IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice"); Esaminata la richiesta presentata da Assotelecomunicazioni (di seguito, ASSTEL) relativa all'istituzione di una banca dati interoperatore contenente informazioni relative alle morosita' nel settore della telefonia; Visti gli esiti della consultazione pubblica indetta con delibera n. 154 del 27 marzo 2014 (reperibile sul sito istituzionale del Garante http://www.garanteprivacy.it, doc. web n. 3041680) sullo schema di provvedimento recante "Costituzione di una banca dati dei clienti morosi nell'ambito dei servizi di comunicazione elettronica"; Viste in particolare le osservazioni pervenute da alcune associazioni di consumatori rappresentative degli interessi degli utenti dei servizi telefonici; Considerati gli esiti dei successivi incontri, anche di carattere tecnico, intercorsi tra questa Autorita' e i rappresentanti delle associazioni dei consumatori, ASSTEL e gli operatori di telefonia che hanno inteso partecipare; Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la dott.ssa Giovanna Bianchi Clerici;
Premesso 1. Richiesta di ASSTEL. ASSTEL, quale associazione di categoria che rappresenta le imprese della tecnologia dell'informazione esercenti servizi di telecomunicazione fissa e mobile, ha rappresentato l'intenzione degli operatori di comunicazione elettronica di "procedere (...) alla sottoscrizione di un accordo interoperatore per l'istituzione di una Banca dati finalizzata alla verifica dell'affidabilita' e della puntualita' nei pagamenti nel settore dei servizi di comunicazione elettronica" (c.d. SIT - Sistema Informatico Integrato). Tale banca dati, secondo quanto sostenuto da ASSTEL, permetterebbe agli operatori di settore di condividere le informazioni sui comportamenti debitori, in particolare dei clienti degli operatori telefonici, consentendo all'operatore ricevente di conoscere, in occasione della presentazione di una richiesta di instaurazione di un rapporto contrattuale da parte di un nuovo cliente, eventuali posizioni di indebitamento nei confronti di altri operatori. Secondo ASSTEL, la costituzione del SIT, resa ancora piu' urgente dall'intervenuto processo di liberalizzazione avviato in Italia anche nel settore della telefonia, si renderebbe necessaria per assicurare l'ordinato sviluppo del mercato telefonico, attesa l'impossibilita' di effettuare verifiche sulle eventuali morosita' pregresse. Il perdurare di tale situazione - secondo i dati forniti da ASSTEL - produrrebbe un forte incremento delle perdite registrate dagli operatori, anche in conseguenza delle nuove offerte contrattuali, che propongono forme di contratto "post pagato" associate alla vendita a rate di terminali telefonici e di prodotti "ad alto valore tecnologico e ad alti costi, messi a disposizione della clientela con schemi di pagamento dilazionato"; l'aumento dei comportamenti insolventi, secondo quanto asserito da ASSTEL, rischierebbe di incidere negativamente non solo sugli operatori, ma anche sugli altri utenti che, pur adempiendo regolarmente alle obbligazioni, vedrebbero ridotta o resa meno conveniente la possibilita' di accedere a forme di contratto "post pagato". 2. L'istruttoria svolta. All'esito dell'attivita' istruttoria relativa alla suddetta istanza, l'Autorita' aveva predisposto uno schema di provvedimento che delineava i contorni di un'ipotetica banca dati. Tale provvedimento, con delibera n. 154 del 27 marzo 2014, e' stato posto in consultazione pubblica sul sito dell'Autorita'. Preso atto della rilevanza e della complessita' delle osservazioni ricevute, l'Ufficio ha ritenuto di doversi incontrare con le Parti coinvolte dalle misure prescritte nel provvedimento (associazioni a tutela dei consumatori e operatori telefonici, inclusa ASSTEL quale associazione di categoria), per valutare le eventuali modifiche ed integrazioni da apportare allo schema proposto. Nel corso degli incontri, che hanno avuto luogo tra dicembre 2014 e giugno 2015, e' emersa la necessita' di una rilevante rivisitazione della natura e delle caratteristiche della banca dati rispetto a quella proposta nello schema di provvedimento oggetto di consultazione. In particolare, le Parti, condividendo l'orientamento espresso negli anni dal Garante circa il pericolo insito nella proliferazione delle cd. black list (sul punto v. paragrafo 3 del presente provvedimento), hanno convenuto di definire diversamente l'ambito soggettivo e oggettivo della banca dati stessa. 