IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, «Codice») pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 174 del 29 luglio 2003;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
PREMESSO
1. Considerazioni preliminari e attività istruttoria
L'Autorità ha effettuato una serie di attività istruttorie, anche di carattere ispettivo, al fine di realizzare un monitoraggio sull'attività svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito «fornitori«), con l'intento di acquisire informazioni relative alle modalità che ciascun fornitore adotta per svolgere attività di «profilazione» della totalità dei propri clienti (c.d. «base clienti»), anche in relazione alla possibilità di classificare gli interessati in determinate categorie omogenee (cd. cluster).
I fornitori in questione, sono quelli che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione dove per «servizi di comunicazione elettronica» devono intendersi quelli consistenti, esclusivamente o prevalentemente, «nella trasmissione di segnali su reti di comunicazioni elettroniche» (art. 4, comma 2, lett. d) ed e), del Codice).
Dall'esame delle risultanze istruttorie è emerso che i fornitori effettuano attività di profilazioneutilizzando dati personali che vengono anche aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali. Tali dati possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi ai consumi effettuati, dai quali è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (ad esempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza).
La circostanza che un fornitore possa disporre e trattare, seppur su base aggregata, tali tipologie di dati, comporta la disponibilità di un patrimonio informativo che va ben al di là delle informazioni considerate singolarmente e relative a ciascun interessato. Attraverso il confronto e l'utilizzo dei dati dei propri clienti, è possibile, infatti, che il fornitore acquisisca informazioni concernenti il singolo utente o derivanti proprio dall'aggregazione dei dati e dalla loro catalogazione in cluster, al fine di monitorare l'andamento economico della società o, eventualmente, in un secondo momento, anche di progettare e realizzare campagne di marketing sulla base delle analisi effettuate.
2. Ambito oggettivo del provvedimento
La profilazione costituisce una delle attività prevalenti dei fornitori, e, dunque, rientra nell'attività strutturale e sostanziale di tali soggetti (infatti, a partire dalle risultanze degli esami di business intelligence che ad essa sono naturalmente collegate, essi sono in grado di implementare la progettazione della propria struttura e dei servizi offerti).
I dati, che siano «anonimi» ai sensi dell'art. 4, comma 1, lett. n) del Codice esulano dall'ambito oggettivo del presente provvedimento.
L'attività di profilazione può concernere dati personali «individuali» o dati personali «aggregati» derivanti da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico).
Il presente provvedimento, pertanto, riguarda le ipotesi in cui l'attività di profilazione abbia ad oggetto dati personali individuali e dati personali aggregati derivanti da dati personali individuali dettagliati.
Come si dirà di seguito, l'attività di profilazione che ha ad oggetto dati personali individuali, è consentita solo se, in base a quanto stabilito dall'art. 23 del Codice, il titolare sia in grado di documentare per iscritto un consenso informato, libero e specifico manifestato dall'interessato per tale finalità. Tale consenso ricomprende, ovviamente, anche il trattamento di dati personali aggregati.
Nell'eventualità in cui il fornitore intenda, invece, utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garanteuna richiesta di verifica preliminare, in quanto il trattamento presenta rischi specifici per l'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che il trattamento può determinare.
Solo in quella sede, infatti, sarà possibile valutare, tra le altre condizioni, se sia possibile autorizzare il trattamento avente ad oggetto tali dati, anche in assenza del consenso degli interessati, ai sensi dell'art. 24, comma 1, lett. g) del Codice.
Il presente provvedimento non incide sulla disciplina, che resta immutata, di cui all'art. 123 del Codice, relativa alla conservazione dei dati per finalità di fatturazione e quella concernente la conservazione e sicurezza dei dati di traffico telefonico e telematico, per l'accertamento e repressione dei reati, prevista dall'art. 132 del Codice, dal d. lgs. n. 109 del 2008 e dal provvedimento di carattere generale adottato da questa Autorità in data 17 gennaio 2008, pubblicato in G.U. n. 30 del 5 febbraio 2008 e poi aggiornato con il provvedimento del 24 luglio 2008, pubblicato in G.U. n. 189 del 13 agosto 2008 (entrambi in www.garanteprivacy.it, docc. web nn. 1482111 e 1538224).
3. La profilazione con dati personali «individuali»: consenso
In ossequio ai principi di necessità (art. 3 del Codice) e di proporzionalità nel trattamento (art. 11 del Codice), l'attività di profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al perseguimento della finalità e, in ogni caso, trattando solo dati per i quali, sulla base di quanto disposto dagli artt. 13 e 23 del Codice, il titolare abbia rilasciato una idonea informativa e sia in grado di documentare un consenso libero e specifico dell'interessato.
Tali principi si applicano non solo se la raccolta dei dati è specificamente effettuata dai fornitori per questa finalità, ma anche se l'attività di profilazione viene realizzata mediante dati inizialmente raccolti per una diversa finalità, ivi compresa quella dell'erogazione del servizio.
4. La profilazione con dati personali»aggregati»: prior checking
Qualora la profilazione abbia ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione è variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento.
