Attivazione di due schede Sim a nome di un soggetto senza verificare volontà: violazione privacy

Viola la privacy il negozio che attiva due schede sim a nome di un soggetto senza verificare l’effettiva volontà di quest’ultimo.

Volume consigliato: I ricorsi al Garante della privacy

1. I fatti

Il Garante per la protezione dei dati personali avviava un’istruttoria avverso una società che gestiva un negozio di servizi telefonici a seguito di una segnalazione pervenuta da un signore che lamentava l’attivazione di due schede SIM a sua insaputa.
In particolare, il segnalante sosteneva che la rete vendita di una nota compagnia telefonica aveva attivato a sua insaputa due schede sim a suo nome, di cui era venuto a conoscenza solo a seguito della ricezione delle relative email e sms di conferma dell’attivazione. All’esito di alcuni accertamenti svolti autonomamente, il segnalante aveva scoperto che le due sim erano state attivate in un negozio sito in Campania e che per i relativi addebiti era stato indicato un inesistente conto corrente. Il segnalante aveva quindi avvertito la compagnia telefonica di tali eventi e chiedendo di avere copia dei documenti utilizzati per le attivazioni e la compagina disattiva le due utenze e inviava copia del documento di identità che era stato usato per le attivazioni.
Siccome la copia usata per l’attivazione era effettivamente una copia della sua carta di identità, il segnalante aveva sporto denuncia alla Polizia, raccontando l’accaduto e dichiarando di non essere mai andato in Campania, di non aver mai voluto attivare le SIM in questione e di non aver mai perso la propria carta di identità.
Il Garante per la protezione dei dati personali inviava, quindi, una richiesta di informazioni alla compagnia telefonica e al negozio che aveva fatto le due attivazioni.
La compagnia telefonica confermava di aver dato riscontro alle richieste documentali del segnalante e di aver sanzionato il negozio che aveva attivato le due sim in quanto aveva proceduto alle attivazioni sulla base di una semplice copia del documento di identità e senza fare le successive opportune verifiche sull’identità del richiedente (in violazione delle procedure interne previste dalla compagnia per l’attivazione delle schede). Infine, quest’ultima affermava che doveva escludersi che la copia in questione fosse stata acquisita da un file in possesso della compagnia medesima.
La società titolare del negozio che aveva provveduto alla attivazione delle due SIM, invece, non rispondeva alla richiesta di chiarimenti da parte del Garante.
Conseguentemente, il Garante avviava il procedimento sanzionatorio nei confronti della società gestrice del negozio, mentre riteneva che non vi fossero violazioni della normativa privacy da parte della compagnia telefonica (in quanto aveva immediatamente bloccato le SIM, sanzionato il proprio venditore e garantito l’esercizio dei diritti in materia di privacy da parte del segnalante inviandogli la documentazione richiesta).

Potrebbero interessarti:

• Rinnovo automatico dell’iscrizione ad un’associazione e privacy
• Sanzioni in ambito privacy: proporzionalità ed equilibrio per la CGUE

2. Attivazione Sim e volontà del cliente: valutazione del Garante

All’esito dell’istruttoria svolta, è emerso che la società ha attivato le schede SIM poi disconosciute dal segnalante senza essersi correttamente accertata dell’identità del richiedente, acquisendo una semplice copia cartacea del documento d’identità e omettendo di effettuare ulteriori verifiche sulla reale identità dell’interessato; inoltre, è emerso che la società non ha fornito alcun riscontro alle richieste di informazioni da parte del Garante.
Preliminarmente, il Garante ha esaminato il ruolo rivestito dalla società in questa vicenda, ritenendo che la stessa possa essere definita come titolare del trattamento. Infatti, secondo l’Autorità gli agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell´attivazione dei servizi quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito”. A tal proposito, il Garante ha ricordato un precedente provvedimento adottato nei confronti di un dealer di una compagnia telefonica, in cui ha già avuto modo di affermare che “con riferimento alle operazioni volte all´attivazione di schede telefoniche in assenza dell´intestatario e senza l´acquisizione di un suo valido documento, la società ha svolto trattamenti di dati personali esercitando un potere decisionale del tutto autonomo e svincolato dalle disposizioni che la legavano al gestore telefonico e al Master dealer, assumendo la veste giuridica di titolare del trattamento, così come delineato dal richiamato provvedimento del Garante del 16 febbraio 2006”.
In altri termini, il “responsabile” del trattamento potrà essere riconosciuto come “titolare” in concreto del trattamento, in ragione dell’autonomia decisionale e gestionale manifestata anche disattendendo le disposizioni del “titolare”.
Pertanto, posto che la società può essere inquadrata quale titolare del trattamento, quest’ultima ha commesso una duplice violazione della normativa privacy:
–       In primo luogo, in quanto ha trattato i dati personali del segnalante senza aver fornito al medesimo la necessaria informativa privacy;
–       In secondo luogo, in quanto ha trattato i dati di quest’ultimo in assenza di una idonea base giuridica, poiché l’utilizzo dei dati identificativi e dei documenti personali dell’interessato è stato effettuato senza che quest’ultimo ne fosse consapevole e avesse manifestato la volontà di perfezionare un contratto per l’attivazione di schede SIM.

3. La decisione del Garante

In considerazione di quanto sopra, il Garante ha ritenuto necessario sanzionare la società, in primo luogo, mediante l’imposizione del divieto di ogni ulteriore trattamento dei dati del segnalante.
In secondo luogo, il Garante ha ritenuto di applicare una sanzione amministrativa pecuniaria.
Per quanto riguarda la quantificazione della predetta sanzione, il Garante, da un lato, ha valutato la gravità delle violazioni in base all’oggetto e alla finalità dei dati trattati nonché alle condotte riconducibili alla illecita attivazione di schede SIM. Come ulteriore circostanza aggravante, il Garante ha valutato la condotta dolosa della società, che ha disatteso le disposizioni della compagnia telefonica in ordine alla necessità di identificazione del richiedente le SIM, ha acquisito una copia non di un documento originale ma di una semplice fotocopia e non ha effettuato verifiche ulteriori sul complesso dei dati conferiti dall’ignoto richiedente. Inoltre, come ulteriori aggravanti, il Garante ha valutato la mancanza di iniziative da parte della società volte a attenuare il danno subito dall’interessato e la mancata collaborazione con il Garante. Infine, come unica circostanza attenuante, il Garante ha tenuto conto del bilancio della società relativo all’anno 2022.
Sulla base di tali presupposti, il Garante ha ritenuto di quantificare la sanzione amministrativa pecuniaria in €. 90.000 (novantamila).

Volume consigliato

Il volume affronta la disciplina relativa alla tutela dei diritti del titolare dei dati personali, alla luce delle recenti pronunce del Garante della privacy, nonché delle esigenze che nel tempo sono maturate e continuano a maturare, specialmente in ragione dell’utilizzo sempre maggiore della rete.