Dott.ssa Michela D'Ezio - lunedì 10 febbraio 2020

Marketing indesiderato: maxi sanzione a TIM dal Garante per la privacy Provvedimento del Garante per la protezione dei dati del 15 gennaio 2020

Dopo la maxi sanzione irrogata ad Eni alcune settimane fa, la scure del Garante per la privacy si è abbattuta sulla società TIM S.p.a. che si è vista comminare una sanzione da quasi 30 milioni di euro per aver effettuato chiamate promozionali indesiderate a milioni di utenti.

La vicenda trae origine dalle centinaia di segnalazioni ricevute dall’Autorità tra gennaio 2017 ai primi mesi del 2019 con cui gli utenti lamentavano di essere subissati di chiamate promozionali indesiderate (un utente ha dichiarato di essere stato contattato 155 volte in un mese), effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni.

Dall’istruttoria del Garante, oltre alle telefonate a scopo promozionale, sono emerse altre gravi irregolarità nel trattamento dei dati anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da TIM: in particolare, la società prevedeva l’acquisizione obbligata del consenso a fini promozionali per consentire ai consumatori di aderire al programma di scontistiche e premi.

Il Garante ha inoltre contestato l’inefficacia dei sistemi per la gestione del data breach e la violazione dei principi di accountability e di privacy by design.

Oltre alla sanzione, pari ad euro 27.800.000,00, l’Autorità ha imposto a TIM 20 misure correttive, tra divieti e prescrizioni.

In particolare è  fatto divieto alla società di utilizzare per finalità di marketing i dati  di chi aveva espresso il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso. Inoltre la società non potrà più utilizzare i dati della clientela raccolti tramite le App per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

L’azienda dovrà anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido consenso.

TIM dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società.

Il Garante ha, infine, evidenziato come la società fosse già stata la destinataria di precedenti provvedimenti (inibitori, prescrittivi e sanzionatori) e che pertanto TIM ha agito “sulla base di una scelta consapevole e non per mera negligenza, avendo acquisito, nel corso degli anni, attraverso la costante interlocuzione con il Garante, tutti gli elementi interpretativi che le avrebbero dovuto consentire di assumere delle decisioni in linea con l´ordinamento vigente e con gli orientamenti dell´Autorità”.