di ferie ed eventi; nonché alla raccolta di dati sulle piattaforme social. Tali criticità sono state riportate nell’atto di avvio del procedimento amministrativo e di contestazione delle violazioni amministrative del 1° dicembre 2023, prot. n. 1742054, notificato a Coop Italia in pari data mediante posta elettronica certificata, che qui deve intendersi integralmente richiamato e riprodotto.

2.2. Il trattamento dei dati personali relativi all’utilizzo delle e-sim.

Con riferimento al paragrafo A) della contestazione, riguardo al trattamento dei dati personali relativi all’utilizzo delle utenze telefoniche mediante e-sim, è risultato che – oltre al citato mancato rispetto del diritto d’opposizione dell’interessato - la Società tratta tali dati “inclusi i dati di traffico telefonico e/o telematico e di navigazione internet e/o di posizione e/o geolocalizzazione (ottenuta tramite GPS e/o servizi o funzionalità sulla posizione e/o con identificazione di telefoni cellulari e antenne anche wi-fi e/o codice postale e/o nome di città), previo consenso “specifico” dell’interessato:

1. “punto b.i), … per finalità funzionali a ricerche di mercato, analisi economiche e statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario/informativo/promozionale e di aggiornamenti su iniziative ed offerte ai clienti (marketing). Tali attività potranno riguardare prodotti e Servizi di comunicazione elettronica mobili e personali forniti da COOPItalia nonché altri prodotti e servizi di COOPItalia, prodotti e servizi delle Associate a COOPItalia e/o prodotti e servizi di società appartenenti e/o collegate al sistema Coop, e/o prodotti e servizi di propri partner commerciali, e potranno essere eseguite da COOPItalia sia con modalità tradizionali (in via elencativa, ma non esaustiva, posta, chiamate con operatore, etc.) che con modalità automatizzate di contatto (in via elencativa, ma non esaustiva, sms, mms, fax, fonia, e-mail ed applicazioni web, chiamate senza operatore”;

2. “punto b.ii) … potranno essere comunicati a soggetti terzi (società del sistema Coop) per poter ricevere da essi, sia con modalità tradizionali (in via elencativa, ma non esaustiva, posta, chiamate con operatore, etc.) che con modalità automatizzate di contatto (in via elencativa, ma non esaustiva, sms, mms, fax, fonia, email ed applicazioni web, chiamate senza operatore), loro materiale pubblicitario ed informazioni commerciali (marketing di terzi)”;

3. “punto b.iii) … potranno essere comunicati a soggetti terzi (altri partner commerciali) per poter ricevere da essi, sia con modalità tradizionali (in via elencativa, ma non esaustiva, posta, chiamate con operatore) che con modalità automatizzate di contatto (in via elencativa, ma non esaustiva, sms, mms, fax, fonie, email ed applicazioni web, chiamate senza operatore), loro materiale pubblicitario ed informazioni commerciali (marketing di terzi);

4. “punto b.iv) … potranno essere trattati da COOPItalia per finalità di profilazione e relative ad analisi ed identificazione di comportamenti, abitudini, preferenze e scelte di consumo e per la definizione di profili commerciali che permettano di offrire Servizi migliori ovvero offerte mirate e dedicate”;

5. “punto b.v) … gli stessi dati potranno essere comunicati a soggetti terzi (società del sistema Coop) per loro finalità di profilazione e per la definizione di profili commerciali che permettano di offrire Servizi migliori ovvero offerte mirate e dedicate”;

6. “punto b.vi) … potranno essere comunicati a soggetti terzi (altri partner commerciali) per loro finalità di profilazione e per la definizione di profili commerciali …”.

Con riferimento ai suindicati punti (da b.i a b.vi), l’atto di contestazione ha rilevato che il consenso non può dirsi specifico e libero, in quanto viene riferito ad una notevole e variegata massa di dati personali, peraltro decisamente rilevanti rispetto al diritto alla protezione dei dati  come i “dati di traffico telefonico e/o telematico e di navigazione internet e/o di posizione e/o geolocalizzazione (ottenuta tramite GPS e/o servizi o funzionalità sulla posizione e/o con identificazione di telefoni cellulari e antenne anche wi-fi e/o codice postale e/o nome di città)”. Inoltre, la Società avvisa che i terzi potranno utilizzare, per veicolare le loro comunicazioni promozionali, tutte le possibili modalità di contatto, aumentando il livello d’impatto sui fondamentali diritti suindicati.

La violazione, in base a quanto evidenziato nell’atto di contestazione, è risultata ancor più rilevante nelle ipotesi (contraddistinte da: b.ii; b.iii; b.v; b.v.i) in cui i dati sono destinati a circolare al di fuori della sfera di gestione e di controllo di Coop, rientrando nella disponibilità di soggetti terzi, che - perseguendo proprie finalità promozionali e di profilazione - sono da considerarsi titolari autonomi del trattamento, e quindi legittimati a trattare i dati in questione in base a proprie finalità e modalità (v. art. 28 del Regolamento generale UE n. 679/2016, di seguito  “Regolamento”).

