SIM Card intestata a utente ignaro: interviene l’Autorità Garante per la protezione dei dati personali

Una multa da 90 mila euro è stata inflitta da parte dell’Autorità Garante ad una società di rete di vendita di una compagnia telefonica. Il motivo? Semplice, il trattamento illecito di dati personali. E di preciso per l’intestazione di SIM Card a utenti ignari.

Ma vediamo di entrare nel dettaglio della questione rivelando qual è il contesto della vicenda e quale, di conseguenza, la posizione assunta dall’Autorità Garante. 

Il caso SIM CARD intestata ad utenti ignari

La Società di rete di vendita della compagnia telefonica GFB One s.r.l è stata multata per il trattamento illecito dei dati personali. Stiamo in questo caso facendo riferimento al Provvedimento 14 settembre 2023 n.405- testo in calce. Il motivo? Come già affermato in precedenza il motivo di tale provvedimento è legato all’intestazione di SIM card ad utenti ovviamente ignari della situazione. L’Autorità Garante è quindi intervenuta con uno specifico obiettivo ovvero quello di riuscire in qualche modo a ostacolare questo fenomeno ancora oggi molto attivo. 

Ma, quali sono gli aspetti della vicenda che meritano di essere menzionati e attenzionati? Come l’Autorità Garante è arrivata ad intervenire su tale questione? Tutto sembrerebbe aver avuto inizio in seguito alla segnalazione effettuata da un utente. Questo dopo aver ricevuto da parte di una compagnia telefonica due email e successivamente anche un SMS è venuto a conoscenza del fatto che due schede SIM erano state intestate a suo nome senza però che lui stesso abbia mai fornito alcuna autorizzazione.

Per tale motivo l’utente in questione ha deciso di chiedere alla compagnia telefonica in questione il blocco delle schede SIM. Successivamente è poi intervenuto denunciando quanto accaduto all’Autorità Giudiziaria e rivolgendosi in seguito al Garante della Privacy.

Nel tentativo di effettuare una ricostruzione dei fatti ecco che l’utente è riuscito ad apprendere ulteriori importanti informazioni su quanto accaduto. Nello specifico in seguito ad alcuni accertamenti è riuscito a scoprire che l’attivazione delle schede in questione era avvenuta nella provincia di Napoli. E più nello specifico all’interno di un negozio Vodafone sito nella via Marano di Napoli.

Come è stato possibile attivare le schede?

Per farlo è stata utilizzata una fotocopia della carta d’identità dell’utente ignaro. Anche se, occorre precisare, questa si presentava poco leggibile. Sempre in seguito agli accertamenti effettuati l’interessato è anche riuscito ad apprendere ulteriori dettagli della vicenda. E nello specifico è riuscito a scoprire che per gli addebiti delle due utenze era stato inserito un codice IBAN assolutamente falso, anzi addirittura inesistente. Un codice legato ad una filiale della Banca Monte Paschi di Siena ubicata proprio nelle vicinanze dell’abitazione dell’utente.

Tutto ciò ha portato all’avvio di un’indagine con l’unico obiettivo di riuscire a fare chiarezza sull’accaduto. Per fare ciò è stata quindi inviata alla Vodafone una richiesta di informazione, in base a quanto previsto dall’articolo 157 del Codice privacy. Richiesta questa alla quale la compagnia telefonica in questione ha risposto confermando di avere fornito all’utente le informazioni corrette.

Ha poi rivelato di avere inviato le copie dei documenti di riconoscimento utilizzati per l’attivazione delle due schede sim. Ma non solo, la Vodafone ha anche rivelato di aver avviato nel confronti del rivenditore GFB un procedimento sanzionatorio per l’attivazione di SIM ad utenti ignari.

Alla compagnia telefonica interessata, e quindi la Vodafone,  è stata poi invitata una seconda richiesta di informazioni. Il motivo?

Le controdeduzioni dell’utente interessato. Quest’ultimo infatti grazie all’analisi dei fatti ha evidenziato alcune contraddittorietà delle informazioni fornite dalla rete telefonica. Contraddittorietà legate alla cancellazione dei dati personali e all’origine dei documenti utilizzati per l’attivazione delle due schede SIM e quindi a queste associate.

E ancora, sempre alla Vodafone sono state poi richieste ulteriori informazioni. Di preciso, quindi, quelle legate alle procedure di controllo dell’operato svolto dai rivenditori. E inoltre quelle legate alle attività di controllo effettuate proprio nei confronti della Società GFB.  Alla società, ai sensi dell’articolo 157 del Codice privacy, è stata poi inviata una nuova richiesta di informazioni con l’unico obiettivo di riuscire ad acquisire molte più informazioni per una maggiore valutazione del caso. 

