| Garante per la protezione dei dati personali [vedi anche provv. [vedi Prescrizioni aifornitori di servizi di comunicazione elettronica accessibili al pubblico chesvolgono attivit di profilazione PROVVEDIMENTO DEL 25GIUGNO 2009 (Pubblicato sulla GU n. 159 del 11-7-2009 )
IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti e del dott. Filippo Patroni Griffi, segretario generale; VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito,"Codice") pubblicato nella Gazzetta Ufficiale della RepubblicaItaliana n. 174 del 29 luglio 2003; VISTA la documentazione in atti; VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; RELATORE il prof. Francesco Pizzetti; PREMESSO 1. Considerazioni preliminari e attivitistruttoria. L'Autorit ha effettuato una serie di attivit istruttorie,anche di carattere ispettivo, al fine di realizzare un monitoraggiosull'attivit svolta dai fornitori di servizi di comunicazione elettronicaaccessibili al pubblico (di seguito "fornitori"), con l'intento diacquisire informazioni relative alle modalit che ciascun fornitore adotta persvolgere attivit di "profilazione" della totalit dei propri clienti(c.d. "base clienti"), anche in relazione alla possibilit diclassificare gli interessati in determinate categorie omogenee (cd. cluster I fornitori in questione, sono quelli chemettono a disposizione del pubblico servizi di comunicazione elettronica sureti pubbliche di comunicazione dove per "servizi di comunicazioneelettronica" devono intendersi quelli consistenti, esclusivamente oprevalentemente, "nella trasmissione di segnali su reti di comunicazionielettroniche" (art. 4, comma 2, lett. d) ed e), del Codice). Dall'esame delle risultanze istruttorie emerso che i fornitori effettuano attivit di profilazione utilizzando datipersonali che vengono anche aggregati secondo parametri predefiniti individuatida ciascun titolare di volta in volta, a seconda delle esigenze aziendali. Talidati possono comprendere informazioni personali di tipo variegato, tra cui datidi carattere contrattuale e dati relativi ai consumi effettuati, dai quali possibile desumere indicazioni ulteriori riferibili a ciascun interessato (adesempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari,servizi attivi su ciascuna utenza). La circostanza che un fornitore possadisporre e trattare, seppur su base aggregata, tali tipologie di dati, comportala disponibilit di un patrimonio informativo che va ben al di l delleinformazioni considerate singolarmente e relative a ciascun interessato.Attraverso il confronto e l'utilizzo dei dati dei propri clienti, possibile,infatti, che il fornitore acquisisca informazioni concernenti il singolo utenteo derivanti proprio dall'aggregazione dei dati e dalla loro catalogazione incluster, al fine di monitorare l'andamento economico della societ o,eventualmente, in un secondo momento, anche di progettare e realizzare campagnedi marketing sulla base delleanalisi effettuate. 2. Ambito oggettivo del provvedimento. Laprofilazione costituisce una delle attivit prevalenti dei fornitori, e,dunque, rientra nell'attivit strutturale e sostanziale di tali soggetti(infatti, a partire dalle risultanze degli esami di business intelligence I dati, che siano "anonimi" aisensi dell'art. 4, comma 1, lett. n) del Codice esulano dall'ambito oggettivodel presente provvedimento. L'attivit di profilazione pu concerneredati personali "individuali" o dati personali "aggregati"derivanti da dati personali individuali dettagliati (ad esempio, anagrafici edi traffico). Il presente provvedimento, pertanto,riguarda le ipotesi in cui l'attivit di profilazione abbia ad oggetto datipersonali individuali e dati personali aggregati derivanti da dati personaliindividuali dettagliati. Come si dir di seguito, l'attivit diprofilazione che ha ad oggetto dati personali individuali, consentita solose, in base a quanto stabilito dall'art. 23 del Codice, il titolare sia ingrado di documentare per iscritto un consenso informato, libero e specificomanifestato dall'interessato per tale finalit. Tale consenso ricomprende,ovviamente, anche il trattamento di dati personali aggregati. Nell'eventualit in cui il fornitoreintenda, invece, utilizzare per la profilazione dati personali aggregati, per iquali non risulti acquisito il consenso degli interessati, sar necessario chepresenti al Garante una richiesta di verifica preliminare, in quanto iltrattamento presenta rischi specifici per l'interessato, in relazione allanatura dei dati o alle modalit del trattamento o agli effetti che iltrattamento pu determinare. Solo in quella sede, infatti, sarpossibile valutare, tra le altre condizioni, se sia