Gazzetta n. 74 del 29 marzo 2022 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 24 febbraio 2022
Modifica del provvedimento n. 523 dell'8 ottobre 2015, istitutivo del Sistema informativo delle morosita' intenzionali nel settore delle telecomunicazioni (S.I.Mo.I.Tel). (Provvedimento n. 71/2022).


IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l'avv. Guido Scorza, componente e il dott. Claudio Filippi, vice segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, «Regolamento»);
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n. 196, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito «Codice»);
Visto il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato nella Gazzetta Ufficiale n. 257 del 4 novembre 2015, doc web n. 4349760) con il quale il Garante ha autorizzato la costituzione di una banca dati inter-operatore, denominata S.I.Mo.I.Tel. e contenente informazioni relative alle morosita' intenzionali nel settore della telefonia (di seguito, «Provvedimento Si.Mo.I.Tel.»);
Vista l'istanza presentata dal Comitato di gestione inter aziendale del Si.Mo.I.Tel. (di seguito «il Comitato») costituito dagli stessi partecipanti al Sistema al fine di estendere i tempi di conservazione dei dati conferiti in quest'ultimo;
Esaminata la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore l'avv. Guido Scorza;

Premesso:

1. Il provvedimento n. 523 dell'8 ottobre 2015.
Il Garante si e' pronunciato in ordine alla costituzione di una banca dati inter-operatore, denominata S.I.Mo.I.Tel., contenente informazioni relative alle morosita' nel settore della telefonia, con il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato nella Gazzetta Ufficiale n. 257 del 4 novembre 2015 e consultabile su https://www.gpdp.it doc web n. 4349760).
Il provvedimento, di natura generale, e' stato adottato, su richiesta degli operatori del settore, al termine di una complessa attivita' istruttoria e di un intenso confronto effettuato mediante numerosi incontri svolti tra l'Autorita', Assotelecomunicazioni-ASSTEL, i rappresentanti di taluni operatori telefonici e un'ampia rappresentanza di associazioni di consumatori e ha previsto la possibilita' di costituire un sistema operativo, denominato S.I.Mo.I.Tel., nel quale censire le sole morosita' cc.dd. intenzionali della clientela del settore telefonico, cioe' l'insolvenza di «chi agisce con la precisa volonta' di usufruire dei servizi offerti dagli operatori telefonici, senza procedere ai relativi pagamenti» (v. punto 3, cpv. 5 del provvedimento cit.).
Con il provvedimento, il Garante ha prescritto ai titolari del trattamento, ai sensi dell'art. 154, comma 1, lettera c) del Codice in materia di protezione dei dati personale all'epoca vigente, l'adozione di specifiche misure necessarie a garanzia degli interessati e al fine di rendere il trattamento conforme alla normativa. In particolare, tali misure hanno riguardato: l'informativa da rendere agli interessati, i requisiti per l'iscrizione al sistema, le categorie di dati oggetto di trattamento, nonche' i tempi di conservazione.
2. Contenuto dell'istanza.
Con nota del 24 novembre 2021, il Comitato ha sottoposto all'attenzione di questa Autorita' un'istanza al fine di allungare il periodo di conservazione dei soli dati relativi a inadempimenti non successivamente regolarizzati.
La richiesta, corredata da due report redatti da CRIF S.p.a. (societa' designata gestore della banca dati) e riferiti alle istanze di esercizio dei diritti degli interessati del 2020 e 2021, rappresenta che il sistema, operativo dal 2020, risulta affidabile e sicuro per gli interessati, nonche' efficiente e idoneo a contenere il fenomeno delle morosita' c.d. intenzionali degli utenti dei diversi operatori telefonici che vi hanno aderito.
L'unica criticita' che e' emersa in sede di utilizzo della banca dati e che, di riflesso, il Comitato ha segnalato all'Autorita', riguarda i tempi di conservazione dei dati negativi degli interessati iscritti nella banca dati e definiti «irreperibili». Si tratta di soggetti che si sottraggono intenzionalmente al corretto adempimento delle obbligazioni contrattuali e a qualunque forma di contraddittorio con gli operatori, esponendo questi ultimi a pregiudizi che gli attuali tempi di conservazione dei dati relativi a inadempimenti non regolarizzati (pari a trentasei mesi a far data dal recesso dal contratto; v. il punto 14.1 del provvedimento) non sono in grado di limitare adeguatamente.
Il Comitato ha, pertanto, chiesto all'Autorita' di valutare la sussistenza del legittimo interesse dei titolari del trattamento, ai sensi dell'art. 6, comma 1, lettera f) del RGPD all'estensione dei tempi di conservazione dei suddetti dati a sessanta mesi dal recesso dal contratto, disponendo le eventuali misure utili a mitigare gli ipotetici rischi per gli interessati.
3. Valutazione della richiesta.
