Privacy – GARANTE PROTEZIONE DATI PERSONALI – Nota 29 maggio 2018, n. 441 – Privacy violata: 960 mila euro di sanzioni a Tim – Garante a Fastweb: stop al telemarketing selvaggio – Vigilanza privata con il GPS: il Garante chiede tutele

Privacy violata: 960 mila euro di sanzioni a Tim – Garante a Fastweb: stop al telemarketing selvaggio – Vigilanza privata con il GPS: il Garante chiede tutele

Privacy violata: 960 mila euro di sanzioni a Tim – Centinaia di utenze intestate a un cliente ignaro

Il Garante privacy ha ordinato a Tim il pagamento di due sanzioni amministrative pari a un importo complessivo di 960mila euro per violazioni alla normativa sulla protezione dei dati personali.

La prima sanzione, di 800mila euro, conclude l’iter avviato dal reclamo di un ignaro utente che si è ritrovato intestatario di 826 linee di telefonia fissa e, “moroso” a sua insaputa, si è accorto del problema quando ha iniziato a ricevere dei solleciti di recupero crediti di mancati pagamenti di bollette telefoniche [doc. web n. 9370122].

Le verifiche svolte dall’Autorità hanno accertato l’ingiustificata assegnazione del rilevante numero di utenze telefoniche ad un’unica persona, dovuta – secondo quanto dichiarato da Tim – a non meglio precisati errori avvenuti durante l’attività di migrazione dei dati dei clienti da un sistema di gestione all’altro tra il 2002 e il 2004.

L’erronea intestazione avrebbe interessato anche numerosi altri utenti e si sarebbe propagata anche ad altri sistemi tra i quali il sistema di fatturazione e il sistema di richiesta anagrafica cliente (Rac). Un sistema, quest’ultimo, particolarmente delicato essendo preordinato a consentire la corretta effettuazione delle verifiche da parte delle forze di polizia e della magistratura (ad es., in caso di intercettazioni o acquisizione di tabulati telefonici).

L’attuale ingiunzione di pagamento segue l’adozione del provvedimento del 6 aprile 2017 con il quale il Garante aveva ritenuto illecito il trattamento di dati personali effettuato da Tim. Con lo stesso provvedimento l’Autorità aveva anche ritenuto negligente e omissiva la condotta tenuta dalla società che, nonostante una segnalazione inviata dall’utente e per un lungo periodo di tempo, non aveva svolto le necessarie verifiche per sanare la posizione del cliente e di quanti si trovavano in situazioni analoghe.

La seconda sanzione del Garante, di 160mila euro, punisce la società telefonica per un caso di data breach avvenuto a fine 2013 [doc. web n. 9370105]. Il malfunzionamento di un sistema di autenticazione aveva comportato la visualizzazione di dati di altri clienti (numero di telefono, credito residuo, indirizzo e-mail, ultime quattro cifre della carta di credito, ove inserite) da parte di chi intendeva avvalersi dei servizi di assistenza on line. L’errato abbinamento dell’utenza ai dati corrispondenti aveva dunque comportato una illecita comunicazione di dati personali a terzi (altri abbonati o persone comunque non legittimate ad accedervi).

Garante a Fastweb: stop al telemarketing selvaggio

Alla società è stata vietata anche la profilazione dei clienti senza il loro consenso

Fastweb dovrà rafforzare il controllo sulla propria rete vendita e dovrà interrompere le telefonate promozionali verso utenti che non hanno espresso il loro consenso o si sono opposti al trattamento dei loro dati per finalità di marketing.

Questa la decisione presa dall’Autorità al termine di una serie di ispezioni avviate per verificare le molteplici segnalazioni di persone che lamentavano di essere state disturbate da call center che proponevano offerte commerciali indesiderate nell’interesse della società [doc. web n. 9358243].

All’esito degli accertamenti (sui contatti commerciali effettuati nell’interesse di Fastweb) da gennaio 2016 a ottobre 2017, sono state riscontrate innumerevoli irregolarità, in particolare relative ad attività di marketing effettuate in assenza del consenso degli interessati. L’Autorità ha anche rilevato un numero considerevole di telefonate verso numerazioni proposte autonomamente dai partner di Fastweb – oltre 8 milioni di telefonate riferibili a 2,7 milioni di persone – e non inserite nelle cosiddette liste di contattabilità trasmesse dalla compagnia telefonica (cd. “fuori lista”). In questi casi la società non era in grado di garantire che le persone contattate non si fossero iscritte al “registro delle opposizioni” o non si fossero comunque opposte a contatti commerciali.

