In materia di accesso agli atti detenuti da autorità  amministrative indipendenti in funzione c.d. defensionale (ossia al fine di proteggere i diritti ed interessi della parte istante, ai sensi dell’art. 24, comma 7, Legge 241/1990, oltre che dell’art. 17 del Regolamento GPDP n. 1/2006), non è richiesto di dimostrare la assoluta necessità  degli atti richiesti ai fini della tutela dei diritti e interessi vantati, bensì¬ stabilisce che il diritto all’ostensione deve essere soddisfatto qualora sia dimostrata la connessione tra gli atti di cui si richiede accesso e il diritto da tutelare, dovendosi in tal caso considerare recessive anche le eventuali esigenze di riservatezza.
 

Pubblicato il 29/10/2020
N. 11060/2020 REG.PROV.COLL.
N. 05824/2020 REG.RIC.

SENTENZA

sul ricorso numero di registro generale 5824 del 2020, proposto da
Iliad Italia S.p.A., in persona del legale rappresentante pro-tempore, rappresentato e difeso dagli avvocati Gustavo Olivieri, Filippo Pacciani, Valerio Mosca, con domicilio digitale come da PEC da Registri di Giustizia e domicilio eletto presso lo studio Filippo Pacciani in Roma, via di San Nicola Da Tolentino 67;
contro
Garante Protezione Dati personali – Privacy, in persona del legale rappresentante pro-tempore, rappresentato e difeso dall’Avvocatura Generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;
nei confronti
Telecom Italia S.p.A., in persona del legale rappresentante pro-tempore, rappresentato e difeso dagli avvocati Antonio Lirosi, Marco Martinelli, Pietro De Corato, con domicilio digitale come da PEC da Registri di Giustizia;
per l’annullamento
– della nota del GPDP del 24 giugno 2020 (prot. 23369) avente ad oggetto “Istanza di accesso ai documenti amministrativi ai sensi degli artt. 22 e ss. della legge n. 241/1990 avanzata da Iliad Italia S.p.A.” con cui il GPDP ha respinto l’istanza presentata via PEC da Iliad in data 7 aprile 2020 per l’accesso agli atti del procedimento del Garante per la protezione dei dati personali, concluso con l’adozione del provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. del 15 gennaio 2020 (doc. n. 9256486) e di ogni altro atto connesso, presupposto o consequenziale, benchè non conosciuto, inclusi la nota del Garante per la protezione dei dati personali del 14 luglio 2020 (prot. 26268), avente ad oggetto “Istanza di accesso a memoria inviata da Tim spa il 5 giugno u.s.” e, ove occorrer possa, il “Regolamento n. 1/2006 – Accesso ai documenti amministrativi presso l’Ufficio del Garante” adottato dal Garante per la protezione dei dati personali con Deliberazione n. 34 del 26 luglio 2006, nonchè il silenzio-rigetto che si ritenga essersi formato rispetto all’istanza di accesso di Iliad.

Visti il ricorso e i relativi allegati;
Visti gli atti di costituzione in giudizio di Garante Protezione Dati personali – Privacy e di Telecom Italia S.p.A.;
Visti tutti gli atti della causa;
Relatore nella camera di consiglio del giorno 20 ottobre 2020 il dott. Alessandro Tomassetti e uditi per le parti i difensori come specificato nel verbale;
Ritenuto e considerato in fatto e diritto quanto segue.

FATTO e DIRITTO
Con il ricorso in epigrafe, la società  ricorrente impugna il diniego di accesso posto in essere dal Garante per la protezione dei dati personali con nota prot. n. 23369 in data 24 giugno 2020, relativamente alla richiesta di ostensione degli atti del procedimento del Garante per la protezione dei dati personali concluso con l’adozione del Provvedimento correttivo e sanzionatorio nei confronti di TIM S.p.A. del 15 gennaio 2020.
Deduce la parte ricorrente i seguenti fatti.
