A causa dell’invio di SMS promozionali senza il consenso dei destinatari, il Garante per la protezione dei dati personali ha inflitto una sanzione nella misura di 75.000,00 € nei confronti dell’università telematica E-Campus. L’accusa è dovuta in seguito alla rilevazione di alcuni illeciti nel trattamento dei dati a fini promozionali, di cui non sono state adottate delle misure tecniche e organizzative adeguate.
La vicenda
Successivamente ai numerosi reclami di alcuni interessati che hanno segnalato la ricezione di messaggi sms indesiderati – oltre a telefonate promozionali – il Garante Privacy è intervenuto.
L’università E- Campus ha ricevuto una maxi sanzione da parte del Garante Privacy, in quanto ritenuta responsabile dell’invio di SMS, senza aver ricevuto il dovuto consenso dei soggetti interessati.
L’Ateneo ha violato le norme del GDPR e del Codice sulla Privacy, protraendo per anni l’invio di messaggi promozionali, nonostante i numerosi reclami ricevuti, senza tenere in considerazione i diritti dei destinatari.
L’autorità ha vietato, innanzitutto, l’utilizzo dei dati trattati in modo non conforme alle norme di legge. Il Garante privacy ha ingiunto all’Ateneo, inoltre, la verifica della corretta applicazione delle misure tecniche e organizzative adottate, al fine di dimostrare il corretto trattamento dei dati a fini pubblicitari, anche in caso di affidamento di campagne promozionali a terze parti.
Ciononostante, E-Campus non ha adottato particolari misure per migliorare la situazione, anche successivamente all’avvio dell’istruttoria del Garante.
Istruttoria e provvedimenti del Garante
Nel provvedimento, l’Autorità ha rimarcato lo scarso grado di collaborazione dimostrato dall’Ateneo.
Sin dalla prima istanza degli interessati della documentazione del consenso fornito – a seguito della ricezione di comunicazioni indesiderate – l’università telematica si è semplicemente limitata a confermare la cancellazione dei dati, ignorando le richieste reiterate dei soggetti coinvolti.
Già a partire dalla prima richiesta di spiegazioni, l’Ateneo non ha assunto un atteggiamento cooperativo.
L’Autorità si è avvalsa dell’intervento della Guardia di Finanza per notificare l’atto di avvio del procedimento, oltre che delle stesse richieste di informazioni.
L’Università ha dichiarato che tutti i dati in loro possesso sono stati acquisiti attraverso un contitolare del trattamento. Nonostante ciò, l’università telematica non ha saputo comprovare la presenza del consenso dei soggetti interessati alla ricezione di messaggi promozionali.
Questo comportamento ha determinato un impiego inefficace di risorse pubbliche, oltre ad una proroga dei tempi del procedimento. In aggiunta, è stata verificata dal Garante una significativa carenza nelle procedure, al fine di garantire una risposta adeguata alle richieste di esercizio dei diritti da parte degli interessati (nonostante tali richieste sono state sempre inviate agli indirizzi specificati nell’informativa privacy). Ad aggravare la situazione, l’Autorità ha anche rilevato che nell’informativa privacy non venivano indicati i tempi di conservazione dei dati personali degli interessati.
Tutti questi elementi sono stati considerati durante il calcolo della sanzione applicata all’Ateneo.
Conclusioni
Il Garante ha rilevato la violazione degli articoli 5, 12, 15, 17 e 21 del Regolamento GDPR, rilevando la mancanza di opportuni e tempestivi riscontri agli interessati, senza dare la possibilità a quest’ultimi di esercitare il loro diritto di accesso, opposizione e cancellazione dei dati.
In aggiunta, sono stati violati anche gli articoli 6 e 7 del GDPR e, pertanto, è stata richiesta la verifica di adozione di misure tecniche e organizzativa idonee al trattamento di dati personali con finalità commerciali, in modo da garantire che tali trattamenti avvengano attraverso un consenso dichiarato.
Oltre al pagamento della sanzione pecuniaria prevista, il Garante ha imposto all’Ateneo di stabilire determinati tempi di conservazione dei dati e di dichiararli nell’informativa privacy.
