IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale; Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»); Visto il provvedimento del Garante del 25 giugno 2009 recante «Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attivita' di profilazione» (pubblicato in G.U. n. 159 dell'11 luglio 2009 e in www.gpdp.it, doc. web n. 1629107 - di seguito «provvedimento generale»); Vista la direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 recante modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica; Vista la direttiva 2009/140/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e alle risorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica; Vista la delibera n. 147/11/CIR, adottata dall'Autorita' per le garanzie nelle comunicazioni, il 30 novembre 2011 recante «Revisione delle norme riguardanti la portabilita' del numero mobile - approvazione del Regolamento»; Visto il «Regolamento riguardante la portabilita' dei numeri per i servizi di comunicazioni mobili e personali» di cui all'Allegato 1 alla suddetta delibera; Visti i singoli provvedimenti emanati nei confronti dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, a seguito delle specifiche istanze di verifica preliminare presentate al Garante in materia di profilazione della clientela, attraverso l'utilizzo di dati personali aggregati (di seguito «fornitori»); Tenuto conto dell'istanza di riesame e aggiornamento, presentata all'Autorita' da un fornitore destinatario di uno degli specifici provvedimenti emanati, con particolare riguardo ad una nuova previsione della base temporale di aggregazione dei dati utilizzati per finalita' di profilazione; Vista la documentazione in atti; Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento n. 1/2000; Relatore la dott.ssa Augusta Iannini;
Premesso
Con il provvedimento generale del 25 giugno 2009 l'Autorita' ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgevano o intendevano svolgere attivita' di profilazione nei confronti dei propri clienti, utilizzandone i dati personali aggregati e senza richiedere il previsto consenso, di formulare al Garante, attraverso il ricorso alla procedura prevista dall'art. 17 del Codice, un'istanza di verifica preliminare (c.d. prior checking) nella quale individuare, in maniera dettagliata, i trattamenti da effettuare, le specifiche finalita' e la tipologia dei dati di cui fruire. In particolare, la possibilita' che il trattamento di profilazione attraverso dati personali aggregati degli utenti potesse essere effettuato previo esonero dalla preventiva acquisizione del consenso previsto dall'art. 23 del Codice, e' stata individuata dall'Autorita' in forza di un bilanciamento di interessi condotto alla stregua dell'art. 24, comma 1, lett. g) del Codice. A seguito del provvedimento generale, all'Autorita' sono pervenute, da parte delle maggiori societa' di telecomunicazioni che operano nel nostro Paese, numerose istanze di prior checking che hanno condotto all'emanazione di specifici provvedimenti nei confronti di ciascun titolare del trattamento, il cui legittimo interesse e' stato individuato nella necessita' per i fornitori di svolgere l'attivita' di profilazione in quanto elemento, non solo determinante della customer relationship management ma, anche, di un'efficace e corretta politica commerciale e di marketing nei confronti della clientela. Al Garante e' stato difatti prospettato come i risultati dell'attivita' di analisi dei comportamenti di consumo degli utenti attraverso dati aggregati consentano di supportare i processi decisionali e le strategie societarie, di implementare la progettazione delle strutture aziendali e, soprattutto, di fornire servizi e prodotti funzionali alle esigenze ed alle scelte dei clienti. Nell'ambito dei singoli provvedimenti adottati, il Garante ha pertanto previsto l'adozione di una serie di misure ed accorgimenti, sia sotto il profilo giuridico, sia sotto quello tecnico al fine di rendere i trattamenti di profilazione conformi alla disciplina sulla protezione dei dati personali ed a rafforzare la tutela dei soggetti interessati. Difatti, come evidenziato nel provvedimento generale, i dati personali aggregati oggetto dell'attivita' di profilazione, pur derivando da dati originari dettagliati di cui il titolare continua a disporre per finalita' gestionali ed esigenze operative previste anche per legge, devono essere esclusivamente dati dai quali non si possa risalire ad informazioni dettagliate relative a singoli interessati. In ragione di cio', tra le specifiche misure prescrittive, individuate dall'Autorita' nei confronti dei singoli fornitori per lo svolgimento dell'attivita' di profilazione, e' stata individuata la previsione di un livello di aggregazione delle informazioni personali degli utenti non inferiore a trenta giorni. Cio' in quanto detto periodo costituiva una base temporale sufficientemente ampia per evitare una ricostruzione dettagliata delle