IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti, e del dott. Giuseppe Busia, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali, di seguito "Codice");
Esaminata la richiesta presentata da Assotelecomunicazioni (di
seguito, ASSTEL) relativa all'istituzione di una banca dati
interoperatore contenente informazioni relative alle morosita' nel
settore della telefonia;
Visti gli esiti della consultazione pubblica indetta con delibera
n. 154 del 27 marzo 2014 (reperibile sul sito istituzionale del
Garante http://www.garanteprivacy.it, doc. web n. 3041680) sullo
schema di provvedimento recante "Costituzione di una banca dati dei
clienti morosi nell'ambito dei servizi di comunicazione elettronica";
Viste in particolare le osservazioni pervenute da alcune
associazioni di consumatori rappresentative degli interessi degli
utenti dei servizi telefonici;
Considerati gli esiti dei successivi incontri, anche di carattere
tecnico, intercorsi tra questa Autorita' e i rappresentanti delle
associazioni dei consumatori, ASSTEL e gli operatori di telefonia che
hanno inteso partecipare;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Premesso
1. Richiesta di ASSTEL.
ASSTEL, quale associazione di categoria che rappresenta le imprese
della tecnologia dell'informazione esercenti servizi di
telecomunicazione fissa e mobile, ha rappresentato l'intenzione degli
operatori di comunicazione elettronica di "procedere (...) alla
sottoscrizione di un accordo interoperatore per l'istituzione di una
Banca dati finalizzata alla verifica dell'affidabilita' e della
puntualita' nei pagamenti nel settore dei servizi di comunicazione
elettronica" (c.d. SIT - Sistema Informatico Integrato). Tale banca
dati, secondo quanto sostenuto da ASSTEL, permetterebbe agli
operatori di settore di condividere le informazioni sui comportamenti
debitori, in particolare dei clienti degli operatori telefonici,
consentendo all'operatore ricevente di conoscere, in occasione della
presentazione di una richiesta di instaurazione di un rapporto
contrattuale da parte di un nuovo cliente, eventuali posizioni di
indebitamento nei confronti di altri operatori.
Secondo ASSTEL, la costituzione del SIT, resa ancora piu' urgente
dall'intervenuto processo di liberalizzazione avviato in Italia anche
nel settore della telefonia, si renderebbe necessaria per assicurare
l'ordinato sviluppo del mercato telefonico, attesa l'impossibilita'
di effettuare verifiche sulle eventuali morosita' pregresse. Il
perdurare di tale situazione - secondo i dati forniti da ASSTEL -
produrrebbe un forte incremento delle perdite registrate dagli
operatori, anche in conseguenza delle nuove offerte contrattuali, che
propongono forme di contratto "post pagato" associate alla vendita a
rate di terminali telefonici e di prodotti "ad alto valore
tecnologico e ad alti costi, messi a disposizione della clientela con
schemi di pagamento dilazionato"; l'aumento dei comportamenti
insolventi, secondo quanto asserito da ASSTEL, rischierebbe di
incidere negativamente non solo sugli operatori, ma anche sugli altri
utenti che, pur adempiendo regolarmente alle obbligazioni, vedrebbero
ridotta o resa meno conveniente la possibilita' di accedere a forme
di contratto "post pagato".
2. L'istruttoria svolta.
All'esito dell'attivita' istruttoria relativa alla suddetta
istanza, l'Autorita' aveva predisposto uno schema di provvedimento
che delineava i contorni di un'ipotetica banca dati. Tale
provvedimento, con delibera n. 154 del 27 marzo 2014, e' stato posto
in consultazione pubblica sul sito dell'Autorita'. Preso atto della
rilevanza e della complessita' delle osservazioni ricevute, l'Ufficio
ha ritenuto di doversi incontrare con le Parti coinvolte dalle misure
prescritte nel provvedimento (associazioni a tutela dei consumatori e
operatori telefonici, inclusa ASSTEL quale associazione di
categoria), per valutare le eventuali modifiche ed integrazioni da
apportare allo schema proposto.
Nel corso degli incontri, che hanno avuto luogo tra dicembre 2014 e
giugno 2015, e' emersa la necessita' di una rilevante rivisitazione
della natura e delle caratteristiche della banca dati rispetto a
quella proposta nello schema di provvedimento oggetto di
consultazione. In particolare, le Parti, condividendo l'orientamento
espresso negli anni dal Garante circa il pericolo insito nella
proliferazione delle cd. black list (sul punto v. paragrafo 3 del
presente provvedimento), hanno convenuto di definire diversamente
l'ambito soggettivo e oggettivo della banca dati stessa.
3. Quadro normativo ed orientamenti del Garante in materia di "black
list".
Nel corso degli anni, il tema della costituzione di banche dati
settoriali contenenti dati relativi a inadempimenti o ritardati
pagamenti degli utenti ha formato oggetto di valutazione da parte del
Garante italiano e del Gruppo di lavoro dei Garanti europei previsto
dall'art. 29 della direttiva 95/46/CE. In particolare, quest'ultimo
ha adottato un parere il 3 ottobre 2002 "Documento di lavoro sulle
liste nere" (WP65), con il quale, nel rappresentare la necessita' di
stabilire in questo ambito criteri, indirizzi o direttrici
d'intervento comuni tra gli Stati membri, ha evidenziato che per la
creazione di tali archivi in specifici settori economici occorre
mantenere un equilibrio tra "l'interesse legittimo del responsabile
del trattamento di sapere se chi richiede un credito sia registrato
per mancati pagamenti" e le conseguenze negative che tale trattamento
puo' comportare per l'interessato (v. cit. Parere WP65, p. 4).
Il processo di liberalizzazione introdotto in Italia con il
recepimento di alcune direttive europee ha mutato il quadro in
particolare nei settori delle telecomunicazioni e dell'energia
elettrica e del gas (c.d. utilities), che hanno dovuto adattarsi alla
nascita di un mercato concorrenziale, che ha reso indispensabile
aumentare l'offerta di servizi (specie quelli tecnologicamente piu'
avanzati) e, al contempo, ridurre i prezzi al dettaglio.
Con specifico riferimento al settore delle comunicazioni
elettroniche, il processo di liberalizzazione e' stato avviato a
livello europeo con il c.d. "pacchetto delle direttive comunitarie
del 2002", modificato e integrato a piu' riprese dal legislatore
comunitario (Direttive 2002/19/CE, 2002/20/CE e 2002/21/CE,
modificate e integrate dalla Direttiva 2009/140/CE del Parlamento
europeo e del Consiglio; Direttive 2002/22/CE, 2002/58/CE, modificate
dalla Direttiva 2009/136/CE del Parlamento europeo e del Consiglio
del 25 novembre 2009 e dalla Direttiva 2009/140/CE del 25 novembre
2009 del Parlamento europeo e del Consiglio) e recepito
nell'ordinamento italiano con il d.lg. 1° agosto 2003, n. 259 (Codice
delle comunicazioni elettroniche), da ultimo modificato dal decreto
legislativo 28 maggio 2012, n. 70.
Il nuovo quadro normativo ha profondamente mutato il settore delle
comunicazioni elettroniche, il ruolo rivestito dai relativi operatori
ed il rapporto contrattuale che li lega ai propri clienti.
Il descritto processo di liberalizzazione, ha comportato, tuttavia,
anche un aumento di morosita' intenzionali da parte di chi agisce con
la precisa volonta' di usufruire dei servizi offerti dagli operatori
telefonici, senza procedere ai relativi pagamenti.
In considerazione di cio', il legislatore ha iniziato ad ammettere
la possibilita' di costituire banche dati di clienti inadempienti nei
settori sopra descritti, ad iniziare da quello del gas e dell'energia
elettrica (legge 13 agosto 2010, n. 129, art. 1-bis - di conversione
in legge, con modificazioni, del decreto-legge 8 luglio 2010, n. 105,
recante Misure urgenti in materia di energia).
Successivamente, lo stesso legislatore e' intervenuto anche nel
settore della telefonia stabilendo che "possono avere accesso" ai
Sistemi di informazione creditizia (Sic) anche soggetti diversi da
quelli specificamente menzionati dal codice deontologico di settore,
tra cui i fornitori di servizi di comunicazione elettronica e di
servizi interattivi associati, "di cui al comma 5 dell'art. 30-ter
del decreto legislativo 13 agosto 2010, n. 141 (art. 6-bis del
decreto-legge 13 agosto 2011, n. 138; convertito con modificazioni
dalla legge 14 settembre 2011, n. 148)".
