SMS: conservare il contenuto degli SMS inviati dai clienti è illegittimo. Azienda gestrice di servizi SMS professionali sanzionata per 80.000 euro.
Conservazione degli SMS: il contesto
Nel 2021 il Garante per la protezione dei dati personali ha effettuato un’ispezione nella sede di un’azienda gestrice di una nota piattaforma di servizi SMS professionali. La piattaforma, per rendere il contesto, consente l’invio di SMS via app web o tramite API.
Questa ispezione, va detto, non è stata la prima. In precedenza l’azienda aveva già subito altre attività ispettive, per finalità differenti però. Una di queste ispezioni originava dalla notifica, da parte di uno dei clienti della piattaforma, di violazione dei dati personali ed era avvenuta nel 2018. Successivamente, nel 2019, la stessa azienda subisce una nuova ispezione conseguente ad un reclamo. Reclamo presentato dal repsonsabile del trattamento dati di un cliente della piattaforma e che denunciava come l’azienda avesse conservato i testi degli SMS inviati tramite la piattaforma. In dettaglio era richiesto al Garante di esprimersi rispetto al trattamento eccedente.
Si è arrivati così alla terza ispezione in loco, incentrata sulla verifica delle modalità operative del servizio, tenendo anche di conto di una serie di modifiche a livello societario.
Per approfondire > Conservazione dati di traffico: Corte UE mette limiti
L’attività istruttoria
L’attività istruttoria ha permesso di ricostruire che la società conserva nei propri sistemi anche il contenuto degli SMS inviati dai propri clienti. Tra questi dati conservati figurano OTP trasmessi per operazioni bancarie, credenziali di autenticazione, appuntamenti per servizi sanitari, notifiche di referti medici nominali, SMS inviati da partiti politici ecc…
L’azienda si è giustificata specificando che il motivo di questa conservazione è che il contenuto degli SMS è da ritenersi dato di traffico. Ne conseguirebbe l’obbligo di conservazione come previsto dall’art. 132 del Codice. Non solo: nell’atto di nomina dell’azienda a responsabile del trattamento dati è presente una clausola che richiede il consenso dell’utente per la conservazione del contenuto dei messaggi. Tale clausola viene sottoposta ad ogni nuovo cliente, al momento dell’attivazione del servizio.
L’Istruttoria ha consentito però di ricostruire che il mancato consenso a questa clausola impedisce l’accesso al contenuto deli SMS inviati da parte di quel dato cliente, ma l’azienda procede comunque alla conservazione dei dati.
Dati che sono conservati in diversi sistemi della società, senza però alcuna conservazione separata per i dati di traffico conservati a finalità di prevenzione e repressione dei reati. In pratica, tutti i dati, indipendentemente da tipologia e finalità di raccolta, finiscono conservati indistintamente. Altri dettagli:
- il periodo di conservazione è impostato a due anni;
- i sistemi dove sono conservati i dati sono accessibili tramite VPN (con un solo livello di autenticazione) e accessibili solo ai soggetti autorizzati al trattamento dei dati;
- non essendo prevista alcuna separazione tra i dati conservati, non è neanche prevista una politica differenziata di conservazione.
Infine il Garante ha potuto verificare che l’azienda ha attivato controlli automatizzati sul contenuto degli SMS (tramite ricerca di keyword), al fine di prevenire usi illeciti o fraudolenti della piattaforma. Peccato che tale trattamento non sia legittimato da alcuna base giuridica.
Il Garante individua le violazioni e procede a sanzione
Ricostruito il contesto, il Garante ha individuato le violazioni di:
- artt. 5 e 32 del GDPR (e 123, 132 del Codice Privacy) nell’adozione delle misure di sicurezza per la conservazione dei dati di traffico;
- artt. 5 e 6 del GDPR per la conservazione degli SMS senza idonea base giuridica;
- artt. 5 e 6 del GDPR per la scansione preventiva del contenuto degli SMS, anche in questo caso non legittimata da idonea base giuridica;
- art. 25 del GDPR per mancato rispetto dei principi di privacy by default e privacy by design.
L’azienda ha comunicato al Garante una serie di misure correttive adottate, addirittura alcune messe in atto già a seguito della prima ispezione nel 2018. Nonostante questo, il Garante ha ritenuto non sanate le irregolarità e ha optato per la sanzione amministrativa, per un totale di 80.000 euro.
Il provvedimento completo è disponibile qui.