L’Autorità garante per la protezione dei dati personali conferma ancora una volta l’attenzione verso il telemarketing, comminando una sanzione a WindTre S.p.A. per trattamento illecito di dati personali a fini promozionali e per inadeguate misure tecniche e organizzative in grado di preservare la privacy dei clienti all’interno delle aree riservate del sito di WindTre.
La sanzione segue tre distinti procedimenti avviati dal Garante Privacy ma trattati unitariamente in quanto vertenti su materia analoghe. In particolare: il primo procedimento è stato avviato a seguito di una verifica d'ufficio volta al controllo delle attività di trattamento attuate per finalità promozionali nell'ambito delle più generali attività di contrasto al telemarketing selvaggio; il secondo procedimento deriva da reclamo relativo all'invio di comunicazioni promozionali senza consenso; il terzo procedimento deriva da reclamo a seguito di una violazione di dati personali. Primo procedimento L'istruttoria è stata avviata d'ufficio dal Garante Privacy, nell'ambito delle sue funzioni di sorveglianza, in seguito al provvedimento numero 143 del 9 luglio 2020, che aveva imposto delle prescrizioni a Wind Tre. L'attività ispettiva si è concentrata sulla verifica delle procedure di telemarketing adottate dalla Società con particolar riguardo a contratti attivati recentemente e alcune numerazioni segnalate al Garante. Inoltre, sono stati richiesti ulteriori dettagli riguardo alle attivazioni di servizi di comunicazione elettronica, con specifici dati separati per “consumer” e “business”. Questo ha portato a scoprire alcuni profili che l'Ufficio ha ritenuto potenzialmente costituire trattamenti illeciti di dati personali ed in particolare: utilizzo di numerazioni non iscritte al ROC; insufficiente capacità di comprovare il consenso degli interessati per finalità promozionali e validità dei consensi registrati: la leggenda del relativo timestamp allegata dalla Società non includeva le formule di richiesta dei consensi e delle informative rese agli interessati al momento della raccolta dei dati; non piena validità degli ip timestamp: nei documenti di prova del consenso erano riportati degli IP timestamp che, pur attestando le date di registrazione ai rispettivi siti da cui erano stati raccolti i dati non documentavano anche la data di rilascio dei singoli consensi (che risultavano comunque differenziati per finalità). Se infatti il conferimento di un consenso può essere contestuale alla registrazione ad un sito web, resta comunque possibile la revoca del consenso successivamente oppure che un consenso non rilasciato al momento dell'iscrizione venga modificato in data successiva; tale circostanza peraltro si è verificata in un caso in cui la Società ha dichiarato che i consensi erano stati utilizzati oltre il termine di 24 mesi perché” rinnovati” dal partner; comunicazioni promozionali effettuate in assenza di consenso; chiamate effettuate a numerazioni non autorizzate da Wind Tre. La Società ha altresì adottato ulteriori misure di sicurezza per prevenire il verificarsi di violazioni: sistema Campaign Management (CM): le attività di telemarketing di Wind Tre sono centralizzate tramite l'CM che traccia le chiamate effettuate dai partner e i relativi esiti. Il sistema è stato integrato con i CRM dei partner tramite API per eliminare l'inserimento manuale e l'invio di liste. Se un cliente revoca il consenso durante una chiamata, il sistema registra la richiesta e la aggiunge alla black list; corsi di formazione sulla gestione dei dati personali, estesi anche ai partner, e una pagina web per segnalare chiamate indesiderate; app “Please don't call” per filtrare chiamate indesiderate; un sistema di controllo della filiera che include verifiche automatiche per garantire il rispetto delle regole e l'uso della tecnologia blockchain per tracciare il processo; una procedura di accreditamento dei partner che include questionari dettagliati e verifiche a campione, nonché audit sui partner sia da remoto che in presenza In seguito all'ispezione, la Società ha dichiarato di effettuare una “check call” sul 100% dei contratti attivati e di utilizzare numerazioni civetta nelle liste affidate ai partner. Inoltre, dopo aver sospeso l'uso di liste fredde per il ramo consumer, Wind Tre ha adottato il sistema double opt-in per confermare la volontà dell'utente. Secondo procedimento Il 18 ottobre 2021 è stato presentato al Garante Privacy un reclamo relativo alla ricezione di un SMS indesiderato. Durante l'istruttoria, la Società ha spiegato che l'invio, che aveva coinvolto esclusivamente il reclamante, era stato causato da un'anomalia tecnica: l'utenza assegnata al reclamante era stata dismessa da un precedente intestatario senza però disattivare i consensi precedentemente dati. Successivamente, il 9 