Con provvedimento del 15 gennaio 2020, il Garante per la protezione dei dati personali ha accertato molteplici violazioni da parte di TIM degli obblighi in materia di trattamento dei dati personali nello svolgimento delle attività  di marketing, consistenti anche nell’effettuazione di chiamate promozionali a utenti di altri operatori concorrenti (tra cui Iliad) che non avevano prestato il relativo consenso, ovvero si erano iscritti nel Registro pubblico delle opposizioni, oppure, ancora, avevano espresso la volontà  di non ricevere contatti promozionali.
Ulteriori irregolarità  nel trattamento dei dati venivano lamentate anche con riferimento all’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da TIM.
A conferma della particolare gravita di tali condotte, il Garante per la protezione dei dati personali ha sottolineato che “le sopra indicate violazioni accertate nei confronti di TIM, infatti, rappresentano la riprova, da un lato, di una politica attuata dalla Società  in grave difformità  dalla disciplina vigente, peraltro sotto molteplici profili; dall’altro lato, dell’allarmante contesto in cui deve inquadrarsi il fenomeno delle chiamate promozionali indesiderate“.
Per ciò che concerne il perimetro oggettivo delle condotte illecite di TIM, il provvedimento 15 gennaio 2020 ha chiarito che esse:
– sono state poste in essere nel periodo compreso tra luglio 2018 e febbraio 2019, quando cioè Iliad aveva fatto da poche settimane il suo ingresso sul mercato italiano della telefonia mobile;
– hanno riguardato contatti commerciali per proporre sia offerte di telefonia fissa che mobile;
– solamente considerando i clienti di altri operatori (c.d. prospect), i contatti commerciali hanno avuto ad oggetto 166 campagne commerciali e coinvolto 13 milioni di utenti, raggiungendo circa 5,2 milioni di numerazioni (mentre i contatti commerciali nei confronti di utenti TIM hanno riguardato 484 campagne commerciali coinvolgendo 15 milioni di numerazioni).
L’ampia diffusione nel periodo sopra indicato di numerose campagne promozionali di TIM dirette a proporre, con modalità  illecite, offerte di telefonia mobile nei confronti di utenti di operatori concorrenti (Iliad, in primis) è stata confermata anche dal provvedimento dell’Autorità  Garante della Concorrenza e del Mercato n. 27996 del 20 dicembre 2019, il quale ha accertato che “dalle evidenze acquisite agli atti risulta che Telecom ha commercializzato: nel periodo che va dal mese di giugno 2018 al mese di febbraio 2019, n. 8 offerte selettive di winback attraverso il canale SMS e n. 12 offerte selettive di winback attraverso il canale telefonico. Il numero complessivo di SMS inviati nel corso delle 8 campagne tramite SMS e di [5.000.000 – 15.000.000] e il numero complessivo di linee contattate nel corso delle 12 campagne telefoniche e di [1.000.000 – 5.000.000]“.
In data 29 gennaio 2020, Iliad ha presentato al Garante per la protezione dei dati personali una istanza di accesso agli atti del provvedimento dell’Autorità  in data 15 gennaio 2020. Pìù in particolare, tale richiesta era limitata “agli elenchi delle numerazioni mobili, acquisite da Codesta spettabile Autorità  nel corso del procedimento, utilizzate da TIM SpA per gli illeciti contatti commerciali e per l’effettuazione delle campagne promozionali rivolte a clienti “non” TIM in violazione delle norme a tutela dei dati personali“.
L’istanza di Iliad precisava altresì¬ che “ove agli atti del procedimento vi fossero elenchi di numerazioni contattate da TIM distinte in ragione dell’operatore di appartenenza e/o della fonte di provenienza, la presente istanza dovrà  intendersi limitata all’acquisizione dei documenti relativi ai soli clienti ILIAD. [&] per le ragioni esposte, l’interesse di Iliad è limitato alle numerazioni mobili non afferenti a clienti TIM SpA. (e, ove esistenti, solo a quelle dei clienti di ILIAD contattati da TIM), depurate – ove possibile – da ogni riferimento personale (nomi, indirizzi, cap. ecc.)“.
