L’autorità per la protezione dei dati personali ha sanzionato la multinazionale Vodafone per un ammontare di 12,2 milioni di euro per telemarketing selvaggio. La maxi-sanzione nei confronti di Vodafone sorge da numerose segnalazioni e reclami inviati dagli interessati all’autorità per le continue chiamate indesiderate ricevute da call center per la promozione dei prodotti e servizi dell’operatore Vodafone.
Il Garante nel suo provvedimento sanzionatorio nei confronti della citata società affronta vari aspetti e elementi già ben noti all’interno del cd. fenomeno del telemarketing selvaggio, ponendo l’accento, oltre che sul rispetto dei principi fondamentali del GDPR, sulle disposizioni della normativa europea che richiedono una sempre più maggiore attenzione sull’adozione di misure di sicurezza idonee ed adeguate al trattamento posto in essere.
Venendo al dettaglio del provvedimento, il Garante ha ravvisato, nella sua complessa attività istruttoria, come Vodafone non abbia implementato sufficienti controlli sui propri partners di cui si avvale per le attività di telemarketing. Infatti, nella maggior parte dei casi, i partner operavano con l’ausilio di call center che non rispettavano in alcun modo la normativa vigente sul telemarketing. Più in particolare, l’autorità ha segnalato come Vodafone si sia avvalsa, per le sue operazioni promozionali, di numerosi call center che adottavano numerazioni non registrate al ROC – Registro degli Operatori di Comunicazione – presentandosi in molte occasioni agli occhi degli utenti con un prefisso estero o addirittura utilizzando numerazioni fittizie non riconducibili ad alcun intestatario.
Ulteriormente, l’autority ha determinato in capo a Vodafone ulteriori violazioni nelle sue attività di telemarketing: tra questi, si è ravvisato come l’acquisizione delle liste anagrafiche da contattare per la promozione dei servizi avvenisse senza alcun reale controllo relativo alle costituzioni delle stesse da parte dei terzi soggetti cessionari; le suddette liste erano infatti state ricevute dai partners di Vodafone da società terze senza che gli utenti avessero mai espresso alcun consenso libero e specifico per finalità di telemarketing oltre per la comunicazione a terzi. Alla luce di ciò, il trasferimento a Vodafone dei dati personali degli utenti avveniva in carenza del consenso necessario a tale tipo di comunicazione tra titolari autonomi e pertanto in contrasto con il GDPR.
Le attività di controllo dell’autorità si sono soffermate altresì su un particolare fenomeno relativo alla gestione della clientela ove è emerso come presunti operatori Vodafone richiedevano agli utenti l’invio di documenti di identità mediante whatsapp con lo scopo di effettuare attività fraudolente, quale soprattutto il furto d’identità dell’interessato stesso ovvero per successive attività di spamming o phishing. Seppur Vodafone non sia stata ritenuta responsabile direttamente di tali comportamenti, il Garante ha comunque ravvisato nella società di telecomunicazioni gravi lacune sulle misure di sicurezza adottate dalla stessa per prevenire tali tipi di fenomeni fraudolenti ovvero misure volte a prevenire accessi abusivi ai propri sistemi informatici e ai database aziendali della clientela da parte di soggetti non autorizzati.
Si conclude indicando come il Garante, al fine di irrogare la maxi-sanzione, abbia tenuto in considerazione la gravità delle violazioni al GDPR poste in essere da Vodafone, il significante numero di interessati coinvolti e soprattutto la reiterazione delle condotte illecite che la società nel corso degli ultimi anni ha commesso sempre con riguardo al telemarketing.