possibile autorizzare iltrattamento avente ad oggetto tali dati, anche in assenza del consenso degliinteressati, ai sensi dell'art. 24, comma 1, lett. g) del Codice. Il presente provvedimento non incidesulla disciplina, che resta immutata, di cui all'art. 123 del Codice, relativaalla conservazione dei dati per finalit di fatturazione e quella concernentela conservazione e sicurezza dei dati di traffico telefonico e telematico, perl'accertamento e repressione dei reati, prevista dall'art. 132 del Codice, dald. lgs. n. 109 del 2008 e dal provvedimento di carattere generale adottato daquesta Autorit in data 17 gennaio 2008, pubblicato in G.U. n. 30 del 5 febbraio2008 e poi aggiornato con il provvedimento del 24 luglio 2008, pubblicato inG.U. n. 189 del 13 agosto 2008 (vedi docc. web nn. 3. La profilazione con dati personali"individuali": consenso. In ossequio ai principi di necessit(art. 3 del Codice) e di proporzionalit nel trattamento (art. 11 del Codice),l'attivit di profilazione dovrebbe essere svolta utilizzando solo datistrettamente necessari al perseguimento della finalit e, in ogni caso,trattando solo dati per i quali, sulla base di quanto disposto dagli artt. 13 e23 del Codice, il titolare abbia rilasciato una idonea informativa e sia ingrado di documentare un consenso libero e specifico dell'interessato. Tali principi si applicano non solo se laraccolta dei dati specificamente effettuata dai fornitori per questa finalit,ma anche se l'attivit di profilazione viene realizzata mediante datiinizialmente raccolti per una diversa finalit, ivi compresa quelladell'erogazione del servizio. 4. La profilazione con dati personali"aggregati": prior checking. Qualora la profilazione abbia ad oggetto dati personaliaggregati, occorre in primo luogo osservare che il livello di aggregazione variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolaredel trattamento. Il rischio che pu derivareall'interessato da tale trattamento deriva dalla profondit del livello diaggregazione impostato e dalle modalit tecniche con le quali viene effettuatoil trattamento. I dati personali aggregati oggetto diprofilazione derivano, infatti, da dati personali individuali dettagliati,contenuti in una pluralit di sistemi, e tali restano nella disponibilit deltitolare del trattamento, il quale tenuto a conservarli per esigenzegestionali, finalit operative e tempi diversi, tra cui anche quelli che lalegge gli impone (ad esempio, per esigenze di fatturazione, art. 123 delCodice, o per finalit di accertamento e repressione di reati, art. 132 delCodice e d. lg. 109 del 2008). Pur in presenza di tale aggregazione, idati non sono per ci solo qualificabili anonimi e rientrano nella nozione di"dati personali", secondo la definizione dell'art. 4, comma 1, lettb) del Codice: la norma, infatti, qualifica come "dato personale"qualunque informazione relativa ad un soggetto, identificato o identificabile,anche indirettamente, mediante il riferimento a qualsiasi altra informazione,ivi compreso un numero di identificazione personale. Pertanto, nell'eventualit in cui ilfornitore intenda utilizzare per la profilazione dati personali aggregati, peri quali non risulti acquisito il consenso degli interessati, sar necessarioche presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovr essere presentata inbase al disposto dell'art. 17 del Codice, elencando nel dettaglio qualitrattamenti intenda effettuare, specificando ciascuna finalit e indicando,altres, le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta, il Garantecon il provvedimento che render all'esito della procedura di verificapreliminare: a) verificher la sussistenza deiparametri e delle condizioni minime individuate con il presente provvedimento; b) prescriver le eventuali altre misurespecifiche necessarie al fine di rendere il trattamento conforme alledisposizioni del Codice; c) valuter se autorizzare i fornitori adeffettuare l'attivit di profilazione, in assenza del consenso degliinteressati, ai sensi dell' art. 24, comma 1, lett. g), del Codice. Si segnala sin d'ora che il Garante, insede di verifiche preliminari, orienter le proprie valutazioni anche in baseai seguenti parametri e condizioni minime: 1. i dati personali oggettodell'attivit di profilazione, ancorch possano derivare da dati originaridettagliati di cui il titolare continua a disporre per finalit gestionali edesigenze operative previste anche per legge, siano esclusivamente datipersonali aggregati, dai quali, nell'ambito dei sistemi dedicati allaprofilazione, non sia possibile risalire immediatamente a informazionidettagliate relative a singoli interessati; 2. i dati personali