Oltre dodici milioni, esattamente 12.251.061 euro, è la sanzione emessa nei confronti di Vodafone per violazioni del GDPR in merito alla nota e annosa questione del telemarketing selvaggio (per approfondire, vedi qui). Inoltre il Garante ha ingiunto alla società di Ivrea di adeguare i trattamenti relativi al telemarketing, che dovranno avvenire solo tramite numerazioni censite nel Registro degli Operatori di Comunicazione (ROC), ma anche di adeguare le misure di sicurezza per l’accesso ai propri database per eliminare, o comunque limitare, accessi non autorizzati e trattamenti non conformi. Infine è stato comunicato il divieto di contattare soggetti dei quali non abbiano acquisito un consenso libero specifico e informato che consentisse a Vodafone la comunicazione dei dati agli operatori del call center.

Erano centinaia le segnalazioni per il comportamento di Vodafone che aveva già ricevuto in passato sanzioni e provvedimenti inibitori che, evidentemente, non avevano sortito effetti positivi visto che il telemarketing selvaggio continuava. Decisamente pesanti le contestazioni mosse all’esito dell’istruttoria, ad iniziare dall'evidenza di come non sia stato implementato un sistema di controllo dell’intera filiera di raccolta dati idoneo a escludere con certezza da chiamate promozionali illecite o indesiderate siano state realizzate attivazioni di servizi confluiti nei database di Vodafone.

Sono state poi contestate le acquisizioni di anagrafiche, contenenti quattro milioni e mezzo di interessati da aziende che, a loro volta, li avevano acquisiti da terzi senza ottenere il consenso al trasferimento dei dati da parte degli utenti. Altre violazioni quelle relative a contatti tramite telefono e SMS che, nelle sue difese, Vodafone ha attribuito a generici errori umani o disguidi di sistema; infine sono stati contestati accessi ai database della società dovuti alla mancata predisposizione di misure di sicurezza efficaci e, non ultima, l’omissione di dare piena attuazione a richieste di esercitare i propri diritti da parte degli interessati.

Nel suo provvedimento il Garante ha sottolineato l’assenza di reazioni adeguate a fronte di un numero rilevante di segnalazioni e chiamate disconosciute da Vodafone. E’ quindi emersa una grave falla nell’accountability nonché in elementi cardine del criterio di privacy by design (quali la prevenzione, la funzionalità, la sicurezza, la trasparenza del trattamento e la centralità dell’interessato), che sono state sfruttate dai procacciatori “non ufficiali” generando un indotto privo di garanzie per gli utenti e idoneo a determinare ulteriori conseguenze illecite. Gravi lacune sono state rilevate anche nelle modalità di gestione contrattuale del passaggio dati che legavano Vodafone con i partner che collaboravano nell’acquisizione dei database, in particolare per gli aspetti relativi alle nomine come responsabili del trattamento. I dati acquisiti dalle società incaricate subivano anche più di un passaggio di mano prima di essere riversati a Vodafone in assenza di consensi all’ulteriore comunicazione.

Il Garante ha rimarcato come le giustificazioni di alcune violazioni con generici “errori umani” non possano esimere la società dalle proprie responsabilità. Vodafone ha anche subito accessi non consentiti ai propri database: il risultato della complessiva gestione della privacy da parte di Vodafone ha evidenziato una forte vulnerabilità del sistema e la mancata predisposizione di adeguate misure protettive dei dati e dei servizi di trattamento. Anche le modalità di gestione dei reclami hanno palesato gravi gravi criticità e le giustificazioni addotte sono state ritenute insufficienti.

Inoltre il Garante non ha mancato, nella sua decisione, di sottolineare l’allarmante contesto dei contatti illeciti e delle chiamate indesiderate oggetto di attenzione anche del legislatore. In questo contesto si muove un sottobosco del telemarketing che riesce ad accedere ai sistemi informatici deputati all’attivazione di offerte verso cui viene veicolato il risultato delle attività degli operatori non ufficiali. Il risultato è che affluiscono ai database dell’operatore dati che non sono il frutto di un consenso non conforme alla normativa.

Nell’erogazione della sanzione è stato applicato, tenuto conto di alcune attenuanti, compreso il comportamento collaborativo, l’importo del 5% della sanzione massima edittale che sarebbe stato possibile emettere. Questo provvedimento, oltre a rappresentare un chiaro ed inequivocabile segnale, dimostra come anche aziende di grandi dimensioni siano indietro in quel percorso di consapevolezza dell’importanza dei dati e di una più complessiva cultura della privacy. Oltre alla pesante sanzione economica, Vodafone dovrà fare i conti anche con una revisione delle sue intere politiche in materia di protezione dati e gestione privacy: un costo che avrebbe potuto e dovuto evitare oltre al danno di immagine e al rischio di azioni da parte degli interessati o da associazioni di categoria.