La prima multa, comminata a WindTre, ammonta a 17 milioni di euro; molto meno la seconda, per Iliad, che ammonta "soltanto" a 800.000 euro. Le motivazioni che hanno indotto il Garante a sanzionare le due società sono molto diverse e da questo discendono due sanzioni di tenore estremamente diverso: per WindTre si contesta il trattamento illecito dei dati, per Iliad invece il problema è la modalità di accesso dei dipendenti al traffico dati dei clienti.

•  WindTre e il telemarketing selvaggio

A WindTre vengono contestati numerosi trattamenti illeciti di dati, quasi tutti collegati ad attività di marketing e promozionali. Problema non contestato per la prima volta: è il Garante stesso, in una nota, a ricordare che la società era già stata sanzionata in passato, con conseguente provvedimento inibitorio all'uso dei dati, stante quanto previsto al tempo dal vecchio Codice Privacy.

Il Garante nel caso di WindTre si è mosso su segnalazione di utenti che lamentavano la ricezione di telefonate promozionali indesiderate, effettuate senza richiesta di consenso, ma anche sms, email, fax e perfino chiamate automatizzate. Più utenti avevano anche segnalato l'incapacità di ricorrere al diritto di revoca del consenso o comunque a qualsiasi forma di opposizione al trattemento dei propri dati per finalità di marketing: le richieste erano costantemente ignorate dall'azienda e v'erano perfino delle imprecisioni nell'informativa, laddove erano forniti errati contatti per la revoca del consenso. Alcuni utenti hanno addirittura segnalato di la pubblicazione dei propri dati personali negli elenchi telefonici pubblici nonostante l'aperta opposizione presentata (in alcuni casi manifestata più volte).

L'istruttoria del Garante ha anche permesso di rilevare che le app MyWind e My3 erano impostate in maniera tale da obbligare l'utente a fornire una nuova serie di consensi ad ogni accesso, per ampliare il numero e le finalità dei trattamenti (dal marketing alla profilazione, passando per la geolocalizzazione), salvo poi consentire la revoca dopo 24 ore. Gli illeciti riguardano anche la filiera dei partner commerciali di WindTre: il Garante ha preso atto anche di casi di impropria attivazione di contratti.

Per questo il Garante ha deciso di comminare una multa di 200.000 euro (oltre al divieto di utilizzo dei dati raccolti) ad uno dei partner di WindTre, colpevole di aver sub affidato intere fasi dei trattamenti a call center che raccoglievano i dati in maniera illecita. La sanzione contro WindTre, valutata tenendo conto del complesso delle violazioni, ammonta in dettaglio a 16.729.000 euro: WindTre ha inoltre ricevuto il divieto di trattamento di tutti quei dati raccolti senza consenso e ha ordinato anche l'implementazione di misure tecniche e organizzative che consentano a WindTre un effettivo controllo della filiera dei partner commerciali. Tra le misure imposte anche l'obbligo di rispettare le volontà degli utenti e di sospendere ogni contatto qualora venga manifestato un disaccordo.

• Iliad e l'accesso dei dipendenti ai dati degli utenti

Iliad invece è stata trovata "carente sotto altri profili, in particolare in merito alle modalità di accesso dei propri dipendenti ai dati di traffico e che per tali ragioni, è stato sanzionato per 800.000 euro”. In dettaglio ad Iliad sono contestate alcune violazioni nelle modalità di raccolta dei dati, ma anche le cosiddette Sim Box, che altro non sono che distiributori automatici di SIM tramite i quali i clienti possono autonomamente inserire tutti i dati e ricevere una nuova SIM. Secondo il Garante infatti queste possono riprendere non solo il volto di colui che sta acquistando una SIM, ma anche di altre persone che passano in quel momento vicino all'obiettivo.

Iliad si è dichiarata molto stupita di questa decisione: nel 2018, anno di lancio sul mercato italiano, Iliad si era presentata come l'operatore onesto a difesa dei diritti dei singoli utenti. Se WindTre non ha rilasciato dichiarazioni dopo l'ingiunzione del Garante, Iliad ha invece pubblicato una nota piuttosto piccata:
"Prendiamo atto con molto stupore della decisione del Garante Privacy poiché abbiamo sempre operato nel massimo rispetto dei nostri utenti e dei loro dati personali. Abbiamo avuto modo di provare al Garante stesso che i nostri sistemi sono sicuri e sono stati predisposti per garantire la maggiore tutela possibile secondo il nuovo approccio e le prescrizioni del GDPR. Ci teniamo a precisare che non è stata accertata alcuna violazione dati né dei diritti degli utenti e che, a differenza degli altri operatori, Iliad non effettua attività di teleselling né marketing aggressivo. Stiamo analizzando il contenuto della decisione nel dettaglio per valutare se procedere con un ricorso."

Entrambe le società sembrano comunque intenzionate a presentare ricorso.