Inoltre, con limitato riferimento al punto b.i, si è rilevato che la congerie di attività-finalità indicate (“ricerche di mercato, analisi economiche e statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario/informativo/promozionale e di aggiornamenti su iniziative ed offerte ai clienti …”), non può essere associata alla richiesta di un unico consenso, perlomeno dovendosi predisporre un separato consenso per le peculiari attività di analisi economica e statistica.

Stante la non corretta raccolta, non rileva, a sanare l’ipotizzato illecito trattamento, la previsione, nella medesima informativa, secondo cui tale “consenso è facoltativo e potrà essere da Lei revocato in qualunque momento. In caso di mancato consenso o di revoca, Lei potrà, comunque, fruire dei Servizi, ma i Suoi dati non potranno essere trattati per le finalità descritte” ai suindicati punti.

2.3. Il trattamento dei dati personali raccolti in occasione di “eventi e fiere”.

Con riferimento al paragrafo B) della contestazione, nel testo della “Privacy Policy Eventi E Fiere Informativa”, è risultato che: “Potranno essere oggetto di trattamento, in particolare, i seguenti dati personali dell’Interessato: • fotografie immagini, video e/o registrazioni audio; 2. Finalità e base giuridica del trattamento 2.1 I dati conferiti dall’Interessato verranno trattati per la pubblicizzazione dell’evento: durante le manifestazioni, fiere e/o eventi pubblici, potrebbero essere effettuate, da parte del Titolare, e/o giornalisti, e/o fotografi e/o videomakers espressamente autorizzati, riprese audio e/o video e/o fotografie, per promuovere gli eventi sui siti web e/o sui profili social (es. Facebook, YouTube, Instagram, Twitter, ecc), radio, tv, quotidiani, riviste, brochure, cataloghi e/o altro materiale promozionale cartaceo; … 5. Tempi di conservazione dei Dati: le immagini fotografiche e le registrazioni audio e video saranno conservate negli archivi del Titolare, in relazione al loro possibile utilizzo per le finalità indicate, per un periodo di cinque anni.”

Peraltro, dall’analisi del “cartellone informativa video e foto eventi vari” (all. 2 al citato riscontro del 28 luglio 2023), è risultato che, secondo quanto asserito dalla Società: “Le fotografie ed i video in questione riguardano le attività fieristiche da intendersi come manifestazioni o eventi di carattere pubblico, la partecipazione alla manifestazione comporta il consenso al trattamento dato se non diversamente negata. Solo previo specifico consenso, le fotografie e/o riprese video che ritraggono direttamente ed esplicitamente l’interessato potranno essere pubblicate per finalità promozionali su materiali cartacei o canali elettronici/digitali (es. brochure, flyer, siti web, social network, ecc). In tale ultimo caso l’interessato può negare il consenso, rendendo così impossibile trattare i dati per tali specifiche finalità. Le ricordiamo che, ai sensi degli articoli 15 e seguenti del GDPR, in ogni momento potrà avere accesso a tali dati, prenderne visione, chiederne la modifica o la cancellazione dai nostri archivi, proporre reclamo all’autorità, oppure opporsi al loro utilizzo, fatta salva eventuale diffusione non controllabile dal Titolare del Trattamento, scrivendo al Titolare del trattamento”, ad un indirizzo di posta elettronica della Società.
Rispetto a tali trattamenti, si è rilevato che la previsione di un tempo – seppur massimo - di 5 anni per la conservazione dei dati in questione risulta eccedente rispetto alle finalità indicate alle suindicate lettere a) e b) - ossia quelle di marketing e, tanto più, quelle di mero riscontro agli interessati o di social caring - anche tenuto conto della notevole congerie di dati raccolti e trattati. Inoltre occorre far riferimento alle prescrizioni del provvedimento generale 24 febbraio 2005, 'Fidelity card' e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione’ - [doc. web n. 1103045], in base al quale - ferma restando la validità del consenso, se in origine correttamente raccolto, per le finalità promozionale e di profilazione – la conservazione dei dettagli dei dati personali dell’interessato può essere effettuata, rispettivamente, per un tempo massimo di 24 mesi e 12 mesi. 

2.4. Il trattamento dei dati personali raccolti mediante le piattaforme social.

Con riferimento al paragrafo C) della contestazione, dalla lettura del testo della “Privacy Policy sui Social Network” è emerso quanto segue.

Oltre a Facebook, “CoopItalia Soc. Coop. ha inoltre account su altri social network, ovvero:

• Instagram - per consultare la relativa normativa in materia di Privacy (link) e di Cookie (link);

• Twitter - per consultare la relativa normativa in materia di Privacy (link) e di Cookie (link);

• YouTube - per consultare la relativa normativa in materia di Privacy (link) e di Cookie (link);

• Linkedin … Questa informativa privacy si intende resa per qualsiasi pagina social di CoopItalia … . 1.

