Sanzione privacy a Vodafone, perché il telemarketing resta fucina di illeciti - Cyber Security 360

Garante privacy

Sanzione privacy a Vodafone, perché il telemarketing resta fucina di illeciti

La nuova sanzione da 12 milioni di euro data dal Garante privacy a Vodafone per telemarketing aggressivo, dopo casi simili con gli altri operatori, è l’occasione per domandarsi perché non si riesce ancora ad avere un mercato sano, che non cada sempre e di nuovo in illeciti privacy. Mentre il nuovo registro opposizioni viene rimandato ancora

17 Nov 2020
M
Andrea Michinelli

Avvocato, FIP, LA ISO 27001


Lo scorso 12 novembre il Garante privacy ha comminato a Vodafone una nuova sanzione da oltre 12 milioni per condotte di telemarketing aggressivo.

Stando al provvedimento del Garante, frutto di una lunga e articolata istruttoria, Vodafone avrebbe compiuto nel tempo diversi illeciti, debitamente segnalati da centinaia di utenti, spesso ripetutamente segnalati dalle stesse persone sia a Vodafone che al Garante.

Vodafone e telemarketing aggressivo: i motivi della sanzione

L’autorità di controllo, nel comunicato stampa, parla di criticità sistemiche dell’azienda nel trattare i dati, di falle gravi nella sicurezza, di trattamenti effettuati senza il necessario consenso.

In particolare, citiamo testualmente il Garante quando parla di “un allarmante fenomeno di utilizzo di numerazioni fittizie o comunque non censite nel Registro degli Operatori di Comunicazione (Roc) per realizzare i contatti promozionali. Un fenomeno, avvertito dalla stessa Vodafone, che sembra ricondursi in massima parte ad un “sottobosco” di call center abusivi, che effettuano attività di telemarketing in totale spregio delle disposizioni in materia di protezione dei dati personali”.

Tra le altre prassi sono state segnalate liste di contatti che i partner commerciali di Vodafone avevano ricevuto da altre aziende e trasferito all’operatore telefonico senza leciti consensi informati.

Circa i gravi profili di sicurezza, gli utenti hanno segnalato vari episodi di contatti “da sedicenti operatori Vodafone, i quali chiedevano l’invio di documenti di identità mediante WhatsApp, probabilmente con finalità di spamming, phishing o per la realizzazione di altre attività fraudolente”.

Un quadro inquietante anche alla luce di uno scenario dove certi reati – in particolare mediante phishing – risultano in drammatico aumento, come segnalato anche dal Clusit nel suo recente Rapporto. Tanto più se – leggendo il provvedimento completo del Garante – apprendiamo che potenziale oggetto di molte delle violazioni possa essere stato l’intero database clienti dell’azienda e che i data breach avvenuti non siano stati notificati al Garante.

Per rimediare a tutto ciò, il Garante ha imposto varie misure – che verranno controllate nella loro applicazione – quali ad es. sistemi di controllo della supply chain nella raccolta dei dati (nel provvedimento si citano 4 milioni e mezzo di contatti violati dalla condotta di terzi che hanno ceduto proprie liste contatti irregolari a Vodafone).

La sanzione del Garante indicata nel provvedimento si scompone in due: una pecuniaria (circa 12 milioni di euro) sommata a una serie di prescrizioni sui riscontri agli interessati, di adeguamento dei trattamenti e delle misure di sicurezza, sul divieto di utilizzare ulteriormente i dati illecitamente trattati per finalità promozionali e commerciali, oltre a dare riscontro nel tempo al Garante sull’attuazione di tali prescrizioni. Dunque, misure di recupero di un’accountability non più sotto controllo.