A rendere esplicita la propria volontà  di limitare la richiesta di accesso nei termini indicati, Iliad evidenziava inoltre che “si rimane in ogni caso a disposizione di codesta Spettabile Autorità  al fine di individuare – ove ritenuto necessario – eventuali, ulteriori misure atte a tutelare la riservatezza dei dati personali relativi alle numerazioni mobili contenute nei citati elenchi“.
In relazione alla suddetta richiesta di accesso agli atti, Iliad sosteneva di essere titolare di un interesse diretto, concreto e attuale derivante dall’esigenza di curare e difendere i propri diritti e interessi nei confronti di TIM, anche nell’ambito del giudizio civile instaurato nei confronti di controparte: “Tale condotta illecita appare sinergica e funzionalmente collegata a quella – segnalata dalla esponente nel procedimento concluso con provvedimento AGCM n. 28055 del 13.1.2020, nonchè qualificata come illecita da questo spett.le Garante nel Provvedimento 23 luglio 2015 [4260977] – consistente nell’invio da parte di TIM di SMS contenenti offerte mirate di winback ingannevoli a clienti di ILIAD anche in mancanza del necessario consenso. [&] ILIAD ha un interesse diretto, concreto e attuale ad acquisire gli elenchi relativi alle numerazioni mobili di clienti non TIM al fine di poter pienamente esercitare il proprio diritto di difesa nel giudizio per concorrenza sleale attualmente pendente innanzi al Tribunale di Milano, utilizzando i documenti richiesti allo scopo d’individuare le numerazioni mobili dei clienti ILIAD illecitamente contattati da TIM nel periodo oggetto del Provvedimento evidenziato in epigrafe“.
Con comunicazione del 26 maggio 2020, il Garante per la protezione dei dati personali richiedeva a TIM di formulare osservazioni rispetto all’istanza presentata da Iliad. A fronte della richiesta di Iliad di accedere a tali osservazioni, con nota del 14 luglio 2020, l’Autorità  negava tale accesso.
Con lettera del 24 giugno 2020, il Garante per la protezione dei dati personali rigettava integralmente l’istanza di accesso agli atti di Iliad sostenendo che:
– le campagne promozionali oggetto del provvedimento del 15 gennaio 2020 “benchè effettuate su numerazioni mobili, riguardavano esclusivamente la promozione di linea fissa/Internet casa“, e non risulterebbero, quindi, conferenti rispetto alle contestazioni di Iliad relative alle pubblicità  ingannevoli di winback nella telefonia mobile;
– in ogni caso, non vi sarebbe alcun collegamento funzionale tra le condotte di TIM sanzionate dal Garante e l’azione civile avviata da Iliad che sarebbe fondata esclusivamente sull’asserita violazione delle regole del Codice del Consumo e del Codice delle Comunicazioni elettroniche;
– Iliad non avrebbe dimostrato nè documentato la concreta utilità  che ricaverebbe dall’acquisizione della documentazione in questione;
– le telefonate ritenute illecite nell’ambito di tali campagne, eccettuati rari casi specifici, riguarderebbero utenze “referenziate” e, quindi, utenze suggerite da conoscenti delle persone contattate e non tratte dalle liste di mobile number portability, riguardo alle quali la Società  istante lamenta la illiceità  della presunta attività  di contatto;
– non sarebbe stato indicato alcun rapporto contrattuale fra Tim e Iliad avente ad oggetto la gestione di utenze telefoniche relative a clienti di quest’ultima;
– le numerazioni contenute negli elenchi utilizzati da Tim per le proprie campagne promozionali non risulterebbero distinguibili; pertanto, l’ipotizzata, necessariamente massiva e indistinta, ostensione delle stesse comporterebbe, inevitabilmente, un’indebita comunicazione dei dati relativi a clienti di società  telefoniche terze;
– l’oggetto della richiesta risulterebbe eccessivamente ampio e massivo, trattandosi di milioni di chiamate verso utenze di soggetti prospect riferite ad un ampio periodo di attività  promozionale (luglio 2018 – febbraio 2019).