comunicazioni elettroniche riferibili a singoli interessati e risultava al contempo idonea a rappresentare fenomeni e comportamenti dell'utenza. Infatti, dalle valutazioni effettuate dal Garante preliminarmente all'emanazione degli specifici provvedimenti rivolti ai fornitori, era emerso che periodi di osservazione inferiori, per tutto l'insieme dei dati considerati, conducevano ad un livello di dettaglio eccedente rispetto alla necessita' dell'operatore di valutare i consumi dei clienti individuandone eventuali variazioni, le quali, oltre ad essere legate piu' a fenomeni stagionali, osservabili su scale temporali mensili anziche' settimanali o giornaliere, ben potevano desumersi anche dal confronto con altri indicatori quali, ad esempio, la serie storica delle fatture emesse sulla base di una normale cadenza mensile o bimestrale, oppure la frequenza di ricarica che puo' riguardare periodi ancor piu' distanziati. Tuttavia, a fronte di un quadro cosi' delineato, negli ultimi tempi, all'Autorita' e' stato prospettato, in particolare attraverso un'apposita istanza di riesame, proposta da un fornitore rispetto alle prescrizioni impartite, un nuovo assetto del mercato delle telecomunicazioni che impone, dopo alcuni anni dall'emanazione del provvedimento generale del 2009, nonche' degli specifici provvedimenti, nuove considerazioni rispetto al livello di aggregazione delle informazioni degli utenti, utilizzate per finalita' di profilazione. All'Autorita', sulla base delle piu' recenti dinamiche di mercato che hanno prodotto un aumento della pressione competitiva tra i soggetti che operano nel settore delle telecomunicazioni ed una crescente presenza di nuovi operatori, e' stato quindi richiesto di valutare un livello di aggregazione dei dati su una base temporale piu' ridotta, come misura idonea a garantire un maggior equilibrio nei processi di gestione della clientela. Cio' tenendo conto del fatto che, tra gli elementi che hanno maggiormente alterato i pregressi assetti di mercato, generando un rilevante incremento di fenomeni di natura concorrenziale, e' emerso il crescente ricorso da parte degli utenti allo strumento della number portability, ovvero della portabilita' del numero di telefonia mobile che consente, mantenendo detto numero, di cambiare con tempistiche molto rapide il fornitore del servizio, cosi' da poter beneficiare di nuove e piu' vantaggiose offerte commerciali. Attraverso la number portability si viene a delineare un meccanismo di mercato che coinvolge, in tempi molto brevi, oltre all'utente che chiede la portabilita' del numero, sia l'operatore mobile (c.d. operatore donating) con il quale quest'ultimo ha stipulato l'originario contratto per la fornitura del servizio di telefonia mobile, sia l'operatore mobile ricevente (c.d. operatore recipient) che acquisisce tale utente. Il regolamento, allegato alla menzionata delibera dell'Autorita' per le garanzie nelle comunicazioni del 30 novembre 2011, prevede peraltro che l'operatore recipient invii all'operatore donating la richiesta di portabilita' del cliente «entro le ore 19.00 del giorno in cui la medesima richiesta e' immessa dalle reti di vendita dei sistemi del recipient stesso, avuto riguardo alla data eventualmente indicata dal cliente...» (cfr. art. 5) riducendo ad un giorno lavorativo il c.d. periodo di migrazione. Inoltre, ciascun operatore mobile, in quanto donating, mette a disposizione degli altri operatori mobili una capacita' di evasione giornaliera degli ordinativi, ovvero delle richieste di portabilita' (cfr. art. 8). L'operatore che causa un ritardo nella realizzazione della portabilita' rispetto ai tempi massimi previsti e' poi tenuto a corrispondere all'operatore recipient una penale (cfr. art. 13), cosi' come quest'ultimo, quale unico interlocutore del cliente, e' tenuto a risarcire eventuali ritardi nell'attivazione della portabilita' del numero, su richiesta del cliente stesso (cfr. art. 14). Peraltro, il numero degli utenti che attualmente richiedono il servizio di number portability e' superiore ai 10 milioni su base annua ed il dato risulta in forte espansione, come emerge dalla «Relazione annuale 2013 sull'attivita' svolta e sui programmi di lavoro» dell'Autorita' per le garanzie nelle comunicazioni. L'opportunita' offerta agli utenti di cambiare il proprio operatore di telefonia mobile in tempi cosi' ridotti, unita alla crescente consapevolezza delle offerte che il mercato e' in grado di offrire, ha quindi progressivamente accentuato la competitivita' tra operatori. Oltre a tale fenomeno il mercato ha poi assistito, negli ultimi tempi, anche ad una crescita «dell'offerta dati» legata alla sempre maggiore diffusione di dispositivi radiomobili evoluti, quali smartphone e tablet, ed alla presenza di una rete mobile a banda larga sempre piu' capillare ed efficace. Tale offerta ha modificato la propensione all'uso dei servizi tradizionalmente offerti dall'operatore, orientando