IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Filippo Patroni Griffi, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196, di seguito, «Codice»)
pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 174
del 29 luglio 2003;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso
1. Considerazioni preliminari e attivita' istruttoria.
L'Autorita' ha effettuato una serie di attivita' istruttorie, anche
di carattere ispettivo, al fine di realizzare un monitoraggio
sull'attivita' svolta dai fornitori di servizi di comunicazione
elettronica accessibili al pubblico (di seguito «fornitori»), con
l'intento di acquisire informazioni relative alle modalita' che
ciascun fornitore adotta per svolgere attivita' di «profilazione»
della totalita' dei propri clienti (c.d. «base clienti»), anche in
relazione alla possibilita' di classificare gli interessati in
determinate categorie omogenee (cd. cluster).
I fornitori in questione, sono quelli che mettono a disposizione
del pubblico servizi di comunicazione elettronica su reti pubbliche
di comunicazione dove per «servizi di comunicazione elettronica»
devono intendersi quelli consistenti, esclusivamente o
prevalentemente, «nella trasmissione di segnali su reti di
comunicazioni elettroniche» (art. 4, comma 2, lett. d) ed e), del
Codice).
Dall'esame delle risultanze istruttorie e' emerso che i fornitori
effettuano attivita' di profilazione utilizzando dati personali che
vengono anche aggregati secondo parametri predefiniti individuati da
ciascun titolare di volta in volta, a seconda delle esigenze
aziendali. Tali dati possono comprendere informazioni personali di
tipo variegato, tra cui dati di carattere contrattuale e dati
relativi ai consumi effettuati, dai quali e' possibile desumere
indicazioni ulteriori riferibili a ciascun interessato (ad esempio,
fascia di consumo, livello di spesa sostenuto ad intervalli regolari,
servizi attivi su ciascuna utenza).
La circostanza che un fornitore possa disporre e trattare, seppur
su base aggregata, tali tipologie di dati, comporta la disponibilita'
di un patrimonio informativo che va ben al di la' delle informazioni
considerate singolarmente e relative a ciascun interessato.
Attraverso il confronto e l'utilizzo dei dati dei propri clienti, e'
possibile, infatti, che il fornitore acquisisca informazioni
concernenti il singolo utente o derivanti proprio dall'aggregazione
dei dati e dalla loro catalogazione in cluster, al fine di monitorare
l'andamento economico della societa' o, eventualmente, in un secondo
momento, anche di progettare e realizzare campagne di marketing sulla
base delle analisi effettuate.
2. Ambito oggettivo del provvedimento.
La profilazione costituisce una delle attivita' prevalenti dei
fornitori, e, dunque, rientra nell'attivita' strutturale e
sostanziale di tali soggetti (infatti, a partire dalle risultanze
degli esami di business intelligence che ad essa sono naturalmente
collegate, essi sono in grado di implementare la progettazione della
propria struttura e dei servizi offerti).
I dati, che siano «anonimi» ai sensi dell'art. 4, comma 1, lettera
n) del Codice esulano dall'ambito oggettivo del presente
provvedimento.
L'attivita' di profilazione puo' concernere dati personali
«individuali» o dati personali «aggregati» derivanti da dati
personali individuali dettagliati (ad esempio, anagrafici e di
traffico).
Il presente provvedimento, pertanto, riguarda le ipotesi in cui
l'attivita' di profilazione abbia ad oggetto dati personali
individuali e dati personali aggregati derivanti da dati personali
individuali dettagliati.
Come si dira' di seguito, l'attivita' di profilazione che ha ad
oggetto dati personali individuali, e' consentita solo se, in base a
quanto stabilito dall'art. 23 del Codice, il titolare sia in grado di
documentare per iscritto un consenso informato, libero e specifico
manifestato dall'interessato per tale finalita'. Tale consenso
ricomprende, ovviamente, anche il trattamento di dati personali
aggregati.
Nell'eventualita' in cui il fornitore intenda, invece, utilizzare
per la profilazione dati personali aggregati, per i quali non risulti
acquisito il consenso degli interessati, sara' necessario che
presenti al Garante una richiesta di verifica preliminare, in quanto
il trattamento presenta rischi specifici per l'interessato, in
relazione alla natura dei dati o alle modalita' del trattamento o
agli effetti che il trattamento puo' determinare.
Solo in quella sede, infatti, sara' possibile valutare, tra le
altre condizioni, se sia possibile autorizzare il trattamento avente
ad oggetto tali dati, anche in assenza del consenso degli
interessati, ai sensi dell'art. 24, comma 1, lett. g) del Codice.
