Garante Privacy sanziona WINDTRE per oltre 16,7 milioni di euro e iliad per 800.000 euro (che valuta ricorso)



Con una comunicazione diffusa oggi, il Garante per la protezione dei dati personali fa sapere di essere intervenuto nei confronti di diversi operatori telefonici anche a seguito delle centinaia di segnalazioni e reclami che settimanalmente pervengono all’Autorità per lamentare casi di “marketing selvaggio”.

Garante Privacy

WINDTRE

Nell’ambito di tali attività di controllo, nella riunione del 9 luglio scorso, il Garante ha sanzionato Wind Tre Spa per circa 17 milioni di euro per numerosi trattamenti illeciti di dati, legati prevalentemente ad attività promozionali. Per analoghe violazioni, la società era già stata destinataria di un provvedimento inibitorio e prescrittivo quando era ancora in vigore il vecchio Codice privacy.

Il nuovo provvedimento è stato adottato all’esito di una complessa attività istruttoria ed ispettiva, fa sapere l’Autorità. Gli utenti lamentavano la ricezione di contatti promozionali indesiderati, effettuati senza consenso tramite sms, e-mail, fax, telefonate e chiamate automatizzate.

In numerosi casi, inoltre i segnalanti dichiaravano di non esser stati messi in grado di poter esercitare il proprio diritto di revoca del consenso o di opposizione al trattamento dei loro dati per finalità di marketing (anche a causa di imprecisioni nell’indicazione dei canali di contatto presenti nell’informativa). In altri casi veniva lamentata la pubblicazione di dati personali negli elenchi telefonici pubblici nonostante l’opposizione (a volte reiterata) degli interessati.

Dall’istruttoria è inoltre emerso che le app MyWind e My3 erano impostate in maniera tale da obbligare l’utente a fornire, ad ogni nuovo accesso, una serie di consensi per diverse finalità di trattamento (marketing, profilazione, comunicazione a terzi, arricchimento e geolocalizzazione), salvo poi consentire di revocarli trascorse 24 ore.

Al di là di queste lacune “di sistema”, gli accertamenti del Garante hanno messo in luce diversi gravi illeciti nella filiera dei partner commerciali di WINDTRE, anche con impropria attivazione di contratti.

Per queste violazioni, uno dei partner del gestore telefonico – che aveva sub affidato (peraltro senza alcun atto giuridico) intere fasi dei trattamenti a call center che raccoglievano i dati illecitamente – è stato multato per 200.000 euro dal Garante e si è visto imporre il divieto di utilizzare i dati raccolti e trattati da agenti presenti sul territorio nazionale (denominati “procacciatori”) in totale spregio delle norme in materia di protezione dati.

Le argomentazioni portate a propria difesa da WINDTRE e la serie di misure correttive implementate dalla società, anche riguardo alla centralizzazione delle campagne promozionali, non sono state ritenute adeguate dal Garante.

Oltre a sanzionare la società telefonica per 16.729.600 euro, l’Autorità ha vietato a WINDTRE il trattamento dei dati acquisiti senza consenso e le ha ordinato di adottare misure tecniche e organizzative per un effettivo controllo della filiera dei partner, nonché procedure per rispettare la volontà degli utenti di non essere disturbati.

Qui è possibile consultare il documento completo con le ispezioni presso le sedi delle società che hanno acquisito consensi di clienti di altro gestore con modalità illegali (Alessandro Corbelli Sunrise Srls e Merlini Srl).

iliad

Questo per quanto riguarda WINDTRE, mentre il comunicato diffuso dal Garante per la privacy è molto sintetico sulla sanzione da 800.000 euro nei confronti di iliad, operatore che “è stato trovato carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico”.

Come noto, specialmente ai clienti, iliad non ha mai svolto attività di marketing, telemarketing o profilazione degli utenti, come dichiarato dalla stessa società in una memoria difensiva dello scorso novembre. Siamo andati a spulciare il documento integrale (che trovate a questo link) per capirne di più.

