I messaggi via sms non possono essere conservati dalle società

A decidere in questo senso è il Garante della Privacy, che sanziona le società di servizi di messaggistica che, illecitamente, abbiano conservato il contenuto degli sms inviati dai propri clienti.

Nel caso in esame il provvedimento dell’Autorità arriva dopo che, a seguito di alcuni controlli e di una fase istruttoria, si provava che il contenuto integrale dei messaggi inviati dai clienti (in genere persone giuridiche) era conservato senza che questi avessero espressamente acconsentito.

Le società di messagistica avevano giustificato questa attività, ritenendo erroneamente che il contenuto degli sms rientrasse tra i dati di traffico, con conseguente obbligo di conservazione.

Ma questo non è bastato ad evitare le sanzioni.

I messaggi via sms non possono essere “conservati” dalle società

Tra i contenuti dei messaggi, consistenti per lo più in comunicazioni di servizio inviate dagli utenti della piattaforma ai propri clienti, c’erano anche:

• password per operare con i servizi bancari
• credenziali di autenticazione
• e dati particolari riferiti allo stato di salute o all’appartenenza a un partito politico.

L’Autorità ha ricordato che nessuna norma di legge impone la conservazione dei contenuti delle comunicazioni che, anzi, risulta espressamente vietata a meno che non sia autorizzata dall’utente con specifico e libero consenso per l’erogazione di servizi a valore aggiunto.

Nel corso delle attività ispettive, il Garante ha rilevato una serie di altre violazioni, come ad esempio:

• la conservazione dei dati di traffico senza che fosse prevista una distinzione tra i dati conservati per finalità di giustizia e quelli conservati per altre finalità (fatturazione o consultazione da parte del cliente)
• la mancanza di una distinzione dei tempi di conservazione dei dati (data retention) in base alle finalità
• e infine preventivi controlli automatizzati da parte delle Società sul contenuto degli sms inviati dai propri clienti, per prevenire possibili attività di phishing, ma senza avere un’idonea base giuridica per farlo.

Per tutte queste violazioni il Garante ha multato di 80mila euro i soggetti coinvolti.

Il provvedimento del Garante

Il documento completo è disponibile sul portale dell’Autorità.