3. Quadro normativo ed orientamenti del Garante in materia di "black list". Nel corso degli anni, il tema della costituzione di banche dati settoriali contenenti dati relativi a inadempimenti o ritardati pagamenti degli utenti ha formato oggetto di valutazione da parte del Garante italiano e del Gruppo di lavoro dei Garanti europei previsto dall'art. 29 della direttiva 95/46/CE. In particolare, quest'ultimo ha adottato un parere il 3 ottobre 2002 "Documento di lavoro sulle liste nere" (WP65), con il quale, nel rappresentare la necessita' di stabilire in questo ambito criteri, indirizzi o direttrici d'intervento comuni tra gli Stati membri, ha evidenziato che per la creazione di tali archivi in specifici settori economici occorre mantenere un equilibrio tra "l'interesse legittimo del responsabile del trattamento di sapere se chi richiede un credito sia registrato per mancati pagamenti" e le conseguenze negative che tale trattamento puo' comportare per l'interessato (v. cit. Parere WP65, p. 4). Il processo di liberalizzazione introdotto in Italia con il recepimento di alcune direttive europee ha mutato il quadro in particolare nei settori delle telecomunicazioni e dell'energia elettrica e del gas (c.d. utilities), che hanno dovuto adattarsi alla nascita di un mercato concorrenziale, che ha reso indispensabile aumentare l'offerta di servizi (specie quelli tecnologicamente piu' avanzati) e, al contempo, ridurre i prezzi al dettaglio. Con specifico riferimento al settore delle comunicazioni elettroniche, il processo di liberalizzazione e' stato avviato a livello europeo con il c.d. "pacchetto delle direttive comunitarie del 2002", modificato e integrato a piu' riprese dal legislatore comunitario (Direttive 2002/19/CE, 2002/20/CE e 2002/21/CE, modificate e integrate dalla Direttiva 2009/140/CE del Parlamento europeo e del Consiglio; Direttive 2002/22/CE, 2002/58/CE, modificate dalla Direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 e dalla Direttiva 2009/140/CE del 25 novembre 2009 del Parlamento europeo e del Consiglio) e recepito nell'ordinamento italiano con il d.lg. 1° agosto 2003, n. 259 (Codice delle comunicazioni elettroniche), da ultimo modificato dal decreto legislativo 28 maggio 2012, n. 70. Il nuovo quadro normativo ha profondamente mutato il settore delle comunicazioni elettroniche, il ruolo rivestito dai relativi operatori ed il rapporto contrattuale che li lega ai propri clienti. Il descritto processo di liberalizzazione, ha comportato, tuttavia, anche un aumento di morosita' intenzionali da parte di chi agisce con la precisa volonta' di usufruire dei servizi offerti dagli operatori telefonici, senza procedere ai relativi pagamenti. In considerazione di cio', il legislatore ha iniziato ad ammettere la possibilita' di costituire banche dati di clienti inadempienti nei settori sopra descritti, ad iniziare da quello del gas e dell'energia elettrica (legge 13 agosto 2010, n. 129, art. 1-bis - di conversione in legge, con modificazioni, del decreto-legge 8 luglio 2010, n. 105, recante Misure urgenti in materia di energia). Successivamente, lo stesso legislatore e' intervenuto anche nel settore della telefonia stabilendo che "possono avere accesso" ai Sistemi di informazione creditizia (Sic) anche soggetti diversi da quelli specificamente menzionati dal codice deontologico di settore, tra cui i fornitori di servizi di comunicazione elettronica e di servizi interattivi associati, "di cui al comma 5 dell'art. 30-ter del decreto legislativo 13 agosto 2010, n. 141 (art. 6-bis del decreto-legge 13 agosto 2011, n. 138; convertito