Il Garante della privacy frena le TELCO

Indice

Sempre più aziende di telecomunicazioni sono state interessate nell’ultimo periodo da provvedimenti e sanzioni amministrative ad opera del Garante privacy per violazioni della normativa sulla protezione dei dati personali. È abbastanza recente l’ingiunzione nei confronti di Tim, cui è stato ordinato il pagamento di due sanzioni amministrative per un totale di 960mila euro.

L’ingiunzione di 800mila euro segue l’adozione del provvedimento del 6 aprile 2017 e conclude un iteravviato a seguito del reclamo di un utente che aveva lamentato l’illecito trattamento di dati personali a sé riferiti in relazione all’ingiustificata attivazione, a suo nome e a propria insaputa, di 826 linee di telefonia fissa da parte Tim, la quale avrebbe poi incaricato diversi operatori di procedere con solleciti di recupero crediti nei confronti del reclamante.

Durante gli accertamenti la società ha dichiarato che l’erronea intestazione, che avrebbe interessato anche numerosi altri utenti, sarebbe stata causata da errori avvenuti durante la migrazione dei dati dei clienti da un sistema di gestione (CRM) all’altro. Tale erronea attribuzione di linee telefoniche si sarebbe propagata anche ad altri sistemi, come il sistema di fatturazione e il sistema di richiesta anagrafica cliente (RAC).

Il Garante ha ritenuto negligente e omissiva la condotta tenuta dalla società per non essersi adoperata immediatamente, nonostante la segnalazione dell’utente. Il trattamento dei dati effettuato da Tim è stato ritenuto, pertanto, in violazione del principio di qualità dei dati e si è svolto in assenza di alcuna base giuridica; in particolare devono ritenersi illeciti il trattamento consistente nell’associazione in capo al reclamante di utenze telefoniche residenziali e la comunicazione a terzi (come le società di recupero crediti) di dati che lo riguardano.

La seconda sanzione, pari a 160mila euro, che il Garante ha comminato a Tim riguarda un caso di data breachavvenuto nel 2013: il malfunzionamento di un sistema di autenticazione aveva comportato la visualizzazione di dati di altri clienti da parte di chi intendeva avvalersi dei servizi di assistenza online.

TELCO

Contestazioni di violazioni amministrative per trattamento illecito di dati personali, questa volta connesso al telemarketing selvaggio, sono giunte anche a Vodafone.

Durante le verifiche l’Autorità ha accertato che sono state effettuate nell’interesse della società fino a 2 milioni di telefonate e inviati circa 22 milioni di sms senza un consenso valido degli interessati, consistiti sia in clienti attuali che prospect. Le offerte commerciali venivano rivolte sia a utenti che non avevano mai prestato il loro consenso per finalità di marketing, sia a coloro che avevano revocato il consenso o si erano opposti al trattamento dei loro dati personali. Infatti, anche qualora il soggetto manifestasse espressamente di non voler essere più contattato, la società considerava la richiesta come una mera sospensione del consenso riferita a quella specifica campagna commerciale, procedendo a ricontattarlo in successive e diverse campagne promozionali.

Il Garante nel provvedimento del 4 aprile 2018 ha dunque vietato a Vodafone l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza del consenso espresso degli utenti e ha prescritto alla società l’adozione di misure tecniche e organizzative volte a registrare immediatamente l’opposizione al trattamento e a prevenire chiamate indesiderate, nonché una verifica della modalità di acquisizione del consenso per finalità commerciali in tutte le sedi (rete commerciale, piattaforme web, applicazioni mobili) in cui tale consenso viene raccolto.

Non esente dalle verifiche dell’Autorità è stata Fastweb a cui, nel provvedimento del 18 aprile 2018, sono stati vietati telemarketing selvaggio e profilazione degli utenti senza il loro consenso.

Il Garante ha avviato le sue verifiche ispettive sempre a seguito di segnalazioni provenienti da utenti che lamentavano di essere stati disturbati da chiamate indesiderate e ha rilevato una serie di irregolarità in merito al telemarketing effettuato senza valido consenso, nonché un numero considerevole di telefonate verso utenti contattati autonomamente dai partner di Fastweb e non inseriti pertanto nelle liste di contattabilità fornite dalla società ai call center di cui la stessa si avvale; in questi casi la società non è in grado di garantire che si tratti di utenze non iscritte nel registro delle opposizione o che non abbiano esercitato il diritto di opposizione.

Anche la procedura “call me back”, attivabile sul sito della società, presentava un’irregolarità in quanto la sua attivazione autorizzava in automatico anche il trattamento dei dati del richiedente per finalità di marketing, impedendo allo stesso di prestare un consenso libero e specifico in base alla finalità del trattamento.

L’Autorità, pertanto, ha aperto un procedimento per contestare anche a Fastweb le violazioni amministrative accertate.

Gli episodi appena segnalati rappresentano i più recenti di un’attività ispettiva puntuale ed estremamente rigida condotta da sempre dal Garante privacy nei confronti delle grandi Telco e certamente l’avvento del GDPR (il Regolamento europeo 2016/679 in materia di protezione dei dati personali) segna ancora maggiormente questo scenario, tenuto conto degli obblighi ingenti di responsabilizzazione (accountability) posti in capo al titolare del trattamento e le sanzioni che possono arrivare, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

È evidente che, come al solito, dovranno contemperarsi le esigenze di tutela della protezione dati degli utenti e di conformità alla nuova normativa con le esigenze di businessdelle grandi società di telecomunicazioni, considerando anche che intervenire su enormi database e sistemi informatici per conformarli alle prescrizioni del Garante e del GDPR ha richiesto e forse richiederà alle Telco ancora del tempo e soprattutto grandi sforzi in termini di risorse economiche, competenze tecniche e misure di sicurezza, difficilmente valutabili e commisurabili da chi osserva da fuori.