Garante per la protezione
    dei dati personali


vedi anche:


I Sic dopo le verifiche svolte dal Garante
Crif 

Experian



Gestori telefonici: informazioni sulla solvibilitą e affidabilitą dei clienti

Telecom

Vodafone

Wind

Informazioni sulla solvibilitą e affidabilitą dei clienti dei gestori telefonici: H3G

PROVVEDIMENTO DEL 4 MAGGIO 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceitą e la correttezza dei trattamenti di dati personali effettuati, con riferimento a servizi di telefonia, da fornitori di servizi di comunicazione elettronica tramite i sistemi di informazione creditizia, alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Visto il verbale relativo all'attivitą ispettiva condotta presso H3G S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell'art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
Il Garante, ad un anno dall'adozione del "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti" adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice (e consultabile in G.U. 23 dicembre 2004, n. 300), nonché in considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite tali sistemi sui soggetti che (in varie forme) accedono al credito, ha avviato dall'ottobre del 2005 una serie di accertamenti ispettivi presso i principali sistemi di informazioni creditizie privati, cui ha fatto seguito l'adozione in data odierna di due provvedimenti nei confronti di Crif S.p.A. ed Experian Information Services S.p.A.

Tale attivitą Ź stata posta in essere per accertare la liceitą e la correttezza dei trattamenti di dati personali effettuati da tali titolari del trattamento, tenuto anche conto che il rispetto delle predette regole deontologiche, adottate secondo la particolare procedura descritta all'art. 12 del Codice, costituisce condizione essenziale per la liceitą del trattamento (cfr. art. 12 del medesimo Codice; v. anche l'art. 11, comma 2).

2. L'attivitą di controllo nei confronti di H3G S.p.A.
In considerazione delle risultanze delle verifiche svolte –che hanno evidenziato anche un trattamento di dati personali da parte dei sistemi di informazioni creditizie con riferimento all'attivitą posta in essere da fornitori di servizi di comunicazione elettronica–, l'Autoritą ha avviato un'ulteriore serie di accertamenti di natura ispettiva volti a definire meglio il quadro dei trattamenti effettuati e a valutare compiutamente la loro liceitą alla luce della complessiva disciplina in materia di protezione dei dati personali.

In data 5 aprile 2006 Ź stata effettuata un'ispezione presso H3G S.p.A. (di seguito H3G).

Il presente provvedimento tiene conto sia degli accertamenti svolti presso i sistemi di informazioni creditizie, sia delle risultanze dell'attivitą ispettiva effettuata presso H3G.

OSSERVA

3. Trattamenti di dati personali in vista dell'attivazione di contratti relativi a servizi di telefonia: la raccolta di dati personali della clientela dai sistemi di informazioni creditizie

3.1. Alla luce della documentazione acquisita presso H3G anche nel corso dell'ispezione, risulta che, con riguardo a soggetti (persone fisiche, comprensive dei "titolari di ditte individuali", o giuridiche) che richiedono l'attivazione di utenze telefoniche in abbonamento (c.d. post-pagato), la societą ne identifica i "profili di rischio" accedendo "ai dati contenuti nel sistema di informazioni creditizie (Sic) di Crif S.p.A." (cfr. verbale dell'accertamento ispettivo).

Con riguardo a potenziali clienti che abbiano la qualitą di persone giuridiche H3G consulta, avvalendosi dei servizi resi da Crif S.p.A., informazioni provenienti da archivi pubblici, "le quali evidenziano situazioni di criticitą solo in presenza di protesti, iscrizioni pregiudizievoli o dati di visure camerali dai quali si evince l'inattivitą della societą".

Nell'ambito di questa consultazione Ź possibile, altresď, "visionare un sintetico report relativo al rappresentante legale della societą, report nel quale sono riportate anche informazioni ricavate dal Sic. La societą riassume l'esito istruttorio in un giudizio sintetico positivo o negativo (Ok o Ko) sulla base del quale il contratto viene perfezionato o non concluso".

In base alle procedure adottate, in occasione di ciascuna richiesta di attivazione di carte in abbonamento da parte di persone fisiche e di imprese individuali, i rivenditori presenti presso i punti-vendita abilitati dalla societą (dealer) inseriscono in un sistema informatizzato gestito da H3G (dealer-station) i dati anagrafici e il codice fiscale del cliente. Il sistema, "mediante una procedura automatizzata di valutazione del rischio creditizio, esprime un giudizio sintetico (Ok o Ko) sulla base del quale l'attivazione viene effettuata o meno".

