Gazzetta n. 54 del 6 marzo 2006 (vai al sommario)
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 16 febbraio 2006
Trattamento dei dati personali nell'ambito dei servizi telefonici non richiesti.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto il codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Premesso:

Sono pervenuti a questa autorita' numerosi reclami, segnalazioni e quesiti dai quali emergono ripetute violazioni del diritto all'utilizzo lecito e corretto dei dati personali nella prestazione dei servizi di comunicazione elettronica.
Le violazioni emerse sono connesse all'indebita attivazione di contratti, schede o servizi telefonici non richiesti dagli interessati, fenomeno che risulta di portata ampia anche dalla trattazione dei diversi ricorsi presentati al Garante.
Attesa la molteplicita' delle questioni e dei soggetti interessati il Garante ritiene di dover adottare un provvedimento generale per individuare un quadro di garanzie che assicuri il rispetto dei diritti e delle liberta' fondamentali dei cittadini.
Si intende cosi' richiamare l'attenzione dei soggetti che trattano dati personali fornendo beni, prestazioni e servizi e impartire loro le prescrizioni necessarie a rendere i trattamenti conformi al codice.
I comportamenti illeciti addebitabili a rivenditori di servizi dislocati sul territorio (c.d. dealer) o a fornitori di servizi di comunicazione elettronica (di seguito, «operatori») sono presi in esame per i soli profili di competenza del Garante. Restano impregiudicati, per gli interessati, diritti ed altri strumenti di tutela azionabili in altra sede sul piano contrattuale ed eventualmente penale, come pure su quello amministrativo per quanto concerne la corretta prestazione da parte dell'operatore e del rivenditore dei servizi svolti in regime di concessione, autorizzazione o licenza. 1. Problematiche segnalate. 1.1 Schede di telefonia mobile attivate all'insaputa degli interessati.
Varie segnalazioni riguardano l'indebito trattamento dei dati di persone nei cui confronti sono attivate a loro insaputa alcune schede di telefonia mobile, a volte anche per ingenti quantita', perfino a centinaia. In alcuni casi l'autorita' e' stata interessata direttamente dall'autorita' giudiziaria inquirente in relazione ad indebite attivazioni risultanti da procedimenti penali in corso.
Dalla casistica esaminata emerge che gli intestatari vengono a conoscenza dell'attivazione delle schede raramente o tardivamente, e magari solo a seguito di loro richieste di accesso a dati personali rivolte all'operatore. Nel frattempo, le utenze sono a volte utilizzate per attivita' che comportano conseguenze spiacevoli per gli intestatari; in alcuni casi, questi ultimi si trovano persino sottoposti ad indagini penali che interessano l'intercettazione o il traffico telefonico della scheda falsamente intestata, oppure altre persone che l'hanno utilizzata nel quadro di attivita' criminose. Alcune false intestazioni risultano infine effettuate utilizzando dati di persone decedute. 1.2 Attivazione di un servizio di carrier pre-selection non richiesto.
Emerge dagli atti che alcuni dati personali di soggetti gia' abbonati sono stati trattati da parte (o per conto) di un altro operatore, senza la prescritta informativa e in assenza di un consenso preventivo.
Tale trattamento viene effettuato per attivare il servizio di instradamento della linea verso un operatore diverso da quello di origine, tramite selezione automatica (c.d. carrier pre-selection, di seguito «cps»). Alcuni interessati vengono cosi' contattati telefonicamente, oppure con visite a domicilio, e la cps non richiesta viene poi attivata sebbene l'operatore, o chi opera per suo conto, si sia limitato a prospettare agli interessati tariffe ritenute vantaggiose, oppure a chiedere semplicemente un'autorizzazione ad inviare materiale informativo o pubblicitario. Risultano indebite attivazioni anche in casi in cui l'interessato si e' chiaramente opposto gia' al primo contatto.
Gli interessati apprendono spesso di essere divenuti clienti solo con la ricezione da parte dell'operatore di successive comunicazioni di vario tipo, che a volte consistono direttamente in fatture o avvisi di pagamento relativi a servizi che si assumono resi, come pure in ingiunzioni di pagamento inviate da societa' di recupero crediti. 1.3 Servizi telefonici aggiuntivi attivati dal proprio o da altro operatore.
Altri dati personali di abbonati risultano trattati indebitamente, anche da parte di operatori diversi da quello che essi hanno prescelto, al fine di attivare servizi di telefonia ulteriori rispetto ad una linea telefonica di base (ad es., servizi di segreteria telefonica, tariffe telefoniche «flat» o linee per la navigazione veloce in Internet). Cio', sempre in assenza sia dell'informativa, sia del consenso.