ottobre 2023, lo stesso reclamante ha segnalato la ricezione di un ulteriore SMS, nonostante le rassicurazioni ricevute da WindTre riguardo all'inserimento del suo numero in una black list per evitare contatti. In questa occasione, la Società ha attribuito l'invio a un errore umano derivato dalla creazione del campione di destinatari. Quest'ultimo campione era stato formato estraendo dal database segmentazioni specifiche alle quali erano stati associati determinati requisiti, tra cui il consenso alla ricezione di messaggi promozionali. Tuttavia, l'operatore, durante le fasi successive, ha erroneamente collegato questi requisiti a una sola delle province coinvolte nella campagna, includendo così anche i clienti senza consenso per tutte le altre province. La Società ha altresì: sostituito la piattaforma utilizzata per la realizzazione delle campagne con un nuovo sistema che impedirà automaticamente l'invio di messaggi a utenze prive di consenso; informato i clienti coinvolti per rimediare prontamente all'incidente ed effettuato controlli a campione per verificare i consensi registrati nel CRM aziendale. Alla luce dei chiarimenti forniti nonché delle misure adottate dalla Società, il Garante Privacy ha archiviato la contestazione in quanto l'incidente è stato causato da un errore imprevedibile senza provocare danni per l'interessato. Terzo procedimento Un cliente di WindTre ha presentato un reclamo al Garante Privacy, lamentando di aver visualizzato i dati di un altro cliente durante l'accesso alla propria area personale. In merito, la Società ha spiegato che l'incidente è stato causato da un errore nell'inserimento del codice cliente durante la registrazione. Questo ha determinato un'associazione errata dei dati, anche a causa del fatto che l'altro cliente non era registrato nell'area clienti. L'accesso non autorizzato è stato poi attribuito a una recente modifica della funzione di login, che ha comportato l'eliminazione del codice fiscale tra le credenziali necessarie per accedere nonché di un controllo che verificava la corrispondenza tra il codice fiscale e l'anagrafica del CRM associata al codice cliente. Tale cambiamento era stato introdotto per semplificare l'accesso, evitando l'inserimento di dati non necessari per l'autenticazione. Nel caso specifico, quando il reclamante ha inserito un codice cliente errato durante la registrazione, tale codice è stato associato erroneamente a un altro cliente non registrato, generando l'associazione errata tra l'utenza e i dati del CRM. Dopo l'incidente, la Società ha adottato misure di sicurezza aggiuntive, ripristinando il controllo sulla corrispondenza tra CLI e codice cliente anche per gli utenti non registrati nell'area personale. Il Garante Privacy ha evidenziato che la rimozione dei controlli di sicurezza senza una valutazione adeguata delle possibili conseguenze ha comportato un accesso non autorizzato ai dati di un altro cliente. Pertanto, le misure tecniche adottate dalla Società al momento dell'incidente sono considerate inadeguate, configurando una violazione degli articoli 5, par. 1, lett. f), 32 e 33 del GDPR. Difatti, la notifica al Garante Privacy relativa alla violazione di dati personali era necessaria nel caso di specie. Violazioni A seguito dei tre procedimenti avviati, il Garante Privacy ha rilevato ed accertato le seguenti violazioni: a) articolo 5, par. 2, 24 e 28 GDPR: mancato rispetto dell'obbligo di accountability in capo al titolare e per inadeguato controllo sui responsabili per i trattamenti finalizzati alla realizzazione di campagne promozionali; b) articolo 5, par. 1, lett. a), 6, par. 1 e 7 GDPR nonché articolo 130 del Codice Privacy: assenza di idonea base giuridica per i trattamenti svolti per finalità promozionali; c) articolo 5, par. 1, lett. f) e 32 del GDPR: inadeguate misure tecniche adottate, all'epoca dell'evento segnalato, per abilitare l'accesso all'area personale degli utenti; d) articolo 33 GDPR: mancata notifica dell'avvenuta violazione di dati personali al Garante Privacy. Sanzione Nell'irrogazione della sanzione, il Garante Privacy ha tenuto conto di alcuni elementi attenuanti tra cui: basso livello di danno subito dagli interessati; misure implementate dal titolare; cooperazione con il Garante Privacy; categorie di dati interessati, trattandosi di dati comuni. Conclusioni È evidente come il Garante Privacy continui a confermare la necessità di misure tecniche e organizzative di sicurezza che possano arginare il fenomeno del telemarketing selvaggio e come siano necessari ulteriori dettagli ai fini della validità degli ip timestamp come prova del consenso raccolto da parte del titolare del trattamento. Non è infatti sufficiente la data di registrazione dell'utente al sito web ma è altresì necessaria la data di rilascio del consenso da parte dell'utente.