Il Garante Privacy ha sanzionato WindTre e Iliad, in seguito alle sue attività di controllo, per rispettivamente quasi 17 milioni di euro e 800.000 euro.
Nella riunione del 9 Luglio 2020, il Garante Privacy ha infatti adottato due nuovi provvedimenti contro WindTre e Iliad per alcune criticità riscontrate.
L’istruttoria nei confronti di WindTre si è concentrata sulle attività promozionali svolte anche senza consenso, in seguito a quanto segnalato da diversi clienti. Inoltre, alcuni consensi non risultavano conformi al nuovo quadro normativo o erano stati acquisiti direttamente dai partner commerciali per la promozione di servizi di terze parti.
Con riferimento invece a Iliad, le segnalazioni sono partite alla fine del 2018 e riguardano sempre il trattamento dei dati personali. In questo caso, l’Autorità ha tenuto conto del fatto che la società non era mai stata oggetto di interlocuzioni con il Garante e ha dunque deciso di effettuare una valutazione complessiva nell’ambito di un unico accertamento ispettivo, risalente agli ultimi giorni di Maggio 2019.
Iniziando con WindTre, sono giunte numerose segnalazioni relative alla ricezione di contatti promozionali indesiderati, effettuati tramite telefono, SMS, e-mail, fax o chiamate automatizzate, anche dopo la revoca del consenso o l’esercizio del diritto di opposizione.
Nella sua difesa, WindTre ha allegato in alcuni casi dei contratti sottoscritti dai clienti prima dell’entrata in vigore del nuovo quadro normativo vigente, negli anni 1998 e 1999, in cui era previsto solo un consenso per diverse finalità di trattamento.
In altri casi, sono stati evidenziati consensi acquisiti direttamente dai partner commerciali e non da WindTre stessa, oppure ancora consensi tramite app MyWind e My3, per mezzo del semplice accesso all’area personale.
In quest’ultimo caso, si evidenzia che molti clienti hanno lamentato l’impossibilità di utilizzare l’app senza necessariamente cliccare sul tasto “Accetta” relativo ai consensi. Inoltre, i consensi venivano richiesti a ogni nuovo accesso, per diverse finalità di trattamento, come ad esempio marketing, profilazione, comunicazione a terzi e geolocalizzazione.
Il solo strumento per i clienti, ritenuto inadeguato e insufficiente da parte del Garante, consisteva nella possibilità di revocare i consensi espressi involontariamente, ma solo superate le ventiquattro ore. Secondo il Garante, restava dunque presente il rischio di un utilizzo dei dati in questa finestra temporale, senza che il cliente potesse trovare una soluzione alternativa per “revocare” i suoi consensi.
Si segnala però che adesso, con la nascita dell’app WindTre, non è più necessario manifestare il consenso al trattamento dei dati al momento dell’accesso.
Infine, alcuni consensi erano stati prestati con modalità non legittime o con modalità illegali. Nel secondo caso, il Garante ha evidenziato le attività di un call center di Roma che avrebbe svolto attività di contatto di potenziale clientela e offerta di servizi per conto di WindTre, tramite l’acquisizione di dati di clienti di un altro operatore telefonico, con modalità non lecite.
Inoltre, in molti casi è stato lamentato il mancato riscontro dell’azienda alle richieste di esercizio dei diritti avanzate dagli interessati, con particolare riferimento all’opposizione al trattamento per finalità promozionale o all’esercizio del diritto di revoca.
In alcuni casi, WindTre ha però dimostrato che tali istanze non sono state riscontrate perché pervenute a un indirizzo diverso da quello predisposto alla gestione delle richieste o per errori o problemi di ricezione della posta cartacea o elettronica. Solitamente, il mancato riscontro riguardava richieste avvenute agli indirizzi pec dell’azienda.
Nonostante le difese dell’operatore, il Garante Privacy ha ritenuto che le condotte di WindTre siano state orientate a incentivare la raccolta del consenso per finalità promozionali, a fronte di procedure per l’opposizione “rese invece più farraginose”.
Sebbene l’azienda abbia effettivamente posto in essere specifici interventi correttivi, soprattutto con riferimento alle comunicazioni ai suoi partner commerciali e agli strumenti digitali sulle App ufficiali, secondo il Garante gli sforzi si sono rivelati insufficienti e WIndTre dovrà adottare delle nuove misure tecniche e organizzative per un effettivo controllo della filiera dei partner.