Deduce la parte ricorrente la illegittimità  del provvedimento impugnato per violazione di legge ed eccesso di potere sotto molteplici profili.
Si sono costituiti in giudizio il Garante per la protezione dei dati personali e Telecom Italia S.p.a., deducendo l’infondatezza del ricorso e chiedendone il rigetto.
Alla camera di consiglio del 20 ottobre 2020 il ricorso è stato trattenuto in decisione dal Collegio.
Il ricorso è fondato.
Come è noto, l’articolo 22 della legge sul procedimento amministrativo riconosce il diritto di accesso documentale a chiunque sia titolare di un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l’accesso.
Nel caso di specie, la richiesta di accesso risulta correttamente motivata in relazione alla sussistenza di un interesse diretto, concreto e attuale da parte della società  istante a conoscere le numerazioni mobili non afferenti a clienti TIM S.p.a. depurate – ove possibile – da ogni riferimento personale
Le violazioni accertate dall’Autorità  in capo a TIM, infatti, avrebbero consentito alla stessa di coinvolgere clienti di altre società  in campagne promozionali, avvalendosi della possibilità  di contattarli telefonicamente al fine della proposizione di offerte commerciali.
Indubbiamente le campagne promozionali sono consentite, al fine di sottrarre clienti alla concorrenza, ma non possono essere svolte utilizzando abusivamente dati personali che non dovrebbero neppure essere conservati.
L’interesse della società  istante, quindi, consiste nella tutela della correttezza della dinamica concorrenziale e la legittimazione all’accesso non deriva dalla inammissibile sostituzione della società  ricorrente ai propri clienti, nei confronti dei quali sarebbe stata violata la regolamentazione sul trattamento dei dati personali, bensì¬ dalla violazione delle regole del mercato e della concorrenza che avrebbe determinato l’illecito inserimento dei clienti Iliad nelle campagne promozionali svolte da TIM (cfr. anche TAR Lazio, sez. I quater, n. 10080/2020). In tale prospettiva, dunque, non può assumere rilevanza la dedotta assenza di un rapporto contrattuale qualificato tra Iliad e TIM.
Sotto tale profilo viene in considerazione la consolidata giurisprudenza in materia di accesso agli atti detenuti da autorità  amministrative indipendenti in funzione c.d. defensionale (ossia al fine di proteggere i diritti ed interessi della parte istante, ai sensi dell’art. 24, comma 7, Legge 241/1990, oltre che dell’art. 17 del Regolamento GPDP n. 1/2006), che non richiede di dimostrare la assoluta necessità  degli atti richiesti ai fini della tutela dei diritti e interessi vantati, bensì¬ stabilisce che il diritto all’ostensione deve essere soddisfatto qualora sia dimostrata – come nella odierna fattispecie – la connessione tra gli atti di cui si richiede accesso e il diritto da tutelare, dovendosi in tal caso considerare recessive anche le eventuali esigenze di riservatezza.
Del resto, occorre anche evidenziare che il richiesto accesso non incide sulla posizione dei singoli utenti, dei quali Iliad non risulta interessata a conoscere l’identità  o altri elementi rispetto a cui gli stessi potrebbero maturare un interesse tale da essere qualificati come controinteressati; del resto, il provvedimento del Garante in data 15 gennaio 2020, non contiene alcuna indicazione relativa a singoli utenti e, conseguentemente, gli stessi non risultano nè indicati quali controinteressati, nè conoscibili da parte della odierna ricorrente.
Occorre, ancora, rilevare che l’accesso richiesto non concerne il procedimento sanzionatorio in astratto, perchè tale procedimento, in quanto tale, coinvolge esclusivamente la parte interessata e ad esso sono giuridicamente estranei i terzi. Nel caso specifico, tuttavia, deve riconoscersi l’accesso a quei documenti, pure emersi nel procedimento sanzionatorio, che sono risultati potenzialmente lesivi degli interessi della società  istante, senza la necessità  di dimostrare l’effettività  della lesione, non potendosi escludere l’accesso a documenti anche solo potenzialmente lesivi, essendo strumentale l’accesso anche alla conoscenza della effettiva lesività .
