NEWSLETTER N. 441 del 29 maggio 2018

• Privacy violata: 960 mila euro di sanzioni a Tim
• Garante a Fastweb: stop al telemarketing selvaggio
• Vigilanza privata con il GPS: il Garante chiede tutele

Privacy violata: 960 mila euro di sanzioni a Tim
Centinaia di utenze intestate a un cliente ignaro

Il Garante privacy ha ordinato a Tim il pagamento di due sanzioni amministrative pari a  un importo complessivo di 960mila euro per violazioni alla normativa sulla protezione dei dati personali.

La prima sanzione, di 800mila euro, conclude l'iter avviato dal reclamo di un ignaro utente che si è ritrovato intestatario di 826 linee di telefonia fissa e, "moroso" a sua insaputa, si è accorto del problema quando ha iniziato a ricevere dei solleciti di recupero crediti di mancati pagamenti di bollette telefoniche [doc. web n. 9370122].

Le verifiche svolte dall'Autorità hanno accertato l'ingiustificata assegnazione del rilevante numero di utenze telefoniche ad un'unica persona, dovuta - secondo quanto dichiarato da Tim – a non meglio precisati errori avvenuti durante l'attività di migrazione dei dati dei clienti da un sistema di gestione all'altro tra il 2002 e il 2004.

L'erronea intestazione avrebbe interessato anche numerosi altri utenti  e si sarebbe propagata anche ad altri sistemi tra i quali il sistema di fatturazione e il sistema di richiesta anagrafica cliente (Rac). Un sistema, quest'ultimo, particolarmente delicato essendo preordinato a consentire la corretta effettuazione delle verifiche da parte delle forze di polizia e della magistratura (ad es., in caso di intercettazioni o acquisizione di tabulati telefonici).

L'attuale ingiunzione di pagamento segue l'adozione del provvedimento del 6 aprile 2017 con il quale il Garante aveva ritenuto illecito il trattamento di dati personali effettuato da Tim. Con lo stesso provvedimento l'Autorità aveva anche ritenuto negligente e omissiva la condotta tenuta dalla società che, nonostante una segnalazione inviata dall'utente e per un lungo periodo di tempo, non aveva svolto le necessarie verifiche per sanare la posizione del cliente e di quanti si trovavano in situazioni analoghe.

La seconda sanzione del Garante, di 160mila euro, punisce la società telefonica per un caso di data breach avvenuto a fine 2013 [doc. web n. 9370105]. Il malfunzionamento di un sistema di autenticazione aveva comportato la visualizzazione di dati di altri clienti (numero di telefono, credito residuo, indirizzo e-mail, ultime quattro cifre della carta di credito, ove inserite) da parte di chi intendeva avvalersi dei servizi di assistenza on line. L'errato abbinamento dell'utenza ai dati corrispondenti aveva dunque comportato una illecita comunicazione di dati personali a terzi (altri abbonati o persone comunque non legittimate ad accedervi).

Garante a Fastweb: stop al telemarketing selvaggio
Alla società è stata vietata anche la profilazione dei clienti senza il loro consenso

Fastweb dovrà rafforzare il controllo sulla propria rete vendita e dovrà interrompere le telefonate promozionali verso utenti che non hanno espresso il loro consenso o si sono opposti al trattamento dei loro dati per finalità di marketing.

Questa la decisione presa dall'Autorità al termine di una serie di ispezioni avviate per verificare le molteplici segnalazioni di persone che lamentavano di essere state disturbate da call center che proponevano offerte commerciali indesiderate nell'interesse della società [doc. web n. 9358243].

All'esito degli accertamenti (sui contatti commerciali effettuati nell'interesse di Fastweb) da gennaio 2016 a ottobre 2017, sono state riscontrate innumerevoli irregolarità, in particolare relative ad attività di marketing effettuate in assenza del consenso degli interessati. L'Autorità ha anche rilevato un numero considerevole di telefonate verso numerazioni proposte autonomamente dai partner di Fastweb – oltre 8 milioni di telefonate riferibili a 2,7 milioni di persone - e non inserite nelle cosiddette liste di contattabilità trasmesse dalla compagnia telefonica (cd. "fuori lista"). In questi casi la società non era in grado di garantire che le persone contattate non si fossero iscritte al "registro delle opposizioni" o non si fossero comunque opposte a contatti commerciali.

Sono state individuate irregolarità anche nella cosiddetta procedura di "call me back" (richiamami) attivata sul sito web di Fastweb: se l'utente cliccava sul pulsante online per chiedere di essere contattato, autorizzava automaticamente all'utilizzo dei propri dati personali per finalità di marketing e di profilazione. Tale modalità impedisce all'utente di manifestare una scelta realmente libera e specifica per le differenti finalità di trattamento. Il Garante ha inoltre rilevato che alcune forme di profilazione della clientela, come l'indicazione "persona anziana" (riferibile a un milione di individui) oppure "alto" o "basso spendente", erano definite sulla base di dati imprecisi e, comunque, senza aver preventivamente raccolto il consenso informato degli interessati.