Il presente provvedimento non incide sulla disciplina, che resta
immutata, di cui all'art. 123 del Codice, relativa alla conservazione
dei dati per finalita' di fatturazione e quella concernente la
conservazione e sicurezza dei dati di traffico telefonico e
telematico, per l'accertamento e repressione dei reati, prevista
dall'art. 132 del Codice, dal decreto legislativo n. 109 del 2008 e
dal provvedimento di carattere generale adottato da questa Autorita'
in data 17 gennaio 2008, pubblicato in Gazzetta Ufficiale n. 30 del 5
febbraio 2008 e poi aggiornato con il provvedimento del 24 luglio
2008, pubblicato in Gazzetta Ufficiale n. 189 del 13 agosto 2008
(entrambi in www.garanteprivacy.it, docc. web nn. 1482111 e 1538224).
3. La profilazione con dati personali «individuali»: consenso.
In ossequio ai principi di necessita' (art. 3 del Codice) e di
proporzionalita' nel trattamento (art. 11 del Codice), l'attivita' di
profilazione dovrebbe essere svolta utilizzando solo dati
strettamente necessari al perseguimento della finalita' e, in ogni
caso, trattando solo dati per i quali, sulla base di quanto disposto
dagli articoli 13 e 23 del Codice, il titolare abbia rilasciato una
idonea informativa e sia in grado di documentare un consenso libero e
specifico dell'interessato.
Tali principi si applicano non solo se la raccolta dei dati e'
specificamente effettuata dai fornitori per questa finalita', ma
anche se l'attivita' di profilazione viene realizzata mediante dati
inizialmente raccolti per una diversa finalita', ivi compresa quella
dell'erogazione del servizio.
4. La profilazione con dati personali «aggregati»: prior checking.
Qualora la profilazione abbia ad oggetto dati personali aggregati,
occorre in primo luogo osservare che il livello di aggregazione e'
variabile e dipende dal dettaglio dei parametri stabiliti da ciascun
titolare del trattamento.
Il rischio che puo' derivare all'interessato da tale trattamento
deriva dalla profondita' del livello di aggregazione impostato e
dalle modalita' tecniche con le quali viene effettuato il
trattamento.
I dati personali aggregati oggetto di profilazione derivano,
infatti, da dati personali individuali dettagliati, contenuti in una
pluralita' di sistemi, e tali restano nella disponibilita' del
titolare del trattamento, il quale e' tenuto a conservarli per
esigenze gestionali, finalita' operative e tempi diversi, tra cui
anche quelli che la legge gli impone (ad esempio, per esigenze di
fatturazione, art. 123 del Codice, o per finalita' di accertamento e
repressione di reati, art. 132 del Codice e decreto legislativo n.
109 del 2008).
Pur in presenza di tale aggregazione, i dati non sono per cio' solo
qualificabili anonimi e rientrano nella nozione di «dati personali»,
secondo la definizione dell'art. 4, comma 1, lettera b) del Codice:
la norma, infatti, qualifica come «dato personale» qualunque
informazione relativa ad un soggetto, identificato o identificabile,
anche indirettamente, mediante il riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale.
Pertanto, nell'eventualita' in cui il fornitore intenda utilizzare
per la profilazione dati personali aggregati, per i quali non risulti
acquisito il consenso degli interessati, sara' necessario che
presenti al Garante una richiesta di verifica preliminare.
Tale richiesta dovra' essere presentata in base al disposto
dell'art. 17 del Codice, elencando nel dettaglio quali trattamenti
intenda effettuare, specificando ciascuna finalita' e indicando,
altresi', le tipologie di dati che si intendono utilizzare.
A fronte di tale richiesta, il Garante con il provvedimento che
rendera' all'esito della procedura di verifica preliminare:
a) verifichera' la sussistenza dei parametri e delle condizioni
minime individuate con il presente provvedimento;
b) prescrivera' le eventuali altre misure specifiche necessarie
al fine di rendere il trattamento conforme alle disposizioni del
Codice;
c) valutera' se autorizzare i fornitori ad effettuare l'attivita'
di profilazione, in assenza del consenso degli interessati, ai sensi
dell' art. 24, comma 1, lettera g), del Codice.
Si segnala sin d'ora che il Garante, in sede di verifiche
preliminari, orientera' le proprie valutazioni anche in base ai
seguenti parametri e condizioni minime:
1. i dati personali oggetto dell'attivita' di profilazione,
ancorche' possano derivare da dati originari dettagliati di cui il
titolare continua a disporre per finalita' gestionali ed esigenze
operative previste anche per legge, siano esclusivamente dati
personali aggregati, dai quali, nell'ambito dei sistemi dedicati alla
profilazione, non sia possibile risalire immediatamente a
informazioni dettagliate relative a singoli interessati;
2. i dati personali aggregati oggetto di profilazione siano
contenuti in uno o piu' sistemi appositamente dedicati alla
profilazione, funzionalmente separati dai sistemi originari che
costituiscono la fonte del dato aggregato e da ulteriori eventuali
sistemi utilizzati dal titolare per altre finalita' (ad esempio
marketing);
3. i dati personali aggregati oggetto dell'attivita' di
profilazione, sia quando si riferiscano ad un interessato, sia quando
si riferiscano ad una pluralita' di interessati, siano sottoposti ad
un processo in grado di impedire l'immediata identificabilita' dei
singoli interessati;
4. gli incaricati che svolgono l'attivita' di profilazione
dispongano di un profilo di autenticazione limitato e diverso da
quello di coloro che svolgono eventuali ulteriori attivita', anche
successive alla profilazione;
5. i dati personali oggetto dell'attivita' di profilazione siano
conservati per un periodo di tempo limitato, decorso il quale devono
essere cancellati.