Tipologia dei dati personali oggetto di trattamento - …; identificativi, di contatto (telefono, mail), immagini e registrazioni audio-video, eventuali dati personali di utenti/visitatori desumibili dai post sui social (es.: dati anagrafici quali nome e cognome, immagini/video che li ritraggano, ecc) e relativi dati statistici (es. FB Insights). 2. Finalità e base giuridica del trattamento - … a) effettuare campagne di brand awareness, engagement e lead generation sui canali social a scopo commerciale, promozionale e istituzionale (post di immagini e video, annunci, promo, ecc); … b) rispondere ad eventuali richieste di utenti/visitatori delle pagine social (post, commenti nonché richieste di contatto e/o assistenza, c.d. “social caring”) ... La pubblicazione diretta di post e contenuti da parte di utenti-visitatori sulle pagine social gestite da CoopItalia Soc. Coop. (di cui alla lettera b) sarà considerata come libero e specifico consenso degli Interessati. … 4. Tempi di conservazione dei dati - le immagini (foto e registrazioni audiovideo) saranno conservate negli archivi di CoopItalia Soc. Coop., in relazione al loro possibile utilizzo per le finalità indicate, per un periodo massimo di 5 anni …”.

Nell’atto di contestazione si è rilevato che - pur ammettendo che non vi sia un generale obbligo di acquisizione di un consenso specifico per tutti i casi videoripresa/attività fotografica e di eventuale successiva pubblicazione – l’indicazione relativa al tempo di conservazione dei dati (di cui al suindicato punto 5) risulta carente del criterio utilizzato per stabilirlo e peraltro -considerato il tipo di dato (l’immagine della persona, anziché i suoi dati di contatto) - eccedente rispetto alla finalità propagandistica/promozionale della Società, tenuto anche che in tal caso viene effettuata un’attività di diffusione dei dati, in quanto tale, decisamente invasiva rispetto alla sfera personale degli interessati.

2.5. Conclusioni e notifica delle presunte violazioni ai sensi dell’art. 166, comma 5, del Codice.

Complessivamente, sono quindi risultati ravvisabili, con la citata contestazione del 1° dicembre 2023, le seguenti violazioni:

• con riferimento al paragrafo A) della contestazione: art. 15, relativo al diritto d’accesso dell’interessato, per il tramite anche dell’art. 12, par. 3, del Regolamento, che impone il riscontro alle istanze formulate “senza ingiustificato ritardo e, comunque, al più tardi, entro il termine massimo di 30 giorni dal ricevimento” delle medesime; nonché art. 21, par. 2, del Regolamento, che garantisce il diritto d’opposizione, “in qualsiasi momento”, al trattamento dei dati per finalità promozionali;

• sempre con riferimento al citato paragrafo A): art. 6 del Regolamento e 130 del Codice, e, in più in generale, i principi di liceità e correttezza, di cui all’art. 5, par.1, lett. a), del Regolamento;

• con riferimento ai paragrafi B) e C) della contestazione: art. 5, par. 1, lett. e) del Regolamento, che sancisce il principio di limitazione della conservazione, anche in base al citato provvedimento generale 24 febbraio 2005.

In base a quanto sopra evidenziato, è risultato necessario contestare alla Società, in data 1° dicembre 2023, con il richiamato atto di avvio del procedimento, la presunta violazione delle seguenti disposizioni del Regolamento:

- art. 5, par.1, lettere a) ed e);

- art 6;

- art. 12, par.3;

- art. 15,

- art. 21, par.2;  

- nonché dell’art. 130 del Codice.

Con la medesima nota, è stato comunicato pertanto l’avvio del procedimento per l’eventuale adozione dei provvedimenti di cui all’articolo 58, par. 2, del Regolamento e per l’eventuale applicazione delle sanzioni economiche di cui all’art. 83, parr. 4 e 5, del Regolamento.

3. L’ATTIVITÀ DIFENSIVA DELLA SOCIETÀ.

3.1. La memoria difensiva.

3.1.1. L’esercizio dei diritti ex art. 15-22 del Regolamento.

Con la memoria difensiva del 31 gennaio 2024, alla quale si rinvia integralmente,  Coop ha affermato, anche ai sensi dell’art. 168 del Codice, che, a seguito delle segnalazioni iniziali del segnalante nel dicembre 2021 e gennaio 2022 e delle successive comunicazioni, si era già attivata per analizzare accuratamente la situazione e comprendere a fondo i motivi che hanno portato ad una non completa evasione della prima richiesta di accesso e cancellazione dei dati personali, pur riscontrata nei termini via e-mail dal Servizio Clienti CoopVoce in data 17 dicembre 2021 (vedi allegato 1), e riscontrato completamente e definitivamente in data successiva. In seguito a questa analisi interna, Coop Italia ha adottato una serie di misure migliorative per affinare ulteriormente le proprie procedure interne di gestione delle richieste di esercizio dei diritti.

