di Elena Bassoli
Il Garante privacy con provvedimento del 15 gennaio 2020 ha sanzionato TIM per oltre 27 milioni di euro per la rilevata illiceità del trattamento dei dati dei propri clienti sotto vari profili: per aver contattato clienti che avevano già espresso il “diniego” nonché quelli presenti in black list; per aver profilato numerazioni relative a soggetti “referenziati” in assenza di un idoneo consenso; per aver raccolto le informazioni mediante le applicazioni “My TIM”, “TIM Personal” e “TIM Smart Kid” in assenza di un idoneo consenso; per aver raccolto dati mediante i moduli di autocertificazione del possesso di linea prepagata in assenza di un idoneo consenso. Il trattamento dei dati personali effettuato da TIM risulta ancor più grave se si considera che la medesima Società è stata già destinataria anche in tempi recenti (2016 e 2017) di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni.
1. Introduzione
A seguito di centinaia di reclami e segnalazioni pervenuti al Garante Privacy, con riguardo a vari trattamenti di dati personali effettuati da parte di TIM S.p.A. è stato emesso un provvedimento inibitorio, prescrittivo e sanzionatorio di portata epocale per il suo ammontare nei confronti dell’operatore telefonico.
L’arco di tempo oggetto di istruttoria da parte dell’Authority, insieme con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, ha riguardato il periodo compreso tra il 1° gennaio 2017 e i primi mesi del 2019, in relazione all’effettuazione di chiamate promozionali indesiderate da parte di Tim o di suoi partner commerciali.
Il provvedimento affronta il fenomeno delle chiamate promozionali indesiderate, oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da diverse attività di controllo da parte dell’Autorità, in relazione ai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, alla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center.
Nonostante i numerosi provvedimenti adottati in materia non si è registrata una sensibile contrazione del fenomeno, tanto che il Garante, nell’aprile 2019, ha informato la Procura della Repubblica presso il Tribunale di Roma evidenziando le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.
Ulteriori doglianze da parte dei soggetti interessati hanno inoltre evidenziato il mancato riscontro alle istanze formulate con riguardo ai diritti sanciti dalla normativa in materia di protezione dei dati personali, e in particolare a quelli di accesso ai propri dati e di opposizione al trattamento per finalità promozionali, nonché la richiesta di un consenso, da rilasciare obbligatoriamente per il trattamento a fini di marketing, in sede di attivazione del programma “TIM Party” nell’ambito del sito web della Società e la raccolta di un consenso unico e indistinto al trattamento dei dati per svariate finalità – anche ulteriori all’esecuzione del contratto – nell’ambito della modulistica predisposta per l’autocertificazione di possesso di linea prepagata.
TIM ha poi trasmesso al Garante, nel periodo considerato, diverse notifiche relative a violazioni di dati personali (c.d. “data breach”) che, in particolare, hanno evidenziato importanti criticità nei sistemi che trattano i dati personali della clientela tali da provocare, ad esempio, l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e i dati di contatto utilizzati dalla Società.
Al termine dell’attività ispettiva e dall’esame della documentazione prodotta da TIM, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei dati personali.
2. Le criticità rilevate
Nello specifico TIM risulterebbe soffrire di criticità in relazione ai corretti adempimenti privacy per:
- contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect” (ossia a soggetti non clienti), in assenza del consenso degli interessati; numerazioni contattate fino a 155 volte in un mese; assenza di controllo da parte della Società sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali;
- errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black list)”; mancato aggiornamento delle black list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari; incongruenze, non sufficientemente chiarite, dei dati presenti nelle black list di TIM rispetto a quelli delle black list dei suoi partner; utenze inserite nelle black list molti giorni dopo l’espressione del diniego al marketing; utenze presenti nelle black list dei partner ma non inserite in quelle della Società;
- telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica; telefonate commerciali verso numerazioni “fuori lista” per le quali già con provvedimento del 22 giugno 2016 l’Autorità aveva vietato alla stessa TIM il trattamento per finalità di marketing;
- contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati, ovvero effettuati nel quadro di contatti di servizio o ancora senza dare tempestivo riscontro agli interessati o recepire nei propri sistemi l’avvenuto esercizio del diritto di opposizione;
- casi di conservazione, nel CRM (Customer Relationship Management), della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni); casi di utilizzo abusivo di dette numerazioni per finalità promozionali;
- acquisizione del consenso promozionale nell’ambito del programma “TIM Party” con modalità che non ne assicurano la libera manifestazione;
- rispetto ad alcune App destinate alla clientela, il rilascio agli interessati di indicazioni non corrette, né trasparenti sul trattamento dei dati, nonché modalità di acquisizione del consenso non conformi alla disciplina vigente;
- utilizzo di modulistica cartacea di raccolta di dati personali con richiesta di un unico consenso per diverse finalità;
- gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati; inadeguata gestione della Società dei sistemi che trattano dati personali, in violazione, in particolare, dei principi di esattezza dei dati, nonché di riservatezza e integrità dei sistemi.
3. Accountability e privacy by design
Sono risultate non correttamente congegnate – e quindi non idonee a garantire una corretta gestione del diritto di opposizione – le procedure di caricamento dei dinieghi nei vari archivi e quelle atte ad impedire l’inserimento in campagne promozionali di utenze già presenti in black list. Ciò in quanto tali procedure non sono risultate, in particolare, idonee a consentire né una tempestiva registrazione dei consensi/dinieghi nei sistemi societari, né un corretto aggiornamento delle black list, considerata altresì la mancanza di criteri di codifica univoci e condivisi. Inoltre, la policy di TIM è risultata gravemente carente riguardo alla gestione dei contatti effettuati dai partner nei confronti dei c.d. “fuori lista” e dei relativi dinieghi.
In tale quadro, la Società risulta aver così violato, sotto più aspetti, il principio di privacy by design di cui all’art. 25 GDPR, in quanto…
…continua su EDICOLeA