Il Garante per la protezione dei dati personali ha adottato il provvedimento n.176 in materia di violazione di dati personali e sicurezza informatica nei confronti di Telecom Italia.
Nel lungo provvedimento del Garante sono state rilevate una molteplicità di violazioni della disciplina in materia di protezione dei dati personali.
La vicenda
La vicenda trae origine dal reclamo di un interessato che aveva lamentato l’illecito trattamento dei propri dati personali in relazione all’ingiustificata attivazione, a suo nome e senza che ne avesse conoscenza, di un elevato numero di linee telefoniche (ben 816) da parte di Telecom.
La contestazione riguardava anche l’indebita comunicazione delle sue informazioni di contatto a ad una pluralità di società di recupero crediti e l’inserimento del proprio codice fiscale in un numero assai elevato di fatture trasmesse ai reali intestatari delle menzionate linee telefoniche.
Di qui i numerosi reclami presentati a Telecom e alcune istanze di accesso ai sensi dell’art. 7 del Codice rivolte alla stessa, già a partire dal 2014, al fine di accertare, tra l’altro, l’esatto numero di linee a sé associate; al riguardo la Società rispondeva, con riscontro ritenuto inidoneo, che il codice fiscale dell’interessato «era stato associato a 42 utenze telefoniche “cessate”, intestate e in uso a soggetti terzi».
Ispezione del Garante
Il Garante fa una ispezione a dicembre 2016 e nel corso degli avvenuti accertamenti è emerso che le erronee associazioni «hanno interessato un novero più ampio di clienti, allo stato non precisamente delimitabile», come si intuisce da una ricerca su abbonati a campione negli ultimi 10 anni.
Deve inoltre essere segnalata la condotta negligente e omissiva tenuta dalla Società la quale, durante un assai ampio arco temporale, anche in tempi successivi alla segnalazione dell’erroneità delle predette assegnazioni, in violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), non ha svolto le necessarie verifiche che avrebbero potuto assicurare l’approntamento di rimedi nei confronti del reclamante anzitutto e, quindi, di quanti si trovano in una situazione analoga.
La suddetta responsabilità non è venuta meno, ed anzi si è aggravata, con l’inerzia tenuta dalla Società dopo che, pur avendo avuto, in più occasioni, notizia dell’accaduto dal reclamante nonché da altri clienti, anche in relazione all’erroneo inserimento in fattura del codice fiscale del reclamante (v. infra punto 4.3.2), non ha dato prova di aver posto in essere alcuna idonea misura per definire il perimetro dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli in capo al reclamante, anzitutto, ma anche, come si è visto, in capo agli altri clienti interessati da quanto verificatosi.
Misure prescritte
Il Garante ha prescritto alla società di adottare entro 120 giorni, l’effettuazione di puntuali verifiche in tutti i sistemi della Società volte ad individuare l’eventuale erronea ricorrenza di discordanze tra i dati riferiti all’intestatario della linea telefonica e l’intestatario della fattura, dando comunicazione degli esiti al Garante ai sensi dell’art. 157 del Codice entro i successivi 15 giorni, specificando gli addotti vincoli di natura regolatoria che non consentirebbero di contattare gli interessati ed indicando possibili misure ed accorgimenti a tutela degli stessi
Inoltre, prescrive che l’attività di “bonifica” nei riguardi della clientela interessata sia puntualmente documentata anche attraverso l’indicazione, per ciascuna numerazione e per ciascun codice fiscale oggetto di intervento, delle operazioni effettuate.
Ancora, è stato previsto l’obbligo di notiziare, con cadenza mensile, i terzi destinatari di comunicazione illecita di dati, via via individuati, dell’erronea assegnazione di linee telefoniche, al fine di consentire le necessarie rettifiche, dandone quindi informazione agli interessati e al Garante. E altresì è stato prescritto di informare gli interessati con cadenza mensile di quali siano i terzi destinatari via via individuati.
L’Autorità ha disposto idonee misure organizzative affinchè in caso di discordanza tra l’intestatario della linea e l’intestatario della fattura, vengano effettuate preventive verifiche volte a scongiurare che soggetti che non rivestono la qualifica di debitore vengano ingiustificatamente contattati.
Infine, ha prescritto, nelle ipotesi di discordanza, l’obbligo del personale di Customer Care di provvedere alla tempestiva segnalazione alle funzioni interne della società cui verrà rimesso il compito di effettuare le “bonifiche”.