Provvedimento del Garante per la protezione dei dati personali del 16 febbrario 2006.
Servizi telefonici non richiesti: maggiori tutele per i cittadini.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
PREMESSO
Sono pervenuti a questa Autorità numerosi reclami, segnalazioni e quesiti dai quali emergono ripetute violazioni del diritto all'utilizzo lecito e corretto dei dati personali nella prestazione dei servizi di comunicazione elettronica.
Le violazioni emerse sono connesse all'indebita attivazione di contratti, schede o servizi telefonici non richiesti dagli interessati, fenomeno che risulta di portata ampia anche dalla trattazione dei diversi ricorsi presentati al Garante.
Attesa la molteplicità delle questioni e dei soggetti interessati il Garante ritiene di dover adottare un provvedimento generale per individuare un quadro di garanzie che assicuri il rispetto dei diritti e delle libertà fondamentali dei cittadini.
Si intende così richiamare l'attenzione dei soggetti che trattano dati personali fornendo beni, prestazioni e servizi e impartire loro le prescrizioni necessarie a rendere i trattamenti conformi al Codice.
I comportamenti illeciti addebitabili a rivenditori di servizi dislocati sul territorio (c.d. dealer) o a fornitori di servizi di comunicazione elettronica (di seguito, “operatori”) sono presi in esame per i soli profili di competenza del Garante. Restano impregiudicati, per gli interessati, diritti ed altri strumenti di tutela azionabili in altra sede sul piano contrattuale ed eventualmente penale, come pure su quello amministrativo per quanto concerne la corretta prestazione da parte dell'operatore e del rivenditore dei servizi svolti in regime di concessione, autorizzazione o licenza.
1. Problematiche segnalate
1.1 Schede di telefonia mobile attivate all'insaputa degli interessati
Varie segnalazioni riguardano l'indebito trattamento dei dati di persone nei cui confronti sono attivate a loro insaputa alcune schede di telefonia mobile, a volte anche per ingenti quantità, perfino a centinaia. In alcuni casi l'Autorità è stata interessata direttamente dall'autorità giudiziaria inquirente in relazione ad indebite attivazioni risultanti da procedimenti penali in corso.
Dalla casistica esaminata emerge che gli intestatari vengono a conoscenza dell'attivazione delle schede raramente o tardivamente, e magari solo a seguito di loro richieste di accesso a dati personali rivolte all'operatore. Nel frattempo, le utenze sono a volte utilizzate per attività che comportano conseguenze spiacevoli per gli intestatari; in alcuni casi, questi ultimi si trovano persino sottoposti ad indagini penali che interessano l'intercettazione o il traffico telefonico della scheda falsamente intestata, oppure altre persone che l'hanno utilizzata nel quadro di attività criminose. Alcune false intestazioni risultano infine effettuate utilizzando dati di persone decedute.
1.2 Attivazione di un servizio di carrier pre-selection non richiesto
Emerge dagli atti che alcuni dati personali di soggetti già abbonati sono stati trattati da parte (o per conto) di un altro operatore, senza la prescritta informativa e in assenza di un consenso preventivo.
Tale trattamento viene effettuato per attivare il servizio di instradamento della linea verso un operatore diverso da quello di origine, tramite selezione automatica (c.d. carrier pre-selection, di seguito “cps”). Alcuni interessati vengono così contattati telefonicamente, oppure con visite a domicilio, e la cps non richiesta viene poi attivata sebbene l'operatore, o chi opera per suo conto, si sia limitato a prospettare agli interessati tariffe ritenute vantaggiose, oppure a chiedere semplicemente un'autorizzazione ad inviare materiale informativo o pubblicitario. Risultano indebite attivazioni anche in casi in cui l'interessato si è chiaramente opposto già al primo contatto.
Gli interessati apprendono spesso di essere divenuti clienti solo con la ricezione da parte dell'operatore di successive comunicazioni di vario tipo, che a volte consistono direttamente in fatture o avvisi di pagamento relativi a servizi che si assumono resi, come pure in ingiunzioni di pagamento inviate da società di recupero crediti.
