Gazzetta n. 159 del 11 luglio 2009 (vai al sommario) GARANTE PER LA PROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 25 giugno 2009 Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, che svolgono attivita' di profilazione. IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale; Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito, «Codice») pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 174 del 29 luglio 2003; Vista la documentazione in atti; Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; Premesso 1. Considerazioni preliminari e attivita' istruttoria. L'Autorita' ha effettuato una serie di attivita' istruttorie, anche di carattere ispettivo, al fine di realizzare un monitoraggio sull'attivita' svolta dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito «fornitori»), con l'intento di acquisire informazioni relative alle modalita' che ciascun fornitore adotta per svolgere attivita' di «profilazione» della totalita' dei propri clienti (c.d. «base clienti»), anche in relazione alla possibilita' di classificare gli interessati in determinate categorie omogenee (cd. cluster). I fornitori in questione, sono quelli che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione dove per «servizi di comunicazione elettronica» devono intendersi quelli consistenti, esclusivamente o prevalentemente, «nella trasmissione di segnali su reti di comunicazioni elettroniche» (art. 4, comma 2, lett. d) ed e), del Codice). Dall'esame delle risultanze istruttorie e' emerso che i fornitori effettuano attivita' di profilazione utilizzando dati personali che vengono anche aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali. Tali dati possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi ai consumi effettuati, dai quali e' possibile desumere indicazioni ulteriori riferibili a ciascun interessato (ad esempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza). La circostanza che un fornitore possa disporre e trattare, seppur su base aggregata, tali tipologie di dati, comporta la disponibilita' di un patrimonio informativo che va ben al di la' delle informazioni considerate singolarmente e relative a ciascun interessato. Attraverso il confronto e l'utilizzo dei dati dei propri clienti, e' possibile, infatti, che il fornitore acquisisca informazioni concernenti il singolo utente o derivanti proprio dall'aggregazione dei dati e dalla loro catalogazione in cluster, al fine di monitorare l'andamento economico della societa' o, eventualmente, in un secondo momento, anche di progettare e realizzare campagne di marketing sulla base delle analisi effettuate. 2. Ambito oggettivo del provvedimento. La profilazione costituisce una delle attivita' prevalenti dei fornitori, e, dunque, rientra nell'attivita' strutturale e sostanziale di tali soggetti (infatti, a partire dalle risultanze degli esami di business intelligence che ad essa sono naturalmente collegate, essi sono in grado di implementare la progettazione della propria struttura e dei servizi offerti). I dati, che siano «anonimi» ai sensi dell'art. 4, comma 1, lettera n) del Codice esulano dall'ambito oggettivo del presente provvedimento. L'attivita' di profilazione puo' concernere dati personali «individuali» o dati personali «aggregati» derivanti da dati personali individuali dettagliati (ad esempio, anagrafici e di traffico). Il presente provvedimento, pertanto, riguarda le ipotesi in cui l'attivita' di profilazione abbia ad oggetto dati personali individuali e dati personali aggregati derivanti da dati personali individuali dettagliati. Come si dira' di seguito, l'attivita' di profilazione che ha ad oggetto dati personali individuali, e' consentita solo se, in base a quanto stabilito dall'art. 23 del Codice, il titolare sia in grado di documentare per iscritto un consenso informato, libero e specifico manifestato dall'interessato per tale finalita'. Tale consenso ricomprende, ovviamente, anche il trattamento di dati personali aggregati. Nell'eventualita' in cui il fornitore intenda, invece, utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sara' necessario che presenti al Garante una richiesta di verifica preliminare, in quanto il trattamento presenta rischi specifici per l'interessato, in relazione alla natura dei dati o alle modalita' del trattamento o agli effetti che il trattamento puo' determinare. Solo in quella sede, infatti, sara' possibile valutare, tra le altre condizioni, se sia possibile autorizzare il trattamento avente ad oggetto tali dati, anche in assenza del consenso degli interessati, ai sensi dell'art. 24, comma 1, lett. g) del Codice. Il presente provvedimento non incide sulla disciplina, che resta immutata, di cui all'art. 123 del Codice, relativa alla conservazione dei dati per finalita' di fatturazione e quella concernente la conservazione e sicurezza dei dati di traffico telefonico e telematico, per l'accertamento e repressione dei reati, prevista dall'art. 132 del Codice, dal decreto legislativo n. 109 del 2008 e dal provvedimento di carattere generale adottato da questa Autorita' in data 17 gennaio 2008, pubblicato in Gazzetta Ufficiale n. 30 del 5 febbraio 2008 e poi aggiornato con il provvedimento del 24 luglio 2008, pubblicato in Gazzetta Ufficiale n. 189 del 13 agosto 2008 (entrambi in www.garanteprivacy.it, docc. web nn. 1482111 e 1538224). 