IL GARANTE
PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof.
Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni,
vicepresidente, l'avv. Guido Scorza, componente e il dott. Claudio
Filippi, vice segretario generale;
Visto il regolamento (UE) 2016/679 del Parlamento europeo e del
Consiglio, del 27 aprile 2016 (di seguito, «Regolamento»);
Visto il Codice in materia di protezione dei dati personali,
recante disposizioni per l'adeguamento dell'ordinamento nazionale al
regolamento (UE) 2016/679 (decreto legislativo 30 giugno 2003, n.
196, come modificato dal decreto legislativo 10 agosto 2018, n. 101,
di seguito «Codice»);
Visto il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato nella
Gazzetta Ufficiale n. 257 del 4 novembre 2015, doc web n. 4349760)
con il quale il Garante ha autorizzato la costituzione di una banca
dati inter-operatore, denominata S.I.Mo.I.Tel. e contenente
informazioni relative alle morosita' intenzionali nel settore della
telefonia (di seguito, «Provvedimento Si.Mo.I.Tel.»);
Vista l'istanza presentata dal Comitato di gestione inter aziendale
del Si.Mo.I.Tel. (di seguito «il Comitato») costituito dagli stessi
partecipanti al Sistema al fine di estendere i tempi di conservazione
dei dati conferiti in quest'ultimo;
Esaminata la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore l'avv. Guido Scorza;
Premesso:
1. Il provvedimento n. 523 dell'8 ottobre 2015.
Il Garante si e' pronunciato in ordine alla costituzione di una
banca dati inter-operatore, denominata S.I.Mo.I.Tel., contenente
informazioni relative alle morosita' nel settore della telefonia, con
il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato nella
Gazzetta Ufficiale n. 257 del 4 novembre 2015 e consultabile su
https://www.gpdp.it doc web n. 4349760).
Il provvedimento, di natura generale, e' stato adottato, su
richiesta degli operatori del settore, al termine di una complessa
attivita' istruttoria e di un intenso confronto effettuato mediante
numerosi incontri svolti tra l'Autorita',
Assotelecomunicazioni-ASSTEL, i rappresentanti di taluni operatori
telefonici e un'ampia rappresentanza di associazioni di consumatori e
ha previsto la possibilita' di costituire un sistema operativo,
denominato S.I.Mo.I.Tel., nel quale censire le sole morosita' cc.dd.
intenzionali della clientela del settore telefonico, cioe'
l'insolvenza di «chi agisce con la precisa volonta' di usufruire dei
servizi offerti dagli operatori telefonici, senza procedere ai
relativi pagamenti» (v. punto 3, cpv. 5 del provvedimento cit.).
Con il provvedimento, il Garante ha prescritto ai titolari del
trattamento, ai sensi dell'art. 154, comma 1, lettera c) del Codice
in materia di protezione dei dati personale all'epoca vigente,
l'adozione di specifiche misure necessarie a garanzia degli
interessati e al fine di rendere il trattamento conforme alla
normativa. In particolare, tali misure hanno riguardato:
l'informativa da rendere agli interessati, i requisiti per
l'iscrizione al sistema, le categorie di dati oggetto di trattamento,
nonche' i tempi di conservazione.
2. Contenuto dell'istanza.
Con nota del 24 novembre 2021, il Comitato ha sottoposto
all'attenzione di questa Autorita' un'istanza al fine di allungare il
periodo di conservazione dei soli dati relativi a inadempimenti non
successivamente regolarizzati.
La richiesta, corredata da due report redatti da CRIF S.p.a.
(societa' designata gestore della banca dati) e riferiti alle istanze
di esercizio dei diritti degli interessati del 2020 e 2021,
rappresenta che il sistema, operativo dal 2020, risulta affidabile e
sicuro per gli interessati, nonche' efficiente e idoneo a contenere
il fenomeno delle morosita' c.d. intenzionali degli utenti dei
diversi operatori telefonici che vi hanno aderito.
