Il Garante italiano per la protezione dei dati personali con il Provvedimento n. 7 del 15 gennaio 2020 ha sanzionato la TIM Spa, per l’illiceità dei trattamenti di dati personali svolti, mediante ingiunzione di pagamento della somma pari al 0,2% del fatturato della Società, ossia € 27.802.946,00, oltre ad aver imposto la limitazione definitiva di alcuni trattamenti e la pubblicazione integrale del provvedimento sul sito web del Garante quale sanzione accessoria. Si tratta di una sanzione da record nell’ambito dell’Unione Europea rispetto alle sanzioni sinora comminate alle aziende non-compliant al Gdpr. Nello specifico sono stati formalizzati addebiti a carico della TIM Spa per: – campagne marketing in assenza del consenso degli interessati e mancato controllo sull’operato dei call center; – errata gestione delle liste di esclusione dalle campagne commerciali e mancato aggiornamento delle stesse; – contatti promozionali effettuati nonostante l’esercizio del diritto di opposizione da parte degli interessati; – violazione dei limiti temporali di conservazione dei dati personali nel CRM (Customer Relationship Management) della Società; – modalità coartanti e non conformi alla disciplina vigente di acquisizione del consenso degli interessati; – acquisizione di un unico consenso per una molteplicità di finalità distinte tra loro; – gestione inidonea dei data breach. Ai fini della determinazione dell’ammontare della sanzione pecuniaria sono stati considerati i seguenti fattori: l’ampia portata dei trattamenti illeciti, la gravità delle violazioni rilevate, la durata significativa delle violazioni, il carattere doloso di alcune condotte e gravemente negligente di altre, l’esistenza di numerosi precedenti provvedimenti adottati dal Garante verso la medesima Società e la sussistenza di rilevanti vantaggi economici derivanti dalle attività contestate. Quali attenuanti sono state riconosciute: l’adozione da parte della Società, seppure limitata, di misure per mitigare o eliminare le conseguenze delle violazioni, la cooperazione fornita nell’ambito degli accertamenti e dell’istruttoria, la tipologia dei dati utilizzati rispetto a quelli complessivamente detenuti dalla Società, la disponibilità a partecipare a tavoli di lavoro con le associazioni di categoria per la definizione di regole e codici di condotta, la perdita di fatturato conseguita negli ultimi anni dalla Società e la contrazione della propria quota di mercato. Infine è stata riconosciuta l’incidenza anche dei seguenti fattori: – l’ampio margine temporale concesso agli operatori del settore per l’adeguamento al Gdpr; – la necessaria consapevolezza raggiunta dagli operatori relativamente alle disposizioni inderogabili del Gdpr; – la non adeguata dissuasività delle sanzioni precedentemente comminate alla Società; – la persistenza di numerose segnalazioni e reclami nei confronti della Società.