con modificazioni dalla legge 14 settembre 2011, n. 148)". Al riguardo, l'Autorita' pur ribadendo che, in linea di principio, sia opportuno evitare una proliferazione indiscriminata di archivi settoriali nei piu' diversi ambiti economici, che causerebbe un diffuso e potenzialmente pericoloso trattamento di dati degli interessati, ritiene che, con specifico riferimento alle morosita' intenzionali della clientela nel settore della telefonia, possa prevedersi la costituzione di una banca dati. Cio' muovendo dalla considerazione riconosciuta dal legislatore che definisce questo settore "di preminente interesse generale" (art. 3, comma 2, Codice delle comunicazioni elettroniche) e di "pubblica utilita'" (legge 14 novembre 1995, n. 481 recante Norme per la concorrenza e la regolazione dei servizi di pubblica utilita'. Istituzione delle Autorita' di regolazione dei servizi di pubblica utilita'); dalla peculiare tipologia dei servizi offerti in tale ambito; dalla natura regolamentata di questo mercato -soprattutto a seguito del descritto processo di liberalizzazione- per il quale e' prevista una specifica e rigida normativa comunitaria e nazionale all'interno della quale gli operatori sono tenuti ad operare; dall'attivita' di controllo e di regolazione effettuata in tali mercati dalle Autorita' di settore. 4. Denominazione della banca dati relativa a morosita' intenzionali della clientela nel settore telefonico; partecipanti e gestore della banca dati. Considerato quanto sopra esposto, la banca dati finalizzata alla prevenzione delle morosita' intenzionali della clientela titolare di contratti per la fornitura di servizi di telefonia fissa e mobile post-pagata, acquistera' la denominazione di "Sistema informativo sulle morosita' intenzionali nel settore della telefonia" (di seguito, S.I.Mo.I.Tel.). Il "gestore" del S.I.Mo.I.Tel. e' il soggetto privato titolare del trattamento dei dati personali registrati nel sistema e che lo gestisce stabilendone anche le modalita' di funzionamento e di utilizzazione nel rispetto delle misure prescritte dal presente provvedimento. I "partecipanti" al S.I.Mo.I.Tel. sono esclusivamente operatori di telefonia fissa o mobile, titolari del trattamento dei dati personali degli interessati, raccolti in relazione a rapporti di fornitura dei servizi di telefonia fissa e mobile che, in virtu' di un accordo con il gestore della banca dati, partecipano al relativo sistema e possono utilizzare i dati in esso contenuti, obbligandosi a comunicare al gestore i predetti dati in un quadro di reciprocita' con gli altri partecipanti. 5. Ambito soggettivo: interessati del trattamento. Come noto, l'art. 40 del decreto-legge 6 dicembre 2011, n. 201 (convertito, con modificazioni, in legge 22 dicembre 2011, n. 214) ha apportato significative modifiche alla disciplina del Codice, espungendo dalla nozione di "dato personale" e di "interessato" le persone giuridiche, gli enti e le associazioni (v. art. 4, comma 1, lett. b) e i) dello stesso Codice). Peraltro, le disposizioni contenute nel capo 1 del titolo X del Codice che riguardano i "contraenti", continuano a trovare applicazione anche alle persone giuridiche, enti ed associazioni (in senso conforme v. anche: provv. 20 settembre, doc. web n. 2094932). Poiche' il trattamento dei dati oggetto del presente provvedimento verte sulla medesima platea di soggetti previsti dal citato titolo X, ne consegue che il medesimo provvedimento trovera' applicazione anche alle persone giuridiche, enti, associazioni. Si conferma l'applicabilita' delle disposizioni in materia di protezione dei dati personali anche alle ditte individuali e ai liberi professionisti, in qualita' di interessati (v. parere 25 giugno 2015, doc. web n. 4169267; provv. 23 ottobre 2014, doc. web n. 3676822; parere 9 febbraio 2012, doc. web n. 1876517). 