TIM sanzione apparentemente ALTA e violazioni GRAVI

Quick read

TIM, sanzione apparentemente alta e violazioni gravi, così si potrebbe riassumere in pochissime parole quanto emerge dal provvedimento sanzionatorio del Garante nei confronti di TIM SpA.

Se è vero infatti che le azioni intraprese da TIM sono state valutate, sotto diversi profili, in grave difformità dalla disciplina vigente si è applicato l’art. 83 par.3 del Regolamento “ovvero l’importo totale della sanzione non può superare l’importo comminato per la violazione più grave” oltre ad una serie di attenuanti che hanno evitato a TIM una sanzione monstre di oltre 556 milioni di euro.

Close examination

L’attenzione dell’Autorità Garante, per il mercato delle telecomunicazioni non è cosa nuova e la stessa TIM è stata oggetto di precedenti provvedimenti sanzionatori anche recenti.

L’attività del Garante si è estesa da gennaio 2017 fino ai primi mesi del 2019 evidenziando una attività di ispezione complessa, coadiuvata anche tramite il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza.

Le numerose violazioni riscontrate, hanno come filo conduttore un approccio alla protezione dei dati personali non adeguato alla normativa e alla dimensione dei dati trattati.  Il provvedimento sanzionatorio evidenzia tutta la complessità della materia e la necessità per i Titolari e Responsabili di affrontare la protezione dei dati personali con un approccio solido, strutturato e organizzato.

Le violazioni alla normativa sulla protezione dei dati personali sono state molteplici e di livello grave considerando il numero di trattamenti, la loro estensione, il periodo e la carenza di responsabilizzazione dimostrata da TIM. L’Autorità Garante nello specifico ha riscontrato le seguenti violazioni:

• Contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti prospect in assenza del consenso degli interessati

Nella fattispecie TIM tramite dei partner (call center) anche monomandatari, ha contattato soggetti fuori dalla c.d. liste di contattabilità ovvero: l’Autorità Garante in fase di indagine ha riscontrato difformità tra le liste di contattabilità fornite da TIM e quelle fornite dai partner. La Società, secondo l’Autorità Garante, trascurando il proprio ruolo di committente ha dimostrato di “non avere la necessaria consapevolezza in ordine a tale condotta (n.d.r. trattamenti illeciti), né di aver adeguatamente vigilato sull’ operato del partner”.  La non corretta gestione ha portato a casi estremi di persone contattate oltre 155 volte nell’arco di un mese in violazione oltre che del diritto alla tranquillità delle persone, anche delle stesse policy di TIM che prevedeva un limite al numero di contatti mensili.

• Non corretta gestione delle liste di esclusione dalle campagne commerciali e mancato aggiornamento delle stesse

Altra grave carenza è stata dimostrata nella gestione delle cosiddette “black list” ovvero, le liste delle numerazioni da non contattare in quanto l’intestatario aveva esercitato un diritto di opposizione al trattamento o comunque di diniego alle chiamate. Durante l’attività ispettiva l’Autorità ha identificato anche in questo caso anomalie e discrepanze di aggiornamento tra le black list della Società e quelle in possesso dei partner. Se da un lato i partner, a fronte di dinieghi da parte delle persone, aggiornavano con eccessivo ritardo le black list TIM dall’altro non ha definito delle procedure forti per governare l’aggiornamento delle liste.  Ulteriori criticità sono state riscontrate nella qualità e integrità dei dati dei consensi rilasciati dalle persone.

• Contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati

L’ispezione ha rilevato che la stessa gestione delle richieste da parte degli interessati lacunosa. Per diversi casi la Società non ha registrato le richieste degli interessati nei propri sistemi oltre, a dare risposta con eccessivo ritardo e in modo non completo. Tale situazione ha portato a casi di utenze contattate a fini marketing pur a fronte di precedenti richieste di opposizione.

• Tempi di conservazione nel CRM dei dati relativi ai clienti di altri operatori per un tempo eccessivo

All’interno del sistema CRM la Società deteneva, anche oltre 10 anni, dati di clienti di altri operatori (OLO Other Licensed Operator) che usufruivano di servizi WLR (Wholesale line rental) che TIM rivende tramite altri operatori. La durata del trattamento oltre i 10 anni era contro le stesse policy di TIM e in eccesso rispetto le finalità previste.

• L’acquisizione del consenso con modalità non corrette né trasparenti

Per le APP “My TIM”, “TIM Personal” e “TIM Smart Kid” l’acquisizione del consenso non era libera in quanto, veniva richiesta una unica accettazione generica dell’informativa privacy che prevedeva tra l’altro, anche finalità di geolocalizzazione, promozionali e di marketing e la cessione a terzi. Per l’APP “TIM Party” la Società inoltre condizionava la partecipazione al programma di sconti e premi, al rilascio del consenso per attività di marketing. Le azioni portavano quindi alla raccolta di un consenso manifestamente non libero e specifico requisiti imprescindibili della normativa.

• Gestione non corretta dei data breach con riguardo alla tempestività della notifica all’ Autorità e alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati

Durante le ispezioni è stato rilevato che la Società, ha provveduto tardivamente alla individuazione e corretta gestione degli episodi di violazione, attivando il DPO solo alcuni mesi dopo il rilevamento del problema. Le violazioni di dati erano causate da disallineamenti dei dati nei sistemi che hanno portato a errate attribuzioni di linee telefoniche a soggetti intestatari, errata associazione tra intestatari dei dati di contatto oltre ad accessi da parte di clienti a dati di altri soggetti visualizzati nella propria area personale nel portale della clientela.

