Il Garante per la protezione dei dati personali, (“Garante”) ha inflitto nuovamente una sanzione pecuniaria a una società di telecomunicazioni per violazioni del GDPR nelle sue pratiche di telemarketing.
Punti principali
L’indagine è scaturita a seguito di reclami da parte di più utenti che hanno ricevuto chiamate promozionali senza il loro consenso. Le evidenze hanno rivelato molteplici violazioni del GDPR e del Codice Privacy, in particolare per quanto riguarda le pratiche di telemarketing e l’inadeguatezza delle misure di sicurezza. Le questioni principali includevano:
- Comunicazioni promozionali non autorizzate: è stato riscontrato che l’azienda aveva intrapreso attività di telemarketing senza aver ottenuto il valido consenso delle persone contattate. Alcuni di questi contatti sono stati effettuati utilizzando elenchi di dati acquistati, con riferimento a tali elenchi l’azienda non ha verificato adeguatamente se tali persone avessero fornito il consenso esplicito. Inoltre, alcuni consensi erano scaduti o erano stati ritirati, ma l’azienda non ha aggiornato i propri registri di conseguenza, con il risultato di un trattamento dei dati continuato oltre il periodo di conservazione prefissato.
- Mancanza di adeguate misure di sicurezza e di processi di risposta agli incidenti: un incidente di sicurezza si è verificato quando un cliente ha inavvertitamente avuto accesso ai dati personali di un altro individuo attraverso il portale online dell’azienda. Questa violazione è stata ricondotta a controlli di autenticazione insufficienti, evidenziando carenze nei protocolli di sicurezza dell’azienda. L’incidente ha rivelato debolezze sistemiche nei meccanismi di verifica degli utenti dell’azienda, che avrebbero potuto portare ad un accesso non autorizzato alle informazioni sensibili dei clienti su larga scala. Nonostante il chiaro rischio per le persone dovuto alla violazione della sicurezza, la società non ha prontamente informato il Garante, come richiesto dall’articolo 33 del GDPR. Secondo quanto previsto dal GDPR, difatti, le aziende devono segnalare una violazione dei dati entro 72 ore, a meno che non sia improbabile che comporti un rischio per le persone. In questo caso, la mancata notifica ha suggerito una svista nei processi interni di risposta agli incidenti dell’azienda e una sottovalutazione del potenziale impatto della violazione sulla privacy dei clienti.
La sanzione
A seguito di queste violazioni, il Garante ha imposto una sanzione pecuniaria di 347.520 euro. Oltre alla sanzione pecuniaria, alla società è stato richiesto di attuare misure correttive, tra cui la revisione delle pratiche di gestione del consenso, il miglioramento dell’infrastruttura di sicurezza dei dati e una maggiore trasparenza nelle attività di marketing.
Conclusioni
Questo caso evidenzia ancora una volta come le pratiche di telemarketing siano soggette a un attento esame da parte del Garante. In effetti, la maggior parte delle multe più elevate inflitte dal Garante in materia di GDPR riguardano violazioni della privacy legate a pratiche di telemarketing. L’esecuzione di pratiche di telemarketing richiede solide misure tecniche e organizzative rafforzate da procedure interne e da un monitoraggio delle terze parti coinvolte nella fornitura dei servizi.
Su un argomento simile può essere d’interesse l’articolo “Il Garante Privacy ha sanzionato un’azienda per violazioni nelle sue pratiche di telemarketing“.
