Fino a centocinquantacinque telefonate al mese a un utente, chiamate a numeri iscritti nel Registro delle opposizioni, poca trasparenza nelle informazioni nelle app. Tim è stata multata per 27.802.946 euro dal Garante della privacy, per svariati trattamenti illeciti di dati nell’ambito di attività di marketing, ai danni di milioni di persone. Il Garante – sfruttando una prerogativa data dal GDPR – ha anche imposto misure correttive alle pratiche Tim in merito.
Le indagini sono state svolte con il supporto del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. L’avvocato esperto di privacy Fulvio Sarzana al riguardo ha commentato: “Le aziende che operano nel settore del marketing o coloro che trattano dati a fini di comunicazioni commerciali dovranno stare molto attente perché rischiano sanzioni elevatissime e i loro manager anche la reclusione”.
Indice degli argomenti
Le segnalazioni per gli illeciti telemarketing di Tim
Centinaia di interessati hanno segnalato i trattamenti illeciti al Garante dal gennaio 2017 ai primi mesi del 2019. Gli utenti hanno spiegato al Garante di aver ricevuto chiamate promozionali indesiderate, senza il loro consenso o addirittura nonostante i numeri fossero inseriti nel Registro pubblico delle opposizioni o nonostante le persone avessero espressamente detto alla società di non voler essere contattate. Sono inoltre state riscontrate irregolarità anche relativamente all’offerta di concorsi a premi e nei moduli per gli utenti.
Le società di call center incaricate da Tim hanno contattato utenti, non clienti, senza che avessero ricevuto il loro consenso, arrivando a chiamare un soggetto fino a 155 volte in un mese. Per duecentomila volte sono state contattate persone che non erano presenti nelle liste di utenti contattabili di Tim. La società, è emerso, non controllava l’operato di alcuni call center, sono emersi anche sbagli nella gestione delle black list, oltre all’obbligo di acquisire il consenso per fini promozionali al fine di aderire a Tim Party e relativi premi.
Sono emerse irregolarità anche nella gestione di app per i clienti, oltre al fatto che venissero date informazioni poco trasparenti o sbagliate relative al trattamento dei dati, come la richiesta di un unico consenso per diverse finalità di trattamento.
Le violazioni riguardano anche l’errata gestione dei data breach l’applicazione in modo inadeguato del principio di privacy by design, nonché per la detenzione da parte di Tim delle utenze di clienti di altri gestori per un periodo superiore ai limiti di legge: utente che oltretutto in molti casi sono state inserite senza il consenso dei proprietari in campagne di promozione.
Le conseguenze
Il Garante della privacy in una nota spiega che “Tim ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability)”. Così, la società è stata multata: dovrà pagare entro trenta giorni. Inoltre sono state imposte dall’autorità venti misure correttive, in particolare il Garante ha vietato a Tim di utilizzare per il marketing i dati di chi aveva espressamente detto al call center di non voler ricevere telefonate promozionali, ma anche i dati di chi era in black list e di chi non è cliente e non aveva dato il proprio consenso.
Inoltre, aggiunge il Garante, “La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico”. Il Garante ha ingiunto a Tim la prescrizione per cui dovrà verificare la consistenza delle black list e rivedere il programma “Tim Party” eliminando il consenso obbligatorio al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app e “implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società”, conclude l’autorità.
Un monito per tutte le aziende
Sarzana, analizzando la situazione, ha spiegato che “la multa irrogata dal Garante testimonia finalmente la dovuta attenzione al fenomeno delle chiamate commerciali indesiderate, la vera e propria piaga che affligge i consumatori da ormai quasi un ventennio. Il provvedimento dell’autorità inoltre si segnala per l’applicazione estensiva non solo delle sanzioni pecuniarie previste dall’art 83 del GDPR, ma anche e sopratutto per la presenza contemporanea delle misure correttive previste dall’art 58 dello stesso Regolamento“.
Va ricordato inoltre “un altro elemento che dovrebbe indurre a riflettere le aziende che operano troppo disinvoltamente nel settore delle chiamate commerciali indesiderate. Il decreto di attuazione del GDPR ha infatti inserito accanto alle sanzioni pecuniarie ed ai correttivi, adottati dal Garante nel caso Tim, anche specifiche sanzioni penali con pene estremamente elevate”. Si tratta “degli art 167, 167 bis e 167 ter del Codice della privacy”.
La prima di queste norme, prosegue Sarzana, “sanziona la violazione del trattamento dei dati senza consenso nel settore dei dati di traffico telematico e telefonico, e si riferisce a chi ha già clienti e viola comunque i diritti al corretto trattamento dei dati pedonali, la seconda penalizza la diffusione di banche di dati o parti di esse, e si sostanzia nelle attività di chi cede i dati personali a fini di marketing senza che i consumatori lo sappiano, la terza di applica nei caso di chi fraudolentemente acquista queste banche dati per poi evidentemente riutilizzarle o cederle nuovamente”.