3. La profilazione con dati personali «individuali»: consenso. In ossequio ai principi di necessita' (art. 3 del Codice) e di proporzionalita' nel trattamento (art. 11 del Codice), l'attivita' di profilazione dovrebbe essere svolta utilizzando solo dati strettamente necessari al perseguimento della finalita' e, in ogni caso, trattando solo dati per i quali, sulla base di quanto disposto dagli articoli 13 e 23 del Codice, il titolare abbia rilasciato una idonea informativa e sia in grado di documentare un consenso libero e specifico dell'interessato. Tali principi si applicano non solo se la raccolta dei dati e' specificamente effettuata dai fornitori per questa finalita', ma anche se l'attivita' di profilazione viene realizzata mediante dati inizialmente raccolti per una diversa finalita', ivi compresa quella dell'erogazione del servizio. 4. La profilazione con dati personali «aggregati»: prior checking. Qualora la profilazione abbia ad oggetto dati personali aggregati, occorre in primo luogo osservare che il livello di aggregazione e' variabile e dipende dal dettaglio dei parametri stabiliti da ciascun titolare del trattamento. Il rischio che puo' derivare all'interessato da tale trattamento deriva dalla profondita' del livello di aggregazione impostato e dalle modalita' tecniche con le quali viene effettuato il trattamento. I dati personali aggregati oggetto di profilazione derivano, infatti, da dati personali individuali dettagliati, contenuti in una pluralita' di sistemi, e tali restano nella disponibilita' del titolare del trattamento, il quale e' tenuto a conservarli per esigenze gestionali, finalita' operative e tempi diversi, tra cui anche quelli che la legge gli impone (ad esempio, per esigenze di fatturazione, art. 123 del Codice, o per finalita' di accertamento e repressione di reati, art. 132 del Codice e decreto legislativo n. 109 del 2008). Pur in presenza di tale aggregazione, i dati non sono per cio' solo qualificabili anonimi e rientrano nella nozione di «dati personali», secondo la definizione dell'art. 4, comma 1, lettera b) del Codice: la norma, infatti, qualifica come «dato personale» qualunque informazione relativa ad un soggetto, identificato o identificabile, anche indirettamente, mediante il riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Pertanto, nell'eventualita' in cui il fornitore intenda utilizzare per la profilazione dati personali aggregati, per i quali non risulti acquisito il consenso degli interessati, sara' necessario che presenti al Garante una richiesta di verifica preliminare. Tale richiesta dovra' essere presentata in base al disposto dell'art. 17 del Codice, elencando nel dettaglio quali trattamenti intenda effettuare, specificando ciascuna finalita' e indicando, altresi', le tipologie di dati che si intendono utilizzare. A fronte di tale richiesta, il Garante con il provvedimento che rendera' all'esito della procedura di verifica preliminare: a) verifichera' la sussistenza dei parametri e delle condizioni minime individuate con il presente provvedimento; b) prescrivera' le eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni del Codice; c) valutera' se autorizzare i fornitori ad effettuare l'attivita' di profilazione, in assenza del consenso degli interessati, ai sensi dell' art. 24, comma 1, lettera g), del Codice. Si segnala sin d'ora che il Garante, in sede di verifiche preliminari, orientera' le proprie valutazioni anche in base ai seguenti parametri e condizioni minime: 1. i dati personali oggetto dell'attivita' di profilazione, ancorche' possano derivare da dati originari dettagliati di cui il titolare continua a disporre per finalita' gestionali ed esigenze operative previste anche per legge, siano esclusivamente dati personali aggregati, dai quali, nell'ambito dei sistemi dedicati alla profilazione, non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati; 2. i dati personali aggregati oggetto di profilazione siano contenuti in uno o piu' sistemi appositamente dedicati alla profilazione, funzionalmente separati dai sistemi originari che costituiscono la fonte del dato aggregato e da ulteriori eventuali sistemi