E’ durato poco il primato di 11,5 milioni della duplice multa infiltta ad Eni Gas e Luce per trattamenti illeciti di dati in ambito di telemarketing. Il Garante Privacy ha infatti reso noto di aver irrogato con Provvedimento datato 15 gennaio 2020 una sanzione di 27.802.946 euro a TIM SpA per numerosi trattamenti illeciti di dati legati all’attività di marketing del provider di telecomunicazione. Trattasi della sanzione più alta mai registrata in Italia in relazione all’inosservanza della disciplina sulla tutela dei dati personali.

Dal gennaio 2017 ai primi mesi del 2019, all’Autorità erano pervenute centinaia di segnalazioni relative, in particolare, alla ricezione di chiamate promozionali indesiderate effettuate senza consenso o nonostante l’iscrizione delle utenze telefoniche nel Registro pubblico delle opposizioni, oppure ancora malgrado il fatto che le persone contattate avessero espresso alla società la volontà di non ricevere telefonate promozionali. Irregolarità nel trattamento dei dati venivano lamentate anche nell’ambito dell’offerta di concorsi a premi e nella modulistica sottoposta agli utenti da Tim.

A fronte di ciò, il Garante ha avviato un’attività istruttoria lunga e complessa che si è avvalsa del contributo del Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Al termine sono emerse numerose e gravi violazioni della disciplina in materia di protezione dei dati personali che hanno interessato nel complesso alcuni milioni di persone. Il Garante ha rilevato che:

  • Tim ha dimostrato di non avere sufficiente contezza di fondamentali aspetti dei trattamenti di dati effettuati (accountability) ai sensi del GDPR.
  • Tra i milioni di telefonate promozionali effettuate in sei mesi nei confronti di “non clienti”, i call center incaricati da Tim hanno, in molti casi, hanno contattato gli interessati senza il loro consenso. Una persona è stata adirittura chiamata 155 volte in un mese.
  • In circa duecentomila casi, sono state contattate anche numerazioni “fuori lista”, cioè non presenti negli elenchi delle persone contattabili di Tim.
  • C’è stata assenza di controllo da parte della società sull’operato di alcuni call center;
  • Si è riscontrata l’errata gestione e il mancato aggiornamento delle black list dove vengono registrate le persone che non vogliono ricevere pubblicità;
  • Si ricorreva all’acquisizione obbligata del consenso a fini promozionali per poter aderire al programma “Tim Party” con i suoi sconti e premi.
  • Nella gestione di alcune app destinate alla clientela, sono state fornite informazioni non corrette e non trasparenti sul trattamento dei dati e sono state adottate modalità di acquisizione del consenso non valide.
  • In alcuni casi è stata utilizzata modulistica cartacea con richiesta di un unico consenso per diverse finalità, inclusa quella di marketing.
  • La gestione dei data breach non è poi risultata efficiente, così come inadeguate sono risultate l’implementazione e la gestione da parte della Società dei sistemi che trattano dati personali (con violazione del principio di privacy by design).
  • Disallineamenti sono emersi tra le black list di Tim e quelle dei call center incaricati, così come per le registrazioni audio dei contratti stipulati telefonicamente (verbal order).
  • Le utenze di clienti di altri operatori, detenute da Tim in quanto gestore delle Reti, sono state conservate per un tempo superiore ai limiti di legge e inserite, senza il consenso degli interessati, in alcune campagne promozionali.

Il provvedimento del Garante ha carattere non solo sanzionatorio ma anche:

  • inibitorio: l’Autorità ha vietato a TIM l’uso a fini di marketing dei dati di chi aveva espresso ai call center il proprio diniego a ricevere telefonate promozionali, dei soggetti presenti in black list e dei “non clienti” che non avevano dato il consenso; stesso dicasi per gli utenti delle app che non hanno potuto rilasciare specifico consenso al marketing;
  • prescrittivo: sono imposte a TIM diverse misure correttive tra cui l’implementazione di più efficiente sistema di gestione dei diritti degli interessati.

Nel determinare la sanzione complessiva per le molteplici violazioni rilevate, il Garante ha tenuto conto di alcuni elementi che aggravano la posizione di TIM quali:

  • il numero di interessati coinvolti (nell’ordine dei milioni di persone);
  • l’ampio margine temporale che l’azienda ha avuto per adeguarsi alle disposizioni del GDPR (le cui prescrizioni, benché in forza dal maggio 2018, erano note fin dal maggio 2016) in consapevolezza del fatto di essere il provider oggetto di maggiori segnalazioni e lagnanze in tema di data protection;
  • il fatto che, pur essendo già stata in passato destinataria di vari provvedimenti inibitori, prescrittivi e sanzionatori del Garante proprio con riguardo alla stessa tipologia di violazioni, TIM non pare dissuasa dal porre in essere pratiche di marketing non conformi alla normativa di privacy. E nemmeno altri provvedimenti avversi all’azienda con riguardo trattamenti illeciti non concernenti attività di marketing (vedasi, ad esempio, la sanzione da 960.000 euro comminata nel 2018 per data breach e intestazione di centinaia di utenze ad un soggetto ignaro) pare abbiano indotto un nuovo atteggiamento volto ad uno scrupoloso adeguamento della normativa;
  • benché TIM fosse a conoscenza delle ultime indagini del Garante sulle sue condotte, le segnalazioni e i reclami da parte dei cittadini sono a tutt’oggi persistenti.

Il Garante, d’altro canto, in una complessiva ottica di necessario bilanciamento fra diritti degli interessati e libertà di impresa e in via di prima applicazione delle sanzioni amministrative pecuniarie previste dal GDPR, ha ritenuto di dover valutare prudentemente la quantificazione della pena “anche al fine di limitare l’impatto economico della sanzione sulle esigenze organizzative, funzionali ed occupazionali della Società“.

Per questo, a fronte della sanzione edittale massima (che avrebbe potuto ammontare a 556.058.923,00 euro, pari al 4% del fatturato di TIM, ossia 13.901.473.076 euro, e non del più elevato fatturato del gruppo Telecom), il Garante ha ritenuto di applicare una sanzione amministrativa pari allo 0,2% del fatturato corrispondente a 27.802.946 euro.

L’ammontare così determinato è sufficiente ha stabilire il record di sanzione più elevata finora comminata in Italia, non solo dall’entrata in vigore del GDPR, ma anche a far data dal 1996 quando fu promulgata nel nostro Paese la prima legge organica sulla privacy. E’ quindi già soppiantato il primato che era appena stato stabilito poche settimane or sono con gli 11,5 milioni di sanzione inflitti ad Eni Luce e Gas per marketing illecito.

In epoca GDPR il Garante Privacy aveva già sanzionato le pratiche di marketing dei principali operatori concorrenti di TIM. Nel 2018 una multa da 800.000 euro era state comminata Vodafone mentre a Fastweb veniva ingiunto il pagamento di una sanzione da 600.000 euro. Identica sorte pecuniaria toccò a Wind Tre nel febbraio 2019. Somme, queste, che oggi come ordine di grandezza rappresentano solo i decimali della multa milionaria inflitta a TIM.

La cifra di 27,8 milioni non è tuttavia in grado di scalfire le prime posizioni della classifica relativa maggiori sanzioni GDPR imposte a livello UE dalle varie Data Protection Authority. Sul podio restano: