IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Visto il codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Premesso:
Sono pervenuti a questa autorita' numerosi reclami, segnalazioni e
quesiti dai quali emergono ripetute violazioni del diritto
all'utilizzo lecito e corretto dei dati personali nella prestazione
dei servizi di comunicazione elettronica.
Le violazioni emerse sono connesse all'indebita attivazione di
contratti, schede o servizi telefonici non richiesti dagli
interessati, fenomeno che risulta di portata ampia anche dalla
trattazione dei diversi ricorsi presentati al Garante.
Attesa la molteplicita' delle questioni e dei soggetti interessati
il Garante ritiene di dover adottare un provvedimento generale per
individuare un quadro di garanzie che assicuri il rispetto dei
diritti e delle liberta' fondamentali dei cittadini.
Si intende cosi' richiamare l'attenzione dei soggetti che trattano
dati personali fornendo beni, prestazioni e servizi e impartire loro
le prescrizioni necessarie a rendere i trattamenti conformi al
codice.
I comportamenti illeciti addebitabili a rivenditori di servizi
dislocati sul territorio (c.d. dealer) o a fornitori di servizi di
comunicazione elettronica (di seguito, «operatori») sono presi in
esame per i soli profili di competenza del Garante. Restano
impregiudicati, per gli interessati, diritti ed altri strumenti di
tutela azionabili in altra sede sul piano contrattuale ed
eventualmente penale, come pure su quello amministrativo per quanto
concerne la corretta prestazione da parte dell'operatore e del
rivenditore dei servizi svolti in regime di concessione,
autorizzazione o licenza.
1. Problematiche segnalate.
1.1 Schede di telefonia mobile attivate all'insaputa degli
interessati.
Varie segnalazioni riguardano l'indebito trattamento dei dati di
persone nei cui confronti sono attivate a loro insaputa alcune schede
di telefonia mobile, a volte anche per ingenti quantita', perfino a
centinaia. In alcuni casi l'autorita' e' stata interessata
direttamente dall'autorita' giudiziaria inquirente in relazione ad
indebite attivazioni risultanti da procedimenti penali in corso.
Dalla casistica esaminata emerge che gli intestatari vengono a
conoscenza dell'attivazione delle schede raramente o tardivamente, e
magari solo a seguito di loro richieste di accesso a dati personali
rivolte all'operatore. Nel frattempo, le utenze sono a volte
utilizzate per attivita' che comportano conseguenze spiacevoli per
gli intestatari; in alcuni casi, questi ultimi si trovano persino
sottoposti ad indagini penali che interessano l'intercettazione o il
traffico telefonico della scheda falsamente intestata, oppure altre
persone che l'hanno utilizzata nel quadro di attivita' criminose.
Alcune false intestazioni risultano infine effettuate utilizzando
dati di persone decedute.
1.2 Attivazione di un servizio di carrier pre-selection non
richiesto.
Emerge dagli atti che alcuni dati personali di soggetti gia'
abbonati sono stati trattati da parte (o per conto) di un altro
operatore, senza la prescritta informativa e in assenza di un
consenso preventivo.
Tale trattamento viene effettuato per attivare il servizio di
instradamento della linea verso un operatore diverso da quello di
origine, tramite selezione automatica (c.d. carrier pre-selection, di
seguito «cps»). Alcuni interessati vengono cosi' contattati
telefonicamente, oppure con visite a domicilio, e la cps non
richiesta viene poi attivata sebbene l'operatore, o chi opera per suo
conto, si sia limitato a prospettare agli interessati tariffe
ritenute vantaggiose, oppure a chiedere semplicemente
un'autorizzazione ad inviare materiale informativo o pubblicitario.
Risultano indebite attivazioni anche in casi in cui l'interessato si
e' chiaramente opposto gia' al primo contatto.
Gli interessati apprendono spesso di essere divenuti clienti solo
con la ricezione da parte dell'operatore di successive comunicazioni
di vario tipo, che a volte consistono direttamente in fatture o
avvisi di pagamento relativi a servizi che si assumono resi, come
pure in ingiunzioni di pagamento inviate da societa' di recupero
crediti.
1.3 Servizi telefonici aggiuntivi attivati dal proprio o da altro
operatore.
Altri dati personali di abbonati risultano trattati indebitamente,
anche da parte di operatori diversi da quello che essi hanno
prescelto, al fine di attivare servizi di telefonia ulteriori
rispetto ad una linea telefonica di base (ad es., servizi di
segreteria telefonica, tariffe telefoniche «flat» o linee per la
navigazione veloce in Internet). Cio', sempre in assenza sia
dell'informativa, sia del consenso.
