Il Garante privacy sanziona nuovamente TIM per il marketing indesiderato

Scarica PDF Stampa
Garante per la protezione dei dati personali: Provvedimento del 15 gennaio 2020

Fatto

A partire dal gennaio 2017 e fino ai primi mesi del 2019 erano arrivate al Garante privacy numerose segnalazioni da parte di persone che lamentavano telefonate indesiderate di telemarketing effettuate nell’interesse della maggiore società di telecomunicazioni italiana, la TIM S.p.a., le quali segnalavano in particolare di non aver mai prestato il loro consenso per la effettuazione di tali tipologie di telefonate oppure di essere soggetti iscritti nel registro delle opposizioni (che quindi impedisce in generale alle società di effettuare loro telefonate di telemarketing) oppure di aver ricevuto nuove telefonate anche dopo aver comunicato direttamente alla TIM di voler esercitare il diritto di opporsi alla ricezione di telefonate commerciali oppure ancora di aver ricevuto le proposte commerciali unitamente a comunicazioni relative alla soluzione di guasti tecnici relativi alla loro utenza telefonica per cui avevano chiesto l’intervento risolutivo alla società.

In considerazione di dette segnalazioni, il Garante per la protezione dei dati personali svolgeva una lunga e complessa istruttoria dalla quale emergevano diversi comportamenti non rispettosi della normativa in materia di privacy da parte della società sottoposta al procedimento, in particolare:

  • risultavano effettuate chiamate commerciali a soggetti non clienti, senza che la società avesse acquisito il consenso degli interessati; inoltre, alcuni di tali soggetti erano stati contattati numerose volte (una persona addirittura 155 volte in un mese); infine, per tali tipi di chiamate era emerso che la TIM non svolgeva alcun controllo sulle modalità con cui le sue società partner operassero durante le campagne commerciali che la TIM affidava loro;
  • vi era stata una non corretta gestione delle c.d. “black list”, cioè le liste dei soggetti che avrebbero dovuto essere esclusi dalle campagne commerciali, ed inoltre tali liste non erano state aggiornate con i dinieghi alla ricezione delle telefonate che i destinatari delle stesse avevano manifestato durante qualche precedente telefonata ed in qualche caso, i dati di coloro i quali avevano espresso il proprio diniego, erano stati inseriti nelle black list soltanto dopo molti giorni dopo che avevano manifestato il diniego (in alcuni casi anche dopo un anno);
  • i partner della società avevano effettuato telefonate promozionali c.d. “fuorilista”, cioè verso numeri non presenti nelle liste dei soggetti che avrebbero potuto essere contattati, senza che tali società avessero acquisito il consenso degli interessati e senza che ci fosse altra base giuridica idonea a legittimare il trattamento ed in alcuni casi tale telefonate erano state effettuate anche nei confronti di soggetti “fuorilista” per i quali il Garante privacy nel 2016 aveva già vietato a TIM di contattarli per finalità di marketing;
  • erano stati contattati soggetti che avevano già esercitato il proprio diritto di opposizione al contatto oppure erano state formulate offerte promozionali durante contatti compiuti per finalità connesse al servizio telefonico;
  • la TIM aveva conservato nei propri data base, oltre i termini di legge (10 anni), i dati relativi a clienti di altri Operatori telefonici ai quali la stessa TIM fornisce il servizio di rete e infrastrutture e tali dati erano stati usati per finalità promozionali;
  • nell’ambito del programma “TIM Party”, la società aveva acquisito il consenso alle finalità di marketing, da parte di coloro i quali avevano partecipato a detto programma, con modalità che non erano idonee a garantire che tale consenso fosse stato prestato in maniera libera;
  • la società aveva dato ai clienti, che avevano scaricato alcune APP della TIM per la clientela, delle indicazioni non corrette, né trasparenti, sul trattamento dei dati,ed inoltre il consenso di tali soggetti era stato acquisito con modalità non rispettose della normativa in materia;
  • alcuni casi di data breach non erano stati gestiti correttamente, sia rispetto alla tempestività della notifica al Garante, sia rispetto alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

La decisione del Garante

Il garante ha valutato negativamente tutti i suddetti comportamenti riscontrati in sede di istruttoria ritenendo che gli stessi violino la normativa in materia di protezione dei dati personali.