A seguito degli accertamenti, Fastweb ha modificato le procedure e aggiornato i propri sistemi per cercare di risolvere i problemi riscontrati. Il Garante della privacy ha comunque vietato alla compagnia telefonica di trattare ulteriormente, per finalità di marketing, i dati di chi non ha manifestato un libero consenso o lo abbia revocato o abbia comunque fatto valere il diritto di opposizione. Ha inoltre vietato di profilare gli utenti senza averli prima informati e aver acquisito, anche in questo caso, il loro consenso.

Ha infine prescritto a Fastweb di controllare l'operato dei propri partner commerciali e il corretto funzionamento della piattaforma informatica utilizzata,  nonché di adottare misure tecniche e organizzative che assicurino il tracciamento di tutte le telefonate promozionali.

L'Autorità ha aperto un autonomo procedimento per contestare le violazioni amministrative già accertate.

Vigilanza privata con il GPS: il Garante chiede tutele

Il Garante privacy ha dato il via libera alla geolocalizzazione, attraverso smartphone e tablet, del personale di una società che effettua servizi di vigilanza privata e trasporto valori, ma ha prescritto misure a tutela della riservatezza dei lavoratori [doc. web n. 9358266].

Con l'applicazione installata sui dispositivi mobili si intende garantire la sicurezza delle pattuglie e l'ottimizzazione delle assegnazioni e distribuzioni degli interventi e consentirà  di inviare segnali di allarme in caso di pericolo.

I dati di geolocalizzazione raccolti,  le coordinate del dispositivo e  la velocità del veicolo saranno conservati  per un periodo non superiore alle 24 ore, fatte salve speciali esigenze, e il trattamento dati dovrà cessare al termine dell'attività lavorativa con la riconsegna a fine servizio dei dispositivi  da parte dei dipendenti. Le guardie dovranno attivare l'applicazione mediante codice identificativo e password fornita dalla centrale operativa.

Le guardie giurate non saranno direttamente identificate dal sistema e l'accesso in tempo reale ai dati di localizzazione effettuato dal personale autorizzato della centrale operativa sarà previsto solo in caso di necessità ed emergenza.

L'Autorità ha ritenuto il trattamento dei dati che la società intende effettuare lecito, necessario e proporzionato, anche in considerazione della specifica disciplina che prevede l'adozione di peculiari misure tecniche di controllo con geolocalizazione per il trasporto di contanti.

Il Garante ha però chiesto,  a maggiore tutela dei lavoratori, di posizionare sul dispositivo un'icona che indichi che la localizzazione è attiva e di configurare il sistema in modo tale da oscurare la posizione geografica dei dipendenti decorso un dato periodo di inattività dell'operatore sul monitor della centrale operativa.

I dati raccolti dal sistema potranno essere consultati dagli addetti alla centrale operativa e dalla direzione informatica della società muniti di apposite credenziali e profili autorizzativi, in particolare per l'estrazione dei dati. A ulteriore tutela dei dipendenti sarà escluso l'utilizzo dei dati per finalità di controllo dei lavoratori o per scopi disciplinari.

La società dovrà fornire alle guardie un'idonea informativa che consenta l'esercizio dei diritti.

In conformità a quanto previsto dallo Statuto dei lavoratori  la società si è impegnata a procedere alla convocazione delle rappresentanze sindacali  per sottoscrivere uno specifico accordo o, in mancanza di questo, ad acquisire l'autorizzazione del competente organo del Ministero del Lavoro.

L'ATTIVITÁ DEL GARANTE - PER CHI VUOLE SAPERNE DI PIÚ
Gli interventi e i provvedimenti più importanti recentemente adottati dall'Autorità

- Protezione dei dati: garanzia di libertà nella società digitale. Intervento di Antonello Soro, Presidente dell'Autorità Garante per la protezione dei dati personali, in occasione della piena applicazione del Regolamento (UE) 2016/679  - 25 maggio 2018

- Protezione dati: da oggi si applica in Italia il Regolamento Ue - Comunicato del 25 maggio 2018

- Protezione dati: approvato il Protocollo che aggiorna la Convenzione 108 - Comunicato del 21 maggio 2018

- Responsabile della Protezione dei Dati - Disponibile la procedura per la comunicazione dei dati di contatto - Comunicato del 18 maggio 2018

- "Regolamento UE. La protezione dei dati è un diritto di libertà". Lo spot del Garante in onda sui canali radio e tv della Rai - Comunicato del 27 aprile 2018

- Un software per la valutazione di impatto - 27 aprile 2018

AGGIORNAMENTO DELL'INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Gentile utente, a seguito della definitiva applicazione del Regolamento (UE) 2016/679, il Garante per la protezione dei dati personali ha aggiornato l'informativa sul trattamento dei dati personali degli iscritti alla sua newsletter. Il testo è consultabile qui: http://www.garanteprivacy.it/home/stampa-comunicazione/newsletter.

NEWSLETTER
del Garante per la protezione dei dati personali (Reg. al Trib. di Roma n. 654 del 28 novembre 2002).
Direttore responsabile: Baldo Meo.
Direzione e redazione: Garante per la protezione dei dati personali, Piazza di Monte Citorio, n. 121 - 00186 Roma.
Tel: 06.69677.2752 - Fax: 06.69677.3755
Newsletter è consultabile sul sito Internet www.garanteprivacy.it