04 Feb Privacy: sanzione del Garante Privacy da 27 milioni di euro per marketing illecito (Provv. 15 gennaio 2020, n. 7 [doc. web n. 9256486])
Il Garante per la privacy ha irrogato a Tim S.p.A. una sanzione pari a 27 milioni di euro per violazioni concernenti l’illecito trattamento di dati personali nell’ambito di attività di direct marketing.
L’indagine, svolta con il supporto del Nucleo Speciale Privacy della Guardia di Finanza, ha avuto origine dalle numerose segnalazioni pervenute all’Autorità in un periodo compreso tra il 1° gennaio 2017 e i primi mesi del 2019.
Le violazioni contestate riguardano plurimi profili e, in particolare: (i) lo svolgimento di attività di direct marketing senza il consenso degli interessati e/o a seguito dell’esercizio del diritto di opposizione riconosciuto a questi ultimi; (ii) acquisizione illecita del consenso degli interessati nell’ambito di operazioni a premio dedicate per la cui partecipazione era richiesto il consenso per finalità di marketing quale condizione necessaria per conseguire i vantaggi delle operazioni medesime; (iii) inidoneità dell’informativa di alcune App della società e connessa violazione dei principi di trasparenza e correttezza.
Al di là dei profili concernenti il trattamento dei dati personali per finalità di direct marketing, l’Autorità ha altresì contestato alla Società la violazione degli artt. 5, 32 e 33 del GDPR sotto il profilo della gestione dei dati breach. In particolare, il Garante Privacy ha rilevato l’assenza di tempestività nella gestione delle violazioni e di un eccessivo ritardo nel coinvolgimento del DPO nell’ambito delle stesse, così come ha rilevato un ingiustificato ritardo nell’effettuazione delle notifiche all’Autorità prescritta per legge e l’inidoneità delle misure di mitigazione e di sicurezza adottate dalla società a presidio dell’integrità, riservatezza ed esattezza dei dati oggetto di violazione.
Di particolare interesse, inoltre, sono le contestazioni mosse dall’Autorità nei confronti della Società per violazione del principio di accountability. Dalle indagini condotte dal Garante Privacy, infatti, è emerso che Società non avesse un’adeguata conoscenza e capacità di controllo su alcuni aspetti essenziali dei trattamenti effettuati dalla medesima direttamente o tramite i propri partner, evidenziando così una inadeguata capacità, da un lato, di aver adottato adeguate misure organizzative e, dall’altro, di essere in grado di dimostrare il rispetto della normativa applicabile (artt. 5, par. 2 e 24, par. 1 e 2, Regolamento).
Dalle motivazioni del Provvedimento si evince, inoltre, che la quantificazione della sanzione ha tenuto conto, oltre che del numero degli interessati coinvolti, dell’atteggiamento recidivo di Tim, la quale, anche in tempi recenti, era stata destinataria di vari provvedimenti inibitori, prescrittivi e sanzionatori proprio con riguardo alla stessa tipologia di violazioni (marketing indesiderato; inadeguata gestione dei diritti degli interessati, inidoneità delle informative e gestione dei data breach).
Oltre alla sanzione pecuniaria, l’Autorità ha imposto a Tim diverse misure correttive e di mitigazione, tra cui il divieto dell’uso dei dati personali degli interessati per finalità di marketing di coloro che hanno esercitato il diritto di opposizione e/o non avevano prestato il consenso per finalità promozionali, nonché il rafforzamento delle misure di sicurezza tecniche e organizzative idonee ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dalla Società tramite i propri sistemi informativi.