Come ha risposto Vodafone a tutte queste richieste? La nota compagnia telefonica ha rivelato di essere solita mettere a disposizione dei rivenditori, chiamati dealer, alcuni moduli di aggiornamento legati proprio alle procedure da seguire per l’attivazione delle schede SIM. L’obiettivo è quello di garantire l’adesione a quelle che sono le prescrizioni legate alla Legge Pisanu.

 Questa legge riguarda l’identificazione del cliente sia per l’attivazione di una scheda SIM sia per la sua sostituzione. Il tutto tramite la richiesta di un valido documento di riconoscimento. Sempre la Vodafone ha poi risposto rivelando di avere oscurato dal proprio sistema, a partire dalla data 30 novembre 2022, tutti i dati dell’interessato. Anche in questo caso l’azione svolta da Vodafone aveva come obiettivo quello di tutelare la privacy del proprio cliente.

Le violazioni emerse durante l’inchiesta per la Sim Card

L’inchiesta effettuata ha portato alla luce una serie di violazioni, sulla base dell’atto di contestazione n. 85654/23.

Occorre precisare che nel corso di tale inchiesta è stata esaminata la posizione di Vodafone Italia S.p.A e dall’ analisi effettuata non sembrerebbero essere emersi né comportamenti illeciti e nemmeno condotte contrarie a quelli che sono i principi di protezione di quelli che sono i dati personali. Infatti in seguito alla segnalazione di attivazione illecita Vodafone è subito intervenuta effettuando il blocco delle schede SIM Card coinvolte. In questo modo ne ha impedito l’utilizzo da parte dei soggetti ignoti. Inoltre le schede SIM in questione sono state prontamente disattivate. 

In seguito a tutto questo ecco che sono state avviate tutte le procedure di accertamento con il successivo sanzionamento del rivenditore che ha provveduto ad effettuare l’attivazione delle schede SIM Card di cui sopra parlato.

Sempre grazie alle indagini effettuate sono emersi ulteriori dettagli di notevole importanza

Nello specifico è emerso che proprio Vodafone in seguito alla richiesta effettuata dall’interessato ha subito provveduto a fornire sia i moduli utilizzati per l’attivazione delle schede SIM sopracitate, sia le copie dei documenti che sono state allegate proprio ai suddetti moduli. 

Vodafone inoltre, sempre su richiesta dell’interessato, ha provveduto ad oscurare i dati del cliente per evitare futuri utilizzi illeciti. Occorre quindi precisare che l’Autorità Garante non ha riscontrato, nel corso dell’indagine, delle anomalie di sistema oppure elementi di colpa da poter attribuire alla compagnia telefonica. Inoltre sempre dall’analisi è emerso che nelle azioni svolte dalla compagnia in questione, ovvero la Vodafone, sia durante la fase precedente all’attivazione delle schede sia nella fase successiva non è stata riscontrata alcuna ‘ipotesi responsabilità’. 

In riferimento alla Società GFB invece l’accusa mossa è quella di aver provveduto all’attivazione delle schede SIM Card utilizzando una copia cartacea dei documenti d’identità . Il tutto senza svolgere ulteriori e approfondite verifiche.

Dal provvedimento è inoltre emerso che GFB non aveva fornito alcun riscontro alle richieste di informazioni ricevute da parte dell’Autorità. In questo modo ha quindi causato un notevole aggravamento dei tempi dell’istruttoria e allo stesso tempo ha anche impedito all’interessato di poter acquisire degli importanti elementi legati all’utilizzo illecito del suo documento d’identità e di informazioni personali. 

LE IPOTESI DI VIOLAZIONE EMERSE DALLE INDAGINI SONO QUINDI DUE. 

a) art. 5, par. 1, lett. a), e 6 del Regolamento, per aver trattato i dati personali dell’interessato in violazione del principio di liceità e in assenza di un’idonea base giuridica;

b) art. 13 del Regolamento, per aver omesso  all’interessato  di fornire le informazioni necessarie  ivi previste; c) art. 157 del Codice, notificata al domicilio digitale della Società, per aver omesso di fornire le informazioni e i documenti richiesti con nota del 30 dicembre 2022 all’Autorità ”.

