Il Garante privacy sanziona nuovamente TIM per il marketing indesiderato

Pagina creata da Mattia Trevisan
 
CONTINUA A LEGGERE
Il Garante privacy sanziona nuovamente TIM per il
marketing indesiderato
Autore: Muia' Pier Paolo

Garante per la protezione dei dati personali: Provvedimento del 15 gennaio 2020

Fatto

A partire dal gennaio 2017 e fino ai primi mesi del 2019 erano arrivate al Garante privacy numerose
segnalazioni da parte di persone che lamentavano telefonate indesiderate di telemarketing effettuate
nell’interesse della maggiore società di telecomunicazioni italiana, la TIM S.p.a., le quali segnalavano in
particolare di non aver mai prestato il loro consenso per la effettuazione di tali tipologie di telefonate
oppure di essere soggetti iscritti nel registro delle opposizioni (che quindi impedisce in generale alle
società di effettuare loro telefonate di telemarketing) oppure di aver ricevuto nuove telefonate anche dopo
aver comunicato direttamente alla TIM di voler esercitare il diritto di opporsi alla ricezione di telefonate
commerciali oppure ancora di aver ricevuto le proposte commerciali unitamente a comunicazioni relative
alla soluzione di guasti tecnici relativi alla loro utenza telefonica per cui avevano chiesto l’intervento
risolutivo alla società.

In considerazione di dette segnalazioni, il Garante per la protezione dei dati personali svolgeva una lunga
e complessa istruttoria dalla quale emergevano diversi comportamenti non rispettosi della normativa in
materia di privacy da parte della società sottoposta al procedimento, in particolare:

        risultavano effettuate chiamate commerciali a soggetti non clienti, senza che la società avesse
        acquisito il consenso degli interessati; inoltre, alcuni di tali soggetti erano stati contattati numerose
        volte (una persona addirittura 155 volte in un mese); infine, per tali tipi di chiamate era emerso che
        la TIM non svolgeva alcun controllo sulle modalità con cui le sue società partner operassero durante
        le campagne commerciali che la TIM affidava loro;

        vi era stata una non corretta gestione delle c.d. “black list”, cioè le liste dei soggetti che avrebbero
        dovuto essere esclusi dalle campagne commerciali, ed inoltre tali liste non erano state aggiornate
        con i dinieghi alla ricezione delle telefonate che i destinatari delle stesse avevano manifestato
        durante qualche precedente telefonata ed in qualche caso, i dati di coloro i quali avevano espresso il
        proprio diniego, erano stati inseriti nelle black list soltanto dopo molti giorni dopo che avevano
        manifestato il diniego (in alcuni casi anche dopo un anno);

© 2017 Diritto.it s.r.l. - Tutti i diritti riservati                                 Diritto & Diritti ISSN 1127-8579
Fondatore Francesco Brugaletta
P.I. 01214650887

                                                       1 di 5
i partner della società avevano effettuato telefonate promozionali c.d. “fuorilista”, cioè verso numeri
        non presenti nelle liste dei soggetti che avrebbero potuto essere contattati, senza che tali società
        avessero acquisito il consenso degli interessati e senza che ci fosse altra base giuridica idonea a
        legittimare il trattamento ed in alcuni casi tale telefonate erano state effettuate anche nei confronti
        di soggetti “fuorilista” per i quali il Garante privacy nel 2016 aveva già vietato a TIM di contattarli
        per finalità di marketing;

        erano stati contattati soggetti che avevano già esercitato il proprio diritto di opposizione al contatto
        oppure erano state formulate offerte promozionali durante contatti compiuti per finalità connesse al
        servizio telefonico;

        la TIM aveva conservato nei propri data base, oltre i termini di legge (10 anni), i dati relativi a
        clienti di altri Operatori telefonici ai quali la stessa TIM fornisce il servizio di rete e infrastrutture e
        tali dati erano stati usati per finalità promozionali;

        nell'ambito del programma “TIM Party”, la società aveva acquisito il consenso alle finalità di
        marketing, da parte di coloro i quali avevano partecipato a detto programma, con modalità che non
        erano idonee a garantire che tale consenso fosse stato prestato in maniera libera;

        la società aveva dato ai clienti, che avevano scaricato alcune APP della TIM per la clientela, delle
        indicazioni non corrette, né trasparenti, sul trattamento dei dati,ed inoltre il consenso di tali
        soggetti era stato acquisito con modalità non rispettose della normativa in materia;

        alcuni casi di data breach non erano stati gestiti correttamente, sia rispetto alla tempestività della
        notifica al Garante, sia rispetto alle misure poste in essere per diminuire i rischi per i diritti e le
        libertà degli interessati.

Volume consigliato

La decisione del Garante

Il garante ha valutato negativamente tutti i suddetti comportamenti riscontrati in sede di istruttoria
ritenendo che gli stessi violino la normativa in materia di protezione dei dati personali.