2. Gli accertamenti effettuati.
Al fine di raccogliere altri elementi di valutazione, l'autorita'
ha richiesto informazioni ed effettuato ispezioni presso operatori
coinvolti e rivenditori abilitati a concludere contratti e ad
attivare schede di telefonia mobile. Cio', con particolare riguardo
alla tipologia dei dati, alle finalita', alle modalita' e alla logica
del trattamento, nonche' agli accorgimenti adottati per tutelare i
diritti degli interessati e per rispettare la normativa sulla
protezione dei dati personali.
Da tale documentazione emerge altresi' che un numero consistente di
violazioni deriva da un ulteriore utilizzo improprio dei dati
personali da parte di soggetti non sempre identificati (accompagnato
in particolare dalla falsificazione della firma degli interessati), o
da errori materiali commessi da operatori o rivenditori.
Non di rado, risultano infine attivate piu' schede telefoniche,
utilizzando per piu' schede i dati anagrafici tratti da un documento
di identita' richiesto agli interessati per intestare le sole schede
effettivamente da loro richieste. Talvolta, tali prassi sono seguite
per attivare il maggior numero possibile di schede prepagate di un
determinato operatore nell'ambito di veri e propri «piani di
incentivazione» per i rivenditori, ai quali sono riconosciuti
compensi o benefici legati al superamento di soglie prestabilite.
3. I dati personali e le modalita' di raccolta.
Le generalita' e gli altri dati riferiti agli abbonati e ai
titolari di schede prepagate (ivi compreso il loro numero di
telefono), in quanto riferiti a soggetti identificati o
identificabili, devono considerarsi «dati personali» soggetti alla
disciplina del codice (art. 4, comma 1, lettera b).
Pertanto, tutti i soggetti coinvolti nel loro trattamento sono
tenuti ad assicurare che i dati siano raccolti e registrati per scopi
determinati, espliciti e legittimi, e trattati anche successivamente
in modo lecito e secondo correttezza, osservando le disposizioni del
codice e le altre norme rilevanti nel trattamento dei dati, compresa
quella che prescrive di identificare abbonati ed acquirenti del
traffico prepagato della telefonia mobile prima dell'attivazione del
servizio, al momento della consegna o messa a disposizione della
scheda elettronica. In forza di tale disposizione, gli operatori
devono peraltro adottare tutte le misure necessarie a garantire
l'acquisizione dei dati anagrafici riportati sui documenti di
identita', nonche' del tipo, del numero e della riproduzione del
documento, presentato dall'acquirente (art. 55, comma 7, del codice
delle comunicazioni elettroniche - decreto legislativo 1° agosto
2003, n. 259, come modificato dall'art. 6, comma 2, decreto-legge
27 luglio 2005, n. 144 conv., con mod., dalla legge 31 luglio 2005,
n. 155).
4. Le verifiche da effettuare sulle attivazioni multiple di schede
prepagate.
Con riferimento all'attivazione di schede di telefonia mobile
prepagate e' necessario che gli operatori predispongano, altresi',
apposite procedure (in parte gia' adottate da alcuni, con modalita'
differenziate) che permettano di rilevare piu' tempestivamente le
intestazioni multiple di schede da parte di uno stesso operatore ad
una medesima persona.
Tenuto conto delle prime prassi in tal senso seguite dagli
operatori, appare congruo che le nuove procedure prescritte con il
presente provvedimento operino in riferimento alle intestazioni
superiori a quattro (per le persone fisiche) o a sette utenze (per le
persone giuridiche).
Quando vengono superate tali soglie, l'operatore deve autorizzare
l'attivazione delle ulteriori schede con una procedura piu' accurata
di verifica che accerti l'effettiva volonta' del loro intestatario,
dal quale deve raccogliere direttamente un'idonea dichiarazione di
conferma, da documentarsi anche a cura dell'operatore.
Con riferimento alle attivazioni gia' effettuate alla data di
ricezione del presente provvedimento, tutti gli operatori devono
sottoporre altresi' a verifica le attivazioni multiple superiori alle
predette soglie, definendo una procedura per ottenere in tempi brevi
un'idonea dichiarazione di conferma da parte degli intestatari, da
documentarsi anche a cura dell'operatore.
5. L'informativa nelle attivazioni di servizi.
Chiamate e comunicazioni promozionali volte a realizzare nuove
attivazioni di servizi per il tramite di call center possono essere
effettuate solo nei confronti dei soggetti di cui si possa disporre
lecitamente dei relativi dati personali, rispettando i loro diritti
derivanti dalla nuova disciplina degli elenchi telefonici del
servizio universale o degli elenchi «categorici» (v. Provv. del
Garante 15 luglio 2004 e 14 luglio 2005 in www.garanteprivacy.it).
