Privacy e dintorni. La tutela dei dati ed il rispetto dei cittadini.

La coincidenza di 3 episodi in pochi giorni, più il contesto generale, mi porta ad una riflessione a più ampio respiro, su uno dei temi più importanti: La tutela dei dati ed il rispetto per la privacy.

1. Ho appena intervistato il professor Francesco Pizzetti, che oltre ad essere professore emerito alla cattedra di diritto costituzionale è stato dal 2005 al 2012 Presidente della Autorità garante per la protezione dei dati personali, dopo il Professor Stefano Rodotà, con cui ebbi il piacere di studiare e sostenere gli esami di diritto civile. Abbiamo parlato di Privacy, di applicazioni e dei call center.
   Trovate il video nel blog, seguendo questo link.
2. Ho partecipato alla giornata formativa organizzata dall’Aicel, Associazione Italiana Commercio Elettronico, nell’ambito del aggiornamento annuale delle agenzie accreditate SONOSICURO, sui temi della privacy, a cui aderiamo come sito di e-commerce.
3. Una telefonata, l’ennesima, proveniente da operatore di un call center per promuovere, in questo caso, dei servizi per conto della TIM/TELECOM. L’approccio è :” Buongiorno, dobbiamo verificare delle informazioni amministrative… “

Chiarisco che non è un articolo rivolto verso TIM/TELECOM, ma le coincidenze e gli argomenti trattati, la rendono protagonista del pezzo.

In periodo di COVID19, in cui la percezione dei diritti primari e fondamentali di una persona, diritto alla salute e diritto alla privacy, è molto forte ed il dibattito sui media amplifica l’attenzione del cittadino verso un equilibrio tra il dilemma salute e sicurezza dati, rifletto sul comportamento delle imprese che fanno pesantemente ricorso a campagne di telemarketing per promuovere i propri servizi e mi chiedo quanto sia ancora premiante.

Non passa giorno che sul telefono fisso o sui cellulari veniamo raggiunti da una telefonata che ci promuove servizi telefonici, utenze, servizi energetici, abbonamenti variegati. L’insistenza dei call center, produce sistematicamente la reazione degli utenti, che non approvando questo tipo di comunicazione, si manifesta dal reagire nei confronti del malcapitato operatore del call center, al bloccare il numero in entrata, fino all’esasperata iscrizione alle liste per non farsi contattare ed a contattare il Garante della Privacy.

Ma vi chiederete come mai queste società continuano a perseguire questa strategia di contatto.
La risposta è molto semplice. Perché evidentemente produce dei risultati economici. Le sanzioni finora inferte, palesemente hanno un costo sopportabile a fronte dei risultati ottenuti dall’adozione della pratica scorretta.

Il 2020 si è aperto per le compagnie telefoniche con la notizia che L’Antistrust ha condannato per la vicenda della fatturazione a 28 giorni (Qui trovi la notizia ufficiale) Fastweb, TIM, Vodafone Italia e Wind Tre comminando una sanzione per un importo complessivo di 228 milioni di Euro, così suddiviso: Fastweb € 14.756.250,00; TIM € 114.398.325,00; Vodafone Italia € 59.970.351,25; Wind Tre € 38.973.750,00.

Uno squallido accordo segreto tra le compagnie a danno dei consumatori che si è perpetrato nel 2017, fino ad aprile 2018, addebitando i servizi all’utente ogni quattro settimane invece che alla scadenza del mese solare, per ottenere in modo illecito un aumento del 8,6% del canone, non concesso dal Governo.

Sempre nel 2020 il Garante per la privacy ha irrogato a Tim spa una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni hanno interessato nel complesso alcuni milioni di persone.