6. Finalita', necessita e proporzionalita'. Il trattamento dei dati personali contenuti nel S.I.Mo.I.Tel. sara' effettuato dal gestore e dai partecipanti esclusivamente per verificare l'eventuale presenza di morosita' intenzionali, dovendosi intendere per tali i mancati pagamenti non dovuti a circostanze impreviste e contingenti, ma ad una precisa volonta' del soggetto. L'accesso al S.I.Mo.I.Tel. sara' consentito al partecipante esclusivamente in caso di formale richiesta di instaurazione di un rapporto contrattuale o di un contratto gia' in essere per la fornitura di servizi di telefonia. Il trattamento dei dati dovra' avvenire nel rispetto dei principi di necessita', liceita', correttezza, qualita' dei dati e proporzionalita' (artt. 3 e 11 del Codice). In particolare, i sistemi informativi e i programmi informatici dovranno essere configurati, sin dall'origine, in modo da ridurre al minimo l'utilizzo delle informazioni relative agli interessati (art. 3 del Codice); inoltre, i dati personali raccolti dovranno essere pertinenti e non eccedenti rispetto alle finalita' perseguite (art. 11, comma 1, lett. d), del Codice). 7. Informativa. Al momento della stipula del contratto, il partecipante fornira' all'interessato l'informativa ai sensi dell'art. 13 del Codice, anche con riguardo al trattamento dei dati personali effettuato nell'ambito del S.I.Mo.I.Tel. L'informativa, nel descrivere le finalita' e modalita' del trattamento, dovra' recare, in modo chiaro e preciso, anche le seguenti indicazioni: − estremi identificativi e caratteristiche del S.I.Mo.I.Tel., quale soggetto cui sono comunicati i dati, denominazione e sede del gestore; − soggetti partecipanti eventualmente indicati per categoria; − i tempi di conservazione dei dati. L'informativa sara' fornita agli interessati individualmente e per iscritto e, se inserita in un modulo utilizzato dal partecipante, sara' evidenziata e collocata in modo autonomo e unitario in parti distinte da quelle relative ad altre finalita' del trattamento effettuato dal medesimo partecipante. In caso di contratti stipulati telefonicamente o telematicamente, la stessa sara' resa avvalendosi di modalita' in grado di consentire la dimostrazione dell'avvenuto adempimento dell'obbligo di informativa (ad es. registrazione della telefonata). In ogni caso il testo dell'informativa dovra' essere pubblicato da ciascun partecipante sul proprio sito web. Il partecipante, inoltre, fornira' l'informativa anche sul trattamento dei dati effettuato dal gestore il quale, a sua volta, rendera' una piu' dettagliata informativa sui medesimi trattamenti attraverso il proprio sito web. 8. Bilanciamento di interessi. Poiche' il sistema che si intende realizzare avra' ad oggetto esclusivamente informazioni negative, si tratta di verificare - per garantirne l'effettiva utilita' - se il trattamento dei dati personali degli interessati, ai sensi dell'art. 24 del Codice, possa basarsi su un presupposto equipollente al consenso. Nonostante i rischi a cui possono essere esposti i diritti degli interessati in ragione della costituzione del S.I.Mo.I.Tel., deve comunque essere considerato che la normativa sulle liberalizzazioni nel settore dei servizi di comunicazione elettronica garantisce ai consumatori la possibilita' di transitare con facilita' da un operatore all'altro per ottenere servizi migliori a costi piu' contenuti, sicche' lo scambio di informazioni riguardanti gli inadempimenti puo' risultare assai rilevante per la corretta gestione del rapporto contrattuale, in quanto necessario per valutare e contenere situazioni di morosita' intenzionali che, ove non circoscritte, nel lungo periodo, andrebbero ad incidere non solo sugli stessi operatori, ma anche sugli altri interessati, i quali potrebbero essere costretti a sopportare costi ulteriori, altrimenti non dovuti. Cio' premesso, nel fare applicazione dell'istituto del bilanciamento di interessi di cui all'art. 24, comma 1, lett. g), del Codice, si deve ritenere che il trattamento delle informazioni relative alle morosita' intenzionali effettuato nell'ambito del sistema che si intende realizzare, possa essere effettuato anche in assenza del consenso degli interessati, potendosi valutare come prevalente l'interesse -non solo degli operatori, ma anche degli interessati regolarmente adempienti- al corretto funzionamento di un sistema volto a favorire l'esatta gestione dei rapporti contrattuali alle migliori condizioni praticabili sul mercato. 