Sono state individuate irregolarità anche nella cosiddetta procedura di “call me back” (richiamami) attivata sul sito web di Fastweb: se l’utente cliccava sul pulsante online per chiedere di essere contattato, autorizzava automaticamente all’utilizzo dei propri dati personali per finalità di marketing e di profilazione. Tale modalità impedisce all’utente di manifestare una scelta realmente libera e specifica per le differenti finalità di trattamento. Il Garante ha inoltre rilevato che alcune forme di profilazione della clientela, come l’indicazione “persona anziana” (riferibile a un milione di individui) oppure “alto” o “basso spendente”, erano definite sulla base di dati imprecisi e, comunque, senza aver preventivamente raccolto il consenso informato degli interessati.

A seguito degli accertamenti, Fastweb ha modificato le procedure e aggiornato i propri sistemi per cercare di risolvere i problemi riscontrati. Il Garante della privacy ha comunque vietato alla compagnia telefonica di trattare ulteriormente, per finalità di marketing, i dati di chi non ha manifestato un libero consenso o lo abbia revocato o abbia comunque fatto valere il diritto di opposizione. Ha inoltre vietato di profilare gli utenti senza averli prima informati e aver acquisito, anche in questo caso, il loro consenso.

Ha infine prescritto a Fastweb di controllare l’operato dei propri partner commerciali e il corretto funzionamento della piattaforma informatica utilizzata, nonché di adottare misure tecniche e organizzative che assicurino il tracciamento di tutte le telefonate promozionali.

L’Autorità ha aperto un autonomo procedimento per contestare le violazioni amministrative già accertate.

Vigilanza privata con il GPS: il Garante chiede tutele

Il Garante privacy ha dato il via libera alla geolocalizzazione, attraverso smartphone e tablet, del personale di una società che effettua servizi di vigilanza privata e trasporto valori, ma ha prescritto misure a tutela della riservatezza dei lavoratori [doc. web n. 9358266].

Con l’applicazione installata sui dispositivi mobili si intende garantire la sicurezza delle pattuglie e l’ottimizzazione delle assegnazioni e distribuzioni degli interventi e consentirà di inviare segnali di allarme in caso di pericolo.

I dati di geolocalizzazione raccolti, le coordinate del dispositivo e la velocità del veicolo saranno conservati per un periodo non superiore alle 24 ore, fatte salve speciali esigenze, e il trattamento dati dovrà cessare al termine dell’attività lavorativa con la riconsegna a fine servizio dei dispositivi da parte dei dipendenti. Le guardie dovranno attivare l’applicazione mediante codice identificativo e password fornita dalla centrale operativa.

Le guardie giurate non saranno direttamente identificate dal sistema e l’accesso in tempo reale ai dati di localizzazione effettuato dal personale autorizzato della centrale operativa sarà previsto solo in caso di necessità ed emergenza.

L’Autorità ha ritenuto il trattamento dei dati che la società intende effettuare lecito, necessario e proporzionato, anche in considerazione della specifica disciplina che prevede l’adozione di peculiari misure tecniche di controllo con geolocalizazione per il trasporto di contanti.

Il Garante ha però chiesto, a maggiore tutela dei lavoratori, di posizionare sul dispositivo un’icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell’operatore sul monitor della centrale operativa.

I dati raccolti dal sistema potranno essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l’estrazione dei dati. A ulteriore tutela dei dipendenti sarà escluso l’utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari.

La società dovrà fornire alle guardie un’idonea informativa che consenta l’esercizio dei diritti.

In conformità a quanto previsto dallo Statuto dei lavoratori la società si è impegnata a procedere alla convocazione delle rappresentanze sindacali per sottoscrivere uno specifico accordo o, in mancanza di questo, ad acquisire l’autorizzazione del competente organo del Ministero del Lavoro.