© 2017 Diritto.it s.r.l. - Tutti i diritti riservati                                    Diritto & Diritti ISSN 1127-8579
Fondatore Francesco Brugaletta
P.I. 01214650887

                                                        2 di 5
Per quanto riguarda le c.d. telefonate “fuorilista”, il garante ha ritenuto illegittimo il comportamento di
TIM nella misura in cui non ha, eventualmente anche attraverso le società partner di cui la stessa si è
avvalsa per effettuare le campagne promozionali, verificato le informazioni raccolte circa i soggetti
contattati i cui dati gli erano stati forniti da altre società (c.d. soggetti “referenziati”). In particolare, TIM
avrebbe dovuto controllare da dove arrivavano i dati e le modalità con cui essi erano stati acquisiti:
soprattutto per verificare se era stato prestato un legittimo consenso dagli interessati o se gli stessi non
fossero iscritti nel registro delle opposizioni. Secondo il garante, infatti, lo status di “referenziato”
del soggetto contattato con il telemarketing non può comunque escludere la necessità di
acquisire il consenso di tale soggetto, al marketing, in maniera specifica ed inequivocabile
nonché di documentare tale consenso. Tra l’altro, il Garante ha precisato che per legittimare il
trattamento dei dati per le telefonate “fuori lista” ai soggetti “referenziati” non è possibile invocare il
legittimo interesse di TIM e dei suoi partner alle attività di marketing, in quanto il legittimo interesse
non si può sostituire in via generalizzata, in ogni caso, al consenso dell’interessato: secondo il
GDPR, infatti, è sempre necessario bilanciare il legittimo interesse del titolare del trattamento
con i diritti e le libertà degli interessati su cui impatta il trattamento, soltanto nel caso in cui
tali diritti e libertà non prevalgano rispetto al legittimo interesse del titolare, si può legittimare
il trattamento con la base giuridica del legittimo interesse. In ogni caso, anche con questa base
giuridica, è necessario rispettare i principi di responsabilità e trasparenza del trattamento nonché bisogna
concretamente attuare delle misure adeguate per garantire i diritti degli interessati ed in particolare
quello di opposizione.

Il Garante ha ritenuto sussistente una responsabilità di TIM rispetto alle chiamate in esame,
nonostante le stesse fossero state effettuate dalle società partner commerciali di TIM, in quanto
la qualifica di titolare del trattamento serve proprio per attribuire una responsabilità a coloro i
quali influiscano effettivamente nel trattamento dei dati e per individuare il soggetto o i
soggetti cui riconoscere tale qualifica bisogna guardare il potere di controllo esercitato su colui
il quale effettua il trattamento, l’immagine che viene data agli interessati e il legittimo
affidamento che ripongono questi ultimi. Ebbene, nel caso di specie, TIM è la committente delle
attività di marketing telefonico in cui si sostanzia il trattamento, i partner che gestivano i call center e
effettuavano le telefonate spendevano il nome e l’immagine di TIM, quest’ultima è anche la principale
destinataria dei vantaggi economici derivanti dalle campagne di telemarketing in esame; a tutto questo, il
Garante aggiunge anche il fatto che TIM non ha mai disciplinato le modalità con cui le società partner
effettuavano le telefonate né comunque le ha monitorate né ha dissuaso i propri partner dopo le prime
segnalazioni.

In tal modo, TIM ha accettato il rischio che le società partner cui si è affidata per l’effettuazione delle
telefonate di marketing svolgessero tale compito con modalità non conformi alla normativa.

In ragione di ciò, il Garante ha qualificato TIM come titolare del trattamento.

© 2017 Diritto.it s.r.l. - Tutti i diritti riservati                                  Diritto & Diritti ISSN 1127-8579
Fondatore Francesco Brugaletta
P.I. 01214650887

                                                       3 di 5
Per quanto riguarda, invece, la violazione dei diritti degli interessati alla opposizione al
trattamento, il Garante ha ritenuto che il fatto che TIM non abbia dato riscontro positivo alle
comunicazioni degli interessati che esercitavano il diritto di opposizione al trattamento, configura una
violazione dell’obbligo in capo al titolare del trattamento di adottare misure idonee ad agevolare
l’esercizio dei diritti degli interessati e di soddisfare le richieste di questi ultimi.

Per quanto riguarda le comunicazioni di marketing effettuate da TIM all’interno di contatti
compiuti per finalità di carattere contrattuale (anche nei casi in cui i destinatari avevano esercitato il
diritto di opposizione), secondo il Garante sostanziano una violazione dei principi di finalità e
correttezza del trattamento e del diritto di opposizione al trattamento per fini promozionali
nonché la violazione delle norme sulle comunicazioni promozionali automatizzate. In tali casi, infatti, è
irrilevante se l’offerta promozionale, in concreto, non avvantaggi l’impresa ma l’interessato, ciò che rileva
è soltanto il fatto che il contenuto, anche solo in parte, del contatto sia di carattere promozionale.