Se da una parte, il Garante ha sanzionato WINDTRE per fatti gravi che hanno coinvolto centinaia di migliaia di utenti, nel caso di iliad sembra proprio si sia andati a cercare il pelo nell’uovo. Tra le contestazioni, ci sono anche le riprese video catturate dalle Simbox:

È stato contestato ad Iliad che la telecamera installata sulla Simbox è in grado di effettuare una ripresa con un angolo di circa 180 gradi; come si evince anche dalla documentazione agli atti tale modalità potrebbe consentire di registrare l’immagine pure delle persone che si trovino a passare dietro o di lato al soggetto che sta effettuando l’operazione; le registrazioni fotografiche, di cui all’allegato 5 del verbale del 28 maggio, mostrano infatti che l’inquadratura della telecamera non riprende solo il viso della persona che effettua la registrazione ma anche le persone dietro di essa.

Allo stesso tempo, l’assenza di misure idonee a garantire la riservatezza dei clienti durante le operazioni, potrebbe consentire a chiunque si trovi nei locali di visualizzare i dati digitati sullo schermo della Simbox e di ascoltare il contenuto del videomessaggio (durante il quale l’utente deve pronunciare il proprio nome e cognome).

Da parte sua, iliad ha risposto con delle proprie osservazioni, in cui chiarisce come la “telecamera della Simbox si attiva solo per il breve lasso di tempo (massimo 10 secondi) necessario ad effettuare la registrazione e non consente di inquadrare nitidamente i soggetti che passano in prossimità della macchina”.

Chiarito questo, iliad ha comunque comunicato al Garante di aver introdotto le seguenti soluzioni correttive:

  1. nella schermata che appare all’utente all’avvio della procedura di registrazione, viene mostrato il seguente avviso: “assicurati di non registrare immagini di terzi, di essere solo, di fronte e posizionato in modo che l’intero viso sia visibile e identificabile;
  2. le registrazioni raccolte, non appena validate dagli operatori del customer care, sono rese visibili solo ai manager della funzione customer care e, trascorsi sei mesi, sono accessibili solo alla funzione JAS (Judicial Authority Services) per la durata del contratto.

Nel corso dell’audizione tenuta il 10 dicembre 2019, Iliad ha aggiunto che la registrazione video non viene conservata nelle Simbox, ma viene memorizzata direttamente nel database centrale e che i video contenenti immagini di terzi sono immediatamente cancellati dagli operatori addetti alla procedura di identificazione con contestuale interruzione del processo e richiesta al cliente di effettuare una nuova registrazione.

La Società ha inoltre precisato che l’operatore addetto all’identificazione e l’assistente presente nei punti vendita non possono effettuare copie dei documenti forniti dai clienti o delle registrazioni effettuate.

Un’altra contestazione riguarda l’accesso ai dati di traffico telefonico in chiaro degli utenti (anche superiore ai sei mesi) da parte di un operatore del customer care con profilo di “amministratore”, inserendo semplicemente user id e password.

In questo caso iliad, nella propria memoria difensiva ha dichiarato che “con riferimento al gestionale Mobo oggetto di ispezione nello specifico ma in generale relativamente a tutti i sistemi aziendali, Iliad ha adottato una duplice tecnologia di autenticazione.

Infatti, oltre all’inserimento della username e password dell’utente che accede al sistema, vi è una forma di autenticazione automatica determinata dalla connessione esclusivamente dei devices aziendali alla rete Iliad. Al momento dell’accesso alla rete Iliad tramite il device aziendale, infatti, il sistema effettua un primo riconoscimento del dipendente Iliad e un secondo riconoscimento avviene al momento dell’accesso al gestionale Mobo”.

L’8 novembre 2019, iliad Italia ha fornito proprie osservazioni anche riguardo al fatto che, al momento dell’accertamento, i dati di traffico telefonico generati oltre i sei mesi sono risultati presenti nel sistema gestionale del customer care, in difformità da quanto prescritto dal Garante in merito alla necessità, trascorsi i primi sei mesi, di operare una separazione dei sistemi informatici deputati alla conservazione dei dati per le diverse finalità.