L'unica criticita' che e' emersa in sede di utilizzo della banca
dati e che, di riflesso, il Comitato ha segnalato all'Autorita',
riguarda i tempi di conservazione dei dati negativi degli interessati
iscritti nella banca dati e definiti «irreperibili». Si tratta di
soggetti che si sottraggono intenzionalmente al corretto adempimento
delle obbligazioni contrattuali e a qualunque forma di
contraddittorio con gli operatori, esponendo questi ultimi a
pregiudizi che gli attuali tempi di conservazione dei dati relativi a
inadempimenti non regolarizzati (pari a trentasei mesi a far data dal
recesso dal contratto; v. il punto 14.1 del provvedimento) non sono
in grado di limitare adeguatamente.
Il Comitato ha, pertanto, chiesto all'Autorita' di valutare la
sussistenza del legittimo interesse dei titolari del trattamento, ai
sensi dell'art. 6, comma 1, lettera f) del RGPD all'estensione dei
tempi di conservazione dei suddetti dati a sessanta mesi dal recesso
dal contratto, disponendo le eventuali misure utili a mitigare gli
ipotetici rischi per gli interessati.
3. Valutazione della richiesta.
3.1. L'art. 5 del regolamento, in linea con l'ordinamento
previgente in materia di protezione dei dati personali, prevede, in
primo luogo, il principio di «limitazione della conservazione»,
secondo il quale i dati sono «conservati in una forma che consenta
l'identificazione degli interessati per un arco di tempo non
superiore al conseguimento delle finalita' per le quali sono
trattati» (art. 5, paragrafo 1, lettera e) del GDPR).
E', tuttavia, necessario inquadrare la richiesta avanzata
nell'ambito del nuovo principio generale di accountability (articoli
5, par. 2; 24 e 25 del regolamento), in base al quale spetta al
titolare del trattamento individuare (ed essere in grado di
dimostrare la fondatezza delle ragioni della sua scelta), tra
l'altro, il termine di conservazione dei dati oggetto di trattamento.
I successivi articoli attribuiscono al titolare la responsabilita'
di mettere in atto misure adeguate a garantire che il trattamento sia
conforme al regolamento, prevedendo, ove necessario, il riesame e
l'aggiornamento delle stesse misure (art. 24), e «che siano trattati,
per impostazione predefinita, solo i dati personali necessari» anche
con riferimento al loro periodo di conservazione (art. 25).
La base giuridica del trattamento dei dati contenuti nella banca
dati -che nel provvedimento adottato ai sensi del Codice previgente
era gia' stata individuata nel legittimo interesse dei partecipanti
al Si.Mo.I.Tel., in qualita' di titolari del trattamento (art. 24,
comma 1, lettera g)- deve ritenersi, alla luce del regolamento,
quella prevista dall'art. 6, par. 1, lettera f).
3.2. Nella valutazione si deve, altresi', tenere conto che gia' in
passato il Garante, in relazione alla conservazione dello stesso tipo
di dati (inadempimenti non successivamente regolarizzati) contenuti
nei Sistemi di informazioni creditizie, ha ritenuto congruo, con il
«Provvedimento interpretativo di alcune disposizioni del Codice SIC»
adottato il 26 ottobre 2017 (doc. web n. 7221677), il termine massimo
di sessanta mesi dalla data di scadenza del contratto per la
cancellazione delle segnalazioni relative a tale tipologia di
inadempimenti.
Analogamente, costituiscono utili parametri di riferimento, i tempi
massimi di conservazione dei dati «negativi» previsti anche in altre
banche dati: si pensi all'archivio della Centrale di allarme
interbancaria (CAI) nel quale rimangono iscritte per un massimo di
cinque anni le generalita' dei soggetti ai quali sono state applicate
sanzioni amministrative pecuniarie e accessorie per aver emesso
assegni bancari e postali senza autorizzazione o senza disporre dei
fondi necessari (legge 386 del 5 dicembre 1990, e succ. mod., recante
«Nuova disciplina sanzionatoria degli assegni bancari»); si consideri
anche la banca dati protesti, che prevede la cancellazione automatica
dopo cinque anni dalla pubblicazione del protesto (decreto
ministeriale 9 agosto 2000, n. 316 recante le modalita' di attuazione
del registro informatico dei protesti, a norma dell'art. 3-bis del
decreto-legge 18 settembre 1995, n. 381, convertito, con
modificazioni dalla legge 15 novembre 1995, n. 480).