Riporto, per dovere di cronaca, quanto emerso nella fase istruttoria dal provvedimento, che potete visionare qui: Leggi il provvedimento del Garante della Privacy.
“Al termine dell’attività ispettiva e dall’esame della documentazione prodotta dalla Società, l’Autorità ha constatato numerose e variegate violazioni della disciplina in materia di protezione dei dati personali richiamate a seguire e illustrate in dettaglio nei successivi paragrafi.
Nello specifico:

• contatti commerciali effettuati nel corso di campagne promozionali rivolte a soggetti “prospect” (ossia a soggetti non clienti), in assenza del consenso degli interessati; numerazioni contattate fino a 155 volte in un mese; assenza di controllo da parte della Società sull’operato dei suoi partner durante lo svolgimento delle campagne commerciali (cfr. par. 2.1.);
• errata gestione delle liste di esclusione dalle campagne commerciali (c.d. “black list)”; mancato aggiornamento delle black list sulla base dei dinieghi espressi dagli interessati nel corso del contatto commerciale telefonico, che hanno comportato lacune riguardo ad esattezza e qualità dei dati nei sistemi informativi societari; incongruenze, non sufficientemente chiarite, dei dati presenti nelle black list di TIM rispetto a quelli delle black list dei suoi partner; utenze inserite nelle black list molti giorni dopo l’espressione del diniego al marketing; utenze presenti nelle black list dei partner ma non inserite in quelle della Società (cfr. par. 2.1);
• telefonate promozionali verso numerazioni non presenti nelle liste di contattabilità (c.d. fuorilista), effettuate dai partner commerciali in assenza di consenso degli interessati o di altra idonea base giuridica; telefonate commerciali verso numerazioni “fuori lista” per le quali il provvedimento dell’Autorità del 22 giugno 2016 (in www.gpdp.it. doc. web n. 5255159) aveva vietato alla stessa TIM il trattamento per finalità di marketing (cfr. par. 2.2);
• contatti promozionali effettuati dalla Società nonostante l’esercizio del diritto di opposizione degli interessati ovvero effettuati nel quadro di contatti di servizio o ancora senza dare tempestivo riscontro agli interessati o recepire nei propri sistemi l’avvenuto esercizio del diritto di opposizione (cfr. par. 2.3);
• casi di conservazione, nel CRM (Customer Relationship Management), della Società, dei dati relativi a clienti di altri Operatori, ai quali TIM fornisce il mero servizio di rete e infrastrutture (OLO-Other Licensed Operator), per un tempo eccedente i limiti previsti dalla legge (10 anni) e con visibilità da parte degli operatori del customer care oltre i limiti temporali stabiliti dalle policy societarie (5 anni); casi di utilizzo abusivo di dette numerazioni per finalità promozionali (cfr. par. 2.4);
• acquisizione del consenso promozionale nell’ambito del programma “TIM Party” con modalità che non ne assicurano la libera manifestazione (cfr. par. 2.5);
• rispetto ad alcune App destinate alla clientela, il rilascio agli interessati di indicazioni non corrette, né trasparenti sul trattamento dei dati, nonché modalità di acquisizione del consenso non conformi alla disciplina vigente (cfr. par. 2.6);
• utilizzo di modulistica cartacea di raccolta di dati personali con richiesta di un unico consenso per diverse finalità (cfr. par. 2.7);
• gestione inidonea dei data breach, sia riguardo alla tempestività della notifica all’Autorità, sia riguardo alle misure poste in essere per diminuire i rischi per i diritti e le libertà degli interessati; inadeguata gestione della Società dei sistemi che trattano dati personali, in violazione, in particolare, dei principi di esattezza dei dati, nonché di riservatezza e integrità dei sistemi (cfr. par. 2.8). “

E siamo solo al primo capitolo della saga. TIM infatti non è l’unica ad agire in questa maniera. Con gran frequenza l’autorità del Garante si trova a comminare multe milionarie alle società per violazioni dei diritti dei consumatori.

Se fossi un direttore commerciale o marketing di una di queste società, laddove tutte dichiarano di voler fornire il miglior servizio ai propri clienti, ascoltandone le esigenze, eviterei l’approccio con il marketing selvaggio, studiando nuove forme di coinvolgimento.

