Muovendo da tali elementi, il Garante ha svolto una più ampia attività istruttoria (non limitata al solo ambito delle chiamate promozionali) dalla quale sono emerse le seguenti numerose gravi violazioni (peraltro in parte reiterate, essendo stati già adottati provvedimenti riguardanti analoghi trattamenti illegittimi): telefonate promozionali effettuate senza il consenso delle persone contattate, talvolta fino a 155 volte nel mese; assenza di controllo da parte della società sull’operato di alcuni partner; errata gestione e mancato aggiornamento delle black list; telefonate pro- mozionali verso numerazioni non presenti nelle liste di contattabilità; acquisizione obbligata del consenso a fini promozionali per poter aderire al programma di fedeltà online; informazioni non corrette, né trasparenti sul trattamento dei dati e modalità di acquisizione del consenso non valide nella gestione di alcune app destinate alla clientela; utilizzo di modulistica cartacea con richiesta di un consenso unico per finalità diverse; gestione inidonea dei data breach; progettazione (design) e gestione inadeguata dei sistemi che trattano dati personali; inadeguata capacità di compro- vare alcuni trattamenti e relativi adempimenti (accountability).

Con il provvedimento in questione, che contiene ben 20 misure tra divieti e prescrizioni, si è vietato alla compagnia telefonica l’uso dei dati a fini di marketing di quanti avevano espresso il proprio diniego a ricevere telefonate commerciali e dei soggetti presenti in black list o dei “non clienti” conservati per altri motivi nel database dei clienti. La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app per finalità diverse dall’erogazione dei servizi senza un con- senso libero e specifico. Fra le prescrizioni impartite, è stato ingiunto di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventual- mente prodotte dai partner per riversarle nella propria.

Alla compagnia è stato prescritto anche di rivedere le modalità di trattamento dei dati in relazione al programma fedeltà, rendendo libero l’accesso dei clienti a sconti e concorsi a premi ed eliminando il consenso obbligato al marketing. La società dovrà anche rivedere la procedura relativa alle proprie app e specificare, con linguaggio chiaro e comprensibile (anche in considerazione del tipo di utenza e quindi con specifica necessaria attenzione agli utenti minori di età), i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utlizzate, nonché acquisire un valido consenso per i vari trattamenti. Le è stato altresì ingiunto di implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e di rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi in uso.