The Italian Data Protection Authority sanctions Wind Tre for 17 million euros

  • Posted By Pierangela Rodilosso
  • |
  • 7 August 2020
  • |
  • 0 comments

Sharing is caring!

 With an injunction order of 9 July 2020, the Italian Data Protection Authority has sanctioned Wind Tre S.p.A. for approximately € 17 million for unlawful processing of data related to promotional activities.

With the aforementioned measure, the Authority has addressed the issues of teleselling, telemarketing and promotion in the field of telephony, with particular reference to the issues of the consent of the interested subjects and the accountability of the Data Controller. In particular, the numerous complaints received have highlighted the receipt of unwanted promotional contacts made by telephone, SMS, e-mail, fax or automated calls and, in many cases, the receipt of contacts even after the revocation of consent or the exercise of the right of opposition. There were also complaints about the publication, never authorized, of personal data in telephone directories and the impossibility of obtaining their cancellation from Wind Tre.

As a result of the investigation, the Authority pointed out that Wind Tre’s conduct was clearly circumventing the principles of accountability and privacy by design enshrined in EU Regulation 2016/679, as the Company was able, on the basis of the tools in its possession, to assess the risks associated with the processing and, consequently, to prepare adequate technical and organizational measures.

In any case, considering the Company’s collaborative conduct and the corrective safety measures adopted, the Guarantor has deemed it possible to quantify the penalty in the amount of Euro 16,729,600.00, corresponding to 8% of the maximum applicable penalty of Euro 209,120,000.00 (equal to 4% of turnover).

In determining the penalty, the Authority considered the following aspects to be relevant:

  • the wide scope of the processing and the large number of data subjects involved;
  • the seriousness of the violations carried out through illegal contacts. Indeed:
  • the conduct sanctioned was potentially detrimental to the rights to the protection of personal data, individual peace of mind and confidentiality;
  • the procedures for collecting data through apps such as MyWind and My3 were such, according to the Authority, that they were able to freely express the will of the data subjects with regard to the processing of their data and, therefore, their fundamental right to self-determination;
  • it was particularly difficult for those concerned to stem the phenomenon of unwanted marketing, partly because of inadequate management of the right of opposition, there was a wide variety of illegal conduct;
  • serious organisational shortcomings were found, leading to the violation of the principles of privacy by design, accountability and accuracy of data published in telephone directories and the implementation of a parallel data collection chain in defiance of data protection legislation;
  • the significant duration of the violations;
  • the malicious nature of certain conduct, including the incorrect information given to the interested parties in the app installation procedure, but also the way in which consent was obtained through the apps, which did not ensure their free expression;
  • the grossly negligent nature of some treatments;
  • the existence of a previous sanction against Wind Tre for similar conduct;
  • the existence of significant current and potential economic benefits to the Company from promotional activities.

In addition to the pecuniary administrative sanction, the Authority has ordered against Wind Tre:

  • the prohibition of processing of data relating to data subjects who had given their consent via the MyWind and My3 apps;
  • the prohibition of the processing of data for marketing purposes of all data subjects for which the Company had not been able to document the collection of appropriate consent.

 

In addition, the Authority has enjoined the Company to:

  • adopt suitable procedures so that those who opposed the processing of their data were not contacted by third parties operating as independent data controllers;
  • adopt technical-organisational measures suitable for carrying out an effective control over the processing chain, in order to avoid promotional contacts with subjects who had not given suitable consent;
  • correcting system misalignments in order to prevent unauthorised publication of personal data in public telephone directories;
  • communicate, within thirty days of the date of the measure, the steps taken to implement it.

In the decision in question, therefore, the Authority has addressed the issue of consent, especially if collected through interactive channels such as apps, highlighting how a non-free consent (i.e. flawed in the formation of the will) makes the treatment illegal.

 

****

IL GARANTE DELLA PRIVACY ITALIANO SANZIONA WIND TRE PER 17 MILIONI DI EURO

 

Con ordinanza ingiunzione del 9 luglio 2020 il Garante per la Protezione dei dati personali italiano ha sanzionato Wind Tre S.p.A. per circa 17 milioni di Euro per trattamenti illeciti di dati connessi ad attività promozionali. Con il provvedimento suddetto il Garante ha affrontato i temi del teleselling, del telemarketing e della promozione nell’ambito della telefonia, con particolare riferimento alle problematiche del consenso degli interessati e dell’accountability del Titolare del trattamento.

