SANZIONE A TELECOM ITALIA: MONITO PER L'ACCOUNTABILITY - Studio Legale Lisi

Un provvedimento esemplare quello adottato dal Garante nei confronti di Telecom Italia, sanzionata per aver svolto trattamenti di dati personali finalizzati alla realizzazione di contatti telefonici a carattere inequivocabilmente promozionale, diretti al recupero della clientela.

La sanzione di 840 mila euro, irrogata con ordinanza ingiunzione n.16 del 18 gennaio 2018 [1], rappresenta l’esito di un procedimento iniziato nel 2016, nel corso del quale è emerso che l’attività promozionale posta in essere dalla società perseguiva, di fatto, lo scopo di “riagganciare” ex clienti che non avevano mai reso il consenso al trattamento dei propri dati per finalità promozionali, o che lo avevano revocato.

L’Autorità ha ritenuto la condotta di TIM affetta da particolare gravità, oltre che per l’enorme platea di utenti contattati, anche per la scelta, chiaramente consapevole, della società, di trasgredire alle regole sul corretto trattamento dei dati personali degli interessati. Appare poco realistico, infatti, credere che la società deficitasse degli elementi necessari a comprendere l’illiceità della propria condotta, se non altro per aver costantemente interloquito, nel corso degli anni, con l’Autorità Garante, che aveva, oltretutto, già prescritto a Telecom Italia l’adozione di misure di allineamento alla disciplina sulla protezione dei dati personali, proprio con riferimento alle comunicazioni con finalità pubblicitarie (provvedimento del 30 maggio 2007).

Allo stesso modo, è stata ritenuta priva di fondamento la dissertazione difensiva, puramente semantica, articolata da Tim, che asseriva il carattere non promozionale della campagna denominata “recupero consenso “. Tuttavia, anche qualora l’iniziativa fosse stata totalmente avulsa da finalità commerciali, si sarebbe dovuto tenere presente che “qualunque trattamento di dati personali, indipendentemente dalla sua natura promozionale o meno, svolto da soggetti privati, deve essere effettuato previa acquisizione di un valido consenso ai sensi dell’art. 23 del Codice, ovvero in presenza di una delle condizioni in base alle quali il consenso può non essere acquisito, indicate nel successivo art. 24 “.

La pesante sanzione nei confronti di Telecom non può che servire da monito, anche in vista della prossima esecutività del Regolamento UE 2016/679 (General Data Protection Regulation – GDPR), per la responsabilizzazione del Titolare del trattamento: la graduazione delle sanzioni previste dal Legislatore Europeo, infatti, sarà particolarmente severa per la mancata adempienza al principio di accountability, qualificando come più gravi proprio quei comportamenti che si discostino da tali principi e, in particolare, dai principi di trasparenza e adeguata documentazione delle scelte effettuate.

A poco più di due settimane dall’adozione del provvedimento del Garante, per singolare coincidenza, è entrata in vigore la Legge n. 5/2018 “Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato” Tuttavia occorre precisare che l’iniziativa della società ha provocato una pioggia di segnalazioni al Garante della privacy, risalenti a ben prima dell’entrata in vigore delle disposizioni accennate.

Benché, chiaramente, inapplicabile nel caso di Telecom Italia, il provvedimento normativo di recente pubblicazione è volto a rinnovare una materia che assume, spesso, un ruolo cruciale in vicende analoghe, soprattutto in relazione alla più generale evoluzione dello scenario normativo, in tema di privacy, basato proprio sul rinnovato approccio dell’accountability (ovvero “responsabilizzazione”) da parte del Titolare del trattamento dei dati personali. Su quest’ultimo, il GDPR pone la responsabilità di attuare tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (attraverso apposita documentazione) di aver strutturato i trattamenti di dati personali conformemente ai principi della privacy by design e della privacy by default

Le disposizioni appena entrate in vigore estendono l’ambito di operatività del Registro delle Opposizioni anche ai contatti mobili di cui l’utente è intestatario (indipendentemente dal fatto che tali utenze siano o meno riportate negli elenchi di abbonati). L’iscrizione al Registro comporta come conseguenza diretta, secondo le recenti disposizioni, la revoca di tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, per il trattamento delle proprie numerazioni telefoniche fisse o mobili, effettuato mediante operatore telefonico per finalità di marketing, comunicazione commerciale o profilazione.

Le società interessate al trattamento del dato telefonico in loro possesso, non possono quindi in alcun modo prescindere dalla consultazione del suddetto Registro, che preclude, in più, la successiva comunicazione dei contatti telefonici a terzi per finalità promozionali. Infatti, il Titolare del trattamento non può in alcun modo comunicare, trasferire e diffondere a terzi -con qualsiasi forma o mezzo- i dati personali degli interessati iscritti al Registro, per fini pubblicitari o di vendita, per ricerche di mercato o di comunicazione commerciale non riferibili alle attività, prodotti o ai servizi offerti dal Titolare stesso e, comunque, in ogni altro caso di cessione a terzi di dati relativi alle numerazioni telefoniche, occorre che gli interessati siano adeguatamente informati.

Anche in seguito all’iscrizione al Registro, peraltro, restano validi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, o cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali deve comunque essere assicurata, con procedure semplificate, la facoltà di revoca, così come è valido il consenso successivamente espresso dall’interessato, limitatamente ai titolari da questo indicati.

[1] L’Autorità, nello specifico ha rilevato che “Tim S.p.A, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice:

a) la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver svolto trattamenti di dati personali finalizzati alla realizzazione di contatti telefonici a carattere promozionale, senza aver acquisito dagli interessati il prescritto consenso ai sensi degli artt. 23 e 130 del Codice;

b) la violazione prevista dall’art. 162, comma 2-ter, del Codice, per non aver dato adempimento alle prescrizioni del Garante, impartite ai sensi dell’art. 154, comma 1, lett. c), del Codice, con il provvedimento del 30 maggio 2007 (violazione per la quale la società ha provveduto al pagamento della sanzione in misura ridotta);

c) la violazione prevista dall’art. 164-bis, comma 2, per aver commesso le violazioni di cui ai punti a) e b) in relazione ad una banca dati di particolare rilevanza e dimensioni”.

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

SANZIONE A TELECOM ITALIA: MONITO PER L’ACCOUNTABILITY

SANZIONE A TELECOM ITALIA: MONITO PER L’ACCOUNTABILITY

Il praticante avvocato oggi e il futuro della professione forense nell’era digitale

Information Security e Digital Forensics

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA