Privacy GDPR

09/09/2020

Oscar Legnani

TIM sanzionata per trattamenti illeciti di dati per la profilazione marketing

Il Garante Privacy ha sanzionato TIM per aver dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (c.d. accountability), soprattutto nella gestione dei propri call center, delle app destinate alla clientela, e nella predisposizione di un’adeguata procedura di data breach (con violazione, in questo caso, del principio di privacy by design, ossia sin dalla progettazione).

Il Garante per la privacy ha irrogato a TIM una sanzione pari a 27 milioni e 800 mila euro per vari illeciti aventi ad oggetto la raccolta e l’utilizzo dei dati legati all’attività di marketing da parte della nota società di telecomunicazioni.

Dal gennaio 2017 ai primi mesi del 2019, infatti, pervenivano all’Autorità centinaia di segnalazioni di chiamate promozionali nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni oppure malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali o non avessero mai dato un consenso in tal senso. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da TIM.

Il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza ha rilevato numerose violazioni della disciplina in materia di protezione dei dati personali (accountability).

Le violazioni

È stato accertato che le società di call center incaricate da TIM hanno, in molti casi, contattato gli interessati senza che questi avessero espresso il consenso a ricevere offerte promozionali. In circa duecentomila casi, sono stati contattati numeri “fuori lista”, cioè non presenti negli elenchi TIM delle persone contattabili. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center, l’errata gestione e il mancato aggiornamento delle black list, carenze nella acquisizione obbligata del consenso a fini promozionali per l’adesione al programma “Tim Party”.

Nella gestione di alcune App per i suoi clienti TIM ha fornito informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide.

La gestione dei data breach non è risultata inadeguata, così come l’implementazione e la gestione da parte della società dei sistemi di trattamento dei dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Le conseguenze per TIM

Oltre alla sanzione pecuniaria, l’Autorità ha imposto a Tim 20 misure correttive. In particolare è stato interdetto a TIM l’uso dei dati a fini di marketing di chi aveva negato il proprio consenso a ricevere offerte promozionali, dei soggetti presenti in black list e dei “non clienti”.

La società non potrà più utilizzare i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

TIM dovrà verificare la consistenza delle black list utilizzate e acquisire tempestivamente quelle eventualmente formate dai call center per riversarle nella propria black list. TIM dovrà poi rivedere il programma “Tim Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso. TIM dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare quelle volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.