Gpdr e dati personali: come si comportano le compagnie telefoniche europee

Non tutte le compagnie telefoniche europee sono trasparenti nel trattamento dei dati. [Pixabay/JESHOOTS-com]

Se in passato alcune compagnie telefoniche hanno utilizzato in modo spregiudicato i dati personali dei loro utenti, la situazione oggi è migliorata. Tuttavia, è importante capire a cosa si acconsente quando si firma un contratto di questo genere.

Questo articolo è tratto da una ricerca condotta da OBC Transeuropa nell’ambito di EDJNet. Qui potete trovare la versione originale in italiano, in inglese e in spagnolo, mentre qui l’approfondimento sulla legislazione europea.

Lo smartphone è ormai diventato un dispositivo indispensabile per ciascuno di noi. Tuttavia, questo strumento raccoglie una grande quantità di dati personali, anche sensibili, perciò conoscere quali sono e per quali finalità vengono utilizzati è importante.

Tra le tipologie di dati raccolti, immagazzinati e trasmessi dagli smartphone vi sono la geolocalizzazione, i dati biometrici, la navigazione su internet, gli acquisti, le applicazioni utilizzate. Da questi si possono trarre informazioni sensibili su ciascuno di noi, dall’orientamento sessuale all’ideologia politica fino all’appartenenza a una religione, che possono essere sfruttate da alcune aziende per generare ulteriore valore, per esempio attraverso la pubblicità mirata.

Famoso è il caso di Cambridge Analytica, azienda che nel 2016 ricevette i dati di oltre 50 milioni di utenti Facebook e li sfruttò per cercare di influenzare l’esito delle elezioni americane che portarono all’elezione di Donald Trump.

L’entrata in vigore del Gdpr (Regolamento generale per la protezione dei dati) nel 2016, operativo dal 2018, ha reso più complicato e rischioso per le compagnie telefoniche raccogliere dati in maniera spregiudicata, eppure casi di abusi e violazioni salgono ancora oggi periodicamente agli onori della cronaca.

Germania: prosegue il ritardo nell'attuazione delle normative Ue sulla protezione dei dati

In un rapporto presentato al Bundestag martedì (5 aprile), il commissario tedesco per la protezione dei dati ha criticato il paese per il ritardo nell’attuazione della direttiva europea sulla protezione dei dati, in particolare nel campo della giustizia e degli …

La situazione in Europa

Il regolamento per la protezione dei dati personali specifica chiaramente che le informazioni sul trattamento dei dati personali devono essere fornite in maniera facilmente accessibile e comprensibile. Dallo studio condotto da OBC Transeuropa per EDJNet, non emerge un grande impegno da parte delle compagnie nel presentare un’impaginazione di immediata comprensione: spesso viene adottata la classica formula del ‘muro di testo’.

Gli approcci sono vari per quanto riguarda la completezza delle informazioni fornite sul diritto di accesso, rettifica, cancellazione, limitazione, opposizione e revoca del trattamento dei dati personali. Sono spesso presentate in maniera parziale, generalmente sintetica e talvolta incompleta o del tutto assente.

In generale, i dati principali che vengono raccolti sono quelli di posizione, navigazione e comportamento dell’utente. Normalmente viene chiesto il consenso dell’utente, ma alcune compagnie invocano la clausola di interesse legittimo per raccoglierle ugualmente.

Tutte le compagnie dichiarano di cedere i dati personali a soggetti terzi. In alcuni casi si fa esplicito riferimento a partner commerciali per finalità varie, inclusa la vendita di beni o servizi totalmente scollegati dall’utenza telefonica. Sulla conservazione, invece diverse aziende adottano formule sintetiche in cui spiegano che i dati saranno conservati “per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono raccolti o successivamente trattati”.

Spesso, le compagnie telefoniche propongono agli utenti di scaricare applicazioni per controllare e gestire il proprio contratto e credito residuo: queste hanno le loro politiche sulla privacy e spesso contengono strumenti per controllare le attività degli utenti: i tracker. I più controversi in termini di protezione dei dati raccolgono informazioni allo scopo di identificare l’utente e creare un profilo per la pubblicità mirata, e localizzare il dispositivo mobile.

Data act, l'Ue propone nuovi obblighi di condivisione dei dati per le aziende (a partire da Google e Amazon)

La nuova legge sui dati, proposta dalla Commissione Ue, dovrebbe garantire che i dati industriali siano condivisi, conservati e trattati nel pieno rispetto delle norme europee.

Di chi sono i dati che vengono generati usando un’auto elettrica, un assistente vocale o …

Sanzioni per pratiche scorrette

Finora sono state emesse diverse multe importanti nei confronti di compagnie telefoniche da parte delle autorità nazionali per violazioni del Gdpr. Nel 2020, il garante italiano per la privacy ha sanzionato Tim con una multa da circa 28 milioni di euro dopo numerose proteste da parte degli utenti per aver ricevuto chiamate commerciali non richieste come risultato di violazioni del trattamento dei dati. Nel 2021, una multa da 4,5 milioni a Fastweb è stata emessa per ragioni analoghe.

Nel 2020, l’autorità polacca ha inflitto una multa di 443 mila euro a Virgin Mobile per non aver garantito la sicurezza dei dati personali degli abbonati. Nel 2021 l’autorità nazionale francese ha punito Free Mobile con una multa di 300 mila euro per non aver garantito il diritto di visione e di rinuncia al trattamento dei dati. Infine, il caso più recente riguarda le società greche affiliate Cosmote e Ote, multate rispettivamente per 6 milioni di euro e 3,25 milioni di euro per una serie di irregolarità emerse in seguito a un attacco informatico che ha causato la perdita di 30 gigabyte di dati personali.