Non siamo però di fronte al primo comportamento scorretto. Alla società, infatti, erano state segnalate altre procedure sbagliate in merito alla gestione del traffico di dati telematico. In particolare, inoltre non esisteva una base giuridica per i controlli antifrode.
Durante l’indagine, l’Autorità ha inoltre scoperto che molti messaggi erano trattenuti anche senza il consenso di chi gli aveva inviati. Tra i contenuti, oltre a delle informazioni di servizio, vi erano anche alcuni codici per accedere a conti bancari, credenziali di autentificazione e dati riferiti allo stato di salute.
La società si è giustificata affermando che il contenuto degli sms rientrasse tra i dati di traffico con conseguente obbligo di conservazione. Come risposta alla giustificazione, l’autorità ha ricordato che non esistono norme di legge che impongono la conservazione dei contenuti delle comunicazioni, anzi essa è vietata, ammenoché non ci sia il consenso.
Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo.
Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.
Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.
(G.S)