Inoltre, le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i rivenditore sono state così commentate dal Garante:
“Le modalità di raccolta dei consensi all’atto della sottoscrizione del contratto presso i dealer configurano una totale assenza di correttezza e trasparenza nei confronti degli interessati, in violazione dell’articolo 5, paragrafo 1, lettera a) del Regolamento, mettendo in luce una condotta non solo negligente ma volutamente preordinata ad aggirare le norme poste a tutela della libertà di manifestazione della volontà degli interessati”.
Per tutte queste ragioni, il Garante ha stabilito una sanzione di 16.729.600 euro, vietando a WindTre il trattamento dei dati acquisiti senza consenso.
Per conoscere tutte le novità degli operatori di telefonia, è possibile unirsi gratuitamente al canale Telegram di MondoMobileWeb e rimanere sempre aggiornati sul mondo della telefonia mobile.
Passando a Iliad, l’azienda ha già commentato ufficialmente la sanzione da 800.000 euro, affermando di aver sempre agito nel rispetto degli utenti e dei dati personali. Inoltre, Iliad sta valutando se procedere o meno con un ricorso contro la decisione del Garante. Di seguito il commento integrale di Iliad:
“Prendiamo atto con molto stupore della decisione del Garante Privacy poiché abbiamo sempre operato nel massimo rispetto dei nostri utenti e dei loro dati personali. Abbiamo avuto modo di provare al Garante stesso che i nostri sistemi sono sicuri e sono stati predisposti per garantire la maggiore tutela possibile secondo il nuovo approccio e le prescrizioni del GDPR. Ci teniamo a precisare che non è stata accertata alcuna violazione dati né dei diritti degli utenti e che, a differenza degli altri operatori, Iliad non effettua attività di teleselling né marketing aggressivo. Stiamo analizzando il contenuto della decisione nel dettaglio per valutare se procedere con un ricorso.”
Il caso di Iliad è partito da diverse segnalazioni del 2018 che hanno spinto il Garante a verificare i processi aziendali connessi al trattamento dei dati.
In primo luogo, secondo quanto riportato, l’informativa è stata ritenuta corretta nella presentazione, come previsto dal Regolamento. Tuttavia, ai clienti veniva dapprima richiesta l’accettazione contestuale delle condizioni contrattuali e dell’informativa privacy, senza alcuna distinzione. Iliad, già l’anno scorso, aveva dunque modificato la procedura di attivazione, al termine della quale viene ora richiesto di selezionare la presa visione e accettazione delle condizioni generali, della carta dei servizi e delle brochure prezzi, mentre il trattamento dei dati viene evidenziato in uno spazio separato.
Si evidenzia che erano stati sollevati dubbi anche sul consenso al trattamento per finalità promozionali di Iliad stessa, che come riporta l’azienda non viene registrato nei sistemi informativi in quanto Iliad non svolge attività di marketing diretto.
Secondo il Garante, quindi, in assenza di un trattamento per finalità promozionali risultava inconferente sia la menzione nell’informativa, sia la richiesta di uno specifico consenso.
Una seconda criticità riguarda l’idoneità delle Simbox a garantire la riservatezza degli interessati. Nel corso dell’accertamento ispettivo, il Garante ha infatti richiesto a Iliad informazioni sulle modalità di assegnazione delle SIM.
In tutti i casi, Iliad ha predisposto “apposite procedure per identificare i soggetti che richiedono l’attivazione di una utenza telefonica, in conformità a quanto disposto dalle vigenti norme in materia di contrasto al terrorismo”.
E’ stato invece contestato ad Iliad che la telecamera installata sulle simbox è in grado di effettuare una ripresa con un angolo di 180° circa, che potrebbe consentire di registrare l’immagine pure delle persone che si trovino a passare dietro o al fianco del soggetto che sta acquistando.
Inoltre, tali Simbox, come noto, sono installate anche in luoghi pubblici molto affollati come stazioni ferroviarie e centri commerciali, e anche in questi casi non sarebbero previste particolari misure volte a tutelare la riservatezza dei clienti.
Infine, con riferimento all’accesso e alla conservazione dei dati, sono state rilevate delle criticità in merito alla conservazione dei dati di traffico telefonico e telematico, non conformi alle norme in materia.
Le misure adottate da Iliad per attenuare in parte le conseguenze pregiudizievoli delle violazioni riscontrate non sono state ritenute sufficienti, ma costituiscono elementi attenuanti per la sanzione fissata a 800.000 euro.
Per rimanere aggiornato sulle novità della telefonia unisciti al canale @mondomobileweb di Telegram. Seguici anche su Google News, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