Agli interessati deve essere resa o risultare fornita
un'informativa idonea, chiara ed efficace, che deve comprendere a
norma di legge anche l'indicazione sulla facolta' o meno del
conferimento dei dati, le conseguenze del mancato conferimento e le
figure del titolare e del responsabile del trattamento (art. 13,
comma 3, del codice).
Va altresi' prescritto ad operatori e gestori di servizi di call
center di indicare con precisione l'origine dei dati gia' nel corso
della chiamata o comunicazione promozionale, permettendo al soggetto
contattato di individuare subito il soggetto che ha fornito o che
detiene i dati e le sue puntuali coordinate. Cio', a prescindere da
una richiesta del destinatario stesso.
6. I soggetti del trattamento.
I rapporti tra gli operatori e i soggetti incaricati di gestire la
vendita di servizi o le attivita' di informazione e assistenza alla
clientela (c.d. call center) non risultano spesso chiari per quanto
riguarda il ruolo che ciascun soggetto svolge rispetto al trattamento
dei dati.
Ne discende un quadro complessivo confuso, che rende assai
disagevole per gli interessati sia individuare gli autori delle
indebite attivazioni delle schede e dei servizi non richiesti, sia
porvi rapido rimedio nel rivolgersi ad un titolare o responsabile del
trattamento ben individuati.
Gli operatori, quando non gestiscono direttamente in proprio le
attivita' di fornitura di beni, prestazioni e servizi, devono
verificare chiarire sia al proprio interno, sia agli interessati, i
ruoli svolti da rivenditori e da altri collaboratori esterni rispetto
al trattamento dei dati.
L'eventuale designazione di questi ultimi in qualita' di
responsabili del trattamento deve rispondere alla realta' dei
rapporti sul piano rilevante per il trattamento dei dati, ed essere
accompagnata da un costante controllo - anche a campione -
sull'attivita' materialmente posta in essere, in particolare da
agenti e rivenditori.
Agenti e rivenditori rivestono la qualita' di titolari autonomi del
trattamento dei dati utilizzati ai fini dell'attivazione dei servizi
quando, in base alle modalita' della propria attivita', esercitano un
potere decisionale reale e del tutto autonomo sulle modalita' e sulle
finalita' del trattamento effettuato nel proprio ambito (cfr. art. 4,
comma 1, lettera f) del codice). In tal caso, essi devono adempiere
autonomamente agli obblighi previsti dal codice, con particolare
riferimento a quelli, sopra specificati, di informativa, di raccolta
del consenso eventualmente necessario e dell'adozione di idonee
misure di sicurezza. Gli operatori non possono trascurare comunque
l'esigenza di assicurare adeguate verifiche su ogni categoria di
figura esterna che, anche in qualita' di titolare autonomo del
trattamento, possa svolgere un ruolo nell'indebita attivazione di
servizi.
7. La sicurezza dei dati.
Considerati i rischi per le persone interessate, tutti i soggetti
coinvolti nel trattamento (titolari, responsabili ed incaricati)
devono assicurare - anche presso i call center - un livello elevato
di sicurezza dei dati.
Oltre all'adozione delle misure minime di sicurezza (articoli 33 e
ss. e allegato B del codice), i dati personali raccolti lecitamente
devono essere custoditi e controllati adottando misure di sicurezza
in grado di ridurre al minimo il rischio di accesso non autorizzato o
di trattamento non consentito o non conforme alla finalita' della
raccolta (art. 31 del codice).
Per tutelare gli interessati in caso di contestazione, e' altresi'
necessario che i titolari del trattamento sviluppino o integrino
strumenti, anche informatici, in grado di identificare l'incaricato
che ha effettuato l'attivazione.
8. L'esercizio dei diritti.
I titolari del trattamento devono predisporre idonee misure
organizzative per mettere a disposizione degli interessati modalita'
semplici per esercitare i propri diritti (articoli 7 e 10 del
codice).
Nel caso in cui la persona contattata si opponga, anche
immediatamente, all'utilizzo dei suoi dati per attivare il servizio
proposto e/o per ulteriori promozioni anche di altro tipo, il
servizio di call center interno od esterno all'operatore deve
registrare subito per iscritto la volonta' manifestata ed adottare
contestualmente idonee procedure affinche' tale volonta' sia
rispettata.
