Dettaglio news
Iliad: sanzione di 800.000€ e interventi sulla gestione Privacy da parte del Garante


mercoledì 2 settembre 2020
Avv. Gianni Dell’Aiuto



 

Forse era inevitabile che le prima vittime delle pesanti sanzioni previste dal GDPR fossero le grandi aziende delle comunicazioni: probabilmente verrà il turno di altre che, come nel presente caso, potrebbero essere destinatarie anche di ulteriori provvedimenti che possono influire pesantemente sull’organizzazione aziendale. La vicenda prende le mosse da più segnalazioni nei confronti di Iliad per la gestione dei dati dei clienti nel momento della loro acquisizione per finalità promozionali e per le misure di conservazione.

Dall’istruttoria sono emerse violazioni fin dalla pagina web dell’operatore: qui era era stata predisposta una procedura nella quale era obbligatoria per il cliente la spunta di una casella con la quale si dichiarava di avere preso visione e accettazione delle condizioni generali, della carta dei servizi, della brochure con i prezzi e dell’informativa sul trattamento dati. Tutta documentazione raggiungibile tramite appositi link. Peraltro i trattamenti elencati erano di natura sia obbligatoria sia facoltativa, e, nel caso di quelli volti a finalità di marketing, era necessario apposito consenso: modalità che però il Garante non ha ritenuto adeguatamente chiara e consona all'espressione di un consenso libero, data la struttura e la formulazione delle indicazioni del sito.

Singolare l’aspetto trattato nel provvedimento del Garante in cui si affronta il consenso al trattamento per finalità promozionali. Il Garante rilevava infatti sul sito la presenza di un’apposita casella da spuntare per prestare il consenso a detta attività, ma Iliad ha fatto presente come il consenso dell’utente non venisse registrato in quanto l’azienda non svolge attività di marketing dirette. Emergeva pertanto l’ultroneità della clausola nell’informativa ed un consenso inutile dato che, in quanto non registrato, non se ne sarebbe potuta dimostrare una corretta acquisizione. Anche in una futura attività di marketing.

Il Garante rilevava anche alcune irregolarità nelle Simbox, ovvero le postazioni per l’attivazione delle sim card, in merito alle telecamere utilizzate che potevano riprendere altre persone estranee all'iter di attivazione SIM: Iliad ha dovuto porre in essere misure correttive che, peraltro, il Garante ha ritenuto insufficienti, optando per una ammonizione all'azienda ad implementarle ulteriormente.

Più grave la violazione rilevata in ordine alla possibilità per gli amministratori del “customer care”, che potrebbero visualizzare solo determinate tipologie di dati, di poter accedere a dati di traffico telefonico in chiaro degli utenti. Dati oltretutto conservati oltre il limite temporale di sei mesi previsto dal Codice e usando solo username e password, senza autenticazione al momento dell’accesso. Non di poco rilievo anche il fatto che i dati personali e quelli di traffico non venissero tenuti opportunamente separati. 

Nella sua decisione sul punto il Garante non ha dimenticato di rimarcare come l’accesso ai dati di traffico telefonico e telematico da parte dei fornitori debba essere consentito solo ad incaricati specificamente autorizzati e sulla base di preventivo utilizzo di specifici sistemi di autenticazione. In particolar modo, dopo il termine di sei mesi, il personale addetto alla fatturazione non deve più avere alcuna forma di accesso a tali dati, che dovrebbero essere riservati alle sole figure autorizzate ad accedervi per finalità di giustizia. Valutata inoltre una complessiva negligenza da parte dell’azienda nell’applicazione delle norme in materia di trattamento e protezione dei dati, tenuta presente anche l’ampia portata dei trattamenti e l’esposizione di dati di traffico telefonico, nonché una scarsa cooperazione da parte di Iliad a fronte dei rilievi mossi, il Garante ha optato per una sanzione pari “solamente” al 4% di quella massima edittale di venti milioni di euro: 800.000,00. 

Il provvedimento dovrebbe indurre le aziende non solo ad una piena applicazione del GDPR, ma anche a tenere presente che, oltre alla sanzione economica, il Garante può imporre anche misure di correzione ed adattamento alla normativa privacy che portrebbero generare ulteriori ingenti costi ad un’azienda ed incidere sulla sua organizzazione. Ad Iliad, infatti, è stato imposto di adeguarsi al GDPR entro centoventi giorni dal provvedimento, imponendo anche la comunicazione delle iniziative intraprese all’Authority entro il più breve termine di trenta giorni.

 




CONDIVIDI QUESTA PAGINA!