L’Autorità Garante per la protezione dei dati personali (Garante per la protezione dei dati personali) ha condannato Vodafone al pagamento di una sanzione pecuniaria superiore a Euro 12.250.000 per aver trattato illecitamente i dati personali di milioni di utenti per finalità di telemarketing. L’azienda, oltre a dover pagare la sanzione, è tenuta ad attuare alcuni provvedimenti previsti dal Garante al fine di ottemperare alla normativa nazionale e comunitaria sulla protezione dei dati.

Questa decisione segna il passaggio finale di un complesso procedimento che il Garante aveva avviato a seguito di centinaia di reclami e segnalazioni inoltrate dagli utenti contro telefonate non richieste effettuate da Vodafone e / o dalla rete di vendita dell’azienda al fine di promuovere servizi telefonici e Internet.

Le indagini svolte dal Garante hanno portato alla luce le principali criticità di natura ‘strutturale’ relative alla violazione non solo dei requisiti di consenso, ma anche di principi cardine quali accountability e data protection by design come previsti dal GDPR dell’UE . Tali criticità potrebbero essere ricondotte alle attività di trattamento svolte sia nei confronti del database clienti di Vodafone sia – più in generale – nei confronti dei potenziali utenti di servizi di comunicazione elettronica.

In particolare, uno dei rilievi più preoccupanti delle indagini è stato l’utilizzo di numeri telefonici falsi o non registrati presso il ROC (ovvero il Registro Nazionale Consolidato degli Operatori di Comunicazione) per effettuare le chiamate di marketing. Questa pratica è sotto i riflettori di Vodafone ed è apparentemente correlata a un set ombroso di call center non autorizzati che svolgono attività di telemarketing in totale disprezzo della legislazione sulla protezione dei dati personali.

Ulteriori violazioni potrebbero essere stabilite per il trattamento di elenchi di contatti acquistati da fornitori esterni. Tali elenchi erano stati ottenuti da partner commerciali Vodafone di altre società ed erano stati trasferiti a Vodafone senza il consenso libero, informato e specifico richiesto dagli utenti.

Anche le misure di sicurezza per la gestione delle risorse dei clienti sono risultate inadeguate. A questo proposito, diversi reclami e avvisi erano stati presentati al Garante da clienti che erano stati contattati da operatori che pretendevano di agire per conto di Vodafone e richiedevano che gli ID fossero inviati loro tramite WhatsApp – molto probabilmente per scopi legati a spamming, phishing o altre attività fraudolente.

Il Garante italiano, tenuto conto delle infrazioni accertate nel corso del procedimento, ha irrogato una sanzione per Euro 12.251.601,00.

Inoltre, il Garante ha ordinato a Vodafone di implementare sistemi per dimostrare che l’elaborazione per finalità di telemarketing è conforme ai requisiti del consenso. Vodafone sarà inoltre tenuta a fornire la prova che gli accordi contrattuali sono attivati ​​solo a seguito di chiamate di telemarketing effettuate dalla propria rete di vendita attraverso numeri registrati presso il ROC. La società dovrà implementare misure di sicurezza più rigorose per impedire accessi non autorizzati al database dei clienti e alla società è stato inoltre ordinato di rispondere integralmente a determinate richieste di diritti degli interessati.

Infine, il Garante ha vietato a Vodafone l’ulteriore trattamento dei dati per finalità di marketing o commerciali laddove tali dati fossero acquisiti da soggetti terzi che non hanno ottenuto il consenso libero, specifico ed informato degli utenti alla comunicazione dei dati.

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DALL’EUROPEAN DATA PROTECTION BOARD – EDPB