Perché le violazioni telemarketing persistono (Tim, Wind…)

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

Telemarketing sorvegliato speciale del Garante Privacy. Si vedano recenti e simili provvedimenti sanzionatori, verso Tim da 27 milioni, Wind Tre per 17 milioni e Iliad per 800.000 euro e 11,5 milioni a Enel Gas e Luce limitandoci agli aspetti economici, in linea con quello di Vodafone. Per completezza, ricordiamo i 600mila euro del 2018 a Fastweb ma con le vecchie regole privacy (di qui le sanzioni inferiori).

Dobbiamo al telemarketing il primato dell’Italia nelle sanzioni Gdpr.

Viene spontaneo chiedersi perché simili violazioni si ripetano, oramai a due anni dall’applicazione del GDPR e del rinnovato Codice per la protezione dei dati personali.

Premesso che nel 2020, lato aziende specie se di certe dimensioni, non si possa non sapere quali illeciti si stiano compiendo, le più rilevanti considerazioni che possono farsi sono, ad avviso dello scrivente, sostanzialmente di due ordini:

  1. l’effetto sulla brand reputation delle notizie – riecheggiate spesso anche dalla stampa generalista – di tali sanzioni, profilo che dovrebbe avere un impatto sulla fiducia dei consumatori e che dunque le aziende dovrebbero temere; tuttavia tale aspetto o non interessa all’azienda (ipotesi non considerabile nel mercato del 2020 ove si parla di “consumatori 4.0”) oppure non interessa al pubblico (si veda ad es. il ranking della Vodafone negli anni); in questo secondo frangente può certamente incidere il “così fan tutti”, ovvero una percezione nel pubblico che in determinati settori tutte le aziende attuino certe pratiche, chi più chi meno – percezione rafforzata oggettivamente dai provvedimenti sanzionatori che ciclicamente colpiscono i maggiori operatori del settore -, per arrivare a una sorta di resa, assuefazione e disinteresse degli utenti verso certe tematiche in certi contesti; anche la ridotta efficacia di determinate misure anti-marketing – come il Registro delle Opposizioni per evitare i contatti telefonici indesiderati – gioca un ruolo importante, oltre a una struttura documentale non tanto informativa quanto sfruttata per carpire dichiarazioni non volute o per occultare in pagine e pagine di formalismi (che nessuno legge) i concreti rischi per i dati personali;
  2. la capacità non dissuasiva delle sanzioni comminate; ad es. nel caso di Vodafone un importo di 12 milioni di euro potrebbe sembrare rilevante, tuttavia in proporzione al fatturato nazionale 2019 di circa 5,8 miliardi di euro corrisponde a circa lo 0,2%, non certo un valore “temibile” in proporzione. Non dimentichiamo che il fatturato mondiale di Vodafone è proiettato verso i 45 miliardi, cosa che rileverebbe se la violazione fosse in qualche modo connessa a una policy/condotta globale o comunque supportata dal gruppo e non limitata al territorio nazionale. Ricordando che l’art. 83 GDPR ammette sanzioni fino al 2% e 4% del fatturato “mondiale”, si comprende come la forza coercitiva di tali provvedimenti è sminuita rispetto al disegno del legislatore. Oltretutto non sappiamo quale rapporto costi/benefici possa essere valutato dalle aziende per decidere circa determinate condotte, è probabile che le sanzioni siano state ponderate nell’insieme per un risultato – lato business – comunque vantaggioso, spingendo a proseguire nella strada tracciata. Infine, risulta forse facile, per gli operatori che subiscono divieti di trattamento di certi database da parte delle autorità per finalità di marketing, riprendere tali attività, non comprovando in maniera adeguata e certa la cancellazione dei dati o la restrizione effettiva del loro utilizzo, oltre a poter riacquisire i medesimi dati da varie fonti.

Ci può essere l’auspicio che le sanzioni del nuovo Gdpr, ora milionarie, scoraggino almeno le recidive da parte di quei soggetti. Anche perché il Garante è intenzionato ad aumentare la sanzione per eventuali recidive.