Al riguardo, l'Autorita' pur ribadendo che, in linea di principio,
sia opportuno evitare una proliferazione indiscriminata di archivi
settoriali nei piu' diversi ambiti economici, che causerebbe un
diffuso e potenzialmente pericoloso trattamento di dati degli
interessati, ritiene che, con specifico riferimento alle morosita'
intenzionali della clientela nel settore della telefonia, possa
prevedersi la costituzione di una banca dati. Cio' muovendo dalla
considerazione riconosciuta dal legislatore che definisce questo
settore "di preminente interesse generale" (art. 3, comma 2, Codice
delle comunicazioni elettroniche) e di "pubblica utilita'" (legge 14
novembre 1995, n. 481 recante Norme per la concorrenza e la
regolazione dei servizi di pubblica utilita'. Istituzione delle
Autorita' di regolazione dei servizi di pubblica utilita'); dalla
peculiare tipologia dei servizi offerti in tale ambito; dalla natura
regolamentata di questo mercato -soprattutto a seguito del descritto
processo di liberalizzazione- per il quale e' prevista una specifica
e rigida normativa comunitaria e nazionale all'interno della quale
gli operatori sono tenuti ad operare; dall'attivita' di controllo e
di regolazione effettuata in tali mercati dalle Autorita' di settore.
4. Denominazione della banca dati relativa a morosita' intenzionali
della clientela nel settore telefonico; partecipanti e gestore
della banca dati.
Considerato quanto sopra esposto, la banca dati finalizzata alla
prevenzione delle morosita' intenzionali della clientela titolare di
contratti per la fornitura di servizi di telefonia fissa e mobile
post-pagata, acquistera' la denominazione di "Sistema informativo
sulle morosita' intenzionali nel settore della telefonia" (di
seguito, S.I.Mo.I.Tel.).
Il "gestore" del S.I.Mo.I.Tel. e' il soggetto privato titolare del
trattamento dei dati personali registrati nel sistema e che lo
gestisce stabilendone anche le modalita' di funzionamento e di
utilizzazione nel rispetto delle misure prescritte dal presente
provvedimento.
I "partecipanti" al S.I.Mo.I.Tel. sono esclusivamente operatori di
telefonia fissa o mobile, titolari del trattamento dei dati personali
degli interessati, raccolti in relazione a rapporti di fornitura dei
servizi di telefonia fissa e mobile che, in virtu' di un accordo con
il gestore della banca dati, partecipano al relativo sistema e
possono utilizzare i dati in esso contenuti, obbligandosi a
comunicare al gestore i predetti dati in un quadro di reciprocita'
con gli altri partecipanti.
5. Ambito soggettivo: interessati del trattamento.
Come noto, l'art. 40 del decreto-legge 6 dicembre 2011, n. 201
(convertito, con modificazioni, in legge 22 dicembre 2011, n. 214) ha
apportato significative modifiche alla disciplina del Codice,
espungendo dalla nozione di "dato personale" e di "interessato" le
persone giuridiche, gli enti e le associazioni (v. art. 4, comma 1,
lett. b) e i) dello stesso Codice). Peraltro, le disposizioni
contenute nel capo 1 del titolo X del Codice che riguardano i
"contraenti", continuano a trovare applicazione anche alle persone
giuridiche, enti ed associazioni (in senso conforme v. anche: provv.
20 settembre, doc. web n. 2094932). Poiche' il trattamento dei dati
oggetto del presente provvedimento verte sulla medesima platea di
soggetti previsti dal citato titolo X, ne consegue che il medesimo
provvedimento trovera' applicazione anche alle persone giuridiche,
enti, associazioni. Si conferma l'applicabilita' delle disposizioni
in materia di protezione dei dati personali anche alle ditte
individuali e ai liberi professionisti, in qualita' di interessati
(v. parere 25 giugno 2015, doc. web n. 4169267; provv. 23 ottobre
2014, doc. web n. 3676822; parere 9 febbraio 2012, doc. web n.
1876517).
6. Finalita', necessita e proporzionalita'.
Il trattamento dei dati personali contenuti nel S.I.Mo.I.Tel. sara'
effettuato dal gestore e dai partecipanti esclusivamente per
verificare l'eventuale presenza di morosita' intenzionali, dovendosi
intendere per tali i mancati pagamenti non dovuti a circostanze
impreviste e contingenti, ma ad una precisa volonta' del soggetto.