A tal proposito la società ha dichiarato di aver “creato un unico database con misure di sicurezza e livelli di accesso differenziati (CRM i.e. gestionale Mobo e JAS) a seconda delle finalità del trattamento e del relativo termine di conservazione. Tale sistema ha quindi una separazione di carattere logico invece che fisico”.

Abbiamo contattato per un riscontro iliad, che ha voluto precisare quanto segue:

Prendiamo atto con molto stupore della decisione del Garante Privacy poiché abbiamo sempre operato nel massimo rispetto dei nostri utenti e dei loro dati personali. Abbiamo avuto modo di provare al Garante stesso che i nostri sistemi sono sicuri e sono stati predisposti per garantire la maggiore tutela possibile secondo il nuovo approccio e le prescrizioni del GDPR.

Ci teniamo a precisare che non è stata accertata alcuna violazione dati né dei diritti degli utenti e che, a differenza degli altri operatori, iliad non effettua attività di teleselling né marketing aggressivo. Stiamo analizzando il contenuto della decisione nel dettaglio per valutare se procedere con un ricorso.

Ognuno può farsi la propria idea su quanto contestato ad iliad consultando il documento integrale disponibile sul sito del Garante.

Sarà interessante vedere se anche le FASTbox utilizzate da Fastweb per sottoscrivere le offerte fisso e mobile saranno oggetto di verifica approfondita da parte del Garante e se in quel caso la telecamera integrata è in grado di riprendere solamente l’utente che sta attivando il servizio o anche le persone che lo circondano.


Segui Universo Free anche su Google News, clicca sulla stellina ✩ da app e mobile o alla voce “Segui”. Non perderti le ultime notizie con le notifiche in tempo reale, unisciti al nostro canale Telegram e seguici nella grande community Facebook e Twitter. Universo Free è anche una comoda Web App gratuita che puoi portare sempre con te, scaricala subito sul tuo smartphone.

5 Risposte

  1. Emiliano Zapata ha detto:

    Mettere la sfocatura dello sfondo costerá 1 minuto di manutenzione da remoto per tutte le simbox insieme. Ci voleva poco a pensarci per la trasparenza. Ora questo scherzo costa 800.000€. Con i risicati margini, é come se la sanzione costasse 5 volte tanto per un altro gestore!

  2. Alessandro D'Arpini ha detto:

    Articolo letto ieri e commentato oggi anche perché il tifo da stadio non è nelle mie corde.
    Ci ho riflettuto e la sanzione ad ILIAD la giudico pretestuosa. Andrebbero allora sanzionati anche tutti coloro che vanno in edicola o in tabaccheria per effettuare una ricarica e a voce alta comunicano il proprio numero di telefono oppure chi fa una foto con il proprio terminale nella pubblica via dove qualche passante può essere inquadrato.
    Oppure coloro che loro malgrado ascoltano qualcuno dire a voce alta il proprio nome e cognome e indirizzo email al telefono.
    Aboliamo la funzione “viva voce” dai terminali telefonici? Mettiamo al bando gli auricolari bluetooth?
    Da buon seguace dell’immortale Andreotti, penso e sono sicuro di non fare peccato: o la loro intenzione è di fare cassa oppure si tratta di un espediente per poter affermare che “anche ILIAD”.

  3. Cherichjsian ha detto:

    L’ho provata e le fastbox riprendono solo l’utente.

    • Simone ha detto:

      Se certo, a meno che non metti la faccia a un cm. dalla camera, si finirà sempre per riprendere anche qualcuno sullo sfondo, non è colpa di iliad né di Fastweb. Quindi secondo il garante uno che dovrebbe fare, far entrare un cliente in una cabina tipo il Tardis di Doctor Who?

  4. warded ded ha detto:

    consentire ai dipendenti di entrare nel profilo utente…. gli altri non lo fanno? per il simbox invece …sono a favore del garante, ha ragione…dovevano mettere la sfocatura dello sfondo come in skype https://www.skype.com/it/blogs/2019-02-background-blur/

Commenta...

%d blogger hanno fatto clic su Mi Piace per questo: