IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro,
presidente, della dott.ssa Augusta Iannini, vice presidente, della
dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,
componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»);
Visto il provvedimento del Garante del 25 giugno 2009 recante
«Prescrizioni ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che svolgono attivita' di profilazione»
(pubblicato in G.U. n. 159 dell'11 luglio 2009 e in www.gpdp.it, doc.
web n. 1629107 - di seguito «provvedimento generale»);
Vista la direttiva 2009/136/CE del Parlamento europeo e del
Consiglio del 25 novembre 2009 recante modifica della direttiva
2002/22/CE relativa al servizio universale e ai diritti degli utenti
in materia di reti e di servizi di comunicazione elettronica;
Vista la direttiva 2009/140/CE del Parlamento europeo e del
Consiglio, del 25 novembre 2009, recante modifica delle direttive
2002/21/CE che istituisce un quadro normativo comune per le reti ed i
servizi di comunicazione elettronica, 2002/19/CE relativa all'accesso
alle reti di comunicazione elettronica e alle risorse correlate, e
all'interconnessione delle medesime e 2002/20/CE relativa alle
autorizzazioni per le reti e i servizi di comunicazione elettronica;
Vista la delibera n. 147/11/CIR, adottata dall'Autorita' per le
garanzie nelle comunicazioni, il 30 novembre 2011 recante «Revisione
delle norme riguardanti la portabilita' del numero mobile -
approvazione del Regolamento»;
Visto il «Regolamento riguardante la portabilita' dei numeri per i
servizi di comunicazioni mobili e personali» di cui all'Allegato 1
alla suddetta delibera;
Visti i singoli provvedimenti emanati nei confronti dei fornitori
di servizi di comunicazione elettronica accessibili al pubblico, a
seguito delle specifiche istanze di verifica preliminare presentate
al Garante in materia di profilazione della clientela, attraverso
l'utilizzo di dati personali aggregati (di seguito «fornitori»);
Tenuto conto dell'istanza di riesame e aggiornamento, presentata
all'Autorita' da un fornitore destinatario di uno degli specifici
provvedimenti emanati, con particolare riguardo ad una nuova
previsione della base temporale di aggregazione dei dati utilizzati
per finalita' di profilazione;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento n. 1/2000;
Relatore la dott.ssa Augusta Iannini;
Premesso
Con il provvedimento generale del 25 giugno 2009 l'Autorita' ha
prescritto ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che svolgevano o intendevano svolgere
attivita' di profilazione nei confronti dei propri clienti,
utilizzandone i dati personali aggregati e senza richiedere il
previsto consenso, di formulare al Garante, attraverso il ricorso
alla procedura prevista dall'art. 17 del Codice, un'istanza di
verifica preliminare (c.d. prior checking) nella quale individuare,
in maniera dettagliata, i trattamenti da effettuare, le specifiche
finalita' e la tipologia dei dati di cui fruire.
In particolare, la possibilita' che il trattamento di profilazione
attraverso dati personali aggregati degli utenti potesse essere
effettuato previo esonero dalla preventiva acquisizione del consenso
previsto dall'art. 23 del Codice, e' stata individuata dall'Autorita'
in forza di un bilanciamento di interessi condotto alla stregua
dell'art. 24, comma 1, lett. g) del Codice.
A seguito del provvedimento generale, all'Autorita' sono pervenute,
da parte delle maggiori societa' di telecomunicazioni che operano nel
nostro Paese, numerose istanze di prior checking che hanno condotto
all'emanazione di specifici provvedimenti nei confronti di ciascun
titolare del trattamento, il cui legittimo interesse e' stato
individuato nella necessita' per i fornitori di svolgere l'attivita'
di profilazione in quanto elemento, non solo determinante della
customer relationship management ma, anche, di un'efficace e corretta
politica commerciale e di marketing nei confronti della clientela.
Al Garante e' stato difatti prospettato come i risultati
dell'attivita' di analisi dei comportamenti di consumo degli utenti
attraverso dati aggregati consentano di supportare i processi
decisionali e le strategie societarie, di implementare la
progettazione delle strutture aziendali e, soprattutto, di fornire
servizi e prodotti funzionali alle esigenze ed alle scelte dei
clienti.
Nell'ambito dei singoli provvedimenti adottati, il Garante ha
pertanto previsto l'adozione di una serie di misure ed accorgimenti,
sia sotto il profilo giuridico, sia sotto quello tecnico al fine di
rendere i trattamenti di profilazione conformi alla disciplina sulla
protezione dei dati personali ed a rafforzare la tutela dei soggetti
interessati.
Difatti, come evidenziato nel provvedimento generale, i dati
personali aggregati oggetto dell'attivita' di profilazione, pur
derivando da dati originari dettagliati di cui il titolare continua a
disporre per finalita' gestionali ed esigenze operative previste
anche per legge, devono essere esclusivamente dati dai quali non si
possa risalire ad informazioni dettagliate relative a singoli
interessati.
In ragione di cio', tra le specifiche misure prescrittive,
individuate dall'Autorita' nei confronti dei singoli fornitori per lo
svolgimento dell'attivita' di profilazione, e' stata individuata la
previsione di un livello di aggregazione delle informazioni personali
degli utenti non inferiore a trenta giorni.
Cio' in quanto detto periodo costituiva una base temporale
sufficientemente ampia per evitare una ricostruzione dettagliata
delle comunicazioni elettroniche riferibili a singoli interessati e
risultava al contempo idonea a rappresentare fenomeni e comportamenti
dell'utenza.
Infatti, dalle valutazioni effettuate dal Garante preliminarmente
all'emanazione degli specifici provvedimenti rivolti ai fornitori,
era emerso che periodi di osservazione inferiori, per tutto l'insieme
dei dati considerati, conducevano ad un livello di dettaglio
eccedente rispetto alla necessita' dell'operatore di valutare i
consumi dei clienti individuandone eventuali variazioni, le quali,
oltre ad essere legate piu' a fenomeni stagionali, osservabili su
scale temporali mensili anziche' settimanali o giornaliere, ben
potevano desumersi anche dal confronto con altri indicatori quali, ad
esempio, la serie storica delle fatture emesse sulla base di una
normale cadenza mensile o bimestrale, oppure la frequenza di ricarica
che puo' riguardare periodi ancor piu' distanziati.
Tuttavia, a fronte di un quadro cosi' delineato, negli ultimi
tempi, all'Autorita' e' stato prospettato, in particolare attraverso
un'apposita istanza di riesame, proposta da un fornitore rispetto
alle prescrizioni impartite, un nuovo assetto del mercato delle
telecomunicazioni che impone, dopo alcuni anni dall'emanazione del
provvedimento generale del 2009, nonche' degli specifici
provvedimenti, nuove considerazioni rispetto al livello di
aggregazione delle informazioni degli utenti, utilizzate per
finalita' di profilazione.
All'Autorita', sulla base delle piu' recenti dinamiche di mercato
che hanno prodotto un aumento della pressione competitiva tra i
soggetti che operano nel settore delle telecomunicazioni ed una
crescente presenza di nuovi operatori, e' stato quindi richiesto di
valutare un livello di aggregazione dei dati su una base temporale
piu' ridotta, come misura idonea a garantire un maggior equilibrio
nei processi di gestione della clientela.
Cio' tenendo conto del fatto che, tra gli elementi che hanno
maggiormente alterato i pregressi assetti di mercato, generando un
rilevante incremento di fenomeni di natura concorrenziale, e' emerso
il crescente ricorso da parte degli utenti allo strumento della
number portability, ovvero della portabilita' del numero di telefonia
mobile che consente, mantenendo detto numero, di cambiare con
tempistiche molto rapide il fornitore del servizio, cosi' da poter
beneficiare di nuove e piu' vantaggiose offerte commerciali.
Attraverso la number portability si viene a delineare un meccanismo
di mercato che coinvolge, in tempi molto brevi, oltre all'utente che
chiede la portabilita' del numero, sia l'operatore mobile (c.d.
operatore donating) con il quale quest'ultimo ha stipulato
l'originario contratto per la fornitura del servizio di telefonia
mobile, sia l'operatore mobile ricevente (c.d. operatore recipient)
che acquisisce tale utente.
