Il Garante per la protezione dei dati personali ha inflitto una sanzione di 75.000 euro nei confronti dell’università telematica e-Campus, ritenuta responsabile di aver inviato messaggi SMS promozionali senza il consenso dei destinatari.
L’Autorità ha altresì ordinato all’ateneo di verificare le misure tecniche e organizzative adottate per dimostrare di aver ottenuto un valido consenso per il trattamento dei dati a fini promozionali, anche nel caso di affidamento delle campagne pubblicitarie a terze parti.
Inoltre, è stato vietato all’università l’uso dei dati trattati in modo non conforme alla legge.
Invio di SMS promozionali senza consenso: cosa è successo
Una serie di reclami presentati da diversi cittadini ha dato impulso all’attività dell’Autorità Garante. In particolare, gli interessati lamentavano la ricezione di messaggi SMS indesiderati e, in un caso, di telefonate promozionali che sono continuate per anni, nonostante avessero espresso chiaramente la loro opposizione a tali comunicazioni e non avessero ricevuto alcuna risposta da parte dell’università.
Ransomware: le esperienze 2023 di IT e Cybersecurity Manager, scarica la nuova ricerca!
L’ateneo ha perpetrato questa condotta in violazione del GDPR e del Codice sulla privacy, continuando l’invio di messaggi promozionali senza tenere in considerazione i diritti dei destinatari, nonostante i numerosi reclami ricevuti che non sono mai stati adeguatamente gestiti.
Inoltre, l’università oltre a non riscontrare le richieste di esercizio dei diritti degli interessati, non ha preso alcuna misura per correggere il proprio comportamento, nemmeno dopo l’avvio dell’indagine da parte del Garante per la protezione dei dati, trascurando così la possibilità di evitare la ripetizione delle condotte contestate dai reclamanti.
L’istruttoria dell’Autorità
Sin dalla prima richiesta di informazioni da parte del Garante Privacy, l’ateneo ha mostrato scarsa collaborazione con l’Autorità che è stata costretta ad avvalersi della Guardia di Finanza per la notifica dell’atto di avvio del procedimento e delle stesse richieste di informazioni.
L’università peraltro non ha mai fornito alcuna motivazione riguardo tali mancati riscontri né nelle proprie memorie difensive, né nel corso dell’audizione tenutasi il 19 dicembre 2022, che era stata concessa dal Garante proprio per consentire la difesa in ordine alla contestazione del mancato riscontro.
Venendo al merito dell’istruttoria, i reclami pervenuti al Garante hanno rivelato una carenza sistemica nelle procedure volte a garantire una risposta adeguata alle richieste di esercizio dei diritti da parte degli interessati nonostante tali richieste siano state quasi sempre inviate agli indirizzi specificati nell’informativa sulla privacy dell’ateneo, e in alcuni casi anche al Responsabile della protezione dei dati.
Quando non sono state del tutto ignorate, le risposte alle singole segnalazioni sono state fornite in ritardo e si sono dimostrate inadeguate.
In particolare, in alcuni casi l’ateneo si è limitato a rispondere di non aver rinvenuto i dati degli interessati nei propri sistemi dovendo “presupporre” che l’invio fosse stato effettuato da propri partner commerciali (di cui però non ha fornito alcuna generalità).
In altri casi, lamentando la ricezione di comunicazioni indesiderate, gli interessati avevano chiesto all’ateneo telematico di conoscere l’origine dei dati, compresa la documentazione del consenso fornito e l’identificazione di eventuali terzi che lo avrebbero raccolto, opponendosi ad ulteriori contatti; l’Università nelle sue risposte si è limitata a dichiarare di aver dato seguito alla cancellazione dei dati ignorando le informazioni richieste dagli interessati che infatti sono stati costretti a reiterare le propria richieste, lamentando inoltre di continuare a ricevere messaggi indesiderati.
Tutti i reclami pervenuti all’Autorità hanno riguardato la ricezione di comunicazioni promozionali indesiderate, via sms e in un caso tramite telefono con operatore, aventi ad oggetto servizi dell’ateneo telematico.
