Messaggistica via sms: Garante Privacy, no a conservazione contenuto messaggi

Privacy 17 Marzo 2023, di redazione

L’Autorità fa rilevare che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni

Articoli correlati
Privacy

Progetto S.IN.D.A.C.A.: via libera del Garante Privacy

Privacy

Assegno di inclusione, Garante Privacy: ok alle verifiche Inps

Privacy

G7 dei Garanti privacy: positivo bilancio dell’incontro mondiale

Privacy

Norme di adeguamento della normativa nazionale alla governance europea dei dati

Privacy

IA: il G7 dei Garanti privacy a Roma dal 9 all’11 ottobre

Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode.

L’Autorità, nel corso degli accertamenti ispettivi avviati a seguito di una segnalazione e di un reclamo, ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito. Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie,) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società.

La società ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione.

Al riguardo l’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.

Inoltre, nel corso delle attività ispettive, sono emerse una serie di altre violazioni, come ad esempio la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. Altresì la società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo.

Il Garante, pur considerando le misure correttive adottate dalla società a seguito dei vari accertamenti ispettivi, ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa calcolata tenendo conto anche delle giustificazioni addotte dalla stessa.

Fonte: Garante per la protezione dei dati personali

ANCITEL

Anci Digitale S.p.A.
Società in house dell’Associazione Nazionale Comuni Italiani e di ACI Informatica