Verso il GDPR, la sanzione a Vodafone

Verso il GDPR, le conseguenze delle violazioni in materia di raccolta del consenso e trattamento dei dati. Il caso Vodafone

Come abbiamo già avuto modo di dire, il 25 maggio 2018 diventerà a tutti gli effetti efficace (a meno di improbabili proroghe) il GDPR, il nuovo regolamento europeo per la protezione dei dati personali dei cittadini europei. Molte aziende e professionisti stanno iniziando a sentire la pressione della data incombente, ma sarà davvero una rivoluzione di portata immane? Per certi versi sì, in primis dal punto di vista concettuale e culturale. Certo, ci sono poi gli adeguamenti operativi che non sono né immediati né sempre semplici da capire. Ma sarebbe un errore credere che il 25 maggio coincida con l’Armageddon per chi tratta e gestisce dati personali. Per dimostrarlo ecco una case history che mostra come il Garante abbia sanzionato un importante operatore di telefonia mobile anche prima dell’avvento del GDPR.

Le sanzioni prima del GDPR: cosa è successo a Vodafone

Accade a ciascuno di noi ogni giorno, spesso più volte al giorno: riceviamo chiamate da call center che hanno l’obiettivo di proporci promozioni oppure, più spesso, di cercare di convincerci a passare da un operatore di telefonia o da un fornitore di corrente elettrica a un altro. Niente di nuovo per chiunque disponga di un cellulare o di una linea fissa. Praticamente tutti, oggi giorno.

Gli operatori di call center fanno il loro lavoro, su questo non ci piove. Ma è altrettanto certo che talvolta questo tipo di chiamata possa risultare fastidioso, magari perché ci interrompono nel bel mezzo dell’attività lavorativa o perché non siamo interessati all’ennesima offerta di cambio operatore.

Generalmente risolviamo la questione attaccando il telefono, sbuffando e via, riprendiamo con le nostre attività convinti che qualsiasi segnalazione a chi di dovere sia perfettamente inutile. Sbagliato! Circa un mese fa, infatti, nello stupore generale i nostri consulenti in materia di privacy Pier Giorgio Bollati e Debora Pagano di Deeperformance hanno ricevuto la newsletter del Garante della Privacy nella quale si parlava di un provvedimento ai danni di Vodafone a seguito delle indagine effettuate dal Garante stesso. Più o meno contemporaneamente, anche sui giornali è rimbalzata la notizia di una sanzione a carico dell’operatore telefonico per “telemarketing selvaggio”.

Caso Vodafone, qual è la violazione?

Dopo numerose segnalazioni inviate al Garante da cittadini che lamentavano persistenti offerte commerciali indesiderate da parte della compagnia telefonica e dei suoi partner commerciali, sono iniziate le indagini. Indagini che hanno coperto un periodo di 18 mesi, nei quali le autorità hanno rilevato l’invio di 22 milioni di sms e l’effettuazione di 2 milioni di chiamate in assenza di un valido consenso al trattamento dei dati personali da parte degli interessati. Chiamate e sms che hanno coinvolto anche coloro che aveva richiesto inequivocabilmente di “non essere chiamati mai più“: questi soggetti venivano inseriti in un elenco di contatti “sospesi” ma non venivano mai eliminati del tutto dal database aziendale.

Le irregolarità rilevate dal Garante in materia di trattamento e gestione dei dati personali e di acqusizione dei consensi sono dunque diversi e pertanto pare che i controlli non siano conclusi ma proseguiranno spostandosi nelle sedi commerciali.

Non è finita. Oltre a quanto già spiegato, le autorità hanno contestato a Vodafone anche una parte dell’informativa fornita ai clienti al momento della ricarica del credito telefonico. Nell’informativa, infatti, era inserito tra le diverse finalità l’invio di newsletter senza che il cliente potesse esprimere chiaramente un consenso alla ricezione.

In definitiva, tale modo di operare è stato dichiarato illecito dal Garante che ha sottolineato come la compagnia telefonica non abbia tenuto conto della realtà volontà degli interessati.

A Vodafone è stato dunque intimato di interrompere immediatamente le attività in essere. Non solo: tra le prescrizioni la più interessante riguarda “l’adozione di opportune misure tecnico-organizzative“, espressione che sancisce il definitivo passaggio dalle “misure minime” del Codice Privacy (allegato B) alle misure previste dal Regolamento Europeo, il GDPR.

Dal canto suo, Vodafone ha fatto sapere che “a seguito delle verifiche ispettive relative alle condotte realizzate nel periodo gennaio 2016-giugno 2017, l’azienda ha già messo in atto, a partire dall’estate 2017, misure volte a evitare contatti indesiderati nei confronti della clientela. Vodafone, attualmente impegnata in un articolato programma di adeguamento alla normativa europea (GDPR), intende infatti garantire una piena conformità alle disposizioni in materia di trattamento dei dati personali”. Non è detto che questo sia considerato sufficiente dall’autorità Garante, che potrebbe decidere di comminare una multa, come già accaduto in passato per Tim.

Effetto GDPR? Non possiamo naturalmente esserne certi, ma quanto accaduto deve sicuramente far riflettere rispetto ai futuri controlli che il Garante effettuerà, in particolare a partire dal 25 maggio.

 

Pier Giorgio Bollati e Debora Pagano – Consulenti privacy Deeperformance