Con il provvedimento n. 176 /2017 del 6 aprile scorso (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6376175), il Garante Privacy ha accertato numerose violazioni di dati personali (data breach) e gravi carenze nella sicurezza informatica dei dati da parte di Telecom Italia.

La vicenda trae origine dal reclamo di un soggetto che lamentava l’ingiustificata attivazione da parte di Telecom Italia di ben 816 linee telefoniche a suo nome; il reclamante lamentava inoltre l’indebita comunicazione dei suoi dati personali a varie società di recupero crediti e l’inserimento del proprio codice fiscale in un numero assai elevato di fatture trasmesse ai reali intestatari delle linee telefoniche (da alcuni anni, infatti, l’interessato aveva cominciato a ricevere i solleciti di pagamento di società di recupero crediti incaricate da Telecom Italia per fatture telefoniche insolute, fatture e solleciti che recavano i suoi dati personali ma riguardavano utenze telefoniche a lui sconosciute, collocate in tutta Italia e in uso a soggetti terzi).

Nonostante i reclami e le molteplici richieste di chiarimento rivolte alla Società ai sensi dell’art. 7 del Codice Privacy, Telecom Italia non aveva fornito all’interessato degli idonei riscontri.

In seguito al ricorso dell’interessato, dunque, a dicembre 2016, il Garante avviava un’ispezione accertando che le erronee associazioni “hanno interessato un novero più ampio di clienti, allo stato non precisamente delimitabile”, circostanza emersa attraverso una verifica a campione nell’elenco delle fatture degli ultimi 10 anni.

La responsabilità della Società, tra l’altro, risulta ancor più grave tenuto conto della condotta “negligente e omissiva” tenuta da Telecom Italia che –pur consapevole del problema, viste le reiterate segnalazioni ricevute nel corso degli anni-  non si era adeguatamente attivata, in violazione del principio di correttezza nel trattamento (art. 11, comma 1, lett. a), del Codice), né per individuare la causa del problema né per predisporre degli interventi correttivi a livello strutturale (secondo il Garante, la Società “non ha dato prova di aver posto in essere alcuna idonea misura per definire il perimetro dei malfunzionamenti ed eliminarne le conseguenze pregiudizievoli per il reclamante, anzitutto, ma anche per gli altri clienti interessati da quanto verificatosi”).

Telecom ha tentato di giustificare l’accaduto con asseriti malfunzionamenti dei propri sistemi informativi nella fase di “travaso” dei dati dal vecchio sistema gestionale ma l’Autorità ha rilevato che “plurimi appaiono i malfunzionamenti che la Società non è stata in grado di prevenire”, evidenziando “una poco attenta gestione dei menzionati sistemi che rappresentano i gangli vitali della propria infrastruttura informativa, interessando direttamente la clientela.”.

Il Garante ha prescritto alla Società di effettuare, entro 120 giorni, puntuali verifiche in tutti i propri sistemi per individuare eventuali erronee discordanze tra i dati riferiti all’intestatario della linea telefonica e l’intestatario della fattura, dando comunicazione degli esiti al Garante entro i successivi 15 giorni.

L’Autorità ha inoltre prescritto che l’attività di “bonifica” nei riguardi della clientela interessata sia puntualmente documentata anche attraverso l’indicazione, per ciascuna numerazione e per ciascun codice fiscale oggetto di intervento, delle operazioni effettuate.

Il Garante ha previsto anche l’obbligo di informare, con cadenza mensile, dell’erronea assegnazione di linee telefoniche i terzi destinatari di comunicazione illecita di dati, al fine di consentire le necessarie rettifiche, dandone tempestiva comunicazione agli interessati e al Garante.

L’Autorità ha prescritto inoltre l’adozione idonee misure organizzative affinché, in caso di discordanza tra l’intestatario della linea e l’intestatario della fattura, vengano effettuate –prima di ogni azione di recupero del credito-  preventive verifiche volte a scongiurare che soggetti che non rivestono la qualifica di debitore vengano ingiustificatamente contattati.

Infine, nelle ipotesi di discordanza accertate o segnalate, prescrive che tutto il personale del Customer Care segnali tempestivamente le anomalie alle funzioni interne della Società che dovranno effettuare le “bonifiche”.

Con autonomo procedimento, l’Autorità provvederà a contestare a Telecom Italia le violazioni amministrative conseguenti al mancato tempestivo riscontro alle richieste che l’interessato aveva inoltrato in sede di esercizio del diritto di accesso ex art. 7 del Codice nonché la violazione dell’art. 32-bis del Codice Privacy per non aver tempestivamente comunicato al Garante la violazione di dati verificatasi.

Dagli accertamenti ispettivi, infatti, è emerso che Telecom Italia non aveva dato tempestiva comunicazione al Garante della violazione dei dati rispetto a disallineamenti già noti; con comunicazione del 22 gennaio 2015, inoltre, essa aveva fornito all’Autorità informazioni incomplete circa l’erroneo inserimento del codice fiscale nelle fatture e circa la possibile attivazione di procedure di recupero crediti in capo a soggetti estranei agli inadempimenti; la Società, tra l’altro, aveva indicato un solo individuo (il reclamante) come soggetto interessato dall’evento mentre – attraverso ordinarie verifiche – Telecom Italia avrebbe potuto verificare che i soggetti interessati dall’evento erano ben più numerosi; la Società aveva infine sottostimato gravità della violazione, qualificandola di livello “basso/trascurabile“.