La Società ha evidenziato che, eccettuata l’isolata segnalazione di cui sopra al par.1, ha sempre adempiuto correttamente alla gestione delle richieste di esercizio dei diritti, “dovendo considerarsi il riscontro (al citato interessato) un caso eccezionale e del tutto isolato” come riferito nelle lettere del 4 e 18 maggio 2022 inviate da Coop Italia via pec all’utente e alla Autorità, ricevute in ultimo dal Garante, in data 27 dicembre 2022, “a causa di un errore di trascrizione dell’indirizzo di posta elettronica certificata verso il GPDP” (v. allegato 2); nel riscontro del 18 maggio 2022 è fornita “anche evidenza della registrazione dei log relativi alla resa del consenso dell’interessato.”

3.1.2. Il trattamento dei dati personali relativi all’utilizzo delle e-sim.

La Società ha dichiarato che i dati personali (ed in particolare i vari ‘metadati’ attinenti al traffico dati e voce dei clienti), come menzionati nell'informativa, “sono utilizzati per finalità distinte e specifiche. La raccolta e l’utilizzo di tali dati non avviene soltanto per perseguire le finalità che si basano sul consenso ma anche, e soprattutto, per eseguire le obbligazioni contrattuali assunte da Coop Italia nei confronti dei propri clienti ai fini dell’erogazione del servizio di telefonia e comunicazioni dati ….Coop Italia nell'utilizzo dei dati per il marketing diretto si avvale specificamente solo delle informazioni anagrafiche (nome e cognome) e dei dati di contatto (e-mail e sms) forniti dall'interessato, nel rispetto dei consensi rilasciati.” Per quanto concerne la comunicazione dei dati a terzi per finalità di marketing, ad avviso della Società, “tale pratica è effettuata nel pieno rispetto della normativa vigente, previo esplicito consenso dell'interessato, ed in conformità alle indicazioni dettate dell’Autorità”, aggiungendo che “… non avviene alcuna cessione o comunicazione dei dati dei clienti a terzi per le finalità sopra richiamate, se non nel contesto di iniziative specifiche.”

Inoltre, con limitato riferimento al punto b.i, ed in particolare alla congerie di attività/finalità indicate (“ricerche di mercato, analisi economiche e statistiche, vendita diretta, commercializzazione, invio di materiale pubblicitario/informativo/promozionale e di aggiornamenti su iniziative ed offerte ai clienti …”) e per le quali agli interessati viene richiesto un unico consenso, ad avviso della Società, tali finalità ed attività, “pur distinte nelle loro espressioni specifiche, sono inquadrabili ragionevolmente tutte all'interno della più ampia categoria di ‘attività di marketing diretto, comunicazione promozionale e commerciale’, nell’ambito di “un rapporto di genere a specie, dove ciascuna attività particolare è una manifestazione specifica del più ampio concetto di marketing e comunicazione commerciale. Tale raggruppamento è inteso non solo per una maggiore chiarezza e comprensione da parte dell'utente, ma anche per garantire un approccio coeso e integrato nell'ambito delle nostre strategie di marketing.”

3.1.3. Il trattamento dei dati personali raccolti in occasione di eventi e fiere.

In merito alla conservazione dei dati personali raccolti durante eventi e fiere, Coop Italia ha inteso chiarire che “tali dati, inclusi immagini, registrazioni audio e video, si inseriscono nel quadro di progetti pluriennali che prevedono appuntamenti ricorrenti che quindi necessitano il riutilizzo dei suddetti materiali. La conservazione dei dati dei partecipanti deriva pertanto dalla necessità anche di “rendicontazione celebrativa” delle diverse edizioni realizzate attraverso video, libri, locandine, depliants, ecc.. .. creare un racconto di continuità e di tradizione che si traduce anche nella parola fiducia e riconoscibilità dei Soci e Clienti Coop. “

Inoltre, la loro conservazione avviene in base a liberatorie sottoscritte dagli interessati, le quali includono anche obbligazioni di carattere civilistico (diritto di immagine, uso ai sensi degli artt. 10 e 320 c.c., e artt. 96 e 97 L. 633/1941). Pertanto, il periodo di conservazione stabilito riflette anche queste obbligazioni e non è necessariamente allineato ai limiti temporali previsti per la conservazione di dati a fini promozionali.

Quanto sopra rappresenta la “motivazione” della determinazione di siffatto periodo di conservazione.

3.1.4. Il trattamento dei dati personali raccolti mediante le piattaforme social.

Coop Italia ha precisato di non procedere “all'acquisizione diretta di dati personali degli utenti dei social network per un'archiviazione nei propri sistemi, o comunque per un trattamento a mezzo piattaforma integrate in quelle del social network di riferimento, avvenga se non in contesti molto specifici, quali la risposta a richieste di informazioni ed assistenza, gestita dall’ufficio di Customer Care, e la valutazione di eventuali reclami, essendo confinata ogni altra attività (ad esempio, la pubblicazione di contenuti commerciali, segnalazione e condivisione di “post” anche di utenti che seguono le pagine sociali di Coop Italia) nell’esclusivo perimetro di titolarità del social network di riferimento, secondo le regole delle piattaforme medesime”.

