Garante privacy: sanzione milionaria a TIM per violazioni reiterate della disciplina sul trattamento dei dati dei clienti

di Elena Bassoli

Il Garante privacy con provvedimento del 15 gennaio 2020 ha sanzionato TIM per oltre 27 milioni di euro per la rilevata illiceità del trattamento dei dati dei propri clienti sotto vari profili: per aver contattato clienti che avevano già espresso il “diniego” nonché quelli presenti in black list; per aver profilato numerazioni relative a soggetti “referenziati” in assenza di un idoneo consenso; per aver raccolto le informazioni mediante le applicazioni “My TIM”, “TIM Personal” e “TIM Smart Kid” in assenza di un idoneo consenso; per aver raccolto dati mediante i moduli di autocertificazione del possesso di linea prepagata in assenza di un idoneo consenso. Il trattamento dei dati personali effettuato da TIM risulta ancor più grave se si considera che la medesima Società è stata già destinataria anche in tempi recenti (2016 e 2017) di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni.


1. Introduzione

A seguito di centinaia di reclami e segnalazioni pervenuti al Garante Privacy, con riguardo a vari trattamenti di dati personali effettuati da parte di TIM S.p.A. è stato emesso un provvedimento inibitorio, prescrittivo e sanzionatorio di portata epocale per il suo ammontare nei confronti dell’operatore telefonico.
L’arco di tempo oggetto di istruttoria da parte dell’Authority, insieme con il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, ha riguardato il periodo compreso tra il 1° gennaio 2017 e i primi mesi del 2019, in relazione all’effettuazione di chiamate promozionali indesiderate da parte di Tim o di suoi partner commerciali.
Il provvedimento affronta il fenomeno delle chiamate promozionali indesiderate, oggetto, da oltre quindici anni, di allarme sociale da parte dei cittadini e di attenzione da parte del legislatore e del Garante. I numerosi interventi normativi connessi alla regolamentazione del settore sono stati accompagnati da diverse attività di controllo da parte dell’Autorità, in relazione ai rapporti fra i diversi soggetti coinvolti, alla corretta acquisizione delle liste di interessati contattabili, alla gestione degli elenchi telefonici e del Registro pubblico delle opposizioni, all’utilizzo dei call-center.
Nonostante i numerosi provvedimenti adottati in materia non si è registrata una sensibile contrazione del fenomeno, tanto che il Garante, nell’aprile 2019, ha informato la Procura della Repubblica presso il Tribunale di Roma evidenziando le ricadute penali delle attività di telemarketing poste in essere in violazione delle disposizioni in materia di protezione dei dati personali.
Ulteriori doglianze da parte dei soggetti interessati hanno inoltre evidenziato il mancato riscontro alle istanze formulate con riguardo ai diritti sanciti dalla normativa in materia di protezione dei dati personali, e in particolare a quelli di accesso ai propri dati e di opposizione al trattamento per finalità promozionali, nonché la richiesta di un consenso, da rilasciare obbligatoriamente per il trattamento a fini di marketing, in sede di attivazione del programma “TIM Party” nell’ambito del sito web della Società e la raccolta di un consenso unico e indistinto al trattamento dei dati per svariate finalità – anche ulteriori all’esecuzione del contratto – nell’ambito della modulistica predisposta per l’autocertificazione di possesso di linea prepagata.
TIM ha poi trasmesso al Garante, nel periodo considerato, diverse notifiche relative a violazioni di dati personali (c.d. “data breach”) che, in particolare, hanno evidenziato importanti criticità nei sistemi che trattano i dati personali della clientela tali da provocare, ad esempio, l’errata attribuzione di linee telefoniche ai soggetti intestatari o l’errata associazione fra intestatari e i dati di contatto utilizzati dalla Società.
Al termine dell’attività ispettiva e dall’esame della documentazione prodotta da TIM, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei dati personali.

 

2. Le criticità rilevate

Nello specifico TIM risulterebbe soffrire di criticità in relazione ai corretti adempimenti privacy per:

 

3. Accountability e privacy by design

Sono risultate non correttamente congegnate – e quindi non idonee a garantire una corretta gestione del diritto di opposizione – le procedure di caricamento dei dinieghi nei vari archivi e quelle atte ad impedire l’inserimento in campagne promozionali di utenze già presenti in black list. Ciò in quanto tali procedure non sono risultate, in particolare, idonee a consentire né una tempestiva registrazione dei consensi/dinieghi nei sistemi societari, né un corretto aggiornamento delle black list, considerata altresì la mancanza di criteri di codifica univoci e condivisi. Inoltre, la policy di TIM è risultata gravemente carente riguardo alla gestione dei contatti effettuati dai partner nei confronti dei c.d. “fuori lista” e dei relativi dinieghi.
In tale quadro, la Società risulta aver così violato, sotto più aspetti, il principio di privacy by design di cui all’art. 25 GDPR, in quanto…

 

…continua su EDICOLeA

Exit mobile version