In base alle dichiarazioni raccolte a verbale, detta procedura si articola in varie fasi alle quali corrisponde l'interrogazione di archivi distinti: "la prima consiste nell'interrogazione del data-base della societą. Se il richiedente risulta gią cliente in abbonamento H3G, la valutazione del rischio viene effettuata solo sulla base delle informazioni relative al comportamento contrattuale (frodi, morositą ecc.) e, pertanto, non si procede alla consultazione delle banche dati di Crif o rese disponibili da Crif. Qualora invece il richiedente non risulti essere gią abbonato H3G, il sistema procede ad interrogare i diversi data-base di Crif, secondo una gerarchia predefinita: la prima analisi riguarda la presenza di eventuali protesti o iscrizioni pregiudizievoli. Qualora gli stessi siano presenti, ciė Ź sufficiente per fornire un giudizio negativo in merito all'attivazione (Ko) e pertanto non si procede all'ulteriore interrogazione del Sic di Crif. Qualora invece non si riscontrino protesti o iscrizioni, il sistema procede alla interrogazione del Sic di Crif il quale fornisce un punteggio (score) determinato dal complesso delle informazioni relative alla regolaritą dei pagamenti ivi censite. Lo score determina la collocazione del soggetto esaminato in "classi di rischio" individuate da Crif" e, a certe condizioni, "il sistema di H3G fornisce, all'esito dell'interrogazione, un giudizio negativo sull'attivazione (Ko)".

3.2. Il trattamento di dati appena descritto posto in essere da H3G si pone in contrasto con i principi di protezione dei dati personali, nei termini di seguito specificati.

Le informazioni che formano oggetto di comunicazione da parte di Crif S.p.A. ad H3G, in forma di punteggio sintetico o, all'occorrenza, di dato analitico, sono il frutto di operazioni di trattamento effettuate da sistemi di informazioni creditizie nei quali sono censiti dati, trattati per valutare il merito creditizio, relativi a richieste e a rapporti di finanziamento conferiti da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all'art. 1, comma 1, lett. a) ed e), del predetto codice deontologico).

In base alla disciplina vigente, tali dati possono essere comunicati lecitamente solo a soggetti che svolgono attivitą di intermediazione bancaria e finanziaria o che, in qualitą di altri soggetti privati che esercitano un'attivitą commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385).

Come gią affermato in passato dal Garante, infatti, gestori e partecipanti ai sistemi di informazioni creditizie devono rispettare il principio di finalitą che nel caso di specie, sulla base della disciplina vigente, riguarda solo la tutela del credito e il contenimento del relativo rischio: in base ad esso, la consultazione dei dati personali riguardanti gli interessati allo stato puė avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento (cfr. punto 4 del provvedimento del  31 luglio 2002, in Bollettino n. 30 del 2002, p. 47 ).

Tale principio, enunciato anche in riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalitą (cfr., per la Centrale rischi della Banca d'Italia, il cap. 1, punto 2, delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004 e, per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999, in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell'art. 117 del Codice, inserito all'interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il medesimo principio Ź sviluppato nel codice di deontologia e di buona condotta adottato ai sensi dell'art. 117 del Codice, in virtĚ del quale le informazioni relative all'affidabilitą e alla puntualitą nei pagamenti della clientela possono essere trattate in base alla vigente disciplina a fini di "concessione, nell'esercizio di un'attivitą commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a), del codice di deontologia].

Peraltro, anche il verbale di sottoscrizione del predetto codice di deontologia e di buona condotta del 26 ottobre 2004 esclude dall'ambito di applicazione di quest'ultimo il trattamento di dati personali nell'ambito dei servizi di telefonia, rimettendo ad una trattazione distinta ed autonoma, "la tematica della ricognizione dell'affidabilitą e della puntualitą dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversitą degli ambiti ora considerati".

I fornitori di servizi di comunicazione elettronica, non ascrivibili tra i soggetti sopra menzionati, non stipulano contratti di finanziamento, neanche nella forma della dilazione del pagamento (rispetto ai quali puė farsi lecito uso dei menzionati sistemi di informazioni creditizie), ma concludono contratti ad esecuzione continuata o periodica (in particolare, di somministrazione di servizi telefonici o di locazione di terminali).