Ad avviso della Società, “i cinque anni di conservazione delle richieste di assistenza, reclami, ecc. sono parametrati alla necessità che Coop Italia ha di dimostrare di aver eseguito compiutamente le richieste dei clienti/utenti, nonché per gestire eventuali reclami provenienti da tali canali: questo, in buona sostanza, rappresenta la “motivazione” della determinazione di siffatto periodo di conservazione …”).

3.1.5. I criteri di quantificazione di cui all’art. 83, par. 2, del Regolamento.

Al riguardo Coop ha, fra l’altro, affermato che:

- il caso del segnalante è stata l’occasione per verificare ed affinare le proprie procedure interne di gestione delle richieste di esercizio dei diritti da parte degli interessati;

- sin dalla prima richiesta di informazioni e nel corso dell’ispezione, ha prestato la più ampia cooperazione;

- non risultano specifici provvedimenti correttivi già adottati dall’Autorità con riferimento alla specifica violazione contestata;

- “CoopVoce è riconosciuta per l'alta qualità del servizio clienti e ha ricevuto apprezzamenti significativi da parte dei consumatori … (anche) rispetto della normativa sulla protezione dei dati personali; CoopVoce opera in un mercato altamente competitivo e caratterizzato da margini di profitto ridotti (si veda l’allegato n. 6 “CoopVoce e il mercato telefonia mobile”); “… ha dovuto anche far fronte ad ingenti investimenti per affrancarsi da Telecom Italia e prendere in carico prima la gestione diretta del traffico dati e, dal 2023, anche la gestione della componente voce”; con riferimento all’ultimo decennio, “… il reddito operativo di CoopVoce è rimasto sostanzialmente costante sui livelli del 2014 a fronte … soprattutto di una crescita dei costi tecnologici di oltre sei (6) volte e in presenza di significativi investimenti legati all’infrastrutturazione (passaggio a Full-MVNO e sviluppo tecnologia VoLTE) (rif. allegato 6 “CoopVoce e il mercato telefonia mobile” p. 3); ... la pandemia e il conseguente effetto sui negozi fisici, da cui CoopVoce trae la maggior parte dei suoi clienti, ha comportato una significativa riduzione dei flussi di nuovi clienti, pur a fronte di un significativo incremento dei costi pubblicitari, più che triplicati nel periodo.”

3.2. L’audizione della Società.

In data 6 febbraio 2024, la Società -nel ribadire quanto già in parte rappresentato in sede ispettiva e mediante la memoria difensiva- ha confermato le misure già adottate in relazione alle contestazioni ricevute, sottolineando la propria ampia disponibilità ad attuare quanto ulteriormente stabilito da questa Autorità e rappresentando quanto segue:

In particolare la Società, con riferimento all’unica segnalazione in questione, ha fatto presente che l’interessato non ha presentato ulteriori doglianze, fin dal maggio 2022. Più in generale, è stata attentamente rivisitata e riarticolata la procedura di gestione dei diritti degli interessati, ai fini della maggiore uniformità e della garanzia di una tempistica ravvicinata (circa 2 settimane o al massimo entro 30 giorni); in particolare, l’interessato riceve istantaneamente una mail che assicura il medesimo dell’avvenuta ricezione e di pronto riscontro, anche grazie all’esatta tracciatura della richiesta nei nostri sistemi  (v. prospetto allegato: all. n.1); inoltre, ha creato dal febbraio 2023 un nuovo apposito indirizzo pec Coopvoce per canalizzare le richieste degli interessati, in aggiunta all’indirizzo di posta elettronica ordinaria; indirizzi entrambi presenti sul sito coopvoce. Inoltre, la Società ha evidenziato che: 

1) è stato chiuso il sito cooponline (prodotti no food) per mancanza di clienti;

2) ha rinviato alle perdite e al trend negativo che ha investito la Società dal 2021, di cui alla memoria del 2024;

3) rispetto alla questione della data retention di immagini raccolte e conservate per il tempo – in linea generale di 5 anni – ha allegato specifici moduli di autorizzazione (uno per maggiorenni; uno per i minori, affidato ai genitori o altri esercenti la responsabilità genitoriale con clausole espresse riguardo a cessione del diritto d’immagine ai sensi dell’art. 10 del Codice civile e della legge sul diritto d’autore (all.2 e 3);

4) è in procinto di porre on line informative privacy sempre più chiare e semplici e quindi agevolmente fruibili, assistite da icone figurative, in conformità con le Linee Guida dell’EDPB in materia informativa trasparente;

5) con riferimento alla comunicazione dei dati, inclusi quelli di traffico, a soggetti terzi, ha specificato che si tratta di società del gruppo Coop che ricevono tali dati nei loro sistemi; tuttavia le comunicazioni promozionali sono inviate direttamente da Coop Italia utilizzando i dati di contatto a disposizione; comunque trattasi di iniziative specifiche, come precisato in memoria;

6) con particolare riferimento ai dati degli utenti nonché dei clienti, raccolti mediante le piattaforme social, la Società, in accoglimento dell’indicazione contenuta nella contestazione ricevuta dall’Autorità, ha mutato la durata di conservazione abbattendola da 5 anni fino a 6 mesi.