Cosa si potrebbe fare con 27 milioni a disposizione per contattare in modo etico nuovi potenziali clienti? Organizzerei un grande concorso e chiamerei a raccolta le migliori menti per mettere appunto nuovi approcci.

Sarebbe interessante comprendere la posizione degli amministratori delegati e dei relativi consigli di amministrazione di queste società. Non possono dichiararsi ignoranti rispetto al fenomeno, vista l’assiduità di sanzioni già subite negli anni precedenti.

Infatti, a fronte degli addebiti mossi dal garante della Privacy, leggiamo sul sito della TIM spa, nell’aggiornamento del 04/05/2020 – 14:50 | Puoi trovare qui l’articolo di riferimento.

La seguente dichiarazione:
“Il rispetto della normativa privacy è una priorità per TIM, che si è dotata sin dal 2003 di un modello organizzativo articolato in grado di presidiare a livello di Gruppo la corretta applicazione di tale normativa. Le funzioni aziendali sono impegnate ad assicurare il corretto trattamento dei dati personali degl’interessati, tra cui i clienti ed i dipendenti, nello svolgimento delle attività d’impresa.”
Per poi proseguire:
“A maggio 2018 è stata costituita la Funzione del Data Protection Officer, avente a livello di Gruppo TIM funzioni di controllo, consultive, formative ed informative relativamente all’applicazione della normativa privacy. Il recepimento delle disposizioni di legge e delle indicazioni del Garante Privacy è assicurato tramite il costante aggiornamento delle normative e policy di Gruppo. Tra queste è particolarmente significativo il “Sistema delle regole per l’applicazione della normativa sulla protezione dei dati personali nel Gruppo TIM”, che definisce le disposizioni e le indicazioni operative per ogni adempimento d’interesse e che nel 2018 è stato completamente rivisto ed aggiornato in funzione dell’evoluzione normativa.”

Viste le sanzioni ed obiezioni mosse dalla Autorità del Garante alle varie società in materia di Privacy, nel caso di TIM il modello organizzativo adottato fin dal 2003, ha fatto acqua da tutte le parti. Come cliente, mi sentirei preso in giro. “ Ma come, penserei: leggo sui giornali multe milionarie per pratiche scorrette che coinvolgono milioni di clienti e poi sul sito leggo queste mielose dichiarazioni d’intenti! C’è qualcosa che non funziona.”

Non mi è dato sapere se i manager che hanno organizzato le operazioni di marketing, in palese violazione dei diritti della privacy, siano stati licenziati dalle aziende medesime, innanzitutto contravvenendo ai codici etici che le medesime hanno adottato.

Dal mio punto di vista, il codice etico, essendo un impegno etico morale con il consumatore e con i pubblici che ruotano intorno all’impresa, e’ più cogente rispetto all’ordinamento civilistico, in quanto l’impresa contravviene al rapporto fiduciario che desidera instaurare con il proprio pubblico.

Visto la mancata adozione da parte delle varie società di nuove modalità operative, penso che i tempi possano essere maturi per azioni dirette da parte dei consumatori, che possono manifestare la propria disapprovazione cambiando operatore. L’emorragia di contratti verso altri operatori sapranno sensibilizzare le società circa la virtuosità dei comportamenti da adottare.

Da anni ho cambiato operatore, scegliendo quello che dal punto di vista di correttezza mi offrisse le maggiori garanzie. Nel 2010 ho infatti dovuto far ricorso all’Agcom per tutelare i miei diritti e da allora la mia sensibilità si è notevolmente acuita.

Abbiamo bisogno di comportamenti più etici, più rispettosi delle esigenze delle persone. Abbiamo come cittadini, soprattutto bisogno, di maggior senso di responsabilità da parte dei leader delle aziende.

Mi auguro che la nomina di Luigi Gubitosi, amministratore delegato e direttore generale di Telecom Italia, a vice presidente della Confindustria, con delega al digitale, possa fornire un contributo a cancellare le pratiche scorrette ed a costruire un futuro digitale ed una tutela dei dati, di cui il Paese necessita.