Digitalizzazione
Tutela della privacy e protezione dei dati personali
[G4-DMA Customer Privacy], [G4-PR8]
Per assicurare la protezione dei dati personali nello svolgimento delle attività d’impresa, TIM si è dotata dal 2003 di un modello organizzativo articolato, nel quale si colloca la funzione Privacy che presidia, a livello di Gruppo, la corretta applicazione della normativa di settore (D.Lgs. 196/03, c.d. “Codice Privacy”). In questo contesto, in occasione della costituzione o dell’acquisizione di nuove società, la Capogruppo assicura anche il supporto necessario per individuare e realizzare gli adempimenti necessari.
Il recepimento delle disposizioni di legge e delle indicazioni del Garante per la protezione dei dati personali è assicurato tramite il costante aggiornamento delle normative e policy di Gruppo. Tra queste è particolarmente significativo il “Sistema delle regole per l’applicazione della normativa privacy nel Gruppo TIM” che definisce le disposizioni e le indicazioni operative per ogni adempimento di interesse e che nel corso del 2015 è stato completamente rivisto ed aggiornato, in funzione della evoluzione normativa e della introduzione di nuovi servizi per la clientela.
Una importante evoluzione del quadro normativo di riferimento è rappresentata dalla pubblicazione del Regolamento UE n. 2016/679, il 4 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (c.d. “General Data Protection Regulation” o GDPR), che diventerà efficace negli Stati membri a partire dal 25 maggio 2018.
Tale Regolamento apporterà diverse innovazioni, ad esempio:
- armonizzazione della normativa, con regole comuni direttamente applicabili in tutta la UE;
- applicabilità anche a soggetti extra-UE che trattano, per determinate finalità, i dati di persone nella UE;
- accountability dei soggetti che trattano i dati (adempimenti in materia di privacy impact assessment, privacy by design, documentazione delle attività, ecc.);
- introduzione del concetto di pseudonimizzazione dei dati e regole relative;
- introduzione della figura del Data Protection Officer;
- rilevanza economica delle sanzioni previste in caso di violazioni.
Nella seconda metà del 2016, TIM ha avviato la pianificazione delle azioni di adeguamento, al fine di realizzare i nuovi adempimenti e garantire la conformità dei trattamenti di dati personali entro il termine previsto di maggio 2018. In particolare, è previsto l’avvio di un gruppo di lavoro interfunzionale per definire le iniziative di adeguamento nel dettaglio, tenendo conto del contesto tecnologico ed organizzativo e delle attività di business; inoltre, TIM partecipa attivamente alle task force dedicate in ambito GSMA e Confindustria.
Sotto il profilo più operativo, nel corso del 2016 è stata particolarmente rilevante la tematica del telemarketing, che per TIM costituisce uno strumento importante della propria attività di business. TIM è da sempre impegnata affinché il telemarketing sia svolto nel rispetto delle norme: TIM infatti non ha alcun interesse a contattare persone che abbiano manifestato la volontà di non ricevere chiamate promozionali, considerate le ricadute negative in termini relazionali con i clienti e, più in generale, di reputazione.
A tal fine, TIM ha rivisto i processi aziendali impattati, con l’attuazione di una serie di azioni di miglioramento nelle attività connesse alla contattabilità telefonica per fini commerciali, come:
- l’ ulteriore rafforzamento dei controlli sui contact center e sulla formazione delle liste di contattabilità;
- l’ottimizzazione dei processi interni e delle procedure per il recepimento delle opposizioni all’ulteriore trattamento dei dati personali per finalità di marketing, espresse dai soggetti contattati.
Inoltre, è stato eseguito un piano di formazione, dedicato al personale interno ed ai partner commerciali, ai fini della corretta comprensione ed applicazione degli adempimenti privacy, con particolare riferimento all’attività di vendita e di telemarketing. In totale sono stati svolti 23 incontri a livello territoriale, che hanno visto la partecipazione di circa 500 persone. La costante attività di formazione in materia di privacy, nel 2016 si è concretizzata anche in un intervento di approfondimento degli aspetti privacy nell’ambito di progetti basati sulla analisi di big data.