Il regolamento, allegato alla menzionata delibera dell'Autorita'
per le garanzie nelle comunicazioni del 30 novembre 2011, prevede
peraltro che l'operatore recipient invii all'operatore donating la
richiesta di portabilita' del cliente «entro le ore 19.00 del giorno
in cui la medesima richiesta e' immessa dalle reti di vendita dei
sistemi del recipient stesso, avuto riguardo alla data eventualmente
indicata dal cliente...» (cfr. art. 5) riducendo ad un giorno
lavorativo il c.d. periodo di migrazione. Inoltre, ciascun operatore
mobile, in quanto donating, mette a disposizione degli altri
operatori mobili una capacita' di evasione giornaliera degli
ordinativi, ovvero delle richieste di portabilita' (cfr. art. 8).
L'operatore che causa un ritardo nella realizzazione della
portabilita' rispetto ai tempi massimi previsti e' poi tenuto a
corrispondere all'operatore recipient una penale (cfr. art. 13),
cosi' come quest'ultimo, quale unico interlocutore del cliente, e'
tenuto a risarcire eventuali ritardi nell'attivazione della
portabilita' del numero, su richiesta del cliente stesso (cfr. art.
14).
Peraltro, il numero degli utenti che attualmente richiedono il
servizio di number portability e' superiore ai 10 milioni su base
annua ed il dato risulta in forte espansione, come emerge dalla
«Relazione annuale 2013 sull'attivita' svolta e sui programmi di
lavoro» dell'Autorita' per le garanzie nelle comunicazioni.
L'opportunita' offerta agli utenti di cambiare il proprio operatore
di telefonia mobile in tempi cosi' ridotti, unita alla crescente
consapevolezza delle offerte che il mercato e' in grado di offrire,
ha quindi progressivamente accentuato la competitivita' tra
operatori.
Oltre a tale fenomeno il mercato ha poi assistito, negli ultimi
tempi, anche ad una crescita «dell'offerta dati» legata alla sempre
maggiore diffusione di dispositivi radiomobili evoluti, quali
smartphone e tablet, ed alla presenza di una rete mobile a banda
larga sempre piu' capillare ed efficace.
Tale offerta ha modificato la propensione all'uso dei servizi
tradizionalmente offerti dall'operatore, orientando molti utenti
verso l'uso di servizi alternativi ai classici servizi sms o di
telefonia, quali quelli di messaggistica o fonia (c.d. VoIP) e i
servizi internet, proposti dai vari fornitori di servizi della
societa' dell'informazione, indicati anche come provider over the
top.
La combinazione delle suddette cause ha quindi comportato una
maggiore reattivita' dei clienti che sono in grado di «inseguire», in
ragione sia dei ridotti tempi di migrazione del numero tra i diversi
gestori di telefonia mobile, sia della disponibilita' di servizi
alternativi a quelli di mera telefonia cui accedere attraverso la
rete a banda larga, i mutamenti del mercato aderendo alle offerte
piu' vantaggiose, di volta in volta proposte dai vari competitors.
Orbene, i nuovi comportamenti dell'utenza, che si verificano su una
scala temporale molto ridotta, hanno fatto emergere per i fornitori
la necessita' di osservare alcuni fenomeni utili per l'attivita' di
profilazione, i quali potrebbero essere piu' efficacemente
interpretati laddove l'arco temporale di aggregazione delle
informazioni fosse piu' breve rispetto a quello mensile, attualmente
previsto sulla base delle prescrizioni impartite dal Garante.
In tale ipotesi, infatti, all'operatore risulta difficile
comprendere ed analizzare i comportamenti dei clienti con un'adeguata
velocita' e quindi riuscire a gestire i servizi offerti in maniera
piu' puntale e ritagliata sulle loro reali esigenze, tanto che spesso
la clientela viene contattata sulla base di bisogni divenuti ormai
obsoleti.
Siffatte condizioni rendono inoltre evidente un evento rilevante
per l'operatore (come ad esempio una drastica riduzione del traffico
telefonico o della spesa che costituisce un chiaro indicatore del
mutamento delle esigenze del cliente), solo al termine del periodo di
riferimento ed impediscono di intervenire prontamente attraverso
efficaci misure di coinvolgimento dell'utente stesso in un nuovo e
piu' adeguato piano di offerte e tariffe.
