05 Feb MARKETING: DAL GARANTE PRIVACY SANZIONE DI 27 MILIONI E 800 MILA EURO A TIM

Marketing: dal Garante privacy sanzione di 27 milioni e 800 mila euro a Tim

Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati
all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.
Dal gennaio 2017 ai primi mesi del 2019, sono pervenute all’Autorità centinaia di segnalazioni relative, in particolare, alla ricezione
di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro
pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di
non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di
concorsi a premi e nella modulistica sottoposta agli utenti da Tim.
Dalla complessa attività istruttoria che ne è derivata, svolta anche con il contributo del Nucleo Speciale Tutela Privacy e Frodi
Tecnologiche della Guardia di Finanza, sono emerse numerose e gravi violazioni della disciplina in materia di protezione dei dati
personali.
Tim ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability).
Tra i milioni di telefonate promozionali effettuate in sei mesi nei confronti di “non clienti” l’Autorità ha accertato che le società di call
center incaricate da Tim hanno, in molti casi, contattato gli interessati senza il loro consenso. Una persona è stata chiamata 155
volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi
delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società
sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone
che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim
Party” con i suoi sconti e premi.
Nella gestione di alcune app destinate alla clientela, inoltre, sono state fornite informazioni non corrette e non trasparenti sul
trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide.In alcuni casi è stata utilizzata
modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing.
La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da
parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono
emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati
telefonicamente (verbal order). Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state
conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne
promozionali.
Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso
dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti
presenti in black list e dei “non clienti” che non avevano dato il consenso.
La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid”
per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.
Fra le prescrizioni, il Garante ha ingiunto a Tim di verificare la consistenza delle black list utilizzate e di acquisire tempestivamente
quelle eventualmente formate dai call center per riversarle nella propria black list. Tim dovrà inoltre rivedere il programma “Tim
Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing. L’azienda dovrà
anche verificare la procedura per l’attivazione di tutte le app, specificare sempre, con linguaggio chiaro e comprensibile, i
trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, nonché acquisire un valido
consenso. La Società dovrà inoltre implementare le misure tecniche ed organizzative relative alla gestione delle istanze di esercizio
dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati
personali trattati dai diversi sistemi della società.
Le misure e le implementazioni richieste dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti, mentre il pagamento
della sanzione dovrà essere effettuato entro trenta giorni.
Roma, 1 febbraio 2020

garanteprivacy.it