La società GFB con nota del 30 giugno 2023 ha prodotto una memoria difensiva, ai sensi dell’art. 166, comma 6, del Codice e dell’art. 13 del Regolamento interno del Garante n. 1/2019. Le argomentazioni avanzate dalla Società non sono però state considerate idonee ad escludere le responsabilità assunte in riferimento alle violazioni che le erano state precedentemente contestate. 

La Società in questione oltre a non aver reso note le circostanze legate all’attivazione di schede SIM Card ad ignoti e oltre a non aver fornito una dettagliata analisi dei controlli effettuati per garantire che i dipendenti svolgessero il lavoro in modo corretto aveva anche ignorato le richieste avanzate dal Garante. Ovvero quella di fornire non solo le informazioni richieste ma anche i documenti. In questo modo la Società finita sotto accusa ha provocato “un aggravamento degli oneri investigativi e un rallentamento delle azioni amministrative“.

La posizione assunta dall’Autorità Garante

Il Garante per limitare questi abusi era intervenuto già in passato con il provv. del 16 febbraio 2006, pubblicato nella G.U. n. 54 del 6 marzo 2006, testo in calce. Provvedimento sui “servizi telefonici non richiesti” messo in atto rivolgendo una particolare richiesta agli operatori telefonici. Ovvero quella di mettere in pratica delle rigorose procedure utili al rilevamento di intestazioni di schede ad una stessa persona.  “In base alle modalità della propria attività, gli Agenti e rivenditori  rivestono la qualità di titolari autonomi del trattamento dei dati. E questi vengono utilizzati ai fini dell’attivazione dei servizi quando in particolar modo “esercitano un potere decisionale reale e in tutta autonomia  sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito“. Questo il testo del provvedimento.

In riferimento al caso sopracitato è possibile dire che il Garante in seguito all’analisi effettuata è riuscito ad accertare la responsabilità della Società.

IL SUO INTERVENTO SI È RIVELATO NECESSARIO PER:

• imporre a GFB, ai sensi dell’art. 58, par. 2, lett. f) del Regolamento, il divieto di ogni ulteriore trattamento dei dati personali del segnalante;
• adottare un’ordinanza ingiunzione, ai sensi degli artt. 166, comma 7, del Codice e 18 della legge n. 689/1981, per l’applicazione nei confronti di Vodafone della sanzione amministrativa pecuniaria prevista dall’art. 83, parr. 3 e 5, del Regolamento”.

Tutti gli elementi contenuti dell’art.83 par. 2, del Regolamento UE 2016/679 si sono rivelati necessari per poter determinare la cifra totale della sanzione amministrativa. Nel provvedimento n.405 del 14 settembre 2023 sono state indicate le violazioni commesse. E di preciso: 

1. la gravità delle violazioni (art. 83, par. 2, lett. a) del Regolamento), avviene quando è tenuto conto dell’oggetto e delle finalità dei dati trattati, nonché delle condotte riconducibili al fenomeno complessivo delle attivazioni illecite di carte telefoniche […]; 2) quale fattore aggravante, il carattere doloso della violazione (art. 83, par. 2, lett. b) del Regolamento […]; 3) quale fattore aggravante, la mancanza di iniziative, da parte di GFB, volte ad attenuare il danno subito dall’interessato (art. 83, par. 2, lett. c) del Regolamento); 4) quale fattore aggravante, la mancata collaborazione con l’Autorità Garante (art. 83, par. 2, lett. f) del Regolamento).

La gravità delle violazioni effettuate e il loro carattere definito doloso hanno quindi portato ad una sanzione di euro 90,000. Sanzione questa prevista  dall’articolo 166, comma 7 del Codice e dall’articolo 16 del Regolamento del Garante, numero 1/2019. 

Tale provvedimento è stato pubblicato sul sito del Garante e consente a tutti gli utenti di poter accedere a delle specifiche informazioni e rendere pubblico il comportamento assunto dalla società sopracitata.

Inoltre tale pubblicazione consente anche di portare avanti una campagna di sensibilizzazione su tale argomento. In questo modo infatti si ha la possibilità di osservare la violazione commessa e conoscere allo stesso tempo quelle che sono le sue conseguenze.  

Inoltre è molto importante precisare che il provvedimento in questione è da considerare assolutamente compatibile con quelli che sono i compiti e di conseguenza i poteri legati appunto al Garante. Quest’ultimo ha infatti il compito di vigilare sul trattamento dei dati personali e allo stesso tempo adottare tutte quelle misure ritenute assolutamente necessarie per poter garantire quella che è la tutela degli interessi delle persone interessate.