“Numerosi trattamenti illeciti di dati legati all’attività di marketing” per “alcuni milioni di persone interessate”: il Garante Privacy multa Tim per 27,8 milioni di euro. E oltre alla sanzione ha imposto all’azienda 20 rimedi correttivi. A poche ore dalla maxi multa dell’Antitrust per 114,4 milioni di euro nella vicenda delle bollette a 28 giorni, per Tim arriva un’altra doccia fredda.
La vicenda riguarda il periodo che intercorre fra il gennaio del 2017 e i primi mesi del 2019: “Sono pervenute all’Autorità centinaia di segnalazioni – si legge nella nota dell’Autorità – relative, in particolare, alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim”.
Il Garante evidenzia che dalla “complessa attività istruttoria che ne è derivata”, svolta anche con il contributo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza, “sono emerse numerose e gravi violazioni della disciplina in materia di protezione dei dati personali” e che la telco “ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability)”.
Clamoroso il caso di un utente, non cliente Tim, contattato 155 volte in un mese, e in circa 200mila casi, puntualizza il Garante, sono state contattate anche numerazioni “fuori lista”, ossia non presenti negli elenchi delle persone contattabili di Tim. Rilevate inoltre ulteriori condotte illecite: assenza di controllo da parte della società sull’operato di alcuni call center; errata gestione e mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi. E il Garante evidenzia che nella gestione di alcune app destinate alla clientela “sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide”. E in alcuni casi “è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing”.
Nonostante i numeri “la gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order). Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali”.
La sanzione si accompagna con l’imposizione di 20 misure correttive, tra divieti e prescrizioni. In particolare, il Garante ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso. La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico. Il Garante ha inoltre ingiunto a Tim “di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list”. E l’azienda dovrà inoltre rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing.
E ancora: Tim dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. La società, infine, dovrà implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.
“Le misure e le implementazioni richieste – conclude il Garante – dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti e il pagamento della sanzione dovrà essere effettuato entro trenta giorni”.