9. Requisiti per l'iscrizione nel S.I.Mo.I.Tel. L'interessato sara' iscritto nel S.I.Mo.I.Tel. al contemporaneo verificarsi dei seguenti presupposti: − recesso dal contratto ad iniziativa di una delle parti esercitato da non meno di tre mesi; − importo insoluto per ogni singolo operatore di non meno di 150 (centocinquanta) euro; − presenza di fatture non pagate nei primi sei mesi successivi alla stipula del contratto; − assenza di altri rapporti contrattuali post-pagati, attivi e regolari nei pagamenti con lo stesso operatore; − assenza di formali reclami/contestazioni, istanze di conciliazioni o comunque istanze di definizione di controversie dinanzi agli organi competenti inoltrate dal cliente; − invio a cura del partecipante all'interessato, almeno trenta giorni solari antecedenti all'iscrizione nel S.I.Mo.I.Tel., della comunicazione di preavviso di imminente iscrizione. Il preavviso sara' inviato con comunicazione scritta tracciabile (a titolo esemplificativo, raccomandata A/R con avviso di ricevimento, posta elettronica certificata) e comprovante la data e le modalita' utilizzate per l'invio. 10. Requisiti e categorie di dati. Il trattamento effettuato nell'ambito del S.I.Mo.I.Tel. avra' ad oggetto solo le informazioni di carattere negativo connesse all'inadempimento intenzionale dell'interessato verso i partecipanti. Il trattamento non potra' riguardare dati sensibili e giudiziari, ne' comportare l'uso di tecniche o di sistemi automatizzati di credit scoring. Nel S.I.Mo.I.Tel. potranno essere trattate le seguenti categorie di dati, che il gestore indichera' in un elenco reso agevolmente disponibile sul proprio sito, da comunicare anche agli interessati su eventuale loro richiesta: − dati anagrafici, codice fiscale o partita Iva; − importo totale della morosita' per ogni singolo operatore telefonico; − data di inizio del contratto; − data di recesso dal contratto; − data di inserimento nel S.I.Mo.I.Tel.; − numero di fatture non pagate; − partecipante che ha comunicato al S.I.Mo.I.Tel. i dati personali relativi alla morosita' intenzionale; − data e modalita' di inoltro del preavviso; − indicazione esplicita (ad es. con flag su check box) alla data di inserimento dei dati dell'interessato nel S.I.Mo.I.Tel., di assenza di reclami/contestazioni, istanze di conciliazioni e di definizione di controversie dinanzi agli organi competenti inoltrate dal cliente. 11. Modalita' di raccolta, registrazione dei dati ed esito dell'accesso al S.I.Mo.I.Tel. a cura dei partecipanti. Il partecipante dovra' adottare idonee procedure di verifica per garantire la correttezza e l'esattezza dei dati comunicati al gestore e rispondera' tempestivamente alle richieste di verifica di quest'ultimo, anche a seguito dell'esercizio dei diritti da parte dell'interessato ai sensi dell'art. 7 del Codice, cosi' da garantire, in tale ultimo caso, il rispetto dei termini previsti dall'art. 146, comma 2, del Codice. Eventuali operazioni di cancellazione, integrazione, aggiornamento o modificazione dei dati registrati nel S.I.Mo.I.Tel. dovranno essere effettuate direttamente dal partecipante che li ha comunicati, se tecnicamente possibile, ovvero dal gestore, su richiesta del medesimo partecipante o d'intesa con esso, anche a seguito dell'esercizio dei diritti da parte dell'interessato o in attuazione di un provvedimento emesso dall'autorita' giudiziaria o dal Garante. In caso di rifiuto di una richiesta volta ad instaurare un rapporto contrattuale, il partecipante, ove abbia consultato il S.I.Mo.I.Tel., sara' tenuto a comunicare all'interessato tale circostanza. L'esito dell'interrogazione al S.I.Mo.I.Tel. da parte dei partecipanti avverra' con modalita' a "semaforo": − verde: soggetto non presente nel S.I.Mo.I.Tel.; − rosso: soggetto presente per segnalazioni di morosita' intenzionali effettuate da uno o piu' operatori. 