Il Garante per la privacy ha ordinato a Wind Tre S.p.A. il pagamento di una sanzione di 600 mila euro per gravi violazioni della normativa sulla protezione dei dati personali nel corso di attività di marketing telefonico, anche tramite sms. La sanzione è giunta a seguito di un provvedimento adottato prima dell’entrata in vigore del nuovo Regolamento Europeo, con il quale il Garante, sulla base di numerose segnalazioni, aveva dichiarato illecito il trattamento dei dati dei clienti effettuato dalla società telefonica e vietato l’ulteriore uso di tali dati a fini di marketing. Wind Tre aveva infatti usato senza consenso i dati dei clienti a fini promozionali e sempre senza consenso li aveva comunicati alla rete dei partner commerciali. Il trattamento illecito è derivato principalmente da due violazioni. La prima ha riguardato la mancata verifica delle liste di chi non desiderava essere contattato a scopi pubblicitari (“black list”), detenute dalla società, nelle quali erano presenti i segnalanti. La seconda è dipesa da una sistematica e prolungata comunicazione illecita di dati della clientela a terzi, cioè appunto ai partner commerciali. La società infatti aveva erroneamente qualificato la maggior parte dei punti vendita come titolari autonomi, anziché come responsabili del trattamento, incorrendo così in una illecita comunicazione. Nel definire l’importo dovuto, l’Autorità ha tenuto conto della gravità delle violazioni contestate, come il fatto che siano stati impiegati differenti canali di contatto (telefonate, sms) con esponenziale aumento dell’invasività delle campagne promozionali, ma anche – in termini favorevoli – del fatto che Wind Tre abbia posto in essere autonome iniziative per eliminare le criticità prima ancora dell’adozione del provvedimento di divieto, poi ulteriormente rafforzate per adeguarsi alle novità introdotte dal Regolamento Ue. La società ha proceduto al pagamento della sanzione nei termini previsti. Cambridge Analytica: conclusa l’istruttoria, il Garante privacy prepara sanzioni
Altri trattamenti illeciti emersi dagli accertamenti
Il Garante per la privacy ha concluso l’istruttoria avviata nei confronti di Facebook per il “caso Cambridge Analytica”. Al termine delle verifiche effettuate è risultato che i dati dei cittadini italiani acquisiti tramite l’App “Thisisyourdigitalife” (il test della personalità ideato per raccogliere le informazioni personali oggetto di profilazione), benché non siano stati trasmessi a Cambridge Analytica, sono stati comunque trattati in modo illecito, in assenza di idonea informativa e di uno specifico consenso. Pertanto il Garante ne ha vietato l’ulteriore trattamento e si è riservato di avviare un separato procedimento sanzionatorio. Nel corso della medesima istruttoria è inoltre emerso uno specifico trattamento di dati personali dei cittadini italiani acquisiti in occasione delle elezioni politiche del 4 marzo 2018, mediante un prodotto, denominato “Candidati”, installato sulla piattaforma del social network. Tale prodotto consentiva agli elettori che fornivano il proprio indirizzo postale di avere informazioni sui candidati della propria circoscrizione elettorale e sui loro programmi. Facebook, pur affermando di non registrare informazioni su come gli utenti si fossero orientati su tali profili, conservava i file di log delle loro azioni per un periodo di 90 giorni, per poi estrarne “matrici aggregate” non meglio definite. Inoltre, nel giorno delle elezioni appariva sul newsfeed degli utenti di Facebook un messaggio che sollecitava la condivisione dell’essersi o meno recati al voto e ad esprimere opinioni sull’importanza dello stesso. Il Garante ha rilevato che queste due funzioni di Facebook, specificamente concepite e rivolte ai cittadini italiani in prossimità delle elezioni, non sono previste tra le finalità indicate nella “data policy” della piattaforma.
C.S. Garante per la Privacy
