di Federica De Stefani, avvocato e responsabile Aidr Regione Lombardia

Dopo il primo provvedimento del Garante per la privacy per violazione del Regolamento Europeo 2016/679, emesso nei confronti di Eni Gas e Luce, arriva un nuovo provvedimento sanzionatorio, questa volta nei confronti di Tim per un importo di 27,8 milioni di euro.
Le violazioni contestate riguardano la ricezione di chiamate promozionali, quindi con finalità di marketing, effettuate in mancanza di un valido consenso da parte dell’utente o addirittura nonostante l’utenza fosse iscritta nel Registro pubblico delle opposizioni. In alcuni casi, addirittura, le persone contattate avevano espressamente manifestato alla società la propria volontà di non essere contattate per finalità di marketing.
La violazione avrebbe interessato alcuni milioni di persone nell’intervallo temporale tra il gennaio 2017 e l’inizio del 2019.
La società non avrebbe neppure dimostrato di conoscere alcuni aspetti fondamentali relativi ai trattamenti dei dati personali effettuati dalle società (call center) incaricate da TIM di effettuare le attività di marketing contravvenendo in questo modo al generale principio di accountability introdotto dalla normativa in tema di protezione dei dati personali.
Sono risultati non in linea con le disposizioni del Regolamento Europeo 2016/679 anche la gestione di alcune app destinate alla clientela, applicazioni per le quali non sono state fornite informazioni trasparenti circa il trattamento dei dati e non sono state rispettate le disposizioni normative in tema di acquisizione del consenso, nonché la gestione dei data breach e l’implementazione dei sistemi che trattano dati personali.
L’Autorità, oltre alla sanzione amministrativa, ha imposto alla società diverse misure correttive che tendono al corretto trattamento dei dati degli utenti. In particolare, tra le altre, non potranno essere più utilizzati i dati di coloro che avevano espressamente dichiarato di non voler ricevere comunicazioni con finalità di marketing, i dati acquisiti attraverso alcune app non potranno essere utilizzati per finalità diverse da quella dell’erogazione del servizio, salvo l’espresso consenso dell’interessato, dovranno essere controllate e aggiornate le c.d. “black list”.
Il pagamento della maxi sanzione dovrà essere effettuato nel termine di 30 giorni, mentre le misure e le implementazioni richieste dal Garante per la privacy dovranno essere introdotte e comunicate all’Autorità in tempi stabiliti.