L’Autorità Garante ha evidenziato alcuni aspetti giuridici che val la pena di rivedere in quanto spesso non chiari alle aziende:

• Legittimo interesse base giuridica da usare con estrema attenzione nelle attività di marketing

TIM ha invocato il legittimo interesse del Titolare nel giustificare contatti a fini marketing dei cosiddetti “fuori lista”. Il Garante oltre a ribadire che, non è possibile variare le basi giuridiche senza darne informazione agli interessati, ad esempio passando da consenso a legittimo interesse, evidenzia anche che il legittimo interesse “non può surrogare – in via generale – il consenso dell’interessato quale base giuridica del marketing. Invero, il Regolamento stesso […] lo ammette solo a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali” […]. L’uso del legittimo interesse deve essere valutato “con un approccio rigoroso quanto prudente […] tenendo conto delle ragionevoli aspettative nutrite dall’interessato in base alla sua relazione con il titolare del trattamento”. Al di fuori deicasi previstidal Codice Privacy novellato, ovvero in caso di “soft spam” come definito dall’art. 130 c. 4, il titolare deve valutare attentamente (formalizzandolo) il ricorso al legittimo interesse.

• Le responsabilità del Titolare vanno oltre gli elementi contrattuali che regolano i rapporti con i fornitori

TIM nel dare giustificazione per le chiamate “fuorilista” ha invocato la responsabilità dei partner call center. Il Garante ha evidenziato come di fatto la Società in qualità di: “soggetto committente per conto del quale viene svolta l’attività di telemarketing (inclusa quella di reperimento e di contatto dei “fuori lista”), sulla base anzitutto del contratto ma anche nella prassi operativa dei call center […]” è responsabile in solido delle violazioni anche se, come in questo caso, vi era stato un affidamento a terzi dell’attività.

TIM non è stata in grado di disciplinare, monitorare e dissuadere le pratiche scorrette da parte dei partner e non ha vigilato, anche con audit in loco, sul loro operato.

• Violazione dei principi di privacy by design e by default

La Società ha violato i principi di privacy by design e by default in quanto non ha adottato misure di sicurezza tecniche e organizzative adeguate a gestire le opposizioni dei clienti. Ciò in quanto tali le procedure non hanno permesso di gestire in modo tempestivo la registrazione dei consensi/ dinieghi nei sistemi societari, né un corretto aggiornamento delle c.d. black list. Inoltre, TIM ha dimostrato di non avere sufficiente contezza e capacità di render conto di vari fondamentali aspetti dei trattamenti, effettuati dalla medesima direttamente o mediante soggetti terzi propri partner.

L’Autorità Garante nel definire l’importo della sanzione, ha tenuto conto dei seguenti punti:

• l’ampia portata dei trattamenti nonché dell’elevato numero di interessati coinvolti (oltre 2,9 milioni di linee con disallineamenti informatici, carenze nella gestione dei consensi per le app che hanno coinvolto oltre 9 milioni utenti)
• la gravità delle violazioni rilevate ovvero contatti illegittimi e indesiderati effettuati nelle attività di telemarketing e teleselling e delle difficoltà che gli interessati hanno riscontrato per arginare il fenomeno del marketing indesiderato
• l’inadeguata gestione delle opposizioni al trattamento per il tramite delle black list
• la durata significativa delle violazioni iniziate per lo meno da maggio 2018 e protrattesi per lo meno fino a ottobre 2019
• il carattere doloso delle condotte perseguite nel dar scorrette informazioni agli interessati nelle modalità di acquisizione del consenso
• Il carattere gravemente negligente della non adeguata attuazione dei principi fondamentali di privacy by design e di accountability con l’evidente difficoltà avuta nel dare riscontro all’Autorità in merito alle proprie attività di trattamento oltre ai numerosi data breach non correttamente gestiti
• l’esistenza di numerosi provvedimenti adottati dall’ Autorità nei confronti di TIM e, l’ampio margine temporale concesso a tutti gli operatori del settore, al fine di consentire loro un compiuto e coerente adeguamento dei sistemi e delle procedure alla normativa europea
• la sussistenza di rilevanti vantaggi economici per lo più attuali anche potenziali.

L’Autorità ha inoltre valutato come attenuanti una serie di punti tra cui la tipologia di dati utilizzati rispetto a quella complessivamente detenuta dalla Società (dati identificativi di contatto utenza telefonica), la perdita di fatturato conseguito nel 2018 rispetto all’anno precedente, la prospettata situazione occupazionale della Società che ha dichiarato che il proprio personale è in regime di solidarietà del 2011.  Inoltre, in via di prima applicazione delle sanzioni amministrative pecuniarie prevista dal regolamento sono stati valutati in modo prudenziale i vari criteri sopra esposti al fine di limitare l’impatto economico sulla Società.

Pertanto, rispetto a una sanzione massima di oltre 556 milioni di euro (pari al 4% del fatturato di TIM SpA e non del gruppo Telecom) è stata applicata una sanzione per la somma di 27,8 milioni di euro pari allo 0,2% del fatturato oltre, ad una serie di prescrizioni puntuali di limitazione dei trattamenti per finalità di marketing e l’adozione di misure tecniche e organizzative adeguate.

Ancora una volta appare evidente che l’approccio alla protezione dei dati personali deve avere basi solide sia a livello organizzativo che tecnico. Il monitoraggio della conformità deve essere costante soprattutto nella fase di definizione dei trattamenti. Inoltre, la complessità della materia e l’elevato numero di requisiti richiedono un framework di gestione strutturato che, schematizzi il processo di conformità lasciando i dovuti spazi di valutazione al titolare e al responsabile.

Action to do

• Governo della data protection
• Privacy by design & by default

Riferimenti

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9256409