L'accesso al S.I.Mo.I.Tel. sara' consentito al partecipante
esclusivamente in caso di formale richiesta di instaurazione di un
rapporto contrattuale o di un contratto gia' in essere per la
fornitura di servizi di telefonia. Il trattamento dei dati dovra'
avvenire nel rispetto dei principi di necessita', liceita',
correttezza, qualita' dei dati e proporzionalita' (artt. 3 e 11 del
Codice). In particolare, i sistemi informativi e i programmi
informatici dovranno essere configurati, sin dall'origine, in modo da
ridurre al minimo l'utilizzo delle informazioni relative agli
interessati (art. 3 del Codice); inoltre, i dati personali raccolti
dovranno essere pertinenti e non eccedenti rispetto alle finalita'
perseguite (art. 11, comma 1, lett. d), del Codice).
7. Informativa.
Al momento della stipula del contratto, il partecipante fornira'
all'interessato l'informativa ai sensi dell'art. 13 del Codice, anche
con riguardo al trattamento dei dati personali effettuato nell'ambito
del S.I.Mo.I.Tel. L'informativa, nel descrivere le finalita' e
modalita' del trattamento, dovra' recare, in modo chiaro e preciso,
anche le seguenti indicazioni:
− estremi identificativi e caratteristiche del S.I.Mo.I.Tel.,
quale soggetto cui sono comunicati i dati, denominazione e sede del
gestore;
− soggetti partecipanti eventualmente indicati per categoria;
− i tempi di conservazione dei dati.
L'informativa sara' fornita agli interessati individualmente e per
iscritto e, se inserita in un modulo utilizzato dal partecipante,
sara' evidenziata e collocata in modo autonomo e unitario in parti
distinte da quelle relative ad altre finalita' del trattamento
effettuato dal medesimo partecipante.
In caso di contratti stipulati telefonicamente o telematicamente,
la stessa sara' resa avvalendosi di modalita' in grado di consentire
la dimostrazione dell'avvenuto adempimento dell'obbligo di
informativa (ad es. registrazione della telefonata).
In ogni caso il testo dell'informativa dovra' essere pubblicato da
ciascun partecipante sul proprio sito web.
Il partecipante, inoltre, fornira' l'informativa anche sul
trattamento dei dati effettuato dal gestore il quale, a sua volta,
rendera' una piu' dettagliata informativa sui medesimi trattamenti
attraverso il proprio sito web.
8. Bilanciamento di interessi.
Poiche' il sistema che si intende realizzare avra' ad oggetto
esclusivamente informazioni negative, si tratta di verificare - per
garantirne l'effettiva utilita' - se il trattamento dei dati
personali degli interessati, ai sensi dell'art. 24 del Codice, possa
basarsi su un presupposto equipollente al consenso.
Nonostante i rischi a cui possono essere esposti i diritti degli
interessati in ragione della costituzione del S.I.Mo.I.Tel., deve
comunque essere considerato che la normativa sulle liberalizzazioni
nel settore dei servizi di comunicazione elettronica garantisce ai
consumatori la possibilita' di transitare con facilita' da un
operatore all'altro per ottenere servizi migliori a costi piu'
contenuti, sicche' lo scambio di informazioni riguardanti gli
inadempimenti puo' risultare assai rilevante per la corretta gestione
del rapporto contrattuale, in quanto necessario per valutare e
contenere situazioni di morosita' intenzionali che, ove non
circoscritte, nel lungo periodo, andrebbero ad incidere non solo
sugli stessi operatori, ma anche sugli altri interessati, i quali
potrebbero essere costretti a sopportare costi ulteriori, altrimenti
non dovuti.
Cio' premesso, nel fare applicazione dell'istituto del
bilanciamento di interessi di cui all'art. 24, comma 1, lett. g), del
Codice, si deve ritenere che il trattamento delle informazioni
relative alle morosita' intenzionali effettuato nell'ambito del
sistema che si intende realizzare, possa essere effettuato anche in
assenza del consenso degli interessati, potendosi valutare come
prevalente l'interesse -non solo degli operatori, ma anche degli
interessati regolarmente adempienti- al corretto funzionamento di un
sistema volto a favorire l'esatta gestione dei rapporti contrattuali
alle migliori condizioni praticabili sul mercato.
