Dopo Tim, anche Wind Tre e Iliad sono stati sotto l’occhio vigile del Garante, il quale lo scorso 9 luglio 2020 si è pronunciato con provvedimento sanzionatorio nei confronti dei due operatori telefonici.
Wind tre è stata sanzionata per 17 milioni di euro “per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali”, mentre Iliad lo è stata sanzionata per 800 mila euro a causa di lacune nella gestione dei dati di traffico telematico e telefonico degli utenti.
Se da un lato l’attenzione dell’Autorità verso gli operatori telefonici può spaventare, dall’altro può aiutarci a comprendere le regole sottese al mondo delle telecomunicazioni, perché, come in tutte le cose, dagli errori si impara.
Questioni di marketing
Le molteplici segnalazioni giunte al Garante mettono in evidenza come il tema del consenso per finalità promozionali sia ancora molto sottovalutato dalle società, ma molto amato dal Garante nel corso delle sue ispezioni.
Le regole per portare avanti un marketing sano e corretto vedono come principale protagonista il consenso che deve essere libero, informato, specifico, dimostrabile ed inequivocabile. Caratteristiche che il Garante non ha rinvenuto nel corso dell’istruttoria a carico di Wind Tre.
È stata contestata, in tal senso, l’inidoneità dei consensi perché risalenti nel tempo, e quindi non in linea con le normative vigenti, l’indimostrabilità degli stessi, che fa presumere l’assenza di consenso, e la mancanza del requisito della libertà: “le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore”.
Non dimentichiamoci, altresì, di regolare i rapporti di agenzia. Se il Titolare del trattamento si avvale dell’operato di agenti è di fondamentale importanza fornire loro chiare istruzioni su quando e come acquisire correttamente i consensi. Si tratta di una misura di sicurezza organizzativa, che deve essere implementata al pari del firewall o della password.
Diritti degli interessati
Consentire agli interessati di cambiare idea permettendo loro di esercitare la revoca del consenso o di avvalersi del diritto all’opposizione in modo semplice e senza conseguenze dovrebbe essere pratica ormai appurata. Eppure, Wind Tre, ha reso difficile per l’interessato l’esercizio dei propri diritti.
Nel corso di ispezioni e controlli non di rado accade che il Garante ponga particolare attenzione sul tema dei diritti e del relativo esercizio, magari accertandosi anche che il Titolare abbia redatto e circolarizzato una procedura apposita nella quale istruisce gli autorizzati sul tema. Se il Titolare dà soddisfazione, nei termini di legge, alle richieste degli interessati, il rischio di segnalazioni al Garante si riduce.
Iliad: valutazione del quadro generale
A differenza di Wind Tre, Iliad non aveva ancora subìto un “controllo Privacy”. Anche in questo caso è d’obbligo dire che le mosse partono da una segnalazione al Garante, il quale ha provveduto ad effettuare una valutazione complessiva in tema di modalità di gestione dei dati e delle misure tecniche e organizzative adottate dalla Società.
Il primo controllo ha visto protagonista il sito web, in particolare si sono prese in considerazione le attività necessarie ad attivare una nuova utenza e il primo errore rilevato è stata la compresenza di un unico flag per l’accettazione dell’informativa e delle condizioni generali di contratto, della carta dei servizi e della brochure dei prezzi.
Il Garante non contesta la correttezza dell’informativa, ma solo la dicitura e il fatto che ci sia un’unica spunta per l’accettazione di documenti differenti: manca il carattere di chiarezza e intelligibilità.
La chiarezza lascia il posto alla confusione anche nel caso in cui la società pur non effettuando attività di marketing, richiede un consenso marketing facoltativo, con checkbox posizionato correttamente sotto il form per la registrazione al sito web. L’Autorità in tal caso, afferma che, vista la ratio stessa delle informative, le stesse devono sempre rispecchiare il momento attuale e mai indicare finalità che verranno eseguite in futuro o non verranno eseguite affatto.
Un altro aspetto su cui l’Autorità si pronuncia riguarda l’idoneità delle Simbox a garantire la riservatezza degli interessati. Si tratta di macchine con le quali gli interessati possono procedere all’attivazione del servizio in totale autonomia, inserendo i propri dati e terminando la procedura con la scansione del documento e la registrazione di un videomessaggio di assenso alla conclusione del contratto.
Sarebbe proprio in occasione della registrazione del video che si concretizzerebbe la violazione alla riservatezza degli interessati. Ciò che il Garante contesta è “che un simile trattamento può esporre gli interessati al rischio di accessi non autorizzati violando il principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del Regolamento”.
Conservazione dei dati di traffico. Il motivo principe della sanzione
La sanzione di 800 mila euro non è certo stata comminata solo per le problematiche legate al sito web o alle Simbox. Il tema scottante riguarda le modalità di conservazione e gestione dei dati di traffico.
In particolare emerge dalle parole del Garante, che le Società di telecomunicazioni devono porre in essere una serie di misure tecniche e organizzative imposte dall’Autorità stessa, che è intervenuta più volte per dare direttive specifiche sulle modalità di tutela di questi dati, vista la facilità con cui si potrebbe incappare in una violazione della riservatezza.
Non si sono contestate le tempistiche di conservazione dei dati di traffico telefonico e telematico, tema molto dibattuto in passato e su cui oggi persistono ancora dubbi, ma le modalità. In particolare è emerso che detti dati fossero conservati tutti nello stesso ambiente, avendo previsto solo una separazione logica e non fisica come richiesto dal Garante Privacy.
Per la sensibilità del tema, e la facilità con cui può prospettarsi una violazione alla riservatezza, i dati di traffico devono essere conservati “in sistemi informatici distinti fisicamente – e non logicamente – da tutti gli altri sistemi aziendali e a tali sistemi siano applicate misure dedicate quali, tra le altre, l’accesso solo a personale autorizzato con sistemi di riconoscimento a due fattori (di cui uno biometrico) e la cifratura dei dati”. La possibilità di conservare detti dati all’interno dello stesso sistema, senza dunque la distinzione fisica, può avvenire solo per i dati generati fino a sei mesi, periodo necessario per finalità di fatturazione.
Questa sanzione ha chiarito un aspetto ritenuto fondamentale e che si spera che tutte le società di Telecomunicazioni abbiano bene a mente.