L’Università ha dichiarato di aver acquisito i dati, tramite un contitolare del trattamento, a seguito della compilazione di form on-line ma non è stata in grado di dimostrare né di documentare l’effettiva e specifica volontà di ricevere messaggi promozionali da parte degli interessati.
In ogni caso anche vi fosse stato in origine un consenso regolarmente acquisito, nessuna base giuridica poteva essere invocata per giustificare i messaggi promozionali pervenuti dopo le reiterate opposizioni degli interessati.
L’università telematica ha invocato il legittimo interesse che però, non è applicabile in quanto l’attività promozionale svolta attraverso canali di comunicazione elettronica soggiace alla speciale disciplina prevista dall’art. 130 del Codice Privacy in base alla quale l’invio di comunicazioni con modalità automatizzate è consentito solo con il consenso del contraente o utente potendosi ammettere una deroga unicamente nel caso in cui l’indirizzo e-mail sia stato rilasciato dall’interessato nel contesto di una vendita di beni o servizi analoghi.
Ma nel caso di specie si parla di numeri di telefono di interessati che hanno dichiarato di ricevere messaggi promozionali senza aver avuto alcun rapporto pregresso con l’università.
Infine, il Garante ha rilevato che nell’informativa privacy fornita dall’Università non venivano correttamente indicati i tempi di conservazione dei dati personali degli interessati: fermo restando quanto previsto dal quadro normativo che istituisce il Registro Pubblico delle Opposizioni, attraverso il quale gli interessati possono revocare tutti i consensi già prestati, tempi di conservazione troppo lunghi (nel caso di specie si parla di sei anni), potrebbero non essere giustificati dato che, più si allunga il tempo di conservazione dei dati più è probabile che il consenso raccolto perda di attualità.
La sanzione comminata all’ateneo telematico: cosa impariamo
Lo scarso grado di collaborazione dimostrato dall’ateneo che senza alcuna motivazione, non solo non ha fornito riscontro alle istanze dell’Autorità, rendendo necessario l’intervento del Nucleo speciale privacy della Guardia di Finanza per la notifica degli atti, ma ha anche più volte rinviato un’audizione che essa stessa aveva richiesto è stato uno degli elementi di cui il Garante ha tenuto conto nel determinare l’ammontare della sanzione.
Durante l’istruttoria l’autorità ha rilevato la violazione degli artt. 5, par. 1, lett. a), 12, 15, 17 e 21 del Regolamento per la mancanza di adeguati e tempestivi riscontri agli interessati, con la conseguente impossibilità per gli stessi di esercitare i diritti di accesso ai dati, di cancellazione e di opposizione.
Per questi motivi il Garante ha ingiunto al titolare del trattamento di rivedere le proprie misure tecniche e organizzative, anche fornendo apposite istruzioni agli incaricati del trattamento, al fine di assicurare che le richieste degli interessati siano tempestive e idonee a soddisfare quanto da essi richiesto.
È stata anche rilevata la violazione degli artt. 6, par. 1, lett. a) e 7, par. 1 del Regolamento, nonché dell’art. 130 del Codice con la conseguente ingiunzione al titolare del trattamento di verificare le misure tecniche e organizzative adottate per il trattamento di dati personali con finalità promozionali, anche nel caso di affidamento a terzi, al fine di assicurare ed essere in grado di documentare che tali trattamenti avvengano in forza di un idoneo consenso.
Con riguardo ad eventuali banche dati già costituite, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il Garante ha imposto il divieto di trattamento per finalità promozionali dei dati di cui l’Università non sia in grado di documentare il possesso di un idoneo consenso.
Un’ulteriore ingiunzione al titolare ha riguardato i tempi di conservazione dei dati che dovranno essere stabiliti in modo appropriato e comprensibile per gli interessati, dandone comunicazione attraverso l’informativa privacy.
In ragione dei suddetti elementi, valutati nel loro complesso, l’Autorità ha determinato l’ammontare della sanzione pecuniaria prevista dall’art. 83, par. 4 e 5 del Regolamento, nella misura di euro 75.000,00.
Abilitazione al cloud: migrazione, gestione delle applicazioni e sicurezza. Rendi più potente l'IT
@RIPRODUZIONE RISERVATA