12. Utilizzazione dei dati. Il S.I.Mo.I.Tel. sara' accessibile solo da un numero limitato di responsabili e di incaricati del trattamento designati per iscritto dai partecipanti e/o dal gestore del sistema (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice). Non sara' consentito l'accesso al S.I.Mo.I.Tel. da parte di terzi, fatte salve le richieste provenienti da organi giudiziari e dalle Forze dell'ordine. 13. Esercizio dei diritti da parte degli interessati. In relazione ai dati personali registrati nel S.I.Mo.I.Tel., gli interessati potranno esercitare i loro diritti secondo le modalita' stabilite dagli artt. 7 e ss. del Codice, sia presso i partecipanti che li hanno comunicati, sia presso il gestore. Nella richiesta con la quale esercitera' i propri diritti, l'interessato dovra' indicare il proprio codice fiscale e/o la partita Iva, al fine di agevolare la ricerca dei dati che lo riguardano. Il partecipante che risulti destinatario di una richiesta ai sensi dell'art. 7 del Codice riguardo alle informazioni registrate nel S.I.Mo.I.Tel. dovra' fornire riscontro all'interessato nei termini previsti dall'art. 146, commi 2 e 3, del Codice. Ove la richiesta sia rivolta al gestore, anch'esso provvedera' nei medesimi termini, consultando, se necessario, il partecipante. Qualora si rendesse necessario svolgere ulteriori verifiche con il partecipante, il gestore informera' l'interessato di tale circostanza entro quindici giorni, indicando, per la risposta, un nuovo termine, che comunque non sara' superiore a quindici giorni. 14. Tempi di conservazione. I dati contenuti nel S.I.Mo.I.Tel. saranno conservati per 36 (trentasei mesi) dalla data di recesso dal contratto in caso di inadempimenti non regolarizzati. Al termine del periodo deve essere prevista la cancellazione automatica dell' informazione. Diversamente, la cancellazione del nominativo dell'interessato dal S.I.Mo.I.Tel. avverra' entro 7 (sette) giorni lavorativi nei casi di seguito indicati: − ricezione da parte del partecipante di una comunicazione inviata dal cliente di regolarizzazione del debito accompagnata dalla prova dell'avvenuto pagamento; − avvenuto pagamento del debito − comprovato dalla registrazione dell'incasso sui sistemi dell'operatore unitamente al successivo abbinamento dell'incasso al nominativo dell'interessato − in mancanza di invio di una comunicazione di regolarizzazione del debito da parte del cliente; − definizione di un accordo tra le Parti che stabilisca un piano di rientro rateizzato. 15. Misure di sicurezza. Il gestore e i partecipanti adottano le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire la sicurezza, l'integrita' e la riservatezza dei dati personali contenuti nel S.I.Mo.I.Tel. in conformita' alla disciplina in materia di protezione dei dati personali (artt. 31 e ss. del Codice). La banca dati dovra' essere separata, logicamente e fisicamente, da eventuali altre banche dati del gestore. Il gestore adottera' adeguate misure di sicurezza al fine di garantire il corretto e regolare funzionamento del sistema, nonche' il controllo degli accessi, secondo le modalita' previste dall'Allegato B. al Codice (Disciplinare tecnico in materia di misure minime di sicurezza). Tutti gli accessi al sistema, da parte del gestore e dei partecipanti, saranno registrati e memorizzati per verificarne la legittimita'. Le interrogazioni dovranno sempre riferirsi a singoli interessati e non saranno in nessun caso consentite interrogazioni massive della banca dati da parte dei partecipanti. Le informazioni cosi' ottenute non potranno essere in alcun modo conservate o memorizzate dai partecipanti per usi successivi. I partecipanti non potranno creare una propria copia, nemmeno parziale, della banca dati. 16. Notificazione del trattamento. Resta fermo l'obbligo per il gestore di notificare al Garante il trattamento dei dati secondo le modalita' previste dall'art. 37, comma 1, lett. f), del Codice. 