utilizzati dal titolare per altre finalita' (ad esempio marketing); 3. i dati personali aggregati oggetto dell'attivita' di profilazione, sia quando si riferiscano ad un interessato, sia quando si riferiscano ad una pluralita' di interessati, siano sottoposti ad un processo in grado di impedire l'immediata identificabilita' dei singoli interessati; 4. gli incaricati che svolgono l'attivita' di profilazione dispongano di un profilo di autenticazione limitato e diverso da quello di coloro che svolgono eventuali ulteriori attivita', anche successive alla profilazione; 5. i dati personali oggetto dell'attivita' di profilazione siano conservati per un periodo di tempo limitato, decorso il quale devono essere cancellati. 5. Ulteriori obblighi. Tranne che per gli aspetti disciplinati dal presente provvedimento, restano fermi, in capo ai fornitori, taluni obblighi. In particolare, il fornitore che intenda procedere al trattamento di dati personali («individuali» o «aggregati») per finalita' di profilazione e' tenuto, ai sensi dell'art. 37, comma 1, lett. d) del Codice a notificare, in ogni caso, al Garante tale trattamento, con le modalita' indicate all'art. 38 del Codice. Inoltre il titolare e' in ogni caso tenuto a rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalita' perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice. 6. Sanzioni. E' utile rammentare che la mancata osservanza delle disposizioni richiamate nonche' delle prescrizioni impartite puo' comportare l'applicazione delle sanzioni previste dagli articoli 161, 162, commi 2-bis e 2-ter, 163 e 164-bis, commi 2, 3 e 4 del Codice (disposizioni introdotte o modificate dalla legge 27 febbraio 2009, n. 14 di conversione, con modificazioni, del decreto legge n. 207 del 30 dicembre 2008). L'art. 161 sanziona la mancata o inidonea informativa, stabilendo che la violazione delle disposizioni di cui all'art. 13, nel quale e' indicato che le informazioni da rendere all'interessato devono includere anche le finalita' per cui i dati sono trattati, ivi inclusa la profilazione, e' punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro. L'art. 163 sanziona l'omessa o incompleta notificazione prevedendo che chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, e' punito con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro. L'art. 162, comma 2-bis prevede che in caso di trattamento di dati personali effettuato in violazione delle disposizioni indicate nell'art. 167, il quale, al comma 2, comprende anche l'art. 17 e' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Inoltre, il comma 2 ter del medesimo articolo stabilisce che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie di cui all'art. 154, comma 1, lettera c), e' applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro. L'art. 164-bis, comma 2, stabilisce, infine, che in caso di piu' violazioni di un'unica o di piu' disposizioni relative a violazioni amministrative, commesse anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro: nei casi di maggiore gravita' o considerando le condizioni economiche del contravventore, tale sanzione puo' essere aumentata (commi 3 e 4 del medesimo articolo). Tutto cio' premesso il garante fermo restando, per i fornitori che intendano effettuare un trattamento di dati personali, anche in forma «aggregata», per finalita' di profilazione, l'obbligo di rendere, ai sensi dell'art. 13 del Codice, l'informativa agli interessati in relazione alle finalita' perseguite e ai diritti riconosciuti agli interessati dall'art. 7 del Codice, nonche' l'obbligo di notificare, ai sensi dell'art. 37, comma 1, lett. d) del Codice, al Garante tale trattamento, con le modalita' indicate all'art. 38 del Codice, Prescrive ai sensi degli articoli 143, comma 1, lettera b), 154, comma 1, lettera c) del Codice: A) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che intendano svolgere attivita' di profilazione (anche in assenza di uno specifico consenso) utilizzando dati personali «aggregati», di formulare all'Autorita', mediante la procedura prevista dall'art. 17 del Codice, una richiesta di verifica preliminare con la quale siano specificati in maniera dettagliata i trattamenti che si intendono effettuare, indicando ciascuna finalita' e le tipologie di dati che si intendono utilizzare; B) ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che, allo stato, svolgono attivita' di profilazione, in assenza di uno specifico consenso, utilizzando dati personali «aggregati», di formulare la richiesta di verifica preliminare di cui alla lettera A) entro il 30 settembre 2009. Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana. Roma, 25 giugno 2009 Il Presidente Pizzetti Il relatore Pizzetti Il segretario generale Patroni Griffi