1.3 Servizi telefonici aggiuntivi attivati dal proprio o da altro operatore
Altri dati personali di abbonati risultano trattati indebitamente, anche da parte di operatori diversi da quello che essi hanno prescelto, al fine di attivare servizi di telefonia ulteriori rispetto ad una linea telefonica di base (ad es., servizi di segreteria telefonica, tariffe telefoniche “flat” o linee per la navigazione veloce in Internet). Ciò, sempre in assenza sia dell' informativa, sia del consenso.
2. Gli accertamenti effettuati
Al fine di raccogliere altri elementi di valutazione, l'Autorità ha richiesto informazioni ed effettuato ispezioni presso operatori coinvolti e rivenditori abilitati a concludere contratti e ad attivare schede di telefonia mobile. Ciò, con particolare riguardo alla tipologia dei dati, alle finalità, alle modalità e alla logica del trattamento, nonché agli accorgimenti adottati per tutelare i diritti degli interessati e per rispettare la normativa sulla protezione dei dati personali.
Da tale documentazione emerge altresì che un numero consistente di violazioni deriva da un ulteriore utilizzo improprio dei dati personali da parte di soggetti non sempre identificati (accompagnato in particolare dalla falsificazione della firma degli interessati), o da errori materiali commessi da operatori o rivenditori.
Non di rado, risultano infine attivate più schede telefoniche, utilizzando i dati anagrafici tratti da un documento di identità richiesto agli interessati per intestare le sole schede effettivamente da loro richieste. Talvolta, tali prassi sono seguite per attivare il maggior numero possibile di schede prepagate di un determinato operatore nell'ambito di veri e propri “piani di incentivazione” per i rivenditori, ai quali sono riconosciuti compensi o benefici legati al superamento di soglie prestabilite.
3. I dati personali e le modalità di raccolta
Le generalità e gli altri dati riferiti agli abbonati e ai titolari di schede prepagate (ivi compreso il loro numero di telefono), in quanto riferiti a soggetti identificati o identificabili, devono considerarsi “dati personali” soggetti alla disciplina del Codice (art. 4, comma 1, lett. b)).
Pertanto, tutti i soggetti coinvolti nel loro trattamento sono tenuti ad assicurare che i dati siano raccolti e registrati per scopi determinati, espliciti e legittimi, e trattati anche successivamente in modo lecito e secondo correttezza, osservando le disposizioni del Codice e le altre norme rilevanti nel trattamento dei dati, compresa quella che prescrive di identificare abbonati ed acquirenti del traffico prepagato della telefonia mobile prima dell'attivazione del servizio, al momento della consegna o messa a disposizione della scheda elettronica. In forza di tale disposizione, gli operatori devono peraltro adottare tutte le misure necessarie a garantire l'acquisizione dei dati anagrafici riportati sui documenti di identità, nonché del tipo, del numero e della riproduzione del documento, presentato dall'acquirente (art. 55, comma 7, del Codice delle comunicazioni elettroniche -d.lg. 1 agosto 2003, n. 259- come modificato dall'art. 6, comma 2, d.l. 27 luglio 2005, n. 144 conv., con mod., dalla l. 31 luglio 2005, n. 155).
4. Le verifiche da effettuare sulle attivazioni multiple di schede prepagate
Con riferimento all'attivazione di schede di telefonia mobile prepagate è necessario che gli operatori predispongano, altresì, apposite procedure (in parte già adottate da alcuni, con modalità differenziate) che permettano di rilevare più tempestivamente le intestazioni multiple di schede da parte di uno stesso operatore ad una medesima persona.
Tenuto conto delle prime prassi in tal senso seguite dagli operatori, appare congruo che le nuove procedure prescritte con il presente provvedimento operino in riferimento alle intestazioni superiori a quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche).
Quando vengono superate tali soglie, l'operatore deve autorizzare l'attivazione delle ulteriori schede con una procedura più accurata di verifica che accerti l'effettiva volontà del loro intestatario, dal quale deve raccogliere direttamente un'idonea dichiarazione di conferma, da documentarsi anche a cura dell'operatore.
Con riferimento alle attivazioni già effettuate alla data di ricezione del presente provvedimento, tutti gli operatori devono sottoporre altresì a verifica le attivazioni multiple superiori alle predette soglie, definendo una procedura per ottenere in tempi brevi un'idonea dichiarazione di conferma da parte degli intestatari, da documentarsi anche a cura dell'operatore.