Il riscontro ad un'idonea richiesta volta a conoscere l'origine dei
dati personali deve comprendere l'identita' e le puntuali coordinate
dell'eventuale rivenditore che abbia attivato l'utenza o il servizio
non richiesto.
Analogamente, nell'ipotesi in cui siano stati attivati servizi o
utenze di telefonia fissa a seguito solo di una chiamata o
comunicazione di carattere promozionale effettuata non
dall'operatore, ma da chi gestisce per suo conto un servizio di call
center, l'interessato deve poter conoscere l'identita' e le puntuali
coordinate di tale gestore.
Infine, effettuate rapidamente le verifiche eventualmente
necessarie, le richieste di rettifica dei dati o di disattivazione
dei servizi od utenze attivati indebitamente devono essere
soddisfatte tempestivamente. Cio', senza costi per l'interessato del
quale siano stati trattati impropriamente dati personali, anche
quando sia necessario attivare una nuova linea telefonica con
l'operatore di origine (cfr., in senso analogo, la deliberazione
dell'autorita' per le garanzie nelle comunicazioni n. 4/03/Cir del
2 aprile 2003, relativa alla cps.).
9. Termine.
La diffusivita' del fenomeno dell'indebita attivazione di servizi
presuppone una rapida attuazione di misure a tutela degli
interessati; quelle indicate nel presente provvedimento, se gia' non
previste specificamente dal codice o da altra disposizione normativa,
devono essere rese operative a cura dei titolari del trattamento
entro e non oltre il 31 maggio 2006.
Tutto cio' premesso, il Garante:
a) ai sensi dell'art. 154, comma 1, lettera c), del codice,
prescrive ai titolari del trattamento di adottare nei termini
indicati in motivazione le misure necessarie per rendere i
trattamenti di dati personali nella prestazione dei servizi di
comunicazione elettronica conformi ai principi richiamati nel
presente provvedimento. In particolare, il Garante prescrive ai
medesimi soggetti di adottare, per le parti di competenza, le
seguenti misure:
1) predisporre, nell'ambito delle attivazioni di schede di
telefonia mobile prepagate, specifiche procedure che permettano di
rilevare piu' tempestivamente intestazioni multiple di schede ad una
medesima persona, almeno superiori a quattro (per le persone fisiche)
o a sette utenze (per le persone giuridiche), autorizzando
l'attivazione delle nuove schede con una procedura piu' accurata di
verifica che accerti l'effettiva volonta' dell'intestatario dal quale
raccogliere direttamente un'idonea dichiarazione di conferma;
2) con riferimento alle attivazioni effettuate in passato,
verificare l'esistenza di attivazioni multiple e definire una
procedura per i casi di superamento delle soglie indicate al
precedente punto 1);
3) sottoporre ad attenta valutazione i profili relativi al
rapporto che intercorre tra i soggetti incaricati di gestire la
vendita di servizi o le attivita' di informazione e assistenza alla
clientela e le figure del titolare e del responsabile del
trattamento, e assicurare comunque un livello piu' adeguato di
verifiche su ogni categoria di figura esterna;
4) indicare con precisione l'origine dei dati gia' nel corso
della chiamata o comunicazione promozionale da parte di operatori e
gestori di servizi di call center, a prescindere da una richiesta del
destinatario;
5) sviluppare o integrare strumenti idonei ad identificare
l'incaricato del trattamento dei dati che ha effettuato l'attivazione
del servizio;
6) registrare subito presso il servizio di call center interno
od esterno all'operatore la volonta' manifestata dalla persona
contattata che si opponga all'utilizzo dei dati per attivare il
servizio proposto e/o per ulteriori promozioni, ed adottare
contestualmente idonee procedure affinche' tale volonta' sia
rispettata;
7) predisporre idonee misure organizzative per agevolare
l'esercizio dei diritti degli interessati, e riscontrare le richieste
relative all'origine dei dati personali, fornendo anche gli estremi
identificativi del rivenditore che ha attivato i servizi o le utenze
non richieste o del soggetto che svolge per conto dell'operatore un
servizio di call center;
b) ai sensi degli articoli 154, comma 1, lettera c) e 157 del
codice prescrive ai fornitori di servizi di comunicazione elettronica
di effettuare gli adempimenti di cui alla lettera a) entro e non
oltre il 31 maggio 2006, dando conferma dell'adempimento al Garante
entro lo stesso termine;
c) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana ai sensi dell'art. 143, comma 2, del codice, nonche'
all'Autorita' per le garanzie nelle comunicazioni.
Roma, 16 febbraio 2006
Il presidente: Pizzetti
Il relatore: Fortunato
Il segretario generale: Buttarelli