Gdpr: sanzione da 27,8 milioni a Tim

Il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

Dal gennaio 2017 ai primi mesi del 2019, sono pervenute all’Autorità centinaia di segnalazioni relative, in particolare, alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali.

Milioni di telefonate promozionali effettuate in sei mesi nei confronti di “non clienti”, l’Autorità ha accertato che le società di call center incaricate da Tim hanno, in molti casi, contattato gli interessati senza il loro consenso. Una persona è stata chiamata 155 volte in un mese. In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim. Sono state rilevate poi altre condotte illecite come l’assenza di controllo da parte della società sull’operato di alcuni call center; l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità; l’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.

La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design). Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).  Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Oltre alla sanzione, l’Autorità ha imposto a Tim 20 misure correttive, tra divieti e prescrizioni. In particolare, ha vietato a Tim l’uso dei dati a fini di marketing di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso. Scarica l’intero provvedimento qui.

La società non potrà più utilizzare neanche i dati della clientela raccolti mediante le app “My Tim”, “Tim Personal” e “Tim Smart Kid” per finalità diverse dall’erogazione dei servizi senza un consenso libero e specifico.

Non si tratta della prima sanzione comminata ad un colosso e, sospetto, non sarà nemmeno l’ultima. Ecco altri tre casi di cui ci siamo occupati:

  1. Eni Gas e Luce;
  2. Facebook;
  3. Fastweb.

Il tema centrale è sempre lo stesso: come trattare i dati personali per attività di marketing diretto.

Il concetto di “accountability”, introdotto con il Gdpr, impone un’assunzione di responsabilità da parte di tutti i titolari di trattamento di dati delle persone. Chi pensa che queste sanzioni riguardino solo i grandi marchi si sbaglia. L’azione sanzionata, infatti, anche in questo caso non è stata direttamente compiuta da Tim. La multa da 27,8 milioni di euro è arrivata per il comportamento scorretto delle agenzie che lavorano (forse lavoravano) per Tim.

Anche una piccola organizzazione o azienda che si avvalga di un servizio legato al marketing diretto per telefono deve avere la massima attenzione su come, anche un fornitore terzo, tratti le liste di clienti, acquisiti o potenziali. La ragione è sempre la stessa: il Regolamento Europeo 2016/679 non si occupa solo di dati ma, soprattutto, di persone e dei loro diritti.

Richiedi una consulenza