Con il provvedimento dello scorso 12 dicembre, il Garante ha sanzionato Wind Tre S.p.A. per inadeguato controllo sui propri partner commerciali in merito alla corretta raccolta dei consensi per finalità di marketing e il conseguente illecito contatto telefonico avvenuto in assenza di un idoneo consenso.
In seguito ad alcune segnalazioni presentate da numerosi interessati, il Garante ha avviato, in data 25 novembre 2023 e 29 febbraio 2024, tre procedimenti volti a verificare la liceità dei trattamenti dei dati personali effettuati da WindTre per finalità promozionali su liste fredde acquistate da propri partner commerciali e l’adeguatezza delle misure tecniche e organizzative adottate dalla società per lo svolgimento di adeguati controlli sui propri responsabili del trattamento incaricati della realizzazione delle campagne promozionali.
Le contestazioni
Prova del consenso raccolto per finalità di marketing e validità dei consensi registrati
1. Acquisizione dei consensi da parte dei partner
Nel corso dell’accertamento ispettivo è emerso come un partner della Società aveva attivato dei contratti contattando telefonicamente 5 numerazioni estratte da una lista realizzata da una società con sede in Moldavia, attraverso il sito www.listeprofilate.com, che non aveva provveduto a nominare un proprio rappresentante in UE come previsto dall’art. 27 del GDPR. Il Garante ha inoltre rilevato delle discrepanze tra il periodo di conservazione previsto nell’informativa privacy presente sul predetto sito - che stabiliva un termine di retention di 24 mesi per finalità promozionali e di 12 per la profilazione – e il report consensi di Wind Tre, nel quale era contemplata una conservazione generica dei consensi sino a 3 anni dalla raccolta.
I contatti telefonici sarebbero avvenuti oltre il periodo di validità dei consensi raccolti e la società non sarebbe stata in grado di comprovare la legittimazione di tali contatti commerciali con eventuali campagne di refresh di tali consensi.
Allo stesso modo, il Garante ha rilevato l’illiceità del trattamento effettuato da WindTre per finalità di contatto commerciale verso numerazioni presenti in liste fredde acquisite da un altro partner il quale, al momento della raccolta dei relativi consensi, prevedeva, all’interno dell’informativa privacy, la validità dei consensi prestati fino all’avvenuta revoca da parte degli interessati. Sul punto il Garante ha rilevato che una formulazione generica sui tempi di conservazione dei dati non può essere comunque considerata adeguata in quanto il consenso può ritenersi, sì valido fino a revoca, ma comunque entro limiti temporali di conservazione che devono necessariamente essere stabiliti dal titolare e resi noti attraverso l’informativa privacy. Tale previsione illecita sui tempi di conservazione dei consensi acquisiti dal partner era, peraltro, agilmente rilevabile dalla società.
L’autorità garante italiana ha pertanto contestato a WindTre di non aver provveduto ad effettuare adeguate verifiche sui propri partner rilevando l’illiceità dei consensi da questi raccolti.
2. Sulle modalità di registrazione e documentazione dei consensi raccolti
L’autorità italiana ha altresì rilevato come, in alcuni casi, nella documentazione contenente IP e timestamp dei consensi rilasciati dagli utenti non era presente una legenda che fornisse indicazioni di dettaglio su tali consensi. Nella documentazione messa a disposizione dalla società era presente una generica voce riguardante il “consenso a terzi” con solo delle caselle valorizzate a “si”.
In altri casi, inoltre, non era indicato il momento in cui tale consenso era stato rilasciato, con conseguente impossibilità di risalire al momento in cui tali consensi erano stati effettivamente prestati e/o modificati dagli utenti.
3. Contatti indesiderati
Il Garante ha inoltre contestato alla società l’illecito contatto telefonico effettuato nei confronti di un utente il quale, pur prestando a un partner commerciale il proprio consenso, aveva in precedenza esercitato il proprio diritto di opposizione nei confronti di WindTre, rea di non aver effettuato un’adeguata verifica sulle liste acquisite volte a rilevate l’eventuale opposizione degli utenti nei propri confronti. Come rilevato anche dall’autorità italiana, “il consenso rilasciato ad un partner, anche se agisce in qualità di responsabile del trattamento, non può superare il diniego espressamente manifestato nei confronti del committente, titolare del trattamento”.
Nel caso di specie, l’utente aveva negato tutti i consensi facoltativi sin dall’attivazione dell’utenza cellulare lamentandosi della ricezione di contatti indesiderati; in tale contesto, prosegue il Garante “è evidente la sua volontà, e la relativa aspettativa, di non essere contattata per conto di Wind Tre indipendentemente dal fatto che l’interessata abbia successivamente conferito il suo consenso ad un terzo [..] in quanto lo specifico diniego espresso nei confronti del titolare prevale sul generale consenso rilasciato al terzo e dunque è onere del titolare, una volta ricevuta la lista, verificare che in essa non siano presenti dati di soggetti che hanno manifestato la volontà di non essere contattati per conto di Wind Tre. Se così non fosse, sarebbe molto facile aggirare eventuali dinieghi degli interessati e per questi ultimi sarebbe impossibile far valere il proprio diritto a non ricevere contatti indesiderati”.
Mancata comunicazione al Garante di un Data Breach
Da ultimo, il Garante ha rilevato la violazione dell’art. 33 del GDPR per la mancata notifica dell'avvenuta violazione di dati personali che ha coinvolto i dati personali di un cliente WindTre che erano apparsi nel profilo utente di un soggetto diverso a causa della rimozione di alcuni controlli di sicurezza alla funzione di login dell’area personale che ha modificato alcuni criteri di verifica dei dati presenti nel CRM.
Consensi, come essere compliant?
In considerazione delle indicazioni fornite dal Garante per la protezione dei dati personali nel provvedimento oggetto della presente analisi, nonché degli orientamenti precedentemente espressi, si rende necessario evidenziare i seguenti aspetti relativi alla corretta acquisizione e registrazione dei consensi.
I consensi devono essere acquisiti mediante strumenti tecnici idonei a fornire una prova certa della volontà degli interessati, i quali devono essere adeguatamente informati anche relativamente ai termini di validità dei consensi prestati.
Pertanto, in sede di raccolta dei consensi, i) devono essere acquisiti non solo l’indirizzo IP e il relativo timestamp, ma devono essere documentabili anche i termini temporali in cui il consenso è stato inizialmente rilasciato ed, eventualmente, modificato in un momento successivo; ii) i report di gestione dei consensi devono inoltre fornire una rappresentazione granulare e specifica dei consensi raccolti; iii) il titolare deve essere inoltre in grado di dimostrare quale informativa privacy fosse reperibile dall’interessato nel momento in cui tali consensi siano stati prestati ed, eventualmente, modificati in un momento successivo; iv) l’informativa privacy deve contenere previsioni specifiche in merito ai termini temporali di validità dei consensi acquisiti, ritenendosi illecite le previsioni eccessivamente generiche che richiamano alla validità dei consensi illimitati fino a revoca da parte degli interessati.
Avv.Simona Lanna e Dott.ssa Alice Dal Bello