17. Comunicazioni al Garante. 17.1. Una volta che gli operatori telefonici avranno individuato il soggetto cui affidare - in qualita' di autonomo titolare del trattamento - la gestione del S.I.Mo.I.Tel.: a) comunicheranno all'Autorita' gli estremi identificativi e l'ubicazione della banca dati; b) invieranno all'Autorita', almeno tre mesi prima dell'effettiva messa in opera del sistema, copia dell'accordo che verra' sottoscritto dalle parti per la costituzione della banca dati, al fine di valutarne la conformita' alle prescrizioni contenute nel presente provvedimento. 17.2. Entro 15 giorni dalla data di sottoscrizione dell'accordo di cui alla precedente lett. b), il gestore provvedera' ad inviare al Garante l'elenco dei partecipanti che hanno formalizzato la sottoscrizione; parimenti provvedera' all'invio al Garante dei nominativi dei successivi eventuali partecipanti. 17.3. Il gestore comunichera' a questa Autorita' la messa in opera del S.I.Mo.I.Tel. almeno 15 giorni prima del relativo avvio. 18. Fase di prima applicazione. 18.1. In relazione ai rapporti gia' pendenti alla data di pubblicazione del presente provvedimento in Gazzetta Ufficiale ed entro 60 giorni da tale pubblicazione, ciascun partecipante informera' gli interessati, ai sensi dell'art. 13 del Codice, attraverso un messaggio breve e in stile colloquiale (inserito sul proprio sito web ed agevolmente accessibile, nonche' in luoghi dove i partecipanti esercitano la loro attivita', in particolare, con affissioni in bacheche o locali, avvisi e cartelli agli sportelli dedicati alla clientela), in ordine al trattamento dei dati personali effettuato nell'ambito del S.I.Mo.I.Tel. L'informativa, avra' ad oggetto: − gli estremi identificativi e le caratteristiche generali del S.I.Mo.I.Tel., quale soggetto cui sono comunicati i dati ed indicazioni della denominazione e della sede del gestore, ove gia' individuato. Qualora alla data sopra indicata (60 giorni dalla pubblicazione in G.U.) il gestore non fosse stato ancora individuato, i partecipanti integreranno l'informativa resa con tale indicazione appena possibile; − i soggetti partecipanti eventualmente indicati per categoria; − i tempi di conservazione dei dati; Il completamento dell'informativa, con tutti gli elementi previsti dall'art. 13 del Codice e da rendere mediante elaborazione di un testo articolato, sara' effettuato, senza oneri per gli interessati, sul sito web di ciascun partecipante. In relazione ai rapporti contrattuali stipulati successivamente alla data di pubblicazione in Gazzetta Ufficiale, l'informativa sara' fornita agli interessati secondo le modalita' individuate al paragrafo 7. del presente provvedimento. 18.2. Decorsi 120 giorni dalla data di pubblicazione in Gazzetta Ufficiale del presente provvedimento, i partecipanti potranno iniziare ad inserire nel S.I.Mo.I.Tel. i dati relativi ai clienti i cui contratti sono stati oggetto del recesso di cui al paragrafo 9.
Tutto cio' premesso, Il Garante:
1. ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive ai titolari del trattamento (partecipanti e gestore del S.I.Mo.I.Tel.), quali misure necessarie, quelle indicate in motivazione ai paragrafi 7.; da 9. a 12.; 14; 17. e 18.; 2. ai sensi dell'art. 24, comma 1, lett. g) del Codice, ritiene che il trattamento dei dati personali nell'ambito del S.I.Mo.I.Tel. possa essere effettuato dai partecipanti e dal gestore della banca dati anche senza il consenso degli interessati, purche' nei limiti e alle condizioni indicate in motivazione; 3. ai sensi dell'art. 143, comma 2, del Codice, dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, affinche' venga pubblicato nella Gazzetta Ufficiale della Repubblica italiana. La violazione delle misure prescritte nel presente provvedimento, ferme restando le sanzioni amministrative, civili e penali previste dalla normativa vigente, sara' sanzionata nei termini previsti dall'art. 162, comma 2-ter, del Codice. Roma, 8 ottobre 2015
Il Presidente: Soro Il relatore: Bianchi Clerici Il segretario generale: Busia |