9. Requisiti per l'iscrizione nel S.I.Mo.I.Tel.
L'interessato sara' iscritto nel S.I.Mo.I.Tel. al contemporaneo
verificarsi dei seguenti presupposti:
− recesso dal contratto ad iniziativa di una delle parti
esercitato da non meno di tre mesi;
− importo insoluto per ogni singolo operatore di non meno di 150
(centocinquanta) euro;
− presenza di fatture non pagate nei primi sei mesi successivi
alla stipula del contratto;
− assenza di altri rapporti contrattuali post-pagati, attivi e
regolari nei pagamenti con lo stesso operatore;
− assenza di formali reclami/contestazioni, istanze di
conciliazioni o comunque istanze di definizione di controversie
dinanzi agli organi competenti inoltrate dal cliente;
− invio a cura del partecipante all'interessato, almeno trenta
giorni solari antecedenti all'iscrizione nel S.I.Mo.I.Tel., della
comunicazione di preavviso di imminente iscrizione.
Il preavviso sara' inviato con comunicazione scritta tracciabile (a
titolo esemplificativo, raccomandata A/R con avviso di ricevimento,
posta elettronica certificata) e comprovante la data e le modalita'
utilizzate per l'invio.
10. Requisiti e categorie di dati.
Il trattamento effettuato nell'ambito del S.I.Mo.I.Tel. avra' ad
oggetto solo le informazioni di carattere negativo connesse
all'inadempimento intenzionale dell'interessato verso i partecipanti.
Il trattamento non potra' riguardare dati sensibili e giudiziari,
ne' comportare l'uso di tecniche o di sistemi automatizzati di credit
scoring.
Nel S.I.Mo.I.Tel. potranno essere trattate le seguenti categorie di
dati, che il gestore indichera' in un elenco reso agevolmente
disponibile sul proprio sito, da comunicare anche agli interessati su
eventuale loro richiesta:
− dati anagrafici, codice fiscale o partita Iva;
− importo totale della morosita' per ogni singolo operatore
telefonico;
− data di inizio del contratto;
− data di recesso dal contratto;
− data di inserimento nel S.I.Mo.I.Tel.;
− numero di fatture non pagate;
− partecipante che ha comunicato al S.I.Mo.I.Tel. i dati
personali relativi alla morosita' intenzionale;
− data e modalita' di inoltro del preavviso;
− indicazione esplicita (ad es. con flag su check box) alla data
di inserimento dei dati dell'interessato nel S.I.Mo.I.Tel., di
assenza di reclami/contestazioni, istanze di conciliazioni e di
definizione di controversie dinanzi agli organi competenti inoltrate
dal cliente.
11. Modalita' di raccolta, registrazione dei dati ed esito
dell'accesso al S.I.Mo.I.Tel. a cura dei partecipanti.
Il partecipante dovra' adottare idonee procedure di verifica per
garantire la correttezza e l'esattezza dei dati comunicati al gestore
e rispondera' tempestivamente alle richieste di verifica di
quest'ultimo, anche a seguito dell'esercizio dei diritti da parte
dell'interessato ai sensi dell'art. 7 del Codice, cosi' da garantire,
in tale ultimo caso, il rispetto dei termini previsti dall'art. 146,
comma 2, del Codice.
Eventuali operazioni di cancellazione, integrazione, aggiornamento
o modificazione dei dati registrati nel S.I.Mo.I.Tel. dovranno essere
effettuate direttamente dal partecipante che li ha comunicati, se
tecnicamente possibile, ovvero dal gestore, su richiesta del medesimo
partecipante o d'intesa con esso, anche a seguito dell'esercizio dei
diritti da parte dell'interessato o in attuazione di un provvedimento
emesso dall'autorita' giudiziaria o dal Garante.
In caso di rifiuto di una richiesta volta ad instaurare un rapporto
contrattuale, il partecipante, ove abbia consultato il S.I.Mo.I.Tel.,
sara' tenuto a comunicare all'interessato tale circostanza.
L'esito dell'interrogazione al S.I.Mo.I.Tel. da parte dei
partecipanti avverra' con modalita' a "semaforo":
− verde: soggetto non presente nel S.I.Mo.I.Tel.;
− rosso: soggetto presente per segnalazioni di morosita'
intenzionali effettuate da uno o piu' operatori.