Il rischio che può derivare all'interessato da tale trattamento deriva dalla profondità del livello di aggregazione impostato e dalle modalità tecniche con le quali viene effettuato il trattamento.
I dati personali aggregati oggetto di profilazione derivano, infatti, da dati personali individuali dettagliati, contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (ad esempio, per esigenze di fatturazione, art. 123 del Codice, o per finalità di accertamento e repressione di reati, art. 132 del Codice e d. lg. 109 del 2008).
Pur in presenza di tale aggregazione, i dati non sono per ciò solo qualificabili anonimi e rientrano nella nozione di «dati personali«, secondo la definizione dell'art. 4, comma 1, lett b) del Codice: la norma, infatti, qualifica come «dato personale» qualunque informazione relativa ad un soggetto, identificato o identificabile, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Pertanto, nell'eventualità in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sarà necessario che presenti al Garanteuna richiesta di verifica preliminare.
Tale richiesta dovrà essere presentata in base al disposto dell'art. 17 del Codice, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare.
A fronte di tale richiesta, il Garante con il provvedimento che renderà all'esito della procedura di verifica preliminare:
a) verificherà la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento;
b) prescriverà le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice;
c) valuterà se autorizzare i fornitori ad effettuare l'attività di profilazione, in assenza del consensodegli interessati, ai sensi dell' art. 24, comma 1, lett. g), del Codice.
Si segnala sin d'ora che il Garante, in sede di verifiche preliminari, orienterà le proprie valutazioni anche in base ai seguenti parametri e condizioni minime:
1. i dati personali oggetto dell'attività di profilazione, ancorché possano derivare da dati originari dettagliati di cui il titolare continua a disporre per finalità gestionali ed esigenze operative previste anche per legge, siano esclusivamente dati personali aggregati, dai quali, nell'ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati;
2. i dati personali aggregati oggetto di profilazione siano contenuti in uno o più sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalità (ad esempio marketing);
3. i dati personali aggregati oggetto dell'attività di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralità di interessati, siano sottoposti ad un processo in grado di impedire l'immediata identificabilità dei singoli interessati;
4. gli incaricati che svolgono l'attività di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive allaprofilazione;
5. i dati personali oggetto dell'attività di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati.
5. Ulteriori obblighi
Tranne che per gli aspetti disciplinati dal presente provvedimento, restano fermi, in capo ai fornitori, taluni obblighi.
In particolare, il fornitore che intenda procedere al trattamento di dati personali («individuali» o «aggregati») per finalità di profilazione è tenuto, ai sensi dell'art. 37, comma 1, lett. d) del Codice a notificare, in ogni caso, al Garante tale trattamento, con le modalità indicate all'art. 38 del Codice.
Inoltre il titolare è in ogni caso tenuto a rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice.
6. Sanzioni
È utile rammentare che la mancata osservanza delle disposizioni richiamate nonché delle prescrizioni impartite può comportare l'applicazione delle sanzioni previste dagli artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2, 3 e 4 del Codice (disposizioni introdotte o modificate dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge n. 207 del 30 dicembre 2008).
L'art. 161 sanziona la mancata o inidonea informativa, stabilendo che la violazione delle disposizioni di cui all'art. 13, nel quale è indicato che le informazioni da rendere all'interessato devono includere anche le finalità per cui i dati sono trattati, ivi inclusa la profilazione, è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro.
L'art. 163 sanziona l'omessa o incompleta notificazione prevedendo che chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli artt. 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro.
L'art. 162, comma 2 bis prevede che in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate nell'art. 167, il quale, al comma 2, comprende anche l'art. 17 è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Inoltre, il comma 2 ter del medesimo articolo stabilisce che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all'art. 154, comma 1, lettera c), è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
L'art. 164 bis, comma 2, stabilisce, infine, che in caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravità o considerando le condizioni economiche del contravventore, tale sanzione può essere aumentata (commi 3 e 4 del medesimo articolo).
TUTTO CIÒ PREMESSO IL GARANTE
fermo restando, per i fornitori che intendano effettuare un trattamento di dati personali, anche in forma «aggregata», per finalità di profilazione, l'obbligo di rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice, nonché l'obbligo di notificare, ai sensi dell'art. 37, comma 1, lett. d) del Codice, al Garante tale trattamento, con le modalità indicate all'art. 38 del Codice,
PRESCRIVE
ai sensi degli artt. 143, comma 1, lett. b), 154, comma 1, lett. c) del Codice,
A) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che intendano svolgere attività di profilazione (anche in assenza di uno specifico consenso) utilizzando dati personali«aggregati», di formulare all'Autorità, mediante la procedura prevista dall'art. 17 del Codice, una richiesta di verifica preliminare con la quale siano specificati in maniera dettagliata i trattamenti che si intendono effettuare, indicando ciascuna finalità e le tipologie di dati che si intendono utilizzare;
B) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che, allo stato, svolgono attività di profilazione, in assenza di uno specifico consenso, utilizzando dati personali «aggregati», di formulare la richiesta di verifica preliminare di cui alla lettera A) entro il 30 settembre 2009.
Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 giugno 2009
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Patroni Griffi