Messaggistica via sms, Garante Privacy: non a conservazione del contenuto (Foto di relexahotels da Pixabay)

Il Garante privacy ha sanzionato una società di servizi di messaggistica con una multa di 80mila euro per aver conservato illecitamente il contenuto degli sms inviati dai propri clienti (circa 7.250 utenze). Alla società sono state inoltre contestate altre condotte illecite relative in particolare alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode. È quanto informa la newsletter odierna del Garante privacy.

Messaggistica via sms e privacy

Il procedimento riguarda la società Commify Italia S.r.l. e il funzionamento della piattaforma Skebby, con la quale è possibile inviare sms tramite un’applicazione web o tramite interfacce di programmazione delle applicazioni (API, Application Programming Interface). Dopo aver ricevuto una segnalazione e un reclamo, e aver fatto accertamenti, il Garante Privacy «ha rilevato che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito – informa l’Autorità – Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie) ai propri clienti, c’erano anche password per operare con i servizi bancari (Otp – One time password), credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società».

La società, spiega il Garante, ha giustificato la sua attività ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione. Il Garante ha invece ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, è espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.

Altre violazioni emerse durante le ispezioni hanno riguardato la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente) e la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità. La società effettuava preventivi controlli automatizzati, con finalità antifrode, sul contenuto degli sms inviati dai propri clienti per prevenire possibili attività di phishing ma senza avere un’idonea base giuridica per farlo, dice il Garante.

Pur considerando le misure correttive adottate, l’Autorità ha ammonito la società per le violazioni riscontrate e ha ordinato il pagamento di una sanzione amministrativa di 80mila euro, calcolata tenendo conto anche delle giustificazioni addotte dalla stessa. Entro il termine stabilito, la società si è avvalsa della facoltà di definire la controversia ed ha pagato un importo pari alla metà della sanzione comminata.


Vuoi ricevere altri aggiornamenti su questi temi?
Iscriviti alla newsletter!



Dopo aver inviato il modulo, controlla la tua casella per confermare l'iscrizione
Privacy Policy

Parliamone ;-)