12. Utilizzazione dei dati.
Il S.I.Mo.I.Tel. sara' accessibile solo da un numero limitato di
responsabili e di incaricati del trattamento designati per iscritto
dai partecipanti e/o dal gestore del sistema (artt. 4, comma 1, lett.
g) e h), 29 e 30 del Codice).
Non sara' consentito l'accesso al S.I.Mo.I.Tel. da parte di terzi,
fatte salve le richieste provenienti da organi giudiziari e dalle
Forze dell'ordine.
13. Esercizio dei diritti da parte degli interessati.
In relazione ai dati personali registrati nel S.I.Mo.I.Tel., gli
interessati potranno esercitare i loro diritti secondo le modalita'
stabilite dagli artt. 7 e ss. del Codice, sia presso i partecipanti
che li hanno comunicati, sia presso il gestore.
Nella richiesta con la quale esercitera' i propri diritti,
l'interessato dovra' indicare il proprio codice fiscale e/o la
partita Iva, al fine di agevolare la ricerca dei dati che lo
riguardano.
Il partecipante che risulti destinatario di una richiesta ai sensi
dell'art. 7 del Codice riguardo alle informazioni registrate nel
S.I.Mo.I.Tel. dovra' fornire riscontro all'interessato nei termini
previsti dall'art. 146, commi 2 e 3, del Codice. Ove la richiesta sia
rivolta al gestore, anch'esso provvedera' nei medesimi termini,
consultando, se necessario, il partecipante.
Qualora si rendesse necessario svolgere ulteriori verifiche con il
partecipante, il gestore informera' l'interessato di tale circostanza
entro quindici giorni, indicando, per la risposta, un nuovo termine,
che comunque non sara' superiore a quindici giorni.
14. Tempi di conservazione.
I dati contenuti nel S.I.Mo.I.Tel. saranno conservati per 36
(trentasei mesi) dalla data di recesso dal contratto in caso di
inadempimenti non regolarizzati.
Al termine del periodo deve essere prevista la cancellazione
automatica dell' informazione.
Diversamente, la cancellazione del nominativo dell'interessato dal
S.I.Mo.I.Tel. avverra' entro 7 (sette) giorni lavorativi nei casi di
seguito indicati:
− ricezione da parte del partecipante di una comunicazione
inviata dal cliente di regolarizzazione del debito accompagnata dalla
prova dell'avvenuto pagamento;
− avvenuto pagamento del debito − comprovato dalla registrazione
dell'incasso sui sistemi dell'operatore unitamente al successivo
abbinamento dell'incasso al nominativo dell'interessato − in mancanza
di invio di una comunicazione di regolarizzazione del debito da parte
del cliente;
− definizione di un accordo tra le Parti che stabilisca un piano
di rientro rateizzato.
15. Misure di sicurezza.
Il gestore e i partecipanti adottano le misure tecniche, logiche,
informatiche, procedurali, fisiche ed organizzative idonee a
garantire la sicurezza, l'integrita' e la riservatezza dei dati
personali contenuti nel S.I.Mo.I.Tel. in conformita' alla disciplina
in materia di protezione dei dati personali (artt. 31 e ss. del
Codice).
La banca dati dovra' essere separata, logicamente e fisicamente, da
eventuali altre banche dati del gestore.
Il gestore adottera' adeguate misure di sicurezza al fine di
garantire il corretto e regolare funzionamento del sistema, nonche'
il controllo degli accessi, secondo le modalita' previste
dall'Allegato B. al Codice (Disciplinare tecnico in materia di misure
minime di sicurezza).
Tutti gli accessi al sistema, da parte del gestore e dei
partecipanti, saranno registrati e memorizzati per verificarne la
legittimita'.
Le interrogazioni dovranno sempre riferirsi a singoli interessati e
non saranno in nessun caso consentite interrogazioni massive della
banca dati da parte dei partecipanti.
Le informazioni cosi' ottenute non potranno essere in alcun modo
conservate o memorizzate dai partecipanti per usi successivi.
I partecipanti non potranno creare una propria copia, nemmeno
parziale, della banca dati.
16. Notificazione del trattamento.
Resta fermo l'obbligo per il gestore di notificare al Garante il
trattamento dei dati secondo le modalita' previste dall'art. 37,
comma 1, lett. f), del Codice.