5. L'informativa nelle attivazioni di servizi
Chiamate e comunicazioni promozionali volte a realizzare nuove attivazioni di servizi per il tramite di call center possono essere effettuate solo nei confronti dei soggetti di cui si possa disporre lecitamente dei relativi dati personali, rispettando i loro diritti derivanti dalla nuova disciplina degli elenchi telefonici del servizio universale o degli elenchi “categorici” (v. Provv. del Garante 15 luglio 2004 e 14 luglio 2005 in www.garanteprivacy.it).
Agli interessati deve essere resa o risultare fornita un'informativa idonea, chiara ed efficace, che deve comprendere a norma di legge anche l'indicazione sulla facoltà o meno del conferimento dei dati, le conseguenze del mancato conferimento e le figure del titolare e del responsabile del trattamento (art. 13, comma 3, del Codice).
Va altresì prescritto ad operatori e gestori di servizi di call center di indicare con precisione l'origine dei dati già nel corso della chiamata o comunicazione promozionale, permettendo al soggetto contattato di individuare subito il soggetto che ha fornito o che detiene i dati e le sue puntuali coordinate. Ciò, a prescindere da una richiesta del destinatario stesso.
6. I soggetti del trattamento
I rapporti tra gli operatori e i soggetti incaricati di gestire la vendita di servizi o le attività di informazione e assistenza alla clientela (c.d. call center) non risultano spesso chiari per quanto riguarda il ruolo che ciascun soggetto svolge rispetto al trattamento dei dati.
Ne discende un quadro complessivo confuso, che rende assai disagevole per gli interessati sia individuare gli autori delle indebite attivazioni delle schede e dei servizi non richiesti, sia porvi rapido rimedio nel rivolgersi ad un titolare o responsabile del trattamento ben individuati.
Gli operatori, quando non gestiscono direttamente in proprio le attività di fornitura di beni, prestazioni e servizi, devono chiarire sia al proprio interno, sia agli interessati, i ruoli svolti da rivenditori e da altri collaboratori esterni rispetto al trattamento dei dati.
L'eventuale designazione di questi ultimi in qualità di responsabili del trattamento deve rispondere alla realtà dei rapporti sul piano rilevante per il trattamento dei dati, ed essere accompagnata da un costante controllo –anche a campione- sull'attività materialmente posta in essere, in particolare da agenti e rivenditori.
Agenti e rivenditori rivestono la qualità di titolari autonomi del trattamento dei dati utilizzati ai fini dell'attivazione dei servizi quando, in base alle modalità della propria attività, esercitano un potere decisionale reale e del tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel proprio ambito (cfr. art. 4, comma 1, lett. f) del Codice). In tal caso, essi devono adempiere autonomamente agli obblighi previsti dal Codice, con particolare riferimento a quelli, sopra specificati, di informativa, di raccolta del consenso eventualmente necessario e dell'adozione di idonee misure di sicurezza. Gli operatori non possono trascurare comunque l'esigenza di assicurare adeguate verifiche su ogni categoria di figura esterna che, anche in qualità di titolare autonomo del trattamento, possa svolgere un ruolo nell'indebita attivazione di servizi.
7. La sicurezza dei dati
Considerati i rischi per le persone interessate, tutti i soggetti coinvolti nel trattamento (titolari, responsabili ed incaricati) devono assicurare -anche presso i call center- un livello elevato di sicurezza dei dati.
Oltre all'adozione delle misure minime di sicurezza (artt. 33 e ss. e Allegato B del Codice), i dati personali raccolti lecitamente devono essere custoditi e controllati adottando misure di sicurezza in grado di ridurre al minimo il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta (art. 31 del Codice).
Per tutelare gli interessati in caso di contestazione, è altresì necessario che i titolari del trattamento sviluppino o integrino strumenti, anche informatici, in grado di identificare l'incaricato che ha effettuato l'attivazione.
8. L'esercizio dei diritti
I titolari del trattamento devono predisporre idonee misure organizzative per mettere a disposizione degli interessati modalità semplici per esercitare i propri diritti (artt. 7 e 10 del Codice).
Nel caso in cui la persona contattata si opponga, anche immediatamente, all'utilizzo dei suoi dati per attivare il servizio proposto e/o per ulteriori promozioni anche di altro tipo, il servizio di call center interno od esterno all'operatore deve registrare subito per iscritto la volontà manifestata ed adottare contestualmente idonee procedure affinché tale volontà sia rispettata.