In particolare, i numerosi reclami pervenuti evidenziavano la ricezione di contatti promozionali indesiderati effettuati tramite telefono, sms, e-mail, fax o chiamate automatizzate e, in non pochi casi, la ricezione di contatti anche dopo la revoca del consenso o l’esercizio del diritto di opposizione. Veniva altresì lamentata la pubblicazione, mai autorizzata, di dati personali negli elenchi telefonici e l’impossibilità di ottenerne da Wind Tre la cancellazione. All’esito dell’istruttoria, il Garante ha evidenziato come la condotta di Wind Tre fosse chiaramente elusiva dei principi di accountability e di privacy by design sanciti dal Regolamento UE 2016/679, avendo potuto la Società, sulla base degli strumenti in proprio possesso ben valutare i rischi connessi al trattamento e predisporre, di conseguenza, adeguate misure tecniche ed organizzative.

In ogni caso, tenuto conto della condotta collaborativa della Società e delle misure di sicurezza correttive adottate, il Garante ha ritenuto di poter quantificare la sanzione nell’importo di Euro 16.729.600,00, corrispondente all’8% della sanzione massima applicabile di Euro 209.120.000,00 (pari al 4% del fatturato).

Nella determinazione della sanzione, il Garante ha ritenuto rilevanti i seguenti aspetti:

  • l’ampia portata dei trattamenti e l’elevato numero degli interessati coinvolti;
  • la gravità delle violazioni realizzate attraverso i contatti illegittimi. Infatti:
    • le condotte sanzionate risultavano potenzialmente lesive dei diritti alla protezione dei dati personali, alla tranquillità individuale ed alla riservatezza;
    • le e procedure di raccolta dei dati attraverso app quali MyWind e My3 erano tali, secondo il Garante, da coartare la libera espressione della volontà degli interessati con riguardo al trattamento dei loro dati e, quindi, il loro fondamentale diritto all’autodeterminazione;
    • risultava particolarmente difficile, per gli interessati, arginare il fenomeno del marketing indesiderato, anche a causa di un’inadeguata gestione del diritto di opposizione;
    • le condotte illecite risultavano molteplici e varie;
    • erano state riscontrate gravi carenze organizzative, tali da determinare la violazione dei principi di privacy by design, accountability ed esattezza dei dati pubblicati negli elenchi telefonici e la realizzazione di una filiera parallela di raccolta dei dati in spregio alla normativa sulla protezione dei dati personali;
  • la durata significativa delle violazioni;
  • il carattere doloso di alcune condotte, tra cui le scorrette informazioni rese agli interessati nell’ambito della procedura d’installazione delle app, ma anche le modalità di acquisizione del consenso attraverso le app, che non ne hanno assicurato la libera manifestazione;
  • il carattere gravemente negligente di alcuni trattamenti;
  • l’esistenza di un precedente provvedimento sanzionatorio nei confronti di Wind Tre, per condotte analoghe;
  • la sussistenza di rilevanti vantaggi economici, attuali e potenziali, derivanti alla Società dalle attività promozionali.

Oltre alla sanzione amministrativa pecuniaria, il Garante ha disposto nei confronti di Wind Tre:

  • il divieto di trattamento dei dati relativi agli interessati che avevano conferito il consenso tramite le app MyWind e My3;
  • il divieto di trattamento dei dati per finalità di marketing di tutti gli interessati di cui la Società non era stata in grado di documentare la raccolta di un idoneo consenso.

Inoltre, il Garante ha ingiunto alla Società di:

  • adottare delle procedure idonee affinché i soggetti che si erano opposti al trattamento dei propri dati non fossero stati contattati da terzi che operano in qualità di titolari autonomi;
  • adottare misure tecnico-organizzative idonee a realizzare un controllo effettivo sulla filiera del trattamento, al fine di scongiurare contatti promozionali nei confronti di soggetti che non avevano fornito un idoneo consenso;
  • correggere i disallineamenti dei sistemi, al fine di scongiurare la pubblicazione non autorizzata di dati personali negli elenchi telefonici pubblici;
  • comunicare, entro trenta giorni dalla data del provvedimento, le iniziative intraprese per darvi attuazione.

Nella decisione in commento il Garante ha affrontato, quindi, il tema del consenso, soprattutto se raccolto attraverso canali interattivi quali le app, evidenziando come un consenso non libero (ovvero viziato nella formazione della volontà) renda il trattamento illecito.

Leave a Comment

shares