In questi ultimi contratti, la scadenza pattuita delle singole rate non Ź riconducibile alla diversa figura della dilazione del pagamento (e tantomeno dell'obbligo restitutorio derivante da un finanziamento). Le scadenze periodiche rappresentano, infatti, non un differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali quest'ultima deve essere versata dall'utente quale corrispettivo delle prestazioni godute per le correlative rate temporali (connesse, nel caso di specie, all'erogazione di servizi di telefonia o al godimento di beni). In tal senso, il Garante si Ź gią pronunciato disponendo la cancellazione dei dati comunicati da alcuni dei predetti fornitori a sistemi di informazioni creditizie, in quanto reputati non pertinenti per commisurare il rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Per tali ragioni, l'illiceitą del trattamento effettuato da Crif S.p.A. nei termini accertati da questa Autoritą con il provvedimento del 4 maggio 2006 –anche in ragione dell'inosservanza delle regole deontologiche (ex artt. 12 e 117 del Codice)–, determina l'inutilizzabilitą ulteriore dei dati trattati nel sistema di informazioni creditizie (art. 11, comma 2, del Codice), nel caso di specie da parte di H3G. Quest'ultima, contravvenendo ai principi di liceitą del trattamento e di pertinenza rispetto alla finalitą che allo stato puė essere lecitamente perseguita, ha effettuato trattamenti illeciti di dati personali.

Alla luce delle considerazioni sopra esposte, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta a H3G di porre in essere ulteriori operazioni di trattamento del genere appena descritto, consistenti in particolare nella raccolta di dati personali provenienti da un sistema di informazioni creditizie istituito per la finalitą esclusiva di referenziazione creditizia; deve conseguentemente provvedersi alla cancellazione dei dati personali provenienti dal sistema di informazioni creditizie di Crif S.p.A., qualora registrati da H3G.

3.3. Per quanto attiene, invece, ad eventuali comunicazioni di dati personali relativi alla propria clientela a vantaggio del sistema di informazioni creditizie gestito da Crif S.p.A., si prende atto che la societą dichiara di non porre in essere, allo stato, operazioni di trattamento di tale natura.

4. Qualitą dei dati
Dalle dichiarazioni rese per conto della societą risulta che formano oggetto di conservazione nel sistema informativo di H3G anche "le informazioni acquisite dal sistema nel corso dell'istruttoria automatizzata", sia per documentare l'attivitą svolta a seguito della richiesta di attivazione, sia "al fine di evitare ulteriori interrogazioni alle banche-dati di Crif nel caso che la stessa persona presenti una nuova richiesta di attivazione nei dodici mesi successivi. In questo caso, infatti, il sistema rifiuta automaticamente la richiesta". In particolare, "i dati relativi a tutte le richieste di attivazione sono conservati all'interno della banca-dati della societą a partire dalla costituzione della stessa" e, allo stato, forma oggetto di valutazione presso H3G la "determinazione di tempi di conservazione sulla base dei quali effettuare la cancellazione dei dati piĚ risalenti".

Al di lą delle considerazioni svolte al punto 3.2. in ordine all'illiceitą del trattamento dei dati provenienti dai sistemi di informazioni creditizie (anche nella forma dell'eventuale Ko derivante dalla loro consultazione), attesa la diversa finalitą per la quale il trattamento viene effettuato rispetto ai dati personali contenuti nei medesimi sistemi, deve rilevarsi, con riferimento alla conservazione per il citato periodo di dodici mesi delle informazioni raccolte, che risulta altresď violato il principio di qualitą dei dati, con particolare riferimento al precetto contenuto nell'art. 11, comma 1, lett. c), del Codice, secondo il quale i dati devono essere esatti e, se necessario, aggiornati. Nella fattispecie in esame, la conservazione dei dati trattati in vista di un loro possibile (ri-)utilizzo, cela infatti un rischio elevato, accentuato dal lungo periodo di conservazione, che a distanza di tempo i dati originariamente raccolti e registrati possano aver subito variazioni che potrebbero influire sulle determinazioni assunte dalla societą.

