Garante per la protezione
    dei dati personali


vedi anche:

I Sic dopo le verifiche svolte dal Garante
Crif 

Experian



Gestori telefonici: informazioni sulla solvibilitą e affidabilitą dei clienti

H3G

Vodafone

Wind

Informazioni sulla solvibilitą e affidabilitą dei clienti dei gestori telefonici: Telecom Italia

PROVVEDIMENTO DEL 4 MAGGIO 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceitą e la correttezza dei trattamenti di dati personali effettuati, con riferimento a servizi di telefonia, da fornitori di servizi di comunicazione elettronica tramite i sistemi di informazione creditizia, alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Visto il verbale relativo all'attivitą ispettiva condotta presso Telecom Italia S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell'art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
Il Garante, ad un anno dall'adozione del "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti" adottato in attuazione alle previsioni contenute negli artt. 12 e 117 del Codice (e consultabile in G.U. 23 dicembre 2004, n. 300), nonché in considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite tali sistemi sui soggetti che (in varie forme) accedono al credito, ha avviato dall'ottobre 2005 una serie di accertamenti ispettivi presso i principali sistemi di informazioni creditizie privati, cui ha fatto seguito l'adozione in data odierna di due provvedimenti nei confronti di Crif S.p.A. ed Experian Information Services S.p.A.

Tale attivitą Ź stata posta in essere per accertare la liceitą e la correttezza dei trattamenti di dati personali effettuati da tali titolari del trattamento, tenuto anche conto che il rispetto delle predette regole deontologiche, adottate secondo la particolare procedura descritta all'art. 12 del Codice, costituisce condizione essenziale per la liceitą del trattamento (cfr. art. 12 del medesimo Codice; v. anche l'art. 11 , comma 2).

2. L'attivitą di controllo nei confronti di Telecom Italia S.p.A.
In considerazione delle risultanze delle verifiche svolte –che hanno evidenziato anche un trattamento di dati personali da parte dei sistemi di informazioni creditizie con riferimento all'attivitą posta in essere da diversi fornitori di servizi di comunicazione elettronica–, l'Autoritą ha avviato un'ulteriore serie di accertamenti di natura ispettiva volti a definire meglio il quadro dei trattamenti effettuati e a valutare compiutamente la loro liceitą alla luce della complessiva disciplina in materia di protezione dei dati personali.

In data 11 aprile 2006, Ź stata effettuata un'ispezione presso Telecom Italia S.p.a. (di seguito Telecom).

Il presente provvedimento tiene conto sia degli accertamenti svolti presso i sistemi di informazioni creditizie, sia delle risultanze dell'attivitą ispettiva effettuata presso Telecom.

OSSERVA

3. Trattamenti di dati personali in vista dell'attivazione di contratti relativi a servizi di telefonia: la raccolta di dati personali della clientela dai sistemi di informazioni creditizie

3.1. Nel corso dell'ispezione e alla luce della documentazione acquisita presso Telecom Ź emerso che, per il perfezionamento di contratti di abbonamento a servizi di telefonia mobile (c.d. post-pagato), "limitatamente ai clienti Business (persone giuridiche, liberi professionisti e comunque soggetti dotati di partita IVA o codice fiscale numerico), la societą si avvale dei servizi forniti dalle societą Experian Information Services S.p.A. e Experian Scorex s.r.l."; il ricorso a queste ultime societą sarebbe invece escluso con riguardo alle grandi imprese e ai consumatori, come pure, piĚ in generale, in relazione ai contratti di telefonia fissa.

Nel caso di richiesta di attivazione di contratti business, la procedura stabilita dalla societą prevede che nel corso delle trattative il cliente si rivolga ad uno degli agenti autorizzati dalla societą presenti sul territorio (Tim business promoter-Tbp), il quale, resa l'informativa predisposta dalla societą, inserisce i dati identificativi del cliente nel sistema informativo aziendale –o, in taluni casi, si avvale di una delle sette articolazioni territoriali di Telecom che provvederą a tale incombenza–, concludendo il contratto di abbonamento "con riserva di effettuazione delle verifiche sulla solvibilitą ed affidabilitą" del cliente. Detto processo consiste in una "procedura automatizzata di verifica della presenza dell'anagrafica sul sistema informativo aziendale in relazione a contratti gią in essere o estinti".