L’effettiva applicazione delle normative è monitorata tramite un sistema di controllo, basato su procedure di autovalutazione periodica da parte dei responsabili del trattamento e verifiche a campione svolte dalle competenti funzioni centrali sulla base di procedure e metodologie definite. In considerazione di tali attività, è in programma la redazione di un report sullo stato di adozione delle misure di sicurezza previste dalla normativa privacy che formalizza, in un documento aziendale, le attività svolte per garantire il rispetto delle disposizioni in materia di trattamento dei dati personali, i risultati raggiunti e lo stato dei piani di miglioramento.
Infine, anche nel corso del 2016, TIM ha continuato a porre in essere le azioni necessarie per l’attuazione, nei processi interni, delle disposizioni in materia di eventuali violazioni della sicurezza dei dati personali trattati in relazione ai servizi di comunicazione elettronica (c.d. “data breach”).
Nella tabella seguente sono riportate le richieste di informazioni rivolte a TIM, in Italia, da parte del Garante Privacy, anche a seguito di segnalazioni dei clienti.
Descrizione | 2016 | 2015 | 2014 |
---|---|---|---|
Richieste pervenute* | 33 | 220 | 435 |
(*) la percentuale delle richieste archiviate nel 2014 e 2015 è risultata superiore al 98%, il dato relativo al 2016 verrà pubblicato appena reso disponibile dal Garante della Privacy
Per quanto riguarda il Brasile, in conformità all’art. 5 della Costituzione Federale e all’l’art. 3 della Legge Generale sulle Telecomunicazioni n° 9.472 del 1997, è sancito il diritto del cliente alla riservatezza dei propri dati personali (salvo i casi previsti dalla legge). Il regolamento del servizio mobile personale, agli artt. 89, 90 e 91 della Risoluzione 477 dell’Agenzia Nazionale delle Telecomunicazioni (ANATEL), prescrive la responsabilità delle aziende in materia e l’eventuale sospensione della riservatezza solo su richiesta dell’Autorità competente nei casi previsti dalla legge. La Legge Federale n° 12.965 (Marco Civil), agli artt. 10, 11, da aprile 2014 assicura la privacy e la protezione dei dati personali agli utilizzatori di internet.
TIM Brasil, per assicurare la riservatezza delle informazioni della propria clientela in conformità alla normativa nazionale (compresi gli artt. 10 e 11 del “Marco Civil”), ha emanato le relative policy e procedure interne, tra cui una policy specifica per la tutela della privacy, che si basano sui principi della separazione delle funzioni e del “need to know” (limitazione del trattamento dei dati personali al minimo necessario per svolgere il lavoro). Tali policy e procedure richiamano le metodologie di classificazione e gestione delle informazioni per garantire i livelli di protezione adeguata. Nel 2016 TIM Brasil ha ricevuto 14 denunce1 di presunte violazioni riguardanti la privacy, da parte dei clienti (si è nella fase iniziale del processo), non vi sono state denunce nel 2015 mentre vi è stato 1 solo caso nel 20142.
E’ opportuno segnalare che la differenza tra le legislazioni di Italia e Brasile non permette di effettuare confronti tra dati omogenei.
1 Undici casi sono riferiti ad un cambio fraudolento di SIM che ha permesso all’autore del reato di ottenere informazioni riservate, utilizzate per commettere estorsioni o furti. Due casi hanno riguardato la richiesta di informazioni riservate senza le autorizzazioni legali. L’ultimo caso è relativo al trasferimento di una linea da un cliente ad un altro.
2 Il caso del 2014 è riferibile a un’estrazione di dati telefonici senza autorizzazione giudiziaria. La multa comminata è stata di 5.000 reais.