Peraltro, da quanto rappresentato al Garante, e' emerso che il
periodo mensile di osservazione crea un vuoto di informazioni sulle
esigenze del cliente gia' nelle prime fasi di attivazione di una sim,
le quali si rivelano invece fondamentali per un'idonea gestione
dell'utenza.
Sulla base di tutte le osservazioni sopra richiamate e nell'ottica
di consentire una piu' corretta e puntuale gestione dell'offerta
rivolta all'utenza, l'Autorita' ritiene quindi opportuno rivedere
alcuni dei presupposti che ne hanno ispirato le scelte nel
provvedimento generale del 25 giugno 2009 e negli specifici
provvedimenti successivamente emanati a seguito delle diverse istanze
di verifica preliminare proposte dai fornitori.
In tal senso occorre, come sempre, effettuare un contemperamento
dei diversi interessi in gioco, tenuto conto delle necessarie tutele
che devono presidiare la riservatezza delle comunicazioni
elettroniche degli interessati e la protezione dei relativi dati
personali, in particolare nell'ambito dei processi di profilazione.
In ragione di tali premesse possono pertanto individuarsi, nello
specifico ambito in oggetto, alcune peculiarita' dell'attivita' di
profilazione come attualmente svolta dai fornitori sulla base delle
prescrizioni impartite dal Garante, che offrono un sicuro ambito di
tutela pure rispetto alle nuove valutazioni che sono state richieste
all'Autorita' in ragione dei cambiamenti evidenziati.
Ci si riferisce, in primo luogo, alla circostanza che l'attivita'
di profilazione svolta dai predetti soggetti si basa su dati
aggregati come espressione di somma di tutti gli eventi di traffico
(volumi di minuti generati o di byte trasmessi) i quali costituiscono
una categoria sufficientemente robusta rispetto a tentativi di
estrazione di singole informazioni che possono consentire
l'identificazione anche indiretta dell'utente. Tale circostanza
offre, quindi, un'adeguata tutela anche laddove si dovesse ridurre,
al di sotto del previsto periodo di osservazione mensile, la scala
temporale di riferimento per il processo di aggregazione dei dati
utilizzati per profilare gli utenti.
In secondo luogo, l'attivita' di profilazione attualmente
consentita, non si puo' basare su singole numerazioni, ma
esclusivamente su direttrici di traffico, con la conseguenza che non
appare possibile risalire a dati di dettaglio del singolo evento di
comunicazione elettronica riferibile ad un utente identificato o
identificabile.
Inoltre, il processo di profilazione si configura come un'attivita'
interna dell'operatore e non prevede il coinvolgimento di terze
parti, peraltro il rischio di accessi indesiderati al dato aggregato
di traffico per finalita' di profilazione risulta mitigato da tutte
le misure di carattere tecnico-organizzativo gia' individuate nei
singoli provvedimenti emanati nei confronti dei fornitori.
Cio' avuto particolare riguardo all'implementazione di sistemi
appositamente dedicati alla profilazione, funzionalmente separati dai
sistemi originari che costituiscono la fonte del dato aggregato e da
ulteriori eventuali sistemi utilizzati dal titolare per altre
finalita'; alla definizione di specifici profili autorizzativi per
gli incaricati che svolgono l'attivita' di profilazione, diversi da
quelli di coloro che effettuano eventuali, ulteriori, attivita',
anche successive alla profilazione; all'adozione di meccanismi di
audit che consentono il tracciamento delle operazioni realizzate
dagli incaricati che svolgono l'attivita' di profilazione, nonche'
alla conservazione dei dati per un periodo di tempo limitato, decorso
il quale gli stessi devono essere obbligatoriamente cancellati.
In cospetto di uno scenario come quello sopra delineato e ferme
restando tutte le misure prescritte dall'Autorita' per garantire un
corretto ed adeguato trattamento dei dati personali degli utenti
nell'ambito dell'attivita' di profilazione svolta dai fornitori, si
ritiene quindi possibile individuare, nell'ambito della suddetta
attivita', una nuova scala di misurazione dei fenomeni che delineano
il comportamento degli utenti.
Tuttavia, tale scala di misurazione puo' considerarsi solo rispetto
ad alcune categorie di dati e senza che sussista la possibilita' di
risalire ad informazioni di dettaglio del singolo evento di
comunicazione elettronica riferibile ad un utente identificato o
identificabile.
