Il Garante per la protezione dei dati personali non dà tregua agli operatori telefonici e torna a sanzionare.

Questa volta sono due le compagnie telefoniche entrate nel mirino del Garante e colpite con sanzioni davvero ingenti: € 17.672.960,00 a Wind Tre S.p.A. per aver svolto il c.d. “marketing selvaggio” nei confronti di numerosi utenti ed € 800.000,00 a Iliad Italia S.p.A. per aver posto in essere trattamenti contrari ai principi privacy.

L’elevata sanzione comminata a Wind Tre S.p.A. trova fondamento non solo nella realizzazione di numerosi trattamenti illeciti di dati degli utenti, ma anche nell’aggravante di essere già stata oggetto – nel maggio 2018 – di un provvedimento inibitorio e prescrittivo per il compimento di analoghi trattamenti commessi nella vigenza del precedente quadro normativo.

In particolare, all’esito della complessa attività istruttoria avviata a seguito della ricezione di numerose segnalazioni e diversi reclami da parte di vari utenti, il Garante per la protezione dei dati personali ha riscontrato che la compagnia telefonica ha:

  • continuato ad inoltrare comunicazioni promozionali indesiderate tramite telefono, sms, e-mail, fax o chiamate automatizzate ad utenti, nonostante questi ultimi avessero in precedenza revocato il consenso al trattamento dei dati o esercitato il diritto di opposizione al trattamento;
  • impedito agli utenti di poter facilmente esercitare il diritto di revoca del consenso o di opposizione al trattamento dei dati per finalità di marketing, fornendo imprecise indicazioni circa tali modalità;
  • pubblicato dati personali di utenti in pubblici elenchi, nonostante gli stessi avessero manifestato la propria opposizione.

Oltre alle predette condotte di per sé già alquanto gravi, il Garante ha, altresì, rilevato che le App My Wind e My3 prevedevano delle impostazioni privacy non in linea con i principi previsti dalla normativa. In particolare, entrambe le App obbligavano l’utente – in caso di nuovo accesso – ad acconsentire al trattamento dei propri dati per tutta una serie di finalità (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), fatta salva poi la possibilità di revoca nelle successive 24 ore.

Gravi sono, inoltre, gli illeciti commessi anche con riferimento alla filiera dei partner commerciali di Wind Tre S.p.A., ove sono state addirittura riscontrate improprie attivazioni di contratto.

A nulla sono valse le argomentazioni portate dalla compagnia telefonica a propria difesa e le misure correttive implementate, le quali non sono state sufficienti ad escludere qualsivoglia responsabilità.

Per maggiori approfondimenti circa il contenuto dell’ordinanza di ingiunzione emanata dal Garante, è possibile cliccare qui.

***

Quanto, invece, alla sanzione comminata ad Iliad Italia S.p.A. il Garante ha semplicemente evidenziato che, all’esito degli accertamenti effettuati, sono stati riscontrate numerose violazioni dal punto di vista del trattamento dei dati. In particolare:

  • è stata evidenziata una “accettazione” del contenuto dell’informativa sul trattamento e non la presa visione con una formulazione unica rispetto alle conferme di carattere contrattuale, risultando così in contrasto con i principi di correttezza e trasparenza previsti dal Regolamento;
  • è stata richiesto agli utenti di esprimere il consenso al trattamento dei dati per finalità di marketing, quando in realtà detto trattamento non è mai stato realizzato;
  • sono state rilevate carenze in termini di riservatezza relativamente alla procedura di sottoscrizione di un contratto tramite Simbox;
  • le modalità di accesso dei dipendenti della compagnia ai dati di traffico degli utenti sono risultate contrarie ai principi in materia di trattamento dei dati personali.

Tuttavia, in considerazione delle difese fornite, nonché delle implementazioni e correzioni adottate dalla compagnia anche sotto il profilo delle misure di sicurezza, il Garante ha ritenuto di qualificare “di grado minore” le prime tre condotte.

Queste, quindi, le motivazioni che hanno portato alla comminazione della sanzione pecuniaria di € 800.000,00. Anche in questo caso, è possibile approfondire il contenuto dell’ordinanza di ingiunzione emanata dal Garante per la protezione dei dati personali cliccando qui.