4. VALUTAZIONI D’ORDINE GIURIDICO DELL’AUTORITÀ.

4.1. Esercizio dei diritti ex art. 15-22 del Regolamento.

Pur prendendo atto del carattere non sistematico della violazione che riguarda, per quanto in atti, un solo interessato, la medesima va comunque evidenziata, in considerazione della rilevanza del diritto d’opposizione al trattamento per finalità di marketing, il quale – se non incanalato nei giusti binari del corretto trattamento – risulta lesivo del diritto alla protezione dei dati personali e dei diritti della persona ad esso connessi. Va dunque confermata l’ipotizzata violazione degli artt. art. 6; 12, par.3; 15; 21, par. 2, del Regolamento; nonché dell’art. 130 del Codice.

L’Autorità -in considerazione di quanto sopra nonché dell’asserita revisione delle procedure relative all’esercizio dei diritti da parte degli interessati- non ritiene di dover adottare misure correttive al riguardo.

4.2. Il trattamento dei dati personali relativi all’utilizzo delle e-sim.

A fronte della variegata moltitudine dei dati raccolti nell’ambito del servizio Coopvoce, ed in particolare “i dati di traffico telefonico e/o telematico e di navigazione internet e/o di posizione e/o geolocalizzazione (ottenuta tramite GPS e/o servizi o funzionalità sulla posizione e/o con identificazione di telefoni cellulari e antenne anche wi-fi e/o codice postale e/o nome di città”-, Coop ha, tuttavia, rappresentato in memoria che “La raccolta e l’utilizzo di tali dati … avviene … soprattutto, per eseguire le obbligazioni contrattuali assunte da Coop Italia nei confronti dei propri clienti ai fini dell’erogazione del servizio di telefonia e comunicazioni dati ….Coop Italia nell'utilizzo dei dati per il marketing diretto si avvale specificamente solo delle informazioni anagrafiche (nome e cognome) e dei dati di contatto (e-mail e sms) forniti dall'interessato, nel rispetto dei consensi rilasciati.”

Si ritiene pertanto di dover archiviare quanto osservato nell’atto di contestazione in merito alla violazione dell’art. 6, par.1, lett. a), del Regolamento e di non dover ingiungere alcuna misura correttiva al riguardo.

Sotto un diverso profilo, a dispetto di quanto sostenuto da Coop, il concetto di marketing non può essere ampliato tanto da ricomprendervi anche le peculiari attività statistiche e di analisi economica, strutturalmente diverse da quelle promozionali. Al riguardo, non vale far riferimento alle Linee Guida del 2013, per due rilevanti ragioni:

l’Autorità, nelle Linee Guida del 2013 richiamate dalla Società, ha fatto riferimento solo alle finalità tipizzate dall’art. 130, comma 1, del Codice, ossia “quelle di invio di materiale pubblicitario, di vendita diretta, di compimento di ricerche di mercato e di comunicazione commerciale […]” ritenendo che solo  “le suddette attività – e non anche finalità ulteriori, come quelle di analisi economica e statistica- “siano funzionali, nella maggior parte dei casi, a perseguire un’unica finalità (lato sensu) di marketing, con la conseguenza che il connesso trattamento appare giustificare –sempre di norma– l’acquisizione di un unico consenso.”;

un consenso non specifico non è libero in quanto determina una coazione della volontà dell’interessato, con conseguente violazione, dei principi di correttezza del trattamento, e della libertà di manifestazione del consenso (principio peraltro già sancito dall’art. 23 del Codice previgente). Ogni finalità di trattamento, diversa da quella contrattuale, amministrativa e contabile (es. profilazione, marketing, etc.) necessita, invece, del consenso libero, specifico, informato e distinto per ciascuna di esse (art. 6, par. 1, lett. a, del Regolamento). Tale capacità di autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire distinte finalità ben potendo essere ciascuna di esse perseguita singolarmente in presenza di un’autonoma valutazione e determinazione dell’interessato. Orientamento, questo, che trova piena e costante corrispondenza anche nei provvedimenti di questa Autorità e che è stato confermato anche dopo la piena operatività del Regolamento (v. provv. 12 giugno 2019, doc. web n. 9115; provv. 15 gennaio 2020, doc. web n. 9256486);

il Regolamento ha rafforzato ulteriormente il principio del consenso, unitamente ai suoi requisiti di libertà, specificità e, in aggiunta, di inequivocabilità (v: artt. 5, par. 1, lett. a, e 7, par. 4; ed in particolare il considerando 32, ma anche i considerando 39, 40, 42 e 43).