2. Gli accertamenti effettuati.

Al fine di raccogliere altri elementi di valutazione, l'autorita' ha richiesto informazioni ed effettuato ispezioni presso operatori coinvolti e rivenditori abilitati a concludere contratti e ad attivare schede di telefonia mobile. Cio', con particolare riguardo alla tipologia dei dati, alle finalita', alle modalita' e alla logica del trattamento, nonche' agli accorgimenti adottati per tutelare i diritti degli interessati e per rispettare la normativa sulla protezione dei dati personali.
Da tale documentazione emerge altresi' che un numero consistente di violazioni deriva da un ulteriore utilizzo improprio dei dati personali da parte di soggetti non sempre identificati (accompagnato in particolare dalla falsificazione della firma degli interessati), o da errori materiali commessi da operatori o rivenditori.
Non di rado, risultano infine attivate piu' schede telefoniche, utilizzando per piu' schede i dati anagrafici tratti da un documento di identita' richiesto agli interessati per intestare le sole schede effettivamente da loro richieste. Talvolta, tali prassi sono seguite per attivare il maggior numero possibile di schede prepagate di un determinato operatore nell'ambito di veri e propri «piani di incentivazione» per i rivenditori, ai quali sono riconosciuti compensi o benefici legati al superamento di soglie prestabilite. 3. I dati personali e le modalita' di raccolta.
Le generalita' e gli altri dati riferiti agli abbonati e ai titolari di schede prepagate (ivi compreso il loro numero di telefono), in quanto riferiti a soggetti identificati o identificabili, devono considerarsi «dati personali» soggetti alla disciplina del codice (art. 4, comma 1, lettera b).
Pertanto, tutti i soggetti coinvolti nel loro trattamento sono tenuti ad assicurare che i dati siano raccolti e registrati per scopi determinati, espliciti e legittimi, e trattati anche successivamente in modo lecito e secondo correttezza, osservando le disposizioni del codice e le altre norme rilevanti nel trattamento dei dati, compresa quella che prescrive di identificare abbonati ed acquirenti del traffico prepagato della telefonia mobile prima dell'attivazione del servizio, al momento della consegna o messa a disposizione della scheda elettronica. In forza di tale disposizione, gli operatori devono peraltro adottare tutte le misure necessarie a garantire l'acquisizione dei dati anagrafici riportati sui documenti di identita', nonche' del tipo, del numero e della riproduzione del documento, presentato dall'acquirente (art. 55, comma 7, del codice delle comunicazioni elettroniche - decreto legislativo 1° agosto 2003, n. 259, come modificato dall'art. 6, comma 2, decreto-legge 27 luglio 2005, n. 144 conv., con mod., dalla legge 31 luglio 2005, n. 155). 4. Le verifiche da effettuare sulle attivazioni multiple di schede prepagate.
Con riferimento all'attivazione di schede di telefonia mobile prepagate e' necessario che gli operatori predispongano, altresi', apposite procedure (in parte gia' adottate da alcuni, con modalita' differenziate) che permettano di rilevare piu' tempestivamente le intestazioni multiple di schede da parte di uno stesso operatore ad una medesima persona.
Tenuto conto delle prime prassi in tal senso seguite dagli operatori, appare congruo che le nuove procedure prescritte con il presente provvedimento operino in riferimento alle intestazioni superiori a quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche).
Quando vengono superate tali soglie, l'operatore deve autorizzare l'attivazione delle ulteriori schede con una procedura piu' accurata di verifica che accerti l'effettiva volonta' del loro intestatario, dal quale deve raccogliere direttamente un'idonea dichiarazione di conferma, da documentarsi anche a cura dell'operatore.
Con riferimento alle attivazioni gia' effettuate alla data di ricezione del presente provvedimento, tutti gli operatori devono sottoporre altresi' a verifica le attivazioni multiple superiori alle predette soglie, definendo una procedura per ottenere in tempi brevi un'idonea dichiarazione di conferma da parte degli intestatari, da documentarsi anche a cura dell'operatore. 5. L'informativa nelle attivazioni di servizi.
Chiamate e comunicazioni promozionali volte a realizzare nuove attivazioni di servizi per il tramite di call center possono essere effettuate solo nei confronti dei soggetti di cui si possa disporre lecitamente dei relativi dati personali, rispettando i loro diritti derivanti dalla nuova disciplina degli elenchi telefonici del servizio universale o degli elenchi «categorici» (v. Provv. del Garante 15 luglio 2004 e 14 luglio 2005 in www.garanteprivacy.it).