17. Comunicazioni al Garante.
17.1. Una volta che gli operatori telefonici avranno individuato il
soggetto cui affidare - in qualita' di autonomo titolare del
trattamento - la gestione del S.I.Mo.I.Tel.:
a) comunicheranno all'Autorita' gli estremi identificativi e
l'ubicazione della banca dati;
b) invieranno all'Autorita', almeno tre mesi prima dell'effettiva
messa in opera del sistema, copia dell'accordo che verra'
sottoscritto dalle parti per la costituzione della banca dati, al
fine di valutarne la conformita' alle prescrizioni contenute nel
presente provvedimento.
17.2. Entro 15 giorni dalla data di sottoscrizione dell'accordo di
cui alla precedente lett. b), il gestore provvedera' ad inviare al
Garante l'elenco dei partecipanti che hanno formalizzato la
sottoscrizione; parimenti provvedera' all'invio al Garante dei
nominativi dei successivi eventuali partecipanti.
17.3. Il gestore comunichera' a questa Autorita' la messa in opera
del S.I.Mo.I.Tel. almeno 15 giorni prima del relativo avvio.
18. Fase di prima applicazione.
18.1. In relazione ai rapporti gia' pendenti alla data di
pubblicazione del presente provvedimento in Gazzetta Ufficiale ed
entro 60 giorni da tale pubblicazione, ciascun partecipante
informera' gli interessati, ai sensi dell'art. 13 del Codice,
attraverso un messaggio breve e in stile colloquiale (inserito sul
proprio sito web ed agevolmente accessibile, nonche' in luoghi dove i
partecipanti esercitano la loro attivita', in particolare, con
affissioni in bacheche o locali, avvisi e cartelli agli sportelli
dedicati alla clientela), in ordine al trattamento dei dati personali
effettuato nell'ambito del S.I.Mo.I.Tel. L'informativa, avra' ad
oggetto:
− gli estremi identificativi e le caratteristiche generali del
S.I.Mo.I.Tel., quale soggetto cui sono comunicati i dati ed
indicazioni della denominazione e della sede del gestore, ove gia'
individuato. Qualora alla data sopra indicata (60 giorni dalla
pubblicazione in G.U.) il gestore non fosse stato ancora individuato,
i partecipanti integreranno l'informativa resa con tale indicazione
appena possibile;
− i soggetti partecipanti eventualmente indicati per categoria;
− i tempi di conservazione dei dati;
Il completamento dell'informativa, con tutti gli elementi previsti
dall'art. 13 del Codice e da rendere mediante elaborazione di un
testo articolato, sara' effettuato, senza oneri per gli interessati,
sul sito web di ciascun partecipante.
In relazione ai rapporti contrattuali stipulati successivamente
alla data di pubblicazione in Gazzetta Ufficiale, l'informativa sara'
fornita agli interessati secondo le modalita' individuate al
paragrafo 7. del presente provvedimento.
18.2. Decorsi 120 giorni dalla data di pubblicazione in Gazzetta
Ufficiale del presente provvedimento, i partecipanti potranno
iniziare ad inserire nel S.I.Mo.I.Tel. i dati relativi ai clienti i
cui contratti sono stati oggetto del recesso di cui al paragrafo 9.
Tutto cio' premesso,
Il Garante:
1. ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive
ai titolari del trattamento (partecipanti e gestore del
S.I.Mo.I.Tel.), quali misure necessarie, quelle indicate in
motivazione ai paragrafi 7.; da 9. a 12.; 14; 17. e 18.;
2. ai sensi dell'art. 24, comma 1, lett. g) del Codice, ritiene che
il trattamento dei dati personali nell'ambito del S.I.Mo.I.Tel. possa
essere effettuato dai partecipanti e dal gestore della banca dati
anche senza il consenso degli interessati, purche' nei limiti e alle
condizioni indicate in motivazione;
3. ai sensi dell'art. 143, comma 2, del Codice, dispone che copia
del presente provvedimento sia trasmesso al Ministero della
giustizia-Ufficio pubblicazione leggi e decreti, affinche' venga
pubblicato nella Gazzetta Ufficiale della Repubblica italiana.
La violazione delle misure prescritte nel presente provvedimento,
ferme restando le sanzioni amministrative, civili e penali previste
dalla normativa vigente, sara' sanzionata nei termini previsti
dall'art. 162, comma 2-ter, del Codice.
Roma, 8 ottobre 2015
Il Presidente:
Soro
Il relatore:
Bianchi Clerici
Il segretario generale:
Busia