3.1. L'art. 5 del regolamento, in linea con l'ordinamento previgente in materia di protezione dei dati personali, prevede, in primo luogo, il principio di «limitazione della conservazione», secondo il quale i dati sono «conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalita' per le quali sono trattati» (art. 5, paragrafo 1, lettera e) del GDPR).
E', tuttavia, necessario inquadrare la richiesta avanzata nell'ambito del nuovo principio generale di accountability (articoli 5, par. 2; 24 e 25 del regolamento), in base al quale spetta al titolare del trattamento individuare (ed essere in grado di dimostrare la fondatezza delle ragioni della sua scelta), tra l'altro, il termine di conservazione dei dati oggetto di trattamento.
I successivi articoli attribuiscono al titolare la responsabilita' di mettere in atto misure adeguate a garantire che il trattamento sia conforme al regolamento, prevedendo, ove necessario, il riesame e l'aggiornamento delle stesse misure (art. 24), e «che siano trattati, per impostazione predefinita, solo i dati personali necessari» anche con riferimento al loro periodo di conservazione (art. 25).
La base giuridica del trattamento dei dati contenuti nella banca dati -che nel provvedimento adottato ai sensi del Codice previgente era gia' stata individuata nel legittimo interesse dei partecipanti al Si.Mo.I.Tel., in qualita' di titolari del trattamento (art. 24, comma 1, lettera g)- deve ritenersi, alla luce del regolamento, quella prevista dall'art. 6, par. 1, lettera f).
3.2. Nella valutazione si deve, altresi', tenere conto che gia' in passato il Garante, in relazione alla conservazione dello stesso tipo di dati (inadempimenti non successivamente regolarizzati) contenuti nei Sistemi di informazioni creditizie, ha ritenuto congruo, con il «Provvedimento interpretativo di alcune disposizioni del Codice SIC» adottato il 26 ottobre 2017 (doc. web n. 7221677), il termine massimo di sessanta mesi dalla data di scadenza del contratto per la cancellazione delle segnalazioni relative a tale tipologia di inadempimenti.
Analogamente, costituiscono utili parametri di riferimento, i tempi massimi di conservazione dei dati «negativi» previsti anche in altre banche dati: si pensi all'archivio della Centrale di allarme interbancaria (CAI) nel quale rimangono iscritte per un massimo di cinque anni le generalita' dei soggetti ai quali sono state applicate sanzioni amministrative pecuniarie e accessorie per aver emesso assegni bancari e postali senza autorizzazione o senza disporre dei fondi necessari (legge 386 del 5 dicembre 1990, e succ. mod., recante «Nuova disciplina sanzionatoria degli assegni bancari»); si consideri anche la banca dati protesti, che prevede la cancellazione automatica dopo cinque anni dalla pubblicazione del protesto (decreto ministeriale 9 agosto 2000, n. 316 recante le modalita' di attuazione del registro informatico dei protesti, a norma dell'art. 3-bis del decreto-legge 18 settembre 1995, n. 381, convertito, con modificazioni dalla legge 15 novembre 1995, n. 480).
Costituisce, inoltre, norma di sistema, che trova applicazione anche al caso oggetto dell'odierno provvedimento, l'art. 2948 codice civile che, nell'identificare le fattispecie cui applicare la prescrizione breve quinquennale, include anche i pagamenti periodici con scadenza annuale o fissata in termini piu' brevi, comprese il pagamento delle fatture.
Dalla valutazione della richiesta presentata emerge anche che l'applicazione di tale misura mira esclusivamente a limitare le criticita' evidenziate dal Comitato in relazione ai mancati pagamenti non regolarizzati, mantenendo salvo il termine, gia' previsto dal Provvedimento, di cancellazione entro sette giorni in caso di regolarizzazione del debito o di un accordo tra le Parti che stabilisca un piano di rientro rateizzato.
4. La posizione del Garante.
Tenuto conto che:
il provvedimento Si.Mo.I.Tel. e' stato adottato nella vigenza del precedente quadro normativo in materia di protezione dei dati personali e, in particolare in attuazione dell'art. 154, comma 1, lettera c) che prevedeva: «il Garante [...], ha il compito di: [...] c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'art. 143»;
tale disposizione non e' stata riproposta nel Codice novellato dal decreto legislativo n. 101/2018;
l'art. 5, par. 2 del regolamento, ha introdotto il principio di accountability - che permea l'intero quadro normativo vigente in materia di protezione dei dati personali - esplicitandolo nei successivi articoli 24 e 25;
tra i compiti riservati all'Autorita' dall'art. 57, par. 1, vi e' quello di svolgere «qualsiasi altro compito legato alla protezione dei dati personali» (lett. v);
in attuazione della lettera v) dell'art. 57, l'art. 154, comma 1, del Codice prevede che «il Garante, anche di propria iniziativa [...] e nei confronti di uno o piu' titolari del trattamento, ha il compito di: [...] f) assicurare la tutela dei diritti e delle liberta' fondamentali degli individui dando idonea attuazione al regolamento e al presente codice»; g) provvedere altresi' all'espletamento dei compiti ad esso attribuiti dal diritto dell'Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall'ordinamento»;