Per quanto riguarda le modalità di adesione al programma “My party”, il Garante ha rilevato che la
partecipazione al programma era subordinata alla necessaria prestazione del consenso dell’interessato
anche per finalità di marketing: i clienti, quindi, dovevano necessariamente prestare un consenso che, in
un'unica formula, conteneva in maniera unitaria ed inscindibile sia la volontà a partecipare al programma
che elargiva premi e sconti sia la volontà di ricevere comunicazioni di marketing.

Tale comportamento, secondo il Garante, determina una violazione dei principi di correttezza
del trattamento e della libertà di manifestazione del consenso in quanto determina una
limitazione della volontà dell’interessato. In tali casi, infatti, il consenso non è libero, ma è
indebitamente necessitato, in quanto l’interessato non può valutare in maniera autonoma la propria
decisione. Invece, gli interessati devono sempre poter fornire il proprio consenso in maniera
libera e in maniera specifica e separata per ciascuna delle finalità che persegue il titolare del
trattamento.

Per quanto riguarda le APP esaminate, il Garante ha ritenuto che il trattamento dei dati non era
conforme poiché non era stata fornita l’informativa sul trattamento in maniera corretta e trasparente e
soprattutto perché l’informativa non aveva un contenuto e una chiarezza adeguati a far comprendere agli
interessati quali effettivi trattamenti sarebbero stati svolti dalla società. Infine, anche in questo caso, le
modalità di acquisizione del consenso degli interessati erano contrarie ai principi di libertà e di specificità
(di cui si è detto poc’anzi), poiché vi era una accettazione unica e inscindibile relativamente a una
pluralità di finalità e di operazioni di trattamento.

In considerazione di tutto quanto sopra, il Garante ha ritenuto che TIM abbia violato il principio
della privacy by design introdotto dal GDPR nella misura in cui allorquando ha progettato le
modalità per effettuare i suddetti trattamenti non ha adottato delle misure tecniche ed
organizzative adeguate a garantire il rispetto del GDPR e dei diritti degli interessati. Inoltre, TIM

© 2017 Diritto.it s.r.l. - Tutti i diritti riservati                               Diritto & Diritti ISSN 1127-8579
Fondatore Francesco Brugaletta
P.I. 01214650887

                                                       4 di 5
non ha ottemperato agli obblighi di vigilanza rispetto ai partner commerciali con cui ha
effettuato le campagne di marketing, non verificando il loro comportamento, e in generale non
ha rispettato l’obbligo di accountability, non essendo riuscita a documentare le modalità con cui
operavano tali partner.

Sulla scorta di tali gravi violazioni riscontrate, il Garante è quindi passato a valutare la quantificazione
della sanzione pecuniaria da applicare alla TIM. La valutazione è stata compiuta tenendo conto di alcuni
fattori, previsti dallo stesso GDPR, come: l’ampia portata dei trattamenti che hanno coinvolto diverse
milioni di interessati; la gravità delle violazioni che sono state commesse dalla società; la durata
consistente delle violazioni (che sono iniziate almeno dal 25 maggio 2016, momento in cui è iniziata l’
applicazione del GDPR, e sono durate addirittura fino a tutta la stessa istruttoria procedimentale svolta
dal Garante nei confronti della società); il carattere doloso con cui sono state ideate ed attuate alcune
condotte in violazione della normativa; il carattere negligente di altri comportamenti di TIM; il fatto che,
già prima del presente procedimento, TIM era stata sanzionata più volte dal Garante privacy per
violazione della normativa in materia di trattamento dei dati personali per attività di telemarketing; il fatto
che la stessa TIM abbia ottenuto degli importanti vantaggi economici grazie ai trattamenti illeciti di dati
oggetto di contestazione; invece, dal punto di vista delle attenuanti a favore della società, il fatto che la
stessa abbia adottato delle misure per cercare di limitare le conseguenze pregiudizievoli delle sue
violazioni e la cooperazione fornita al Garante sia durante gli accertamenti presso le sedi societarie sia
durante tutta la fase di istruttoria.

In considerazione di tutti gli elementi di cui sopra, il Garante ha ritenuto di non applicare il massimo della
sanzione prevista dal GDPR (pari al 4% del fatturato annuo della società, che, nel caso di TIM si sarebbe
attestato intorno ai 14 miliardi euro), preferendo applicare una sanzione pari allo 0,2% del fatturato annuo
pari a oltre 27 milioni di euro.

Oltre a tale sanzione pecuniaria, poi, il Garante ha disposto a TIM la limitazione definitiva dei trattamenti
per i numeri che hanno prestato il diniego e per quelli presenti nelle black list nonché nei casi dei soggetti
referenziati che non hanno prestato il loro consenso e altresì dei trattamenti per finalità di marketing dei
clienti che hanno aderito al programma TIM party e di quelli che hanno scaricato le APP oggetto di esame
nel presente procedimento.

Volume consigliato

https://www.diritto.it/il-garante-privacy-sanziona-nuovamente-tim-per-il-marketing-indesiderato/

© 2017 Diritto.it s.r.l. - Tutti i diritti riservati                               Diritto & Diritti ISSN 1127-8579
Fondatore Francesco Brugaletta
P.I. 01214650887

                                                       5 di 5
Puoi anche leggere