Il Garante per la Protezione dei Dati Personali ha comminato a Vodafone il pagamento di una sanzione di oltre 12 milioni e 250 mila euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. Oltre al pagamento della multa, la società dovrà adottare una serie di misure dettate dall’Autorità per conformarsi alla normativa nazionale ed europea sulla tutela dei dati. L’autorità di controllo, nel comunicato stampa, parla di criticità sistemiche dell’azienda nel trattare i dati, di falle gravi nella sicurezza e di trattamenti effettuati senza il necessario consenso.
La strategia usata dal provider
Il provvedimento, si legge nella nota, conclude una complessa istruttoria avviata dal Garante a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano continui contatti telefonici indesiderati, effettuati da Vodafone e dalla sua rete di vendita, per promuovere i servizi di telefonia e internet offerti dall’azienda.
Gli accertamenti svolti hanno evidenziato importanti criticità “di sistema” – che riguardano la violazione sia dell’obbligo del preventivo consenso che una mancanza di impostazione progettuale in ottica data protection. Vittime delle operazioni svolte dalla società sia l’intera base clienti di Vodafone, sia un ampio bacino di potenziali utenti.
Nel corso dell’istruttoria è emerso, in particolare, un allarmante fenomeno di utilizzo di numerazioni fittizie o comunque non censite nel Registro degli Operatori di Comunicazione (Roc) per realizzare i contatti promozionali. Pratica che sembra ricondursi ad una fitta trama di call center abusivi che operano sottotraccia in barba alle disposizioni in materia di protezione dei dati personali.
Ulteriori profili di violazione sono stati rilevati nella gestione delle liste dei nominativi da contattare acquisite da fornitori esterni: database che i partners commerciali di Vodafone avevano ricevuto da altre aziende e trasferito all’operatore telefonico senza il necessario consenso degli utenti.
Circa i gravi profili di sicurezza, gli utenti hanno segnalato vari episodi di contatti “da sedicenti operatori Vodafone, i quali chiedevano l’invio di documenti di identità mediante WhatsApp, probabilmente con finalità di spamming, phishing o per la realizzazione di altre attività fraudolente”.
Considerazioni
Il quadro descritto non è roseo, in particolare in un momento storico in cui attività fraudolente– soprattutto il phishing – risultano in netto aumento, come evidenziato anche dal Rapporto Clusit 2020.
Lo è ancor meno nel momento in cui si apprende dal Provvedimento che il potenziale oggetto di molte delle violazioni possa essere stato l’intero database clienti dell’azienda e che i data breach avvenuti non siano stati notificati al Garante.
In un’ottica di miglioramento il Garante ha imposto varie misure, che saranno oggetto di supervisione, quali ad es. sistemi di controllo della supply chain nella raccolta dei dati (nel provvedimento si citano 4 milioni e mezzo di contatti violati dalla condotta di terzi che hanno ceduto proprie liste contatti irregolari a Vodafone). Il Garante, infine, ha vietato a Vodafone ogni ulteriore trattamento di dati con finalità promozionali o commerciali svolto mediante l’acquisizione di liste anagrafiche da soggetti terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli utenti per la comunicazione dei loro dati.
Viene spontaneo chiedersi perché simili violazioni si ripetano, oramai a due anni dall’applicazione del GDPR e a seguito di sanzioni sostanziose già comminate ad aziende del settore delle telecomunicazioni. Soprattutto dato l’effetto boomerang che ci si aspetterebbe sulla brand reputation delle notizie di tali sanzioni, specie se ripetute. I consumatori, infatti, sono sempre più sensibili alle tematiche di data protection, pertanto le aziende dovrebbero temere di perdere fiducia sotto questo profilo.
Le sanzioni comminate finora, purtroppo, consistono in cifre rilevanti se prese di per sè ma che insistono su percentuali molto basse del fatturato di Vodafone e operatori simili, pertanto non fungono da deterrente. Oltretutto determinate aziende fanno una valutazione costi/benefici dalla quale risulta che porre in essere determinate condotte garantisce un risultato comunque vantaggioso, pertanto mettono “a budget” la sanzione.