aggregatioggetto di profilazione siano contenuti in uno o pi sistemi appositamentededicati alla profilazione, funzionalmente separati dai sistemi originari checostituiscono la fonte del dato aggregato e da ulteriori eventuali sistemiutilizzati dal titolare per altre finalit (ad esempio marketing 3. i dati personali aggregatioggetto dell'attivit di profilazione, sia quando si riferiscano ad uninteressato, sia quando si riferiscano ad una pluralit di interessati, sianosottoposti ad un processo in grado di impedire l'immediata identificabilit deisingoli interessati; 4. gli incaricati che svolgonol'attivit di profilazione dispongano di un profilo di autenticazione limitatoe diverso da quello di coloro che svolgono eventuali ulteriori attivit, anchesuccessive alla profilazione; 5. i dati personali oggettodell'attivit di profilazione siano conservati per un periodo di tempolimitato, decorso il quale devono essere cancellati. 5. Ulteriori obblighi. Tranne cheper gli aspetti disciplinati dal presente provvedimento, restano fermi, in capoai fornitori, taluni obblighi. In particolare, il fornitore che intendaprocedere al trattamento di dati personali ("individuali" o"aggregati") per finalit di profilazione tenuto, ai sensidell'art. 37, comma 1, lett. d) del Codice a notificare, in ogni caso, alGarante tale trattamento, con le modalit indicate all'art. 38 del Codice. Inoltre il titolare in ogni caso tenutoa rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati inrelazione alle finalit perseguite e ai diritti riconosciuti agli interessatidall'art. 7 del Codice. 6. Sanzioni. utilerammentare che la mancata osservanza delle disposizioni richiamate nonch delleprescrizioni impartite pu comportare l'applicazione delle sanzioni previstedagli artt. 161, 162, commi 2 bise 2 ter, 163 e 164 bis L'art. 161 sanziona la mancata o inidoneainformativa, stabilendo che la violazione delle disposizioni di cui all'art.13, nel quale indicato che le informazioni da rendere all'interessato devonoincludere anche le finalit per cui i dati sono trattati, ivi inclusa laprofilazione, punita con la sanzione amministrativa del pagamento di unasomma da seimila euro a trentaseimila euro. L'art. 163 sanziona l'omessa o incompletanotificazione prevedendo che chiunque, essendovi tenuto, non provvedetempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indicain essa notizie incomplete, punito con la sanzione amministrativa delpagamento di una somma da ventimila euro a centoventimila euro. L'art. 162, comma 2 bis L'art. 164 bis, comma 2, stabilisce,infine, che in caso di pi violazioni di un'unica o di pi disposizionirelative a violazioni amministrative, commesse anche in tempi diversi, inrelazione a banche di dati di particolare rilevanza o dimensioni, si applica lasanzione amministrativa del pagamento di una somma da cinquantamila euro atrecentomila euro: nei casi di maggiore gravit o considerando le condizionieconomiche del contravventore, tale sanzione pu essere aumentata (commi 3 e 4del medesimo articolo). TUTTO CI PREMESSO IL GARANTE fermo restando, per i fornitori cheintendano effettuare un trattamento di dati personali, anche in forma"aggregata", per finalit di profilazione, l'obbligo di rendere, aisensi dell'art. 13 del Codice, l'informativa agli interessati in relazione allefinalit perseguite e ai diritti riconosciuti agli interessati dall'art. 7 delCodice, nonch l'obbligo di notificare, ai sensi dell'art. 37, comma 1, lett.d) del Codice, al Garante tale trattamento, con le modalit indicate all'art.38 del Codice, PRESCRIVE ai sensi degli artt. 143, comma 1, lett.b), 154, comma 1, lett. c) del Codice, A) ai fornitori di servizi dicomunicazione elettronica accessibili al pubblico che intendano svolgereattivit di profilazione (anche in assenza di uno specifico consenso)utilizzando dati personali "aggregati", di formulare all'Autorit,mediante la procedura prevista dall'art. 17 del Codice, una richiesta diverifica preliminare con la quale siano specificati in maniera dettagliata itrattamenti che si intendono effettuare, indicando ciascuna finalit e letipologie di dati che si intendono utilizzare; B) ai fornitori di servizi dicomunicazione elettronica accessibili al pubblico che, allo stato, svolgonoattivit di profilazione, in assenza di uno specifico consenso, utilizzandodati personali "aggregati", di formulare la richiesta di verificapreliminare di cui alla lettera A) entro il 30 settembre 2009. Si dispone la trasmissione di copia delpresente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggie decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblicaitaliana. Roma, 25 giugno 2009
|