Quindi, attraverso il collegamento con il sistema informativo di Experian (Febo), vengono acquisite informazioni provenienti da archivi pubblici (rilevando, ad esempio, le iscrizioni pregiudizievoli e i protesti); viene effettuata, inoltre, la verifica del codice fiscale con i dati anagrafici (tramite Sogei) e viene altresď interrogato il sistema di informazioni creditizie di Experian: "all'esito delle interrogazioni effettuate, la procedura fornisce tre possibili esiti codificati: Verde (Ź possibile attivare il contratto); Rosso (non Ź possibile attivare il contratto); Giallo (l'attivazione deve essere processata da un operatore)".

In quest'ultima ipotesi, il cui verificarsi puė prescindere dalla tipologia delle informazioni personali disponibili con riguardo all'interessato (potendo darsi anche in presenza di problemi di natura tecnica), "l'istruttoria non Ź automatizzata, ma avviene a seguito di valutazioni effettuate da personale specializzato e all'uopo preposto": operatori della societą appositamente autorizzati (analisti) possono a tal fine accedere alle informazioni trattate da Experian. In particolare, il sistema consente a tali soggetti di accedere "via Internet al sistema di Experian attraverso l'inserimento di una password attribuita all'azienda e, di seguito, di credenziali di autenticazione univoche per ciascun operatore" e visualizzare, in tal modo, le "informazioni relative alle istruttorie sulle attivazioni dei contratti effettuate da Telecom negli ultimi sei mesi". Qualora sia necessario acquisire informazioni relative a richieste risalenti ad un periodo superiore a sei mesi, queste, previa specifica richiesta scritta formulata da Telecom, vengono fornite da Experian. In tali casi vengono visualizzati "i dati sia pubblici che del Sic che il codice attribuito dal sistema, nonché lo score finale Febo (frutto della elaborazione del delphi score di Experian e delle risultanze della consultazione delle banche dati pubbliche), gli elementi (eccezioni) che hanno determinato l'attribuzione del codice rosso o giallo e la decisione finale dell'operatore che ha trattato la pratica in termini di accettazione/non accettazione del contratto".

All'esito delle descritte procedure, nei sistemi informativi di Telecom resta comunque memorizzato l'esito delle ricerche svolte e lo score riferito al singolo cliente.

3.2. Il trattamento di dati appena descritto posto in essere da Telecom, si pone in contrasto con i principi di protezione dei dati personali nei termini di seguito specificati.

Le informazioni che formano oggetto di comunicazione da parte di Experian a Telecom, in forma di punteggio sintetico o, all'occorrenza, di dato analitico, sono il frutto di operazioni di trattamento effettuate da sistemi di informazioni creditizie nei quali sono censiti dati, trattati per valutare il merito creditizio, relativi a richieste e rapporti di finanziamento conferiti da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all'art. 1, comma 1, lett. a) ed e), del predetto codice deontologico).

In base alla disciplina vigente, tali dati possono essere comunicati lecitamente solo a soggetti che svolgono attivitą di intermediazione bancaria e finanziaria o che, in qualitą di altri soggetti privati che esercitano un'attivitą commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385).

Come gią affermato in passato dal Garante, infatti, gestori e partecipanti ai sistemi di informazioni creditizie devono rispettare il principio di finalitą che nel caso di specie, sulla base della disciplina vigente, riguarda solo la tutela del credito e il contenimento del relativo rischio: in base ad esso la consultazione dei dati personali riguardanti gli interessati allo stato puė avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento (cfr. punto 4 del provvedimento del  31 luglio 2002, in Bollettino n. 30 del 2002, p. 47).

Tale principio, enunciato anche in riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalitą (cfr. per la Centrale rischi della Banca d'Italia, il cap. 1, punto 2, delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004 e, per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999, in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell'art. 117 del Codice, inserito all'interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il medesimo principio Ź sviluppato nel codice di deontologia e di buona condotta adottato ai sensi dell'art. 117 del Codice, in virtĚ del quale le informazioni relative all'affidabilitą e puntualitą nei pagamenti della clientela possono essere trattate in base alla vigente disciplina a fini di "concessione, nell'esercizio di un'attivitą commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a), del codice di deontologia].

Peraltro, anche il verbale di sottoscrizione del predetto codice di deontologia e di buona condotta del 26 ottobre 2004 esclude dall'ambito di applicazione il trattamento dei dati personali nell'ambito dei servizi di telefonia, rimettendo ad una trattazione distinta ed autonoma, "la tematica della ricognizione dell'affidabilitą e della puntualitą dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversitą degli ambiti ora considerati".

I fornitori di servizi di comunicazione elettronica, non ascrivibili tra i soggetti sopra menzionati, non stipulano contratti di finanziamