Più di 12 milioni di euro: quanto può “pesare” il trattamento illecito dei dati

È recente la notizia della  “pesante” sanzione comminata dal Garante a Vodafone, la nota compagnia telefonica, per l’equivalente di 12 milioni e 250 mila euro a seguito di alcune violazioni commesse nell’ambito del trattamento dei dati personali degli utenti.

Non è la prima volta che assistiamo ad un provvedimento dell’Autorità nei riguardi di note società di telecomunicazioni: ricordiamo il caso della società Tim S.p.A ugualmente multata per illecito trattamento dei dati personali.

 

Le criticità rilevate dall’accertamento

L’attività istruttoria trae origine delle numerose segnalazioni e reclami inviati dagli utenti a partire dal 2018. Al centro delle “lamentele” i continui contatti telefonici indesiderati effettuati da Vodafone e dalla sua rete di vendita per promuovere i servizi di telefonia e internet.

Dall’attività di accertamento condotta dal Garante sono state riscontrate numerose criticità, in particolare è emerso che:

  • lo svolgimento di molte attività promozionali veniva condotto da società estranee alla rete di vendita Vodafone, che gestivano liste anagrafiche non precedentemente autorizzate dalla compagnia;
  • la gestione delle liste dei nominativi da contattare acquisite da fornitori esterni (partners commerciali di Vodafone) avveniva senza il necessario consenso libero, informato e specifico degli utenti;
  • in alcuni casi gli operatori facenti capo ad altre compagnie telefoniche, a nome di Vodafone, richiedevano ai clienti di inviare la copia di un documento d’identità tramite messaggio WhatsApp;
  • sono stati segnalati diversi “errori umani” causati da una cattiva gestione dei referenziati, come ad esempio la continua ricezione di sms pubblicitari da parte di Vodafone, nonostante l’espresso diniego comunicato dall’utente alla ricezione dei comunicazioni pubblicitarie;

A questa lista di violazioni si aggiunge il mancato adeguamento delle misure di sicurezza tecniche ed organizzative dei sistemi di gestione della clientela, che hanno comportato diverse vulnerabilità.

 

Violazione delle disposizioni della normativa in materia di protezione dei dati

Il Garante ha accertato la responsabilità di Vodafone per avere violato i seguenti articoli del GDPR:

  • artt. 5 e 25 – poiché la società non ha provveduto ad implementare i sistemi di controllo per la raccolta dei dati personali idonei a escludere con certezza che da chiamate promozionali illecite o indesiderate si attivassero servizi o contratti sottoscritti.
  • artt. 5, 6,7  – poiché Vodafone ha acquisito da alcune società liste anagrafiche provenienti da soggetti terzi. Il trasferimento dei dati è però avvenuto in mancanza del prescritto consenso, libero specifico e informato, per la comunicazione dei dati personali fra autonomi titolari del trattamento.
  • artt. 5, 6 e 7 e 21, anche in relazione all’art. 130 del Codice – con riferimento a reclami per contatti indesiderati tramite telefono e sms, che Vodafone ha attribuito a generici errori umani o a disguidi di sistema, anche successivamente all’esercizio del diritto di opposizione;
  • artt. 24 e 32  – poiché Vodafone ha omesso di porre in essere misure di sicurezza efficaci necessarie a garantire che il trattamento effettuato fosse conforme al Regolamento, assicurando  la riservatezza e l’integrità dei sistemi e dei servizi posti in essere.
  • art. 33, par. 1 – per aver omesso di presentare al Garante la notificazione di una violazione di dati personali,
  • artt. 15, par. 1, e 16 – per aver omesso di dare attuazione a richieste di esercizio dei diritti degli interessati

 

Alla luce di tutti questi elementi che hanno definito il quadro dell’illecita attività condotta dalla società, il Garante della protezione dei dati personali ha irrogato una sanzione di 12 milioni e 250 mila euro.

Corsi professionali finanziabili con Pass imprese

Interamente finanziabili dalla Regione Puglia con Pass Imprese, entro il 30 novembre

Sei percorsi ideati con l’obiettivo di fornire un’adeguata formazione a professionisti Pugliesi in ambito digitale e ICT.
Si tratta di corsi interamente finanziabili dalla Regione Puglia con Pass Imprese, per chi sceglierà di iscriversi entro il 30 novembre.

 

Verifica subito se il corso è gratuito inserendo il codice KD04 nel form del singolo corso.