Preso atto
di quanto rappresentato dal Comitato di gestione con la nota del 24 novembre 2021 e con l'allegata documentazione e alla luce delle considerazioni sopra esposte, il Garante dichiara di condividere la valutazione - effettuata dai partecipanti al Si.Mo.I.Tel., in qualita' di titolari del trattamento e nell'esercizio del principio di accountability agli stessi riconosciuto dal regolamento - di conformita' al regolamento dell'estensione dei tempi di conservazione dei dati relativi a inadempimenti non regolarizzati fino a sessanta mesi dalla data di recesso dal contratto.
Restano in ogni caso fermi gli ulteriori elementi di garanzia a tutela degli interessi, dei diritti e delle liberta' fondamentali degli interessati definiti con il provvedimento Si.Mo.I.Tel., in quanto compatibili con il nuovo quadro normativo.
Tutto cio' premesso il Garante:
ai sensi degli articoli 57, par. 1, lettera v) del regolamento e 154, comma 1, lett.re f) e g) del Codice, adotta il presente provvedimento con il quale dichiara che la valutazione -effettuata dai partecipanti al Si.Mo.I.Tel., in qualita' di titolari del trattamento, circa l'estensione dei tempi di conservazione dei dati relativi a inadempimenti non regolarizzati, fino a sessanta mesi dalla data di recesso dal contratto, alla luce del complesso degli elementi di garanzia a tutela degli interessi, dei diritti e delle liberta' fondamentali degli interessati definiti con il Provvedimento Si.Mo.I.Tel., puo' ritenersi conforme al quadro normativo in materia di protezione dati.
Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell´art. 154-bis, comma 3, del Codice.

Il presidente
Stanzione

Il relatore
Scorza

Il Vice segretario generale
Filippi