Per quanto riguarda le c.d. telefonate “fuorilista”, il garante ha ritenuto illegittimo il comportamento di TIM nella misura in cui non ha, eventualmente anche attraverso le società partner di cui la stessa si è avvalsa per effettuare le campagne promozionali, verificato le informazioni raccolte circa i soggetti contattati i cui dati gli erano stati forniti da altre società (c.d. soggetti “referenziati”). In particolare, TIM avrebbe dovuto controllare da dove arrivavano i dati e le modalità con cui essi erano stati acquisiti: soprattutto per verificare se era stato prestato un legittimo consenso dagli interessati o se gli stessi non fossero iscritti nel registro delle opposizioni. Secondo il garante, infatti, lo status di “referenziato” del soggetto contattato con il telemarketing non può comunque escludere la necessità di acquisire il consenso di tale soggetto, al marketing, in maniera specifica ed inequivocabile nonché di documentare tale consenso. Tra l’altro, il Garante ha precisato che per legittimare il trattamento dei dati per le telefonate “fuori lista” ai soggetti “referenziati” non è possibile invocare il legittimo interesse di TIM e dei suoi partner alle attività di marketing, in quanto il legittimo interesse non si può sostituire in via generalizzata, in ogni caso, al consenso dell’interessato: secondo il GDPR, infatti, è sempre necessario bilanciare il legittimo interesse del titolare del trattamento con i diritti e le libertà degli interessati su cui impatta il trattamento, soltanto nel caso in cui tali diritti e libertà non prevalgano rispetto al legittimo interesse del titolare, si può legittimare il trattamento con la base giuridica del legittimo interesse. In ogni caso, anche con questa base giuridica, è necessario rispettare i principi di responsabilità e trasparenza del trattamento nonché bisogna concretamente attuare delle misure adeguate per garantire i diritti degli interessati ed in particolare quello di opposizione.

Il Garante ha ritenuto sussistente una responsabilità di TIM rispetto alle chiamate in esame, nonostante le stesse fossero state effettuate dalle società partner commerciali di TIM, in quanto la qualifica di titolare del trattamento serve proprio per attribuire una responsabilità a coloro i quali influiscano effettivamente nel trattamento dei dati e per individuare il soggetto o i soggetti cui riconoscere tale qualifica bisogna guardare il potere di controllo esercitato su colui il quale effettua il trattamento, l’immagine che viene data agli interessati e il legittimo affidamento che ripongono questi ultimi. Ebbene, nel caso di specie, TIM è la committente delle attività di marketing telefonico in cui si sostanzia il trattamento, i partner che gestivano i call center e effettuavano le telefonate spendevano il nome e l’immagine di TIM, quest’ultima è anche la principale destinataria dei vantaggi economici derivanti dalle campagne di telemarketing in esame; a tutto questo, il Garante aggiunge anche il fatto che TIM non ha mai disciplinato le modalità con cui le società partner effettuavano le telefonate né comunque le ha monitorate né ha dissuaso i propri partner dopo le prime segnalazioni.

In tal modo, TIM ha accettato il rischio che le società partner cui si è affidata per l’effettuazione delle telefonate di marketing svolgessero tale compito con modalità non conformi alla normativa.

In ragione di ciò, il Garante ha qualificato TIM come titolare del trattamento.

Per quanto riguarda, invece, la violazione dei diritti degli interessati alla opposizione al trattamento, il Garante ha ritenuto che il fatto che TIM non abbia dato riscontro positivo alle comunicazioni degli interessati che esercitavano il diritto di opposizione al trattamento, configura una violazione dell’obbligo in capo al titolare del trattamento di adottare misure idonee ad agevolare l’esercizio dei diritti degli interessati e di soddisfare le richieste di questi ultimi.

Per quanto riguarda le comunicazioni di marketing effettuate da TIM all’interno di contatti compiuti per finalità di carattere contrattuale (anche nei casi in cui i destinatari avevano esercitato il diritto di opposizione), secondo il Garante sostanziano una violazione dei principi di finalità e correttezza del trattamento e del diritto di opposizione al trattamento per fini promozionali nonché la violazione delle norme sulle comunicazioni promozionali automatizzate. In tali casi, infatti, è irrilevante se l’offerta promozionale, in concreto, non avvantaggi l’impresa ma l’interessato, ciò che rileva è soltanto il fatto che il contenuto, anche solo in parte, del contatto sia di carattere promozionale.

Per quanto riguarda le modalità di adesione al programma “My party”, il Garante ha rilevato che la partecipazione al programma era subordinata alla necessaria prestazione del consenso dell’interessato anche per finalità di marketing: i clienti, quindi, dovevano necessariamente prestare un consenso che, in un’unica formula, conteneva in maniera unitaria ed inscindibile sia la volontà a partecipare al programma che elargiva premi e sconti sia la volontà di ricevere comunicazioni di marketing.