Nel procedimento sanzionatorio, quindi, non è il profilo afflittivo ad essere oggetto di accesso (la sanzione pecuniaria) quanto il profilo di accertamento della eventuale lesione dei diritti della società  interessata all’accesso, pure insito nel medesimo procedimento sanzionatorio, essendo emerse possibili scorrettezze nelle modalità  di trattamento dei dati personali dei clienti della società  interessata all’accesso; sotto tale aspetto, dunque, le argomentazioni sulla estraneità  della ricorrente al procedimento sanzionatorio sono infondate.
Neppure è ravvisabile un interesse alla riservatezza, potenzialmente leso dall’esercizio del diritto di accesso, non essendo stata richiesta la ostensione di segreti industriali della impresa, bensì¬ di documenti riferiti al trattamento dei dati personali dei clienti della società  ricorrente in sede processuale, senza toccare la sfera di riservatezza.
Quanto, poi, all’argomento secondo cui il diniego all’accesso richiesto da Iliad sarebbe giustificato dal fatto che le campagne promozionali effettuate da TIM avrebbero riguardato esclusivamente la promozione di offerte di telefonia fissa e internet (e non anche offerte di telefonia mobile) e avrebbero comportato l’utilizzo di utenze “referenziate” (ossia suggerite da conoscenti delle persone contattate), è sufficiente osservare come tali affermazioni non trovano riscontro nella documentazione depositata in atti – e, in particolare, nel provvedimento del Garante in data 15 gennaio 2020 – da cui si evince che le utenze in questione facevano riferimento a numerazioni sia fisse che mobili e a numerazioni anche non referenziate, acquisite o comunque trattate con diverse modalità  illecite.
Da ultimo, occorre osservare come la richiesta ostensione dei documenti non implica una “manipolazione” del dato ad opera del Garante – come rilevato dalla Avvocatura in sede di discussione del ricorso – sostanziandosi l’attività  in oggetto nella mera estrapolazione delle numerazioni mobili depurate, ove possibile, da ogni riferimento personale; nè, infine, può assumere rilievo la circostanza – meramente fattuale – della eccessiva onerosità  (in termini di impiego di tempo e personale dedicato) della richiesta di accesso, non trattandosi di un controllo generalizzato della documentazione quanto, piuttosto, dell’accesso a specifiche numerazioni riferite all’operatore istante (cfr. TAR Lazio, sez. I quater, n. 10080/2020).
Il ricorso, in conclusione, deve essere accolto e deve essere consentito l’accesso limitatamente alle numerazioni mobili non afferenti a clienti TIM S.p.a. (e, ove esistenti, solo a quelle dei clienti di ILIAD contattati da TIM), depurate – ove possibile – da ogni riferimento personale e, conseguentemente, ordinato al Garante per la protezione dei dati personali di provvedere all’ostensione degli atti richiesti nel termine di 30 giorni dalla comunicazione/notificazione della presente sentenza.
Le spese processuali possono essere compensate interamente tra le parti in considerazione della novità  e complessità  delle questioni dibattute.
P.Q.M.
Il Tribunale Amministrativo Regionale per il Lazio (Sezione Prima Quater), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie e, per l’effetto:
– annulla il diniego di accesso opposto dal Garante per la protezione dei dati personali;
– ordina l’ostensione degli atti richiesti nel termine di 30 giorni dalla comunicazione/notificazione della presente sentenza;
– compensa le spese di lite.
Ordina che la presente sentenza sia eseguita dall’autorità  amministrativa.
Così¬ deciso in Roma nella camera di consiglio del giorno 20 ottobre 2020 con l’intervento dei magistrati:
Alessandro Tomassetti, Presidente FF, Estensore
Mariangela Caminiti, Consigliere
Antonio Andolfi, Consigliere