E tuttavia è esperienza di tutti ricevere ancora telefonate sgradite da parte di soggetti già sanzionati. O per meglio dire da parte di agenzie che chiamano per contro di quegli operatori, con cui hanno contratti. Le regole, ricordiamo, rendono gli operatori sanzionabili in solido con le agenzie in questi casi.

Come contrastare il telemarketing aggressivo

Alla luce di quanto sopra, rispetto ai due punti indicati si possono ipotizzare alcune ricette generali, senza avere qui alcuna pretesa di possedere la verità in tasca ma limitandoci a un commentare che si slega dal singolo caso concreto di cui parlavamo all’inizio.

Aumentare la consapevolezza delle pratiche illecite

Si può acuire la consapevolezza nel pubblico delle pratiche illecite, ad es. con debite campagne di informazione aggiornate al pubblico odierno (sempre più distratto e ad apprendimento visuale), per far comprendere:

  • quali siano esattamente le condotte alle quali prestare attenzione (ad es. la presenza di caselle pre-selezionate di consenso nei moduli);
  • cosa possono comportare per la propria vita (ad es. il fatto che i dati potranno essere comunicati a terzi di cui nulla si sa, ottenendo una profilazione indebita della propria vita).

Confrontandoci con il “capitalismo della sorveglianza” reso noto dal testo seminale di Shoshana Zuboff emerge un dato tutto sommato confortante: i tanti casi analizzati dalla Zuboff mostrano che quando gli interessati vengono resi consapevoli degli effettivi flussi e utilizzi dei propri dati è facile che acquisiscano una nuova coscienza, fino ad agire per cambiare lo stato di fatto.

Anche il successo di documentari come “Social dilemma” di Netflix, dedicati a queste tematiche, fa ben sperare; tutto ciò potrebbe avere un maggior effetto sul legame di fiducia tra il consumatore e le aziende, costringendo queste ultime a rivedere determinate scelte.

Parametrare le sanzioni

Quanto alle sanzioni, come detto andrebbero parametrate con maggior impatto sulla redditività delle singole operazioni (cosa forse possibile alla luce dei poteri ispettivi del Garante) se non (come da normativa) del fatturato come richiesto dal GDPR, così che le valutazioni costi/benefici eventualmente intraprese dai titolari siano sempre meno convenienti e spingano a mutare o cessare determinate pratiche.

Come già rilevato da altri commentatori, aiuterebbero anche delle linee guida del Garante che, in trasparenza, prefissino criteri certi per il calcolo delle sanzioni, metriche predeterminate a ridurre l’alea che connota le norme sanzionatorie del GDPR (prescriventi solo dei massimali) e che potrebbe costituire un fattore decisivo nell’impedire alle imprese di “giocare d’azzardo” – diverse autorità di controllo estere, come quelle di Olanda e Germania, hanno già provveduto in tal senso.

Il principio della certezza del diritto ne gioverebbe, un po’ scossa dai ragionamenti legislativi a livello comunitario che spesso partono da punti di vista non del tutto calzanti con la nostra tradizione e i nostri istituti, finalmente riconciliati a livello locale.

Un altro aspetto da considerare possono essere eventuali azioni sanzionatorie congiunte da parte delle autorità, posto che spesso le stesse condotte possono configurare violazioni sia della normativa di protezione dei dati (curata dal Garante) che di tutela dei consumatori e del mercato (curata dall’AGCM che in passato ha già colpito alcune realtà per pratiche commerciali scorrette basate su violazioni della normativa data protection, ad es. si veda la sanzione di 10 milioni di euro comminata a Facebook).

Conclusioni

Non entriamo in questa sede nel merito di eventuali modifiche legislative, rese più ardue dal livello comunitario dell’impianto di partenza.

In ogni caso, il margine di manovra a parità di disciplina esiste ed è praticabile, attendiamo nuovi sviluppi.

WHITEPAPER
Come vendere un maggior numero di soluzioni di data protection?
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5