Conseguentemente, il periodo minimo di riferimento per
l'aggregazione dei dati personali utilizzati al predetto fine puo'
essere individuato in un arco temporale di due giorni.
Cio' in quanto una base di osservazione ancor piu' ridotta potrebbe
riguardare un numero di eventi talmente esiguo da consentire
l'associazione alla singola utenza e vanificare cosi' il processo di
aggregazione che e' posto alla base del trattamento stesso.
La riduzione del periodo di osservazione dei dati personali
aggregati per finalita' di profilazione puo' poi ritenersi
ammissibile a condizione che la misurazione dei fenomeni che rilevano
per tale attivita' riguardi esclusivamente determinate tipologie di
dati, ovvero quelle relative al volume di minuti in traffico
originato o terminato (in minuti o byte), al numero di eventi di
ricarica, distinto per canale di ricarica, nonche' al totale delle
ricariche.
A fronte di tale previsione deve poi considerarsi che, per tutte le
altre misurazioni, ovvero per l'analisi aggregata dei dati che
riguardano altri eventi che il fornitore individua per finalita' di
profilazione della clientela, quali i contatti dell'utente con il
customer care, le visite ai diversi punti vendita ed assistenza del
fornitore, nonche' le offerte relative ai terminali, la base
temporale minima di riferimento deve essere di trenta giorni.
Resta peraltro inteso che anche nelle ipotesi esaminate permangono
tutti gli adempimenti di cui agli articoli 37 e 38 del Codice.
Il mancato rispetto delle prescrizioni impartite con il presente
provvedimento puo' inoltre comportare l'applicazione delle sanzioni
previste dall'art. 162, comma 2-ter del Codice.
Tutto cio' premesso il Garante:
1. prescrive a tutti i fornitori di servizi di comunicazione
elettronica accessibili al pubblico che svolgono attivita' di
profilazione sulla base delle prescrizioni impartite dall'Autorita'
nel provvedimento generale del 25 giugno 2009 e negli specifici
provvedimenti emanati a seguito delle istanze di prior checking
rivolte al Garante, ai sensi e per gli effetti dell'art. 154, comma
1, lett. c), del Codice:
a) di ridurre limitatamente a quanto indicato al punto
successivo, il tempo di osservazione dei dati personali aggregati per
finalita' di profilazione della clientela dal periodo minimo di un
mese, previsto negli specifici provvedimenti adottati dal Garante a
seguito delle singole istanze di verifica preliminare, a quello
minimo di due giorni;
b) di adottare, a garanzia degli interessati in conformita' alle
disposizioni in materia di protezione dei dati personali, le misure e
gli accorgimenti necessari nei termini di cui in motivazione
prevedendo, in particolare, che la misurazione dei fenomeni che
rilevano per la profilazione dell'utenza sulla base di
un'aggregazione dei dati relativa ad un arco temporale di due giorni
debba riferirsi unicamente:
1. al volume di minuti in traffico originato o terminato (in
minuti o byte);
2. al numero di eventi di ricarica, distinto per canale di
ricarica;
3. al totale delle ricariche;
c) di escludere, limitatamente ai dati di cui alla precedente
lett. b), punto 1, dall'impiego per finalita' di profilazione, i
periodi a cui corrisponda un solo evento di comunicazione elettronica
riferibile ad un singolo utente;
d) di trasmettere al Garante, considerata la natura e le
caratteristiche tecniche degli adempimenti prescritti, entro il
termine di 30 giorni dalla data dell'eventuale implementazione delle
misure indicate ai precedenti punti, copia della documentazione che
ne comprovi l'adozione;
2. dispone la trasmissione di copia del presente provvedimento
al Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo
n. 150/2011, avverso il presente provvedimento puo' essere proposta
opposizione all'autorita' giudiziaria ordinaria, con ricorso
depositato al tribunale ordinario del luogo ove ha la residenza il
titolare del trattamento dei dati, entro il termine di trenta giorni
dalla data di comunicazione del provvedimento stesso, ovvero di
sessanta giorni se il ricorrente risiede all'estero.
Roma, 6 febbraio 2014
Il presidente: Soro
Il relatore: Iannini
Il segretario generale: Busia