Sulla base dei complessivi esiti dell’istruttoria condotta, risulta possibile inserire tali attività statistiche ed economiche in quella di profilazione, rispetto alla quale, secondo quanto dichiarato, esse si pongono in termini di stretta e diretta connessione, poiché necessarie e propedeutiche ad effettuare profilazione, soprattutto di tipo aggregato.  Tuttavia, l’inserimento di dette attività nella richiesta di consenso per finalità di marketing e non di profilazione, devia però tale manifestazione di volontà dall’effettiva finalità del trattamento. Si ritiene pertanto di dover confermare la relativa contestazione (art. 6, par.1, lett. a), del Regolamento) e di dover ingiungere la modifica della formula di acquisizione del consenso per le attività di marketing, espungendo il riferimento alle “attività statistiche ed economiche”.

4.3. Il trattamento dei dati personali raccolti in occasione di “eventi e fiere”.

Al riguardo, ed in particolare con riferimento alla conservazione di foto e videoriprese, questa Autorità ritiene di dover tenere conto dell’eccezione difensiva formulata dalla Società, ossia, nello specifico, che tale “conservazione avviene in base a liberatorie sottoscritte dagli interessati, le quali includono anche obbligazioni di carattere civilistico (diritto di immagine, uso ai sensi degli artt.10 e 320 c.c., e artt. 96 e 97 L. 633/1941)”, garantendo agli interessati l’esercizio dei loro diritti in materia di protezione dei dati. In tal senso, l’Autorità tiene a chiarire, in una prospettiva più generale, che può ammettersi che l’autonomia contrattuale dei privati, ai sensi dell’art. 1321 c.c. -purché a fronte del persistente adempimento dell’obbligo di un’idonea informativa per il trattamento nonché di chiari termini e condizioni contrattuali- possa incidere legittimamente sulla tempistica di conservazione dei dati, ma non anche derogare ai fondamentali diritti degli interessati di cui agli art. 15-22 del Regolamento, come assicurati, nella presente fattispecie, da Coop.

Nei suddetti termini si ritiene pertanto di dover archiviare la relativa contestazione (art. 5, par.1, lett. e)) e di non dover ingiungere alcuna misura correttiva.

4.4. Il trattamento dei dati personali raccolti mediante le piattaforme social.

Al riguardo, se si può ammettere la conservazione quinquennale dei dati relativi “a richieste di informazioni ed assistenza, gestita dall’ufficio di Customer Care “, con particolare riferimento a quelle presentate dai clienti, altrettanto non può dirsi per i dati relativi a meri utenti, per i quali non sussiste la base giuridica del contratto e non risulta ravvisabile alcuna ragione di necessità.  A questa Autorità pare necessario peraltro distinguere fra i dati dei clienti attivi e quelli di clienti cessati.  Nei suddetti limiti, si ritiene pertanto di dover confermare la relativa contestazione (art. 5, par.1, lett. e)). Considerato, tuttavia, quanto dichiarato dalla Società riguardo alla drastica riduzione dei tempi di conservazione dei dati raccolti mediante i social, non si ritiene di dover ingiungere alcuna misura correttiva.

5. CONCLUSIONI.

Per quanto sopra complessivamente esposto, si ritiene accertata – pur nei suddetti limiti e specificazioni- la responsabilità di Coop Italia in ordine alle seguenti violazioni del Regolamento:

- art. 5, par.1, lett. e);

- art. 12, par.3;

- art. 15,

- art. 21, par.2;  

- nonché dell’art. 130 del Codice.

Accertata l’illiceità delle sopra descritte condotte della Società ed altresì considerato quanto sopra rappresentato da questa Autorità, si rende necessario adottare nei confronti della medesima la seguente misura correttiva: ingiungere la modifica della formula di acquisizione del consenso per le attività di marketing, espungendo il riferimento alle “attività statistiche ed economiche”.

Con riguardo ai trattamenti già realizzati, si ritiene sussistano i presupposti per l’applicazione di una sanzione amministrativa pecuniaria ai sensi degli artt. 58, par. 2, lett. i) e 83, par. 5, del Regolamento.

6. ORDINANZA INGIUNZIONE PER L’APPLICAZIONE DELLA SANZIONE AMMINISTRATIVA PECUNIARIA

Le violazioni sopra confermate impongono l’adozione di un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di CoopItalia della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.
Al riguardo, per la determinazione del massimo edittale, deve farsi riferimento, ai sensi delle sopra richiamate norme del Regolamento, al fatturato della Società come desunto dal bilancio ordinario d’esercizio per l’anno 2022 (euro 707.800.006), dal quale si ricava che il predetto massimo edittale ammonta a € 28.312.000,00.

Per la determinazione dell’ammontare della sanzione, che deve “in ogni caso [essere] effettiva, proporzionata e dissuasiva” (art. 83, par. 1), occorre tenere conto degli elementi indicati nell’art. 83, par. 2, del Regolamento.

