Illegittimo conservare i testi inviati tramite sms dai propri clienti
Multa per una società che fornisce un servizio di messaggistica e ha trattenuto illecitamente il contenuto dei messaggi inviati dai propri clienti
Illegittimo per la società che fornisce un servizio di messaggistica conservare i testi inviati dai clienti. Questo il principio che ha spinto il Garante per la protezione dei dati personali a sanzionare con una multa di 80.000 euro una società italiana, colpevole di aver conservato illecitamente il contenuto degli sms inviati dai propri clienti – circa 7.250 utenze, in totale –. Alla società, peraltro, sono state contestate altre condotte illecite relative, in particolare, alle misure adottate per garantire la sicurezza del trattamento dei dati di traffico telematico e l’assenza di una base giuridica per effettuare controlli antifrode. Gli accertamenti ispettivi, avviati a seguito di una segnalazione e di un reclamo, hanno consentito di rilevare che il contenuto integrale dei messaggi inviati dai clienti (persone giuridiche, in genere) era conservato senza che questi avessero acconsentito espressamente. Sempre durante gli accertamenti è emerso che tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma (banche, società di assicurazioni, aziende sanitarie) ai propri clienti, c’erano anche password per operare con i servizi bancari, credenziali di autenticazione e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico. Ai contenuti degli sms potevano accedere anche gli incaricati della società, si è appurato. La società ha giustificato la sua attività sostenendo di avere erroneamente ritenuto che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione. Al riguardo il Garante ha ribattuto ricordando che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni, conservazione che, anzi, è espressamente vietata, se non è autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto. (Ordinanza dell’11 gennaio 2023 del Garante per la protezione dei dati personali)