Agli interessati deve essere resa o risultare fornita un'informativa idonea, chiara ed efficace, che deve comprendere a norma di legge anche l'indicazione sulla facolta' o meno del conferimento dei dati, le conseguenze del mancato conferimento e le figure del titolare e del responsabile del trattamento (art. 13, comma 3, del codice).
Va altresi' prescritto ad operatori e gestori di servizi di call center di indicare con precisione l'origine dei dati gia' nel corso della chiamata o comunicazione promozionale, permettendo al soggetto contattato di individuare subito il soggetto che ha fornito o che detiene i dati e le sue puntuali coordinate. Cio', a prescindere da una richiesta del destinatario stesso. 6. I soggetti del trattamento.
I rapporti tra gli operatori e i soggetti incaricati di gestire la vendita di servizi o le attivita' di informazione e assistenza alla clientela (c.d. call center) non risultano spesso chiari per quanto riguarda il ruolo che ciascun soggetto svolge rispetto al trattamento dei dati.
Ne discende un quadro complessivo confuso, che rende assai disagevole per gli interessati sia individuare gli autori delle indebite attivazioni delle schede e dei servizi non richiesti, sia porvi rapido rimedio nel rivolgersi ad un titolare o responsabile del trattamento ben individuati.
Gli operatori, quando non gestiscono direttamente in proprio le attivita' di fornitura di beni, prestazioni e servizi, devono verificare chiarire sia al proprio interno, sia agli interessati, i ruoli svolti da rivenditori e da altri collaboratori esterni rispetto al trattamento dei dati.
L'eventuale designazione di questi ultimi in qualita' di responsabili del trattamento deve rispondere alla realta' dei rapporti sul piano rilevante per il trattamento dei dati, ed essere accompagnata da un costante controllo - anche a campione - sull'attivita' materialmente posta in essere, in particolare da agenti e rivenditori.
Agenti e rivenditori rivestono la qualita' di titolari autonomi del trattamento dei dati utilizzati ai fini dell'attivazione dei servizi quando, in base alle modalita' della propria attivita', esercitano un potere decisionale reale e del tutto autonomo sulle modalita' e sulle finalita' del trattamento effettuato nel proprio ambito (cfr. art. 4, comma 1, lettera f) del codice). In tal caso, essi devono adempiere autonomamente agli obblighi previsti dal codice, con particolare riferimento a quelli, sopra specificati, di informativa, di raccolta del consenso eventualmente necessario e dell'adozione di idonee misure di sicurezza. Gli operatori non possono trascurare comunque l'esigenza di assicurare adeguate verifiche su ogni categoria di figura esterna che, anche in qualita' di titolare autonomo del trattamento, possa svolgere un ruolo nell'indebita attivazione di servizi. 7. La sicurezza dei dati.
Considerati i rischi per le persone interessate, tutti i soggetti coinvolti nel trattamento (titolari, responsabili ed incaricati) devono assicurare - anche presso i call center - un livello elevato di sicurezza dei dati.
Oltre all'adozione delle misure minime di sicurezza (articoli 33 e ss. e allegato B del codice), i dati personali raccolti lecitamente devono essere custoditi e controllati adottando misure di sicurezza in grado di ridurre al minimo il rischio di accesso non autorizzato o di trattamento non consentito o non conforme alla finalita' della raccolta (art. 31 del codice).
Per tutelare gli interessati in caso di contestazione, e' altresi' necessario che i titolari del trattamento sviluppino o integrino strumenti, anche informatici, in grado di identificare l'incaricato che ha effettuato l'attivazione. 8. L'esercizio dei diritti.
I titolari del trattamento devono predisporre idonee misure organizzative per mettere a disposizione degli interessati modalita' semplici per esercitare i propri diritti (articoli 7 e 10 del codice).
Nel caso in cui la persona contattata si opponga, anche immediatamente, all'utilizzo dei suoi dati per attivare il servizio proposto e/o per ulteriori promozioni anche di altro tipo, il servizio di call center interno od esterno all'operatore deve registrare subito per iscritto la volonta' manifestata ed adottare contestualmente idonee procedure affinche' tale volonta' sia rispettata.
Il riscontro ad un'idonea richiesta volta a conoscere l'origine dei dati personali deve comprendere l'identita' e le puntuali coordinate dell'eventuale rivenditore che abbia attivato l'utenza o il servizio non richiesto.