Quali circostanze da prendere in considerazione nel caso di specie deve essere considerata, in funzione aggravante, l’elevata quantità di interessati i cui dati sono stati raccolti medianti il sito CoopVoce e successivamente trasmessi per specifiche iniziative a soggetti terzi (lett. a).

Al contempo, sono da considerare quali circostanze attenuanti:

1. il carattere colposo delle violazioni riscontrate, collegate, perlopiù, ad una non corretta interpretazione della normativa di riferimento (lett. b);

2. la tempestiva adozione di misure correttive, con specifico riferimento alle procedure di gestione dei diritti degli interessati e ai tempi di conservazione dei dati degli utenti e clienti raccolti mediante le piattaforme social (lett. c);

3. l’assenza di precedenti violazioni e quindi di precedenti provvedimenti correttivi e sanzionatori (lett. e);

4. la costante e proficua collaborazione con questa Autorità (lett. f);

5. le consistenti perdite economiche “e il trend negativo che ha investito la Società dal 2021”, di cui alla memoria difensiva e al verbale d’audizione (lett. k).

In base al complesso degli elementi sopra indicati, in applicazione dei richiamati principi di effettività, proporzionalità e dissuasività di cui all’art. 83, par. 1, del Regolamento, tenuto conto, altresì, del necessario bilanciamento fra diritti degli interessati e libertà di impresa, anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società, si ritiene debba applicarsi a Coop Italia –tenendo in considerazione precedenti in termini, la sanzione amministrativa del pagamento di una somma di euro 90.000,00, pari allo 0,31% del massimo edittale.

Si ricorda che, ai sensi dell’art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto del trattamento è punito con la reclusione da tre mesi a due anni e che, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa la sanzione di cui all’art. 83, par. 5, lett. e), del Regolamento.

Nel caso in argomento si ritiene che debba applicarsi, altresì, la sanzione accessoria della pubblicazione nel sito del Garante del presente provvedimento, prevista dall’art. 166, comma 7, del Codice e art. 16 del Regolamento del Garante n. 1/2019, tenuto conto della delicatezza della materia oggetto di istruttoria (trattamento dei dati di traffico e tempi di conservazione dei dati raccolti mediante le piattaforme social) nonché dell’esigenza di non discriminazione rispetto a fattispecie analoghe (v.: provv. 8 giugno 2023, doc. web n. 9909907; provv. 18 luglio 2023, cit.).

Ricorrono, infine, i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante, per l’annotazione delle violazioni qui rilevate nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento.

TUTTO CIÒ PREMESSO, IL GARANTE

a) ai sensi dell’art. 57, par. 1, lett. f), del Regolamento, dichiara illecito, nei termini di cui in motivazione, il trattamento effettuato da parte di Coop Italia Società Cooperativa, con sede legale in Via del Lavoro, 6-8, Casalecchio Reno (Bologna), P. IVA 01515921201; e, per l’effetto, nei confronti della medesima:

b) ai sensi dell’art. 58, par. 2, lett. d), ingiunge la modifica della formula di acquisizione del consenso per le attività di marketing, espungendo il riferimento alle “attività statistiche ed economiche”;

c) ai sensi dell’art. 157 del Codice, ingiunge di comunicare all’Autorità, nel termine di 30 giorni dalla notifica del presente provvedimento, le iniziative intraprese al fine di dare attuazione alle misure imposte; l’eventuale mancato adempimento a quanto disposto nel presente punto può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, par. 5, del Regolamento.

ORDINA

ai sensi dell’art. 58, par. 2, lett. i), del Regolamento, a Coop Italia Società Cooperativa, in persona del suo legale rappresentante, di pagare la somma di euro 90.000 (novantamila/00), a titolo di sanzione amministrativa pecuniaria per le violazioni indicate in motivazione; si rappresenta che il contravventore, ai sensi dell’art. 166, comma 8, del Codice, ha facoltà di definire la controversia mediante pagamento, entro il termine di 30 giorni, di un importo pari alla metà della sanzione comminata; 

INGIUNGE

alla predetta Società, in caso di mancata definizione della controversia ai sensi dell’art. 166, comma 8, del Codice, di pagare la somma di euro 90.000 (novantamila/00), secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l’adozione dei conseguenti atti esecutivi a norma dell’art. 27 della legge n. 689/1981;

DISPONE

quale sanzione accessoria, ai sensi dell’art. 166, comma 7, del Codice e dell’art. 16 del Regolamento del Garante n. 1/2019, la pubblicazione nel sito del Garante del presente provvedimento e, ai sensi dell’art. 17 del Regolamento del Garante n. 1/2019, l’annotazione nel registro interno dell’Autorità, previsto dall’art. 57, par. 1, lett. u) del Regolamento, delle violazioni e delle misure adottate.

Ai sensi dell’art. 78 del Regolamento (UE) 2016/679, nonché degli artt. 152 del Codice e 10 del d.lgs. 1° settembre 2011, n. 150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati personali, o, in alternativa, al tribunale del luogo di residenza dell’interessato, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 22 febbraio 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei