Abstract
Continua l’attività ispettiva dell’Autorità, in particolare sui trattamenti che costituiscono le attività di marketing diretto e sull’applicazione di misure di sicurezza adeguate.
Wind Tre SpA è stata sanzionata dal Garante per circa 17 milioni di euro per “numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali”; mentre Iliad è stato sanzionato per 800.000 euro perché carente nella gestione dell’accesso ai dati di traffico da parte dei propri dipendenti.
A seguito delle centinaia di segnalazioni e reclami che l’Autorità riceve settimanalmente circa casi di “marketing selvaggio”, prosegue l’attività ispettiva nei confronti degli operatori telefonici. La pratica di contattare le persone a fini promozionali senza averne richiesto il consenso, o peggio legando il consenso alla validità del contratto, o con una attività assillante e reiterata è purtroppo diffusa tra gli operatori del settore telefonico; spesso in violazione di ammonimenti delle Autorità o verso utenti iscritti al Registro delle Opposizioni.
Il caso Wind Tre S.p.A.
Wind Tre S.p.A. in passato era stata oggetto di un provvedimento inibitorio e prescrittivo per attività promozionali eccessivamente aggressive e in assenza di preventivo consenso, data la reiterazione della condotta il 9 luglio è scattata la sanzione.
Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate. In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.
Dall’istruttoria è inoltre emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore. Secondo quanto emerso, i consensi erano ottenuti agendo sull’app in modo del tutto involontario, quindi con consensi estorti attraverso aggiornamenti dell’app ed impropriamente ottenuti da utenti inconsapevoli della cosa.
Gli accertamenti ispettivi hanno evidenziato illeciti nella filiera dei partner commerciali di Wind Tre, anche con impropria attivazione di contratti: ad esempio, uno dei partner del gestore aveva sub affidato interi processi a call-center che raccoglievano i dati illecitamente. Per questo è stato multato per 200mila euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati illecitamente dai procacciatori.
Le argomentazioni portate a propria difesa da Wind Tre e la serie di misure correttive implementate dalla società non sono state ritenute adeguate dal Garante.
Oltre alla sanzione pecuniaria, l’Autorità ha vietato a Wind il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.
Il caso Iliad
La gestione dei dati di traffico degli utenti da parte degli operatori telefonici è materia delicata poiché da un lato ha finalità di prevenzione ed identificazione delle frodi ma dall’altro può essere un controllo invasivo sulle attività della persona.
In particolare, l’Autorità ha ritenuto non idonee le misure adottate dalla società per l’accesso e la gestione da parte dei propri dipendenti a questi dati. La profilazione delle utenze di accesso ai dati nel CRM non era impostata in modo corretto rispetto all’identità dell’utente e non erano rispettati i tempi di conservazione dei dati nel gestionale, inoltre non erano presenti sistemi di autenticazione forte come richiesti dalla normativa in materia.
