g-docweb-display Portlet

Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 ENGLISH VERSION

Telemarketing aggressivo. Dal Garante privacy sanzione a Vodafone per 12 milioni 250 mila euro

Il Garante per la protezione dati personali - composto da Pasquale Stanzione, Ginevra Cerrina Feroni, Agostino Ghiglia e Guido Scorza - ha ordinato a Vodafone il pagamento di una sanzione di oltre 12 milioni e 250 mila euro per aver trattato in modo illecito i dati personali di milioni di utenti a fini di telemarketing. Oltre al pagamento della multa, la società dovrà adottare una serie di misure dettate dall’Autorità per conformarsi alla normativa nazionale ed europea sulla tutela dei dati.

Il provvedimento conclude una complessa istruttoria avviata dal Garante a seguito di centinaia di segnalazioni e reclami di utenti che lamentavano continui contatti telefonici indesiderati, effettuati da Vodafone e dalla sua rete di vendita, per promuovere i servizi di telefonia e internet offerti dall’ azienda.

Gli accertamenti svolti dall’Autorità hanno evidenziato importanti criticità “di sistema” - che riguardano la violazione non solo dell'obbligo del consenso, ma anche dei fondamentali principi di responsabilizzazione e di implementazione delle tutele privacy fin dalla fase di progettazione dei trattamenti, stabiliti dal Regolamento Ue. Criticità riconducibili al complesso delle operazioni svolte dalla società nei confronti sia dell’intera base clienti di Vodafone, sia del più ampio ambito dei potenziali utenti del settore delle comunicazioni elettroniche.

Nel corso dell’istruttoria è emerso, in particolare, un allarmante fenomeno di utilizzo di numerazioni fittizie o comunque non censite nel Registro degli Operatori di Comunicazione (Roc) per realizzare i contatti promozionali. Un fenomeno, avvertito dalla stessa Vodafone, che sembra ricondursi in massima parte ad un “sottobosco” di call center abusivi, che effettuano attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali.

Ulteriori profili di violazione sono stati rilevati nella gestione delle liste dei nominativi da contattare acquisite da fornitori esterni. Liste che i partners commerciali di Vodafone avevano ricevuto da altre aziende e trasferito all’operatore telefonico senza il necessario consenso libero, informato e specifico degli utenti.  

Sono risultate inadeguate anche le misure di sicurezza dei sistemi di gestione della clientela, profilo sul quale l’Autorità aveva già ricevuto numerosi reclami e segnalazioni da parte di clienti che erano stati contattati da sedicenti operatori Vodafone, i quali chiedevano l’invio di documenti di identità mediante Whatsapp, probabilmente con finalità di spamming, phishing o per la realizzazione di altre attività fraudolente.

Alla luce delle violazioni riscontrate, il Garante Privacy ha applicato una sanzione di 12.251.601,00 euro.

L’Autorità ha quindi ordinato a Vodafone di introdurre dei sistemi che consentano di comprovare che i trattamenti a fini di telemarketing si svolgano nel rispetto delle disposizioni in materia di consenso. La società dovrà inoltre dimostrare che i contratti siano attivati solo a seguito di chiamate promozionali effettuate dalla sua rete di vendita, attraverso numerazioni censite e iscritte al Roc. Vodafone dovrà anche irrobustire le misure di sicurezza al fine di impedire accessi abusivi ai database dei clienti e fornire pieno riscontro alle richieste di esercizio dei diritti formulate da alcuni utenti.

Il Garante, infine, ha vietato a Vodafone ogni ulteriore trattamento di dati con finalità promozionali o commerciali svolto mediante l’acquisizione di liste anagrafiche da soggetti terzi, senza che questi ultimi abbiano acquisito un consenso specifico, libero e informato dagli utenti per la comunicazione dei loro dati.

Roma, 16 novembre 2020


 

Aggressive telemarketing practices: Vodafone fined over 12 million Euro by Italian DPA

The Italian data protection supervisory authority (Garante per la protezione dei dati personali) ordered Vodafone to pay a fine in excess of Euro 12,250,000 on account of having unlawfully processed the personal data of millions of users for telemarketing purposes. As well as having to pay the fine, the company is required to implement several measures set out by the Garante in order to comply with national and EU data protection legislation.

This decision marks the final step in a complex proceeding that the Garante had initiated following hundreds of complaints and alerts submitted by users against unsolicited phone calls made by Vodafone and/or the company’s sales network in order to promote telephone and Internet services.

The investigations carried out by the Garante brought to light major criticalities of a ‘structural’ nature having to do with the violation not only of consent requirements, but also of key principles such as accountability and data protection by design as set forth in the EU GDPR. These criticalities could be traced down to the processing activities performed both in respect of Vodafone’s customer database and – more broadly – with regard to prospective users of electronic communications services.

More specifically, one of the most worrying findings of the investigations was the use of fake telephone numbers or numbers that were not registered with the ROC (i.e. the National Consolidated Registry of Communication Operators) in order to place the marketing calls. This practice is under Vodafone’s own spotlight and is seemingly related to a shady set of unauthorised call centres that carry out telemarketing activities in utter disregard of personal data protection legislation.

Additional violations could be established as for the handling of contact lists purchased from external providers. Those lists had been obtained by Vodafone business partners from other companies and had been transferred to Vodafone without the users’ required free, informed, and specific consent.

Customer resource management security measures were also found to be inadequate. In this respect, several complaints and alerts had been submitted to the Garante by customers who had been contacted by operators purporting to be acting on Vodafone’s behalf and requesting IDs to be sent to them via WhatsApp – quite likely for purposes related to spamming, phishing or other fraudulent activities.

Taking account of the infringements found in the course of the proceeding, the Italian Garante imposed a fine amounting to Euro 12,251,601.00.

Further, the Garante ordered Vodafone to implement systems to demonstrate that processing for telemarketing purposes complies with consent requirements. Vodafone will be required additionally to provide proof that contractual arrangements are activated only following telemarketing calls placed by their own sales network through numbers that are registered with the ROC. Stronger security measures will have to be implemented by the company to prevent unauthorised accesses to the customer database, and the company was also ordered to reply in full to certain data subject rights requests.

Finally, the Garante banned Vodafone from further processing data for marketing or commercial purposes where such data are acquired from third parties that have not obtained the users’ free, specific, and informed consent to data disclosure.

Rome, 16 November 2020