Tale comportamento, secondo il Garante, determina una violazione dei principi di correttezza del trattamento e della libertà di manifestazione del consenso in quanto determina una limitazione della volontà dell’interessato. In tali casi, infatti, il consenso non è libero, ma è indebitamente necessitato, in quanto l’interessato non può valutare in maniera autonoma la propria decisione. Invece, gli interessati devono sempre poter fornire il proprio consenso in maniera libera e in maniera specifica e separata per ciascuna delle finalità che persegue il titolare del trattamento.

Per quanto riguarda le APP esaminate, il Garante ha ritenuto che il trattamento dei dati non era conforme poiché non era stata fornita l’informativa sul trattamento in maniera corretta e trasparente e soprattutto perché l’informativa non aveva un contenuto e una chiarezza adeguati a far comprendere agli interessati quali effettivi trattamenti sarebbero stati svolti dalla società. Infine, anche in questo caso, le modalità di acquisizione del consenso degli interessati erano contrarie ai principi di libertà e di specificità (di cui si è detto poc’anzi), poiché vi era una accettazione unica e inscindibile relativamente a una pluralità di finalità e di operazioni di trattamento.

In considerazione di tutto quanto sopra, il Garante ha ritenuto che TIM abbia violato il principio della privacy by design introdotto dal GDPR nella misura in cui allorquando ha progettato le modalità per effettuare i suddetti trattamenti non ha adottato delle misure tecniche ed organizzative adeguate a garantire il rispetto del GDPR e dei diritti degli interessati. Inoltre, TIM non ha ottemperato agli obblighi di vigilanza rispetto ai partner commerciali con cui ha effettuato le campagne di marketing, non verificando il loro comportamento, e in generale non ha rispettato l’obbligo di accountability, non essendo riuscita a documentare le modalità con cui operavano tali partner.

Sulla scorta di tali gravi violazioni riscontrate, il Garante è quindi passato a valutare la quantificazione della sanzione pecuniaria da applicare alla TIM. La valutazione è stata compiuta tenendo conto di alcuni fattori, previsti dallo stesso GDPR, come: l’ampia portata dei trattamenti che hanno coinvolto diverse milioni di interessati; la gravità delle violazioni che sono state commesse dalla società; la durata consistente delle violazioni (che sono iniziate almeno dal 25 maggio 2016, momento in cui è iniziata l’ applicazione del GDPR, e sono durate addirittura fino a tutta la stessa istruttoria procedimentale svolta dal Garante nei confronti della società); il carattere doloso con cui sono state ideate ed attuate alcune condotte in violazione della normativa; il carattere negligente di altri comportamenti di TIM; il fatto che, già prima del presente procedimento, TIM era stata sanzionata più volte dal Garante privacy per violazione della normativa in materia di trattamento dei dati personali per attività di telemarketing; il fatto che la stessa TIM abbia ottenuto degli importanti vantaggi economici grazie ai trattamenti illeciti di dati oggetto di contestazione; invece, dal punto di vista delle attenuanti a favore della società, il fatto che la stessa abbia adottato delle misure per cercare di limitare le conseguenze pregiudizievoli delle sue violazioni e la cooperazione fornita al Garante sia durante gli accertamenti presso le sedi societarie sia durante tutta la fase di istruttoria.

In considerazione di tutti gli elementi di cui sopra, il Garante ha ritenuto di non applicare il massimo della sanzione prevista dal GDPR (pari al 4% del fatturato annuo della società, che, nel caso di TIM si sarebbe attestato intorno ai 14 miliardi euro), preferendo applicare una sanzione pari allo 0,2% del fatturato annuo pari a oltre 27 milioni di euro.

Oltre a tale sanzione pecuniaria, poi, il Garante ha disposto a TIM la limitazione definitiva dei trattamenti per i numeri che hanno prestato il diniego e per quelli presenti nelle black list nonché nei casi dei soggetti referenziati che non hanno prestato il loro consenso e altresì dei trattamenti per finalità di marketing dei clienti che hanno aderito al programma TIM party e di quelli che hanno scaricato le APP oggetto di esame nel presente procedimento.

Volume consigliato

Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali

Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder.  Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.

Monica Mandico | 2019 Maggioli Editore

32.00 €  30.40 €

 

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento