No alla conservazione del contenuto degli sms

17 march 2023

Il Garante privacy ha sanzionato una società di servizi di messaggistica  Commify Italia S.r.l.una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode.

L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie,) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società.

La società ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione.

Al riguardo l’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.

Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo.

Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.

Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.

 

News archive

 

Firm news

mag7

07/05/2024

Modifica al codice deontologico in materia di equo compenso

Il 3 maggio 2024, e’ stato pubblicata nella Gazzetta Ufficiale il  seguente Comunicato del CNF:  Il Consiglio nazionale forense, nella seduta  amministrativa  del 23

mag3

03/05/2024

Lotta contro le contraffazioni commesse online

Lotta contro i reati e ingerenza nei diritti fondamentali: un'autorita` pubblica nazionale incaricata della lotta contro le contraffazioni commesse online puo` accedere ai dati identificativi

mag3

03/05/2024

Tabulati telefonici

Secondo la legge italiana, il delitto di furto aggravato fa parte dei reati che giustificano l’acquisizione di tabulati telefonici presso il fornitore di servizi di comunicazione elettronica,

Lawyer News

mag17

17/05/2024

Carceri, aumentano i suicidi

Nel 2024 uno ogni tre giorni e mezzo: il

mag17

17/05/2024

Contratto di agenzia: le indennità di fine rapporto tra normativa interna e diritto europeo

<span>L'indennità suppletiva, a differenza

mag17

17/05/2024

Dossier sanitario aziendale: illegittima la visione per finalità diverse da quelle di cura

Il Garante Privacy sanziona una ASL per