Il riscontro ad un'idonea richiesta volta a conoscere l'origine dei dati personali deve comprendere l'identità e le puntuali coordinate dell'eventuale rivenditore che abbia attivato l'utenza o il servizio non richiesto.
Analogamente, nell'ipotesi in cui siano stati attivati servizi o utenze di telefonia fissa a seguito solo di una chiamata o comunicazione di carattere promozionale effettuata non dall'operatore, ma da chi gestisce per suo conto un servizio di call center, l'interessato deve poter conoscere l'identità e le puntuali coordinate di tale gestore.
Infine, effettuate rapidamente le verifiche eventualmente necessarie, le richieste di rettifica dei dati o di disattivazione dei servizi od utenze attivati indebitamente devono essere soddisfatte tempestivamente. Ciò, senza costi per l'interessato del quale siano stati trattati impropriamente dati personali, anche quando sia necessario attivare una nuova linea telefonica con l'operatore di origine (cfr., in senso analogo, la deliberazione dell'Autorità per le garanzie nelle comunicazioni n. 4/03/Cir del 2 aprile 2003, relativa alla cps.).
9. Termine
La diffusività del fenomeno dell'indebita attivazione di servizi presuppone una rapida attuazione di misure a tutela degli interessati; quelle indicate nel presente provvedimento, se già non previste specificamente dal Codice o da altra disposizione normativa, devono essere rese operative a cura dei titolari del trattamento entro e non oltre il 31 maggio 2006.
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive ai titolari del trattamento di adottare nei termini indicati in motivazione le misure necessarie per rendere i trattamenti di dati personali nella prestazione dei servizi di comunicazione elettronica conformi ai principi richiamati nel presente provvedimento. In particolare, il Garante prescrive ai medesimi soggetti di adottare, per le parti di competenza, le seguenti misure:
1. predisporre, nell'ambito delle attivazioni di schede di telefonia mobile prepagate, specifiche procedure che permettano di rilevare più tempestivamente intestazioni multiple di schede ad una medesima persona, almeno superiori a quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche), autorizzando l'attivazione delle nuove schede con una procedura più accurata di verifica che accerti l'effettiva volontà dell'intestatario dal quale raccogliere direttamente un'idonea dichiarazione di conferma;
2. con riferimento alle attivazioni effettuate in passato, verificare l'esistenza di attivazioni multiple e definire una procedura per i casi di superamento delle soglie indicate al precedente punto 1);
3. sottoporre ad attenta valutazione i profili relativi al rapporto che intercorre tra i soggetti incaricati di gestire la vendita di servizi o le attività di informazione e assistenza alla clientela e le figure del titolare e del responsabile del trattamento, e assicurare comunque un livello più adeguato di verifiche su ogni categoria di figura esterna;
4. indicare con precisione l'origine dei dati già nel corso della chiamata o comunicazione promozionale da parte di operatori e gestori di servizi di call center, a prescindere da una richiesta del destinatario;
5. sviluppare o integrare strumenti idonei ad identificare l'incaricato del trattamento dei dati che ha effettuato l'attivazione del servizio;
6. registrare subito presso il servizio di call center interno od esterno all'operatore la volontà manifestata dalla persona contattata che si opponga all'utilizzo dei dati per attivare il servizio proposto e/o per ulteriori promozioni, ed adottare contestualmente idonee procedure affinché tale volontà sia rispettata;
7. predisporre idonee misure organizzative per agevolare l'esercizio dei diritti degli interessati e riscontrare le richieste relative all'origine dei dati personali, fornendo anche gli estremi identificativi del rivenditore che ha attivato i servizi o le utenze non richieste o del soggetto che svolge per conto dell'operatore un servizio di call center;
b) ai sensi degli artt. 154, comma 1, lett. c) e 157 del Codice prescrive ai fornitori di servizi di comunicazione elettronica di effettuare gli adempimenti di cui alla lettera a) entro e non oltre il 31 maggio 2006, dando conferma dell'adempimento al Garante entro lo stesso termine;
c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del Codice, nonché all'Autorità per le garanzie nelle comunicazioni.
Roma, 16 febbraio 2006
IL PRESIDENTE, Pizzetti
IL RELATORE, Fortunato
IL SEGRETARIO GENERALE, Buttarelli