5. Informativa resa agli interessati

5.1. Fermo restando quanto rilevato nel punto 3.2. in ordine all'illiceitą del trattamento dei dati personali provenienti dai sistemi di informazioni creditizie, un ulteriore profilo di contrarietą alla disciplina di protezione dei dati personali riguarda l'informativa resa da H3G agli interessati, acquisita in atti. A tale proposito deve rilevarsi, in riferimento ai profili presi in esame nel presente provvedimento, che non risultano rese all'interessato (il potenziale cliente) le informazioni contenute nell'art. 13 del Codice, in relazione alle categorie delle informazioni raccolte sul suo conto presso terzi (nel caso di specie, presso Crif S.p.A.), in particolare per ciė che attiene alle categorie delle informazioni trattate (facendosi unicamente riferimento a dati personali "acquisiti attraverso la rete commerciale di "3" ovvero da archivi privati o pubblici nello svolgimento dell'attivitą economica di "3" "): si Ź cosď violata la previsione contenuta nell'art. 13, comma 4, del Codice.
Affinché l'interessato possa essere messo in condizione di comprendere l'effettiva natura (e portata) del trattamento a lui riferito –sď da poter eventualmente esercitare i diritti e le facoltą accordate dal Codice– Ź infatti necessario, in particolar modo in relazione a dati personali che vengono raccolti presso terzi (e non presso l'interessato medesimo, sui quali egli puė comunque esercitare gią in fase di raccolta un controllo diretto), che questi possa avere piena conoscenza della loro natura (ancorché mediante l'individuazione per categorie degli stessi).
Il rigoroso rispetto del precetto contenuto nell'art. 13, comma 4, del Codice, rappresenta, infatti, una garanzia fondamentale riconosciuta dalle discipline di protezione dei dati personali per l'effettiva attuazione del diritto all'autodeterminazione informativa della persona, riducendosi diversamente l'informativa ad un mero adempimento burocratico.

5.2. Un ulteriore profilo di violazione dell'art. 13 del Codice riguarda l'omessa informativa nei confronti degli interessati gią clienti di H3G, in ordine al trattamento delle informazioni personali ad essi riferite, conservate lecitamente dalla societą per adempiere ad obblighi di legge (ad esempio, per l'assolvimento degli obblighi previsti all'art. 2220 cod. civ.), ma trattate nella fattispecie per un'ulteriore finalitą non chiaramente esplicitata (il riferimento contenuto nell'informativa Ź genericamente indirizzato allo svolgimento di "istruttorie rispetto alla stipulazione del contratto"), consistente nell'utilizzare le medesime informazioni per assumere decisioni in ordine all'opportunitą di concludere (c.d. Ok) o meno (c.d. Ko) con l'interessato un contratto di abbonamento a servizi di telefonia (in tal senso, v. pure la decisione su ricorso adottata dal Garante il 2 marzo 2006).

5.3. Con riguardo ai riscontrati profili dell'informativa inidonea, questa Autoritą prescrive alla societą di riformulare l'informativa stessa ai sensi dell'art. 13 del Codice, al fine di indicare tutti i trattamenti leciti svolti; si riserva inoltre di procedere, con separato provvedimento ai sensi dell'art. 161 del Codice, alla contestazione della violazione amministrativa per l'inidonea informativa.

5.4. La medesima informativa inidonea inficia il trattamento dei dati effettuato da H3G e, prima ancora, il consenso al trattamento stesso, quando Ź manifestato, non risultando quest'ultimo espresso "specificamente con riferimento a un trattamento chiaramente individuato", stante la mancanza delle informazioni da rendere in forza dell'art. 13 del Codice (art. 23, comma 3, del Codice).

Alla luce delle considerazioni svolte risultano pertanto illeciti, e vengono vietati con il presente provvedimento, i trattamenti di dati personali per i quali l'informativa non Ź stata resa in osservanza delle prescrizioni contenute nell'art. 13, o non sussistono i presupposti di liceitą di cui agli artt. 23 o 24 del Codice, tenendo anche presente il disposto dell'art. 11, comma 2, del medesimo Codice secondo cui non sono utilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Resta unicamente ferma per la societą, la facoltą di conservare la notizia dell'avvenuta richiesta di attivazione di un'utenza e della determinazione interna adottata, per mere finalitą di documentazione amministrativa.

TUTTO CIŮ PREMESSO IL GARANTE

a) ai sensi dell'art. 154, comma 1, lett. d), del Codice vieta a H3G S.p.A. l'ulteriore trattamento dei dati personali provenienti da sistemi di informazioni creditizie e relativi a contratti di finanziamento, anche in forma di punteggio sintetico (score), trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dando conferma a questa Autoritą entro la medesima data anche dell'avvenuta cancellazione dei dati provenienti dai menzionati sistemi di informazioni creditizie, se registrati nei sistemi informativi di H3G S.p.A.;

b) ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive a H3G S.p.A. di riformulare senza ritardo, e comunque entro e non oltre quarantacinque giorni dalla data di ricezione del presente provvedimento, l'informativa resa agli interessati, con riferimento alle operazioni oggetto di trattamento lecito, dandone conferma a questa Autoritą entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli