The trend of unlawful data processing by well-known telecommunications operators for unsolicited promotional activities through telephone contact continues.
The Italian Data Protection Authority (after this also referred to as “the Authority”) started investigations following numerous reports received from various interested parties, who complained of being contacted with insistence for promotional purposes by or on behalf of Fastweb S.p.A.
At the end of the investigation, the Authority ascertained the unlawful processing of the data of the persons concerned and imposed a fine of €4,501,868.00 on the Company. The Authority also ordered Fastweb to immediately adjust the processing carried out, in accordance with Regulation (EU) 679/2016 (GDPR), requiring the Company to adopt all the necessary security measures to reduce unauthorized access to user data.
In particular, the investigations conducted by the Authority revealed the activity of unauthorized call centers, which unlawfully carried out telemarketing activities using fictitious and unregistered numbers. The data of the users, moreover, had been acquired by third parties in the absence of the consent of the interested parties or of any other legal basis legitimating the treatment.
Accordingly, in order no. 112 of 25 March 2021, the Data Protection Authority ruled that Fastweb had violated, among other things, Articles 5, 6, and 7 of the GDPR, as it had acquired lists of personal data from third parties without the necessary consent from the data subjects. The same telephone company, as a data controller, would have also violated the obligations under Articles 24 and 32 of the GDPR for failing to put in place adequate security measures to ensure compliance with the GDPR.
In addition, the Authority highlighted the seriousness of the violations committed by Fastweb, in light of the particular pervasiveness of the illicit contacts in the context of the telemarketing activity carried out: in addition to the proven disturbance of individual tranquility and the right to privacy, the interested parties were exposed to further serious risks, including identity theft. In this regard, the Authority had received several reports from the users themselves, who complained of having received requests, via instant messaging, from call centers offering alternative commercial offers on behalf of Fastweb or other telephone companies, for copies of their identity documents.
The Authority also found that undue access to company databases had led to spamming and phishing activities, with a high risk of identity theft.
Therefore, with this measure, the Authority ordered Fastweb to adapt its telemarketing operations to provide for and prove the use in carrying out promotional activities, only of telephone contacts registered in the ROC (Register of Communication Operators). The Authority also ordered the Company to reformulate the information relating to the “Call me back” service and to adapt the security measures for access to its databases, to eliminate, or at least reduce, the risk of unauthorized access and processing that does not comply with the purposes of data collection. Finally, the Data Protection Authority forbade Fastweb from using the personal data lists of third parties without the specific, free and informed consent of those concerned.
****
TELEMARKETING AGGRESSIVO E PRIVACY: SANZIONATA FASTWEB PER 4 MILIONI E MEZZO DI EURO
Persiste la tendenza al trattamento illecito di dati da parte di noti operatori delle telecomunicazioni per attività promozionale indesiderata tramite contatto telefonico.
Il Garante per la protezione dei dati personali (di seguito anche solo “il Garante” o “l’Autorità”), infatti, ha avviato degli accertamenti a seguito di numerose segnalazioni pervenute da diversi soggetti interessati, i quali lamentavano di essere stati contattati con insistenza per fini promozionali da parte o per conto di Fastweb S.p.A..
All’esito dell’istruttoria, l’Autorità ha accertato il trattamento illecito dei dati degli interessati, infliggendo alla Società una sanzione pecuniaria di 4.501.868,00 euro. Il Garante ha ordinato, inoltre, a Fastweb l’immediato adeguamento dei trattamenti effettuati, in conformità al Regolamento (UE) 679/2016 (GDPR), prescrivendo alla Società l’adozione di tutte le misure di sicurezza necessarie a ridurre accessi non autorizzati ai dati degli utenti.
In particolare, gli accertamenti condotti dall’Autorità hanno rilevato l’attività di call-center abusivi, i quali effettuavano illecitamente attività di telemarketing per mezzo di numeri fittizi e non censiti. I dati degli utenti, peraltro, erano stati acquisiti da soggetti terzi in assenza di consenso degli interessati o di altra base giuridica legittimante il trattamento.
Pertanto, con provvedimento n. 112 del 25 marzo 2021, il Garante ha accertato in capo alla Società la violazione, tra l’altro, degli artt. 5, 6 e 7 del GDPR, per avere Fastweb acquisito liste di anagrafiche da parte di soggetti terzi in assenza del necessario consenso degli interessati alla comunicazione dei propri dati personali. La stessa compagnia telefonica, quale titolare del trattamento, avrebbe altresì violato gli obblighi di cui agli artt. 24 e 32 del GDPR, per aver omesso di porre in essere misure di sicurezza adeguate a garantire la conformità del trattamento al GDPR.
Con il provvedimento in commento, inoltre, il Garante ha evidenziato la gravità delle violazioni commesse da Fastweb, alla luce della particolare pervasività dei contatti illeciti nell’ambito dell’attività di telemarketing svolta: gli interessati, infatti, oltre al comprovato disturbo della tranquillità individuale e del diritto alla riservatezza, sono stati esposti ad ulteriori gravi rischi, compreso il furto di identità. Al riguardo, l’Autorità aveva ricevuto diverse segnalazioni da parte degli stessi utenti, i quali lamentavano di aver ricevuto richiesta, tramite messaggistica istantanea, da parte di call-center che proponevano offerte commerciali alternative per conto di Fastweb o di altre compagnie telefoniche, di copia dei propri documenti di identità.
E’ stato, altresì, accertato dall’Autorità che gli accessi indebiti ai database aziendali avevano determinato attività di spamming e phishing, con elevato rischio di furti di identità.
Con il provvedimento in parola, quindi, il Garante ha prescritto a Fastweb di adeguare i trattamenti in materia di telemarketing, in modo da prevedere e comprovare l’utilizzo, nello svolgimento dell’attività promozionale, solo di contatti telefonici censiti ed iscritti al ROC (Registro degli Operatori di Comunicazione). L’Autorità ha, inoltre, prescritto alla Società di riformulare l’informativa relativa al servizio “Call me back” e di adeguare le misure di sicurezza per l’accesso ai propri database, al fine di eliminare, o quanto meno ridurre, il rischio di accessi non autorizzati e di trattamenti non conformi alle finalità di raccolta dei dati. Infine, il Garante ha vietato a Fastweb di utilizzare liste anagrafiche di soggetti terzi, in assenza di un consenso specifico, libero ed informato acquisito dagli stessi interessati.