SANZIONE A TELECOM ITALIA: MONITO PER L’ACCOUNTABILITY

Un provvedimento esemplare quello adottato dal Garante nei confronti di Telecom Italia, sanzionata per aver svolto trattamenti di dati personali finalizzati alla realizzazione di contatti telefonici a carattere inequivocabilmente promozionale, diretti al recupero della clientela.

La sanzione di 840 mila euro, irrogata con ordinanza ingiunzione n.16 del 18 gennaio 2018[1], rappresenta l’esito di un procedimento iniziato nel 2016, nel corso del quale è emerso che l’attività promozionale posta in essere dalla società perseguiva, di fatto, lo scopo di “riagganciare” ex clienti che non avevano mai reso il consenso al trattamento dei propri dati per finalità promozionali, o che lo avevano revocato.

L’Autorità ha ritenuto la condotta di TIM affetta da particolare gravità, oltre che per l’enorme platea di utenti contattati, anche per la scelta, chiaramente consapevole, della società, di trasgredire alle regole sul corretto trattamento dei dati personali degli interessati. Appare poco realistico, infatti, credere che la società deficitasse degli elementi necessari a comprendere l’illiceità della propria condotta, se non altro per aver costantemente interloquito, nel corso degli anni, con l’Autorità Garante, che aveva, oltretutto, già prescritto a Telecom Italia l’adozione di misure di allineamento alla disciplina sulla protezione dei dati personali, proprio con riferimento alle comunicazioni con finalità pubblicitarie (provvedimento del 30 maggio 2007).

Allo stesso modo, è stata ritenuta priva di fondamento la dissertazione difensiva, puramente semantica, articolata da Tim, che asseriva il carattere non promozionale della campagna denominata “recupero consenso “. Tuttavia, anche qualora l’iniziativa fosse stata totalmente avulsa da finalità commerciali, si sarebbe dovuto tenere presente che “qualunque trattamento di dati personali, indipendentemente dalla sua natura promozionale o meno, svolto da soggetti privati, deve essere effettuato previa acquisizione di un valido consenso ai sensi dell’art. 23 del Codice, ovvero in presenza di una delle condizioni in base alle quali il consenso può non essere acquisito, indicate nel successivo art. 24 “.

La pesante sanzione nei confronti di Telecom non può che servire da monito, anche in vista della prossima esecutività del Regolamento UE 2016/679 (General Data Protection Regulation – GDPR), per la responsabilizzazione del Titolare del trattamento: la graduazione delle sanzioni previste dal Legislatore Europeo, infatti, sarà particolarmente severa per la mancata adempienza al principio di accountability, qualificando come più gravi proprio quei comportamenti che si discostino da tali principi e, in particolare, dai principi di trasparenza e adeguata documentazione delle scelte effettuate.

A poco più di due settimane dall’adozione del provvedimento del Garante, per singolare coincidenza, è entrata in vigore la Legge n. 5/2018 “Nuove disposizioni in materia di iscrizione e funzionamento del registro delle opposizioni e istituzione di prefissi nazionali per le chiamate telefoniche a scopo statistico, promozionale e di ricerche di mercato” Tuttavia occorre precisare che l’iniziativa della società ha provocato una pioggia di segnalazioni al Garante della privacy, risalenti a ben prima dell’entrata in vigore delle disposizioni accennate.

Benché, chiaramente, inapplicabile nel caso di Telecom Italia, il provvedimento normativo di recente pubblicazione è volto a rinnovare una materia che assume, spesso, un ruolo cruciale in vicende analoghe, soprattutto in relazione alla più generale evoluzione dello scenario normativo, in tema di privacy, basato proprio sul rinnovato approccio dell’accountability (ovvero “responsabilizzazione”) da parte del Titolare del trattamento dei dati personali. Su quest’ultimo, il GDPR pone la responsabilità di attuare tutte le misure di sicurezza in termini sì tecnologici, ma soprattutto organizzativi, per dimostrare (attraverso apposita documentazione) di aver strutturato i trattamenti di dati personali conformemente ai principi della privacy by design e della privacy by default

Le disposizioni appena entrate in vigore estendono l’ambito di operatività del Registro delle Opposizioni anche ai contatti mobili di cui l’utente è intestatario (indipendentemente dal fatto che tali utenze siano o meno riportate negli elenchi di abbonati). L’iscrizione al Registro comporta come conseguenza diretta, secondo le recenti disposizioni, la revoca di tutti i consensi precedentemente espressi, con qualsiasi forma o mezzo e a qualsiasi soggetto, per il trattamento delle proprie numerazioni telefoniche fisse o mobili, effettuato mediante operatore telefonico per finalità di marketing, comunicazione commerciale o profilazione.

Le società interessate al trattamento del dato telefonico in loro possesso, non possono quindi in alcun modo prescindere dalla consultazione del suddetto Registro, che preclude, in più, la successiva comunicazione dei contatti telefonici a terzi per finalità promozionali. Infatti, il Titolare del trattamento non può in alcun modo comunicare, trasferire e diffondere a terzi -con qualsiasi forma o mezzo- i dati personali degli interessati iscritti al Registro, per fini pubblicitari o di vendita, per ricerche di mercato o di comunicazione commerciale non riferibili alle attività, prodotti o ai servizi offerti dal Titolare stesso e, comunque, in ogni altro caso di cessione a terzi di dati relativi alle numerazioni telefoniche, occorre che gli interessati siano adeguatamente informati.

Anche in seguito all’iscrizione al Registro, peraltro, restano validi i consensi prestati nell’ambito di specifici rapporti contrattuali in essere, o cessati da non più di trenta giorni, aventi ad oggetto la fornitura di beni o servizi, per i quali deve comunque essere assicurata, con procedure semplificate, la facoltà di revoca, così come è valido il consenso successivamente espresso dall’interessato, limitatamente ai titolari da questo indicati.

 


[1] L’Autorità, nello specifico ha rilevato che “Tim S.p.A, risulta aver commesso, in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice:

a) la violazione prevista dall’art. 162, comma 2-bis, del Codice, per aver svolto trattamenti di dati personali finalizzati alla realizzazione di contatti telefonici a carattere promozionale, senza aver acquisito dagli interessati il prescritto consenso ai sensi degli artt. 23 e 130 del Codice;

b) la violazione prevista dall’art. 162, comma 2-ter, del Codice, per non aver dato adempimento alle prescrizioni del Garante, impartite ai sensi dell’art. 154, comma 1, lett. c), del Codice, con il provvedimento del 30 maggio 2007 (violazione per la quale la società ha provveduto al pagamento della sanzione in misura ridotta);

c) la violazione prevista dall’art. 164-bis, comma 2, per aver commesso le violazioni di cui ai punti a) e b) in relazione ad una banca dati di particolare rilevanza e dimensioni”.