molti utenti verso l'uso di servizi alternativi ai classici servizi sms o di telefonia, quali quelli di messaggistica o fonia (c.d. VoIP) e i servizi internet, proposti dai vari fornitori di servizi della societa' dell'informazione, indicati anche come provider over the top. La combinazione delle suddette cause ha quindi comportato una maggiore reattivita' dei clienti che sono in grado di «inseguire», in ragione sia dei ridotti tempi di migrazione del numero tra i diversi gestori di telefonia mobile, sia della disponibilita' di servizi alternativi a quelli di mera telefonia cui accedere attraverso la rete a banda larga, i mutamenti del mercato aderendo alle offerte piu' vantaggiose, di volta in volta proposte dai vari competitors. Orbene, i nuovi comportamenti dell'utenza, che si verificano su una scala temporale molto ridotta, hanno fatto emergere per i fornitori la necessita' di osservare alcuni fenomeni utili per l'attivita' di profilazione, i quali potrebbero essere piu' efficacemente interpretati laddove l'arco temporale di aggregazione delle informazioni fosse piu' breve rispetto a quello mensile, attualmente previsto sulla base delle prescrizioni impartite dal Garante. In tale ipotesi, infatti, all'operatore risulta difficile comprendere ed analizzare i comportamenti dei clienti con un'adeguata velocita' e quindi riuscire a gestire i servizi offerti in maniera piu' puntale e ritagliata sulle loro reali esigenze, tanto che spesso la clientela viene contattata sulla base di bisogni divenuti ormai obsoleti. Siffatte condizioni rendono inoltre evidente un evento rilevante per l'operatore (come ad esempio una drastica riduzione del traffico telefonico o della spesa che costituisce un chiaro indicatore del mutamento delle esigenze del cliente), solo al termine del periodo di riferimento ed impediscono di intervenire prontamente attraverso efficaci misure di coinvolgimento dell'utente stesso in un nuovo e piu' adeguato piano di offerte e tariffe. Peraltro, da quanto rappresentato al Garante, e' emerso che il periodo mensile di osservazione crea un vuoto di informazioni sulle esigenze del cliente gia' nelle prime fasi di attivazione di una sim, le quali si rivelano invece fondamentali per un'idonea gestione dell'utenza. Sulla base di tutte le osservazioni sopra richiamate e nell'ottica di consentire una piu' corretta e puntuale gestione dell'offerta rivolta all'utenza, l'Autorita' ritiene quindi opportuno rivedere alcuni dei presupposti che ne hanno ispirato le scelte nel provvedimento generale del 25 giugno 2009 e negli specifici provvedimenti successivamente emanati a seguito delle diverse istanze di verifica preliminare proposte dai fornitori. In tal senso occorre, come sempre, effettuare un contemperamento dei diversi interessi in gioco, tenuto conto delle necessarie tutele che devono presidiare la riservatezza delle comunicazioni elettroniche degli interessati e la protezione dei relativi dati personali, in particolare nell'ambito dei processi di profilazione. In ragione di tali premesse possono pertanto individuarsi, nello specifico ambito in oggetto, alcune peculiarita' dell'attivita' di profilazione come attualmente svolta dai fornitori sulla base delle prescrizioni impartite dal Garante, che offrono un sicuro ambito di tutela pure rispetto alle nuove valutazioni che sono state richieste all'Autorita' in ragione dei cambiamenti evidenziati. Ci si riferisce, in primo luogo, alla circostanza che l'attivita' di profilazione svolta dai predetti soggetti si basa su dati aggregati come espressione di somma di tutti gli eventi di traffico (volumi di minuti generati o di byte trasmessi) i quali costituiscono una categoria sufficientemente robusta rispetto a tentativi di estrazione di singole informazioni che possono consentire l'identificazione anche indiretta dell'utente. Tale circostanza offre, quindi, un'adeguata tutela anche laddove si dovesse ridurre, al di sotto del previsto periodo di osservazione mensile, la scala temporale di riferimento per il processo di aggregazione dei dati utilizzati per profilare gli utenti. In secondo luogo, l'attivita' di profilazione attualmente consentita, non si puo' basare su singole numerazioni, ma esclusivamente su direttrici di traffico, con la conseguenza che non appare possibile risalire a dati di dettaglio del singolo evento di comunicazione elettronica riferibile ad un utente identificato o identificabile. Inoltre, il processo di profilazione si configura come un'attivita' interna dell'operatore e non prevede il coinvolgimento di terze parti, peraltro il rischio di accessi indesiderati al dato aggregato di traffico per finalita' di profilazione risulta mitigato da tutte le misure di carattere tecnico-organizzativo gia' individuate nei singoli provvedimenti emanati nei confronti dei fornitori. Cio' avuto particolare riguardo all'implementazione di sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalita'; alla