L'Autorità Garante per la protezione dei dati personali (il “Garante Privacy”) ha irrogato una sanzione pari a 27 milioni e 800 mila Euro nei confronti di TIM S.p.A. (“TIM” o la “Società”) a seguito di numerosi trattamenti effettuati, nell’ambito di attività di marketing, in violazione delle norme del Regolamento UE 679/2016 (“GDPR”), in considerazione, altresì, dell’elevato numero di soggetti coinvolti. SEGNALAZIONI E RECLAMI Nel periodo compreso tra gennaio 2017 e i primi mesi del 2019, il Garante Privacy ha ricevuto numerose segnalazioni e reclami relativi a: ATTIVITÀ ISTRUTTORIA DEL GARANTE PRIVACY A seguito delle segnalazioni di cui sopra, il Garante Privacy ha avviato un’attività ispettiva che ha visto coinvolto anche il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche della Guardia di Finanza. Insieme, hanno così riscontrato numerose violazioni commesse, nell’ambito di attività di marketing, da parte di TIM. In particolare, il Garante Privacy ha constatato che, durante le campagne promozionali, la Società (o i suoi partner commerciali) contattava soggetti “prospect” (ovvero soggetti non clienti) pur in assenza di un loro consenso. È quindi emerso che TIM gestiva in modo errato le liste di esclusione dalle campagne commerciali (cd. “Black List”). In particolare, le Black List non venivano aggiornate a seguito del diniego espresso dagli interessati nel corso del contatto telefonico di tipo commerciale/promozionale e le Black List di TIM e dei suoi partner commerciali non risultavano allineate tra loro, comportando incongruenze tra le utenze presenti nelle Black List di TIM e quelle presenti nelle diverse Black List dei partner commerciali. Inoltre, questi ultimi effettuavano chiamate promozionali verso numerazioni non presenti nelle liste di contattabilità, in assenza di consenso degli interessati o di altra base giuridica idonea a giustificare tali trattamenti. È stato altresì riscontrato che TIM non aveva gestito in modo adeguato le richieste di esercizio dei diritti da parte degli interessati, né dando tempestivo riscontro a tali richieste né registrando l’avvenuto esercizio del diritto nei suoi sistemi. Infatti, si è rilevato che era consueto che i clienti venissero contattati dalla Società per fini commerciali nonostante avessero esercitato il diritto di opposizione. L’attività ispettiva ha inoltre evidenziato che TIM conservava, nel suo CRM (“Customer Relationship Management”), i dati di clienti di altri operatori, ai quali offriva solo servizi di rete e infrastrutture, nel mancato rispetto dei termini di conservazione dei dati (10 e 5 anni, a seconda dei casi) e che la stessa utilizzava tali dati per fini commerciali. Con riferimento alla manifestazione del consenso, il Garante Privacy ha riscontrato che lo stesso non era prestato in modo libero, specifico e consapevole. In particolare, TIM subordinava la possibilità di aderire al programma "TIM Party", che prevedeva sconti e premi per i clienti, al rilascio del consenso per le attività promozionali. In tal modo, la volontà degli interessati risultava condizionata. Questi ultimi, infatti, non erano in grado di poter esprimere liberamente il loro consenso in ordine alle distinte finalità perseguite da TIM, ulteriori rispetto all’adesione al programma “TIM Party”, e alla fruizione dei relativi vantaggi. Inoltre, in relazione alle informative disponibili nelle App per i clienti (i.e. “My TIM”, “TIM Personal” e “TIM Smart Kid”), il Garante Privacy ha rilevato che TIM forniva informazioni non corrette e non trasparenti sul trattamento dei dati. In particolare, TIM imponeva ai clienti, unitamente ai “termini di servizio”, l’accettazione dell’informativa privacy con richiesta di un unico consenso per diverse finalità di trattamento, tra le quali rilevano, inter alia, le finalità di marketing, di geolocalizzazione e di comunicazione a terzi per finalità promozionali. Infine, sono state accertate ulteriori criticità nella gestione di episodi di data breach, i quali non erano stati notificati da TIM nel rispetto dei termini richiesti dal GDPR ed erano stati gestiti in modo difforme rispetto a quanto richiesto dal Garante Privacy, in particolare, non prevedendo l’adozione di misure finalizzate a diminuire i rischi per i diritti e le libertà degli interessati. SANZIONE Alla luce di quanto sopra e viste le numerose violazioni in materia di trattamento di dati personali, il Garante Privacy ha irrogato una sanzione ex art. 83 par. 3 del GDPR, ai sensi del quale, nell’ambito di un trattamento o di trattamenti collegati, se il titolare del trattamento viola (con dolo o colpa) varie disposizioni del GDPR, l’importo totale della sanzione amministrativa pecuniaria non può superare l’importo indicato per la violazione più grave. Nel caso in esame, la violazione più grave era riconducibile al mancato rispetto dei principi di liceità del trattamento (quindi violazione degli artt. 6 e 7 del GDPR), rientrando così nell’ambito di applicazione della sanzione ex. art. 83 par. 5 lett. a) del GDPR, da determinarsi in misura pari fino al 4% del fatturato annuo della Società. Il quantum della sanzione, ovvero 27 milioni e 800 mila Euro, è stato calcolato tenendo in considerazione soprattutto il numero elevato di interessati, l’ampia portata dei trattamenti; la gravità delle violazioni e la durata significativa delle stesse, nonché il carattere doloso e gravemente negligente delle condotte poste in essere da TIM, in contrasto con il principio di accountability. Inoltre, il Garante Privacy ha considerato, quale elemento significativo per la commisurazione della sanzione, i numerosi provvedimenti, già adottati nei confronti di TIM, di tipo inibitorio, prescrittivo e sanzionatorio, nonché il vantaggio economico ottenuto da TIM derivante dalle attività illecite di trattamento dei dati personali dei suoi clienti e non. MISURE CORRETTIVE In aggiunta alla sanzione pecuniaria di cui sopra, il Garante Privacy ha imposto a TIM venti misure correttive, tra divieti e prescrizioni. In particolare, ha vietato alla Società l’uso per finalità di marketing dei dati (i) dei soggetti che avevano espresso, ai partner commerciali, il loro diniego a ricevere telefonate promozionali; (ii) dei soggetti presenti in black list; e (iii) dei soggetti prospect che non avevano prestato il consenso. La Società, inoltre, non potrà più utilizzare i dati della clientela raccolti mediante le App “My TIM”, “TIM Personal” e “TIM Smart Kid” per finalità diverse dall’erogazione dei servizi, senza un consenso libero e specifico degli interessati. Fra le prescrizioni, il Garante Privacy ha ingiunto a TIM di (i) verificare la consistenza delle black list e di allinearle con quelle dei partner commerciali; (ii) rivedere il programma “TIM Party” e consentire l’accesso dei clienti a sconti e concorsi a premi eliminando il consenso obbligato al marketing; (iii) verificare la procedura per l’attivazione di tutte le App; (iv) specificare sempre, con linguaggio chiaro e comprensibile, i trattamenti svolti con l’indicazione delle finalità perseguite e delle modalità di trattamento utilizzate, acquisendo un valido consenso; (v) implementare le misure tecniche ed organizzative relative alla gestione delle richieste di esercizio dei diritti degli interessati e rafforzare le misure volte ad assicurare la qualità, l’esattezza e il tempestivo aggiornamento dei dati personali trattati dai diversi sistemi della società. Le misure e le implementazioni richieste dovranno essere introdotte e comunicate al Garante Privacy in tempi stabiliti, mentre il pagamento della sanzione dovrà essere effettuato entro trenta giorni.