Costituisce, inoltre, norma di sistema, che trova applicazione
anche al caso oggetto dell'odierno provvedimento, l'art. 2948 codice
civile che, nell'identificare le fattispecie cui applicare la
prescrizione breve quinquennale, include anche i pagamenti periodici
con scadenza annuale o fissata in termini piu' brevi, comprese il
pagamento delle fatture.
Dalla valutazione della richiesta presentata emerge anche che
l'applicazione di tale misura mira esclusivamente a limitare le
criticita' evidenziate dal Comitato in relazione ai mancati pagamenti
non regolarizzati, mantenendo salvo il termine, gia' previsto dal
Provvedimento, di cancellazione entro sette giorni in caso di
regolarizzazione del debito o di un accordo tra le Parti che
stabilisca un piano di rientro rateizzato.
4. La posizione del Garante.
Tenuto conto che:
il provvedimento Si.Mo.I.Tel. e' stato adottato nella vigenza del
precedente quadro normativo in materia di protezione dei dati
personali e, in particolare in attuazione dell'art. 154, comma 1,
lettera c) che prevedeva: «il Garante [...], ha il compito di: [...]
c) prescrivere anche d'ufficio ai titolari del trattamento le misure
necessarie o opportune al fine di rendere il trattamento conforme
alle disposizioni vigenti, ai sensi dell'art. 143»;
tale disposizione non e' stata riproposta nel Codice novellato
dal decreto legislativo n. 101/2018;
l'art. 5, par. 2 del regolamento, ha introdotto il principio di
accountability - che permea l'intero quadro normativo vigente in
materia di protezione dei dati personali - esplicitandolo nei
successivi articoli 24 e 25;
tra i compiti riservati all'Autorita' dall'art. 57, par. 1, vi e'
quello di svolgere «qualsiasi altro compito legato alla protezione
dei dati personali» (lett. v);
in attuazione della lettera v) dell'art. 57, l'art. 154, comma 1,
del Codice prevede che «il Garante, anche di propria iniziativa [...]
e nei confronti di uno o piu' titolari del trattamento, ha il compito
di: [...] f) assicurare la tutela dei diritti e delle liberta'
fondamentali degli individui dando idonea attuazione al regolamento e
al presente codice»; g) provvedere altresi' all'espletamento dei
compiti ad esso attribuiti dal diritto dell'Unione europea o dello
Stato e svolgere le ulteriori funzioni previste dall'ordinamento»;
Preso atto
di quanto rappresentato dal Comitato di gestione con la nota del 24
novembre 2021 e con l'allegata documentazione e alla luce delle
considerazioni sopra esposte, il Garante dichiara di condividere la
valutazione - effettuata dai partecipanti al Si.Mo.I.Tel., in
qualita' di titolari del trattamento e nell'esercizio del principio
di accountability agli stessi riconosciuto dal regolamento - di
conformita' al regolamento dell'estensione dei tempi di conservazione
dei dati relativi a inadempimenti non regolarizzati fino a sessanta
mesi dalla data di recesso dal contratto.
Restano in ogni caso fermi gli ulteriori elementi di garanzia a
tutela degli interessi, dei diritti e delle liberta' fondamentali
degli interessati definiti con il provvedimento Si.Mo.I.Tel., in
quanto compatibili con il nuovo quadro normativo.
Tutto cio' premesso il Garante:
ai sensi degli articoli 57, par. 1, lettera v) del regolamento e
154, comma 1, lett.re f) e g) del Codice, adotta il presente
provvedimento con il quale dichiara che la valutazione -effettuata
dai partecipanti al Si.Mo.I.Tel., in qualita' di titolari del
trattamento, circa l'estensione dei tempi di conservazione dei dati
relativi a inadempimenti non regolarizzati, fino a sessanta mesi
dalla data di recesso dal contratto, alla luce del complesso degli
elementi di garanzia a tutela degli interessi, dei diritti e delle
liberta' fondamentali degli interessati definiti con il Provvedimento
Si.Mo.I.Tel., puo' ritenersi conforme al quadro normativo in materia
di protezione dati.
Si dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per
la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana ai sensi dell´art. 154-bis, comma 3, del Codice.
Il presidente
Stanzione
Il relatore
Scorza
Il Vice segretario generale
Filippi