definizione di specifici profili autorizzativi per gli incaricati che svolgono l'attivita' di profilazione, diversi da quelli di coloro che effettuano eventuali, ulteriori, attivita', anche successive alla profilazione; all'adozione di meccanismi di audit che consentono il tracciamento delle operazioni realizzate dagli incaricati che svolgono l'attivita' di profilazione, nonche' alla conservazione dei dati per un periodo di tempo limitato, decorso il quale gli stessi devono essere obbligatoriamente cancellati. In cospetto di uno scenario come quello sopra delineato e ferme restando tutte le misure prescritte dall'Autorita' per garantire un corretto ed adeguato trattamento dei dati personali degli utenti nell'ambito dell'attivita' di profilazione svolta dai fornitori, si ritiene quindi possibile individuare, nell'ambito della suddetta attivita', una nuova scala di misurazione dei fenomeni che delineano il comportamento degli utenti. Tuttavia, tale scala di misurazione puo' considerarsi solo rispetto ad alcune categorie di dati e senza che sussista la possibilita' di risalire ad informazioni di dettaglio del singolo evento di comunicazione elettronica riferibile ad un utente identificato o identificabile. Conseguentemente, il periodo minimo di riferimento per l'aggregazione dei dati personali utilizzati al predetto fine puo' essere individuato in un arco temporale di due giorni. Cio' in quanto una base di osservazione ancor piu' ridotta potrebbe riguardare un numero di eventi talmente esiguo da consentire l'associazione alla singola utenza e vanificare cosi' il processo di aggregazione che e' posto alla base del trattamento stesso. La riduzione del periodo di osservazione dei dati personali aggregati per finalita' di profilazione puo' poi ritenersi ammissibile a condizione che la misurazione dei fenomeni che rilevano per tale attivita' riguardi esclusivamente determinate tipologie di dati, ovvero quelle relative al volume di minuti in traffico originato o terminato (in minuti o byte), al numero di eventi di ricarica, distinto per canale di ricarica, nonche' al totale delle ricariche. A fronte di tale previsione deve poi considerarsi che, per tutte le altre misurazioni, ovvero per l'analisi aggregata dei dati che riguardano altri eventi che il fornitore individua per finalita' di profilazione della clientela, quali i contatti dell'utente con il customer care, le visite ai diversi punti vendita ed assistenza del fornitore, nonche' le offerte relative ai terminali, la base temporale minima di riferimento deve essere di trenta giorni. Resta peraltro inteso che anche nelle ipotesi esaminate permangono tutti gli adempimenti di cui agli articoli 37 e 38 del Codice. Il mancato rispetto delle prescrizioni impartite con il presente provvedimento puo' inoltre comportare l'applicazione delle sanzioni previste dall'art. 162, comma 2-ter del Codice.
Tutto cio' premesso il Garante:
1. prescrive a tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attivita' di profilazione sulla base delle prescrizioni impartite dall'Autorita' nel provvedimento generale del 25 giugno 2009 e negli specifici provvedimenti emanati a seguito delle istanze di prior checking rivolte al Garante, ai sensi e per gli effetti dell'art. 154, comma 1, lett. c), del Codice: a) di ridurre limitatamente a quanto indicato al punto successivo, il tempo di osservazione dei dati personali aggregati per finalita' di profilazione della clientela dal periodo minimo di un mese, previsto negli specifici provvedimenti adottati dal Garante a seguito delle singole istanze di verifica preliminare, a quello minimo di due giorni; b) di adottare, a garanzia degli interessati in conformita' alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione prevedendo, in particolare, che la misurazione dei fenomeni che rilevano per la profilazione dell'utenza sulla base di un'aggregazione dei dati relativa ad un arco temporale di due giorni debba riferirsi unicamente: 1. al volume di minuti in traffico originato o terminato (in minuti o byte); 2. al numero di eventi di ricarica, distinto per canale di ricarica; 3. al totale delle ricariche; c) di escludere, limitatamente ai dati di cui alla precedente lett. b), punto 1, dall'impiego per finalita' di profilazione, i periodi a cui corrisponda un solo evento di comunicazione elettronica riferibile ad un singolo utente; d) di trasmettere al Garante, considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, entro il termine di 30 giorni dalla data dell'eventuale implementazione delle misure indicate ai precedenti punti, copia della documentazione che ne comprovi l'adozione; 2. dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150/2011, avverso il presente provvedimento puo' essere proposta opposizione all'autorita' giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Roma, 6 febbraio 2014
Il presidente: Soro Il relatore: Iannini Il segretario generale: Busia
|