Analogamente, nell'ipotesi in cui siano stati attivati servizi o utenze di telefonia fissa a seguito solo di una chiamata o comunicazione di carattere promozionale effettuata non dall'operatore, ma da chi gestisce per suo conto un servizio di call center, l'interessato deve poter conoscere l'identita' e le puntuali coordinate di tale gestore.
Infine, effettuate rapidamente le verifiche eventualmente necessarie, le richieste di rettifica dei dati o di disattivazione dei servizi od utenze attivati indebitamente devono essere soddisfatte tempestivamente. Cio', senza costi per l'interessato del quale siano stati trattati impropriamente dati personali, anche quando sia necessario attivare una nuova linea telefonica con l'operatore di origine (cfr., in senso analogo, la deliberazione dell'autorita' per le garanzie nelle comunicazioni n. 4/03/Cir del 2 aprile 2003, relativa alla cps.). 9. Termine.
La diffusivita' del fenomeno dell'indebita attivazione di servizi presuppone una rapida attuazione di misure a tutela degli interessati; quelle indicate nel presente provvedimento, se gia' non previste specificamente dal codice o da altra disposizione normativa, devono essere rese operative a cura dei titolari del trattamento entro e non oltre il 31 maggio 2006.
Tutto cio' premesso, il Garante:
a) ai sensi dell'art. 154, comma 1, lettera c), del codice, prescrive ai titolari del trattamento di adottare nei termini indicati in motivazione le misure necessarie per rendere i trattamenti di dati personali nella prestazione dei servizi di comunicazione elettronica conformi ai principi richiamati nel presente provvedimento. In particolare, il Garante prescrive ai medesimi soggetti di adottare, per le parti di competenza, le seguenti misure:
1) predisporre, nell'ambito delle attivazioni di schede di telefonia mobile prepagate, specifiche procedure che permettano di rilevare piu' tempestivamente intestazioni multiple di schede ad una medesima persona, almeno superiori a quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche), autorizzando l'attivazione delle nuove schede con una procedura piu' accurata di verifica che accerti l'effettiva volonta' dell'intestatario dal quale raccogliere direttamente un'idonea dichiarazione di conferma;
2) con riferimento alle attivazioni effettuate in passato, verificare l'esistenza di attivazioni multiple e definire una procedura per i casi di superamento delle soglie indicate al precedente punto 1);
3) sottoporre ad attenta valutazione i profili relativi al rapporto che intercorre tra i soggetti incaricati di gestire la vendita di servizi o le attivita' di informazione e assistenza alla clientela e le figure del titolare e del responsabile del trattamento, e assicurare comunque un livello piu' adeguato di verifiche su ogni categoria di figura esterna;
4) indicare con precisione l'origine dei dati gia' nel corso della chiamata o comunicazione promozionale da parte di operatori e gestori di servizi di call center, a prescindere da una richiesta del destinatario;
5) sviluppare o integrare strumenti idonei ad identificare l'incaricato del trattamento dei dati che ha effettuato l'attivazione del servizio;
6) registrare subito presso il servizio di call center interno od esterno all'operatore la volonta' manifestata dalla persona contattata che si opponga all'utilizzo dei dati per attivare il servizio proposto e/o per ulteriori promozioni, ed adottare contestualmente idonee procedure affinche' tale volonta' sia rispettata;
7) predisporre idonee misure organizzative per agevolare l'esercizio dei diritti degli interessati, e riscontrare le richieste relative all'origine dei dati personali, fornendo anche gli estremi identificativi del rivenditore che ha attivato i servizi o le utenze non richieste o del soggetto che svolge per conto dell'operatore un servizio di call center;
b) ai sensi degli articoli 154, comma 1, lettera c) e 157 del codice prescrive ai fornitori di servizi di comunicazione elettronica di effettuare gli adempimenti di cui alla lettera a) entro e non oltre il 31 maggio 2006, dando conferma dell'adempimento al Garante entro lo stesso termine;
c) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell'art. 143, comma 2, del codice, nonche' all'Autorita' per le garanzie nelle comunicazioni.
Roma, 16 febbraio 2006

Il presidente: Pizzetti

Il relatore: Fortunato

Il segretario generale: Buttarelli
 
Gazzetta Ufficiale Serie Generale per iPhone