5. Ulteriori obblighi.
Tranne che per gli aspetti disciplinati dal presente provvedimento,
restano fermi, in capo ai fornitori, taluni obblighi.
In particolare, il fornitore che intenda procedere al trattamento
di dati personali («individuali» o «aggregati») per finalita' di
profilazione e' tenuto, ai sensi dell'art. 37, comma 1, lett. d) del
Codice a notificare, in ogni caso, al Garante tale trattamento, con
le modalita' indicate all'art. 38 del Codice.
Inoltre il titolare e' in ogni caso tenuto a rendere, ai sensi
dell'art. 13 del Codice, l'informativa agli interessati in relazione
alle finalita' perseguite e ai diritti riconosciuti agli interessati
dall'art. 7 del Codice.
6. Sanzioni.
E' utile rammentare che la mancata osservanza delle disposizioni
richiamate nonche' delle prescrizioni impartite puo' comportare
l'applicazione delle sanzioni previste dagli articoli 161, 162, commi
2-bis e 2-ter, 163 e 164-bis, commi 2, 3 e 4 del Codice (disposizioni
introdotte o modificate dalla legge 27 febbraio 2009, n. 14 di
conversione, con modificazioni, del decreto legge n. 207 del 30
dicembre 2008).
L'art. 161 sanziona la mancata o inidonea informativa, stabilendo
che la violazione delle disposizioni di cui all'art. 13, nel quale e'
indicato che le informazioni da rendere all'interessato devono
includere anche le finalita' per cui i dati sono trattati, ivi
inclusa la profilazione, e' punita con la sanzione amministrativa del
pagamento di una somma da seimila euro a trentaseimila euro.
L'art. 163 sanziona l'omessa o incompleta notificazione prevedendo
che chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa
notizie incomplete, e' punito con la sanzione amministrativa del
pagamento di una somma da ventimila euro a centoventimila euro.
L'art. 162, comma 2-bis prevede che in caso di trattamento di dati
personali effettuato in violazione delle disposizioni indicate
nell'art. 167, il quale, al comma 2, comprende anche l'art. 17 e'
applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da ventimila euro a centoventimila euro.
Inoltre, il comma 2 ter del medesimo articolo stabilisce che in caso
di inosservanza dei provvedimenti di prescrizione di misure
necessarie di cui all'art. 154, comma 1, lettera c), e' applicata in
sede amministrativa, in ogni caso, la sanzione del pagamento di una
somma da trentamila euro a centottantamila euro.
L'art. 164-bis, comma 2, stabilisce, infine, che in caso di piu'
violazioni di un'unica o di piu' disposizioni relative a violazioni
amministrative, commesse anche in tempi diversi, in relazione a
banche di dati di particolare rilevanza o dimensioni, si applica la
sanzione amministrativa del pagamento di una somma da cinquantamila
euro a trecentomila euro: nei casi di maggiore gravita' o
considerando le condizioni economiche del contravventore, tale
sanzione puo' essere aumentata (commi 3 e 4 del medesimo articolo).
Tutto cio' premesso il garante
fermo restando, per i fornitori che intendano effettuare un
trattamento di dati personali, anche in forma «aggregata», per
finalita' di profilazione, l'obbligo di rendere, ai sensi dell'art.
13 del Codice, l'informativa agli interessati in relazione alle
finalita' perseguite e ai diritti riconosciuti agli interessati
dall'art. 7 del Codice, nonche' l'obbligo di notificare, ai sensi
dell'art. 37, comma 1, lett. d) del Codice, al Garante tale
trattamento, con le modalita' indicate all'art. 38 del Codice,
Prescrive
ai sensi degli articoli 143, comma 1, lettera b), 154, comma 1,
lettera c) del Codice:
A) ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che intendano svolgere attivita' di
profilazione (anche in assenza di uno specifico consenso) utilizzando
dati personali «aggregati», di formulare all'Autorita', mediante la
procedura prevista dall'art. 17 del Codice, una richiesta di verifica
preliminare con la quale siano specificati in maniera dettagliata i
trattamenti che si intendono effettuare, indicando ciascuna finalita'
e le tipologie di dati che si intendono utilizzare;
B) ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che, allo stato, svolgono attivita' di
profilazione, in assenza di uno specifico consenso, utilizzando dati
personali «aggregati», di formulare la richiesta di verifica
preliminare di cui alla lettera A) entro il 30 settembre 2009.
Si dispone la trasmissione di copia del presente provvedimento al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 25 giugno 2009
Il Presidente
Pizzetti
Il relatore
Pizzetti
Il segretario generale
Patroni Griffi