La sanzione comminata a WindTre SpA è di quelle che fanno notizia, dal momento che l’operatore telefonico è riuscito a sommare una serie piuttosto lunga di comportamenti scorretti e dolosi, omissioni, dimenticanze, negligenze nel trattamento dei dati personali.

Inoltre lo stesso operatore era già stato sanzionato in passato, questo fa sì che l’Autorità Garante abbia potuto innalzare le sanzioni, ma ciò che colpisce di più è che l’operatore telefonico, seppur in possesso dei mezzi, non abbia rispettato i princìpi propri di ogni trattamento di dati personali.

Nella valutazione della sanzione il Garante ha seguito il dettato dell’art. 83 del GDPR, clcolando la sanzione in base a:

  1. Comportamento recidivo da parte della società, che era stata già sanzionata anche in passato;
  2. Durata significativa della violazione (che è proseguita anche negli ultimi due anni);
  3. Il carattere doloso della condotta in relazione alle informazioni non corrette fornite agli utenti in merito all’installazione ed all’uso delle app;
  4. Carattere gravemente negligente di altri trattamenti come la mancata condivisione di black list con i call center ed il mancato controllo sui partners;
  5. Mancato riconoscimento dei diritti dell’interessato (diritto di opposizione, diritto all’oblio …)
  6. Sussistenza di rilevanti vantaggi economici derivanti dalla condotta tenuta;
  7. Mancato controllo dei partners che a tutti gli effetti sono dei Responsabili del trattamento ai sensi dell’art. 28 ed operano sempre sotto il controllo del Titolare; il controllo deve essere effettivo;
  8. Attività ispettiva del Garante, dal momento che i trattamenti illeciti derivanti dalle app sono stati scoperti attraverso le indagini disposte dal Garante;
  9. Condizioni economiche di WindTre tenuto conto del valore della produzione a bilancio 2019;

Inoltre in applicazione dei principi di effettività, proporzionalità e dissuasività (delle sanzioni) il Garante ha tenuto conto anche di:

– dell’ampio margine temporale concesso a tutti gli operatori del settore per adeguarsi alla nuova normativa, (che WindTre in particolare non ha sfruttato a dovere);

– del fatto che l’Autorità Garante, proprio per prevenire comportamenti di questo tipo ha chiarito a più riprese, anche con pareri e provvedimenti, come deve essere applicata la normativa;

– del fatto che evidentemente le sanzioni comminate in passato a WindTre non sono state sufficientemente dissuasive, dal momento che ha reiterato i medesimi comportamenti illeciti;

– della persistenza di segnalazioni e reclami anche successivi all’attività di indagine del Garante (che hanno portato alla sanzione).

Oltre alla sanzione economica, dal momento che i trattamenti sono illeciti, l’Autorità Garante ha anche vietato i trattamenti dei dati acquisiti senza consenso e ordinato di adottare misure tecniche ed organizzative adeguate per mantenere un controllo effettivo sulla filiera dei partner e per evitare che tutto questo si ripeta nuovamente, quindi i dati acquisiti non potranno più essere utilizzati.

Nel caso si verificassero ulteriori violazioni, la mano del Garante sarebbe estremamente pesante, dal momento che come prescritto dall’art. 83 par.2 lett. E “eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento” se ne terrà conto, come se ne è tenuto conto per questa sanzione, visto che seguiva altre sanzioni già comminate prima della vigenza del GDPR.

Inoltre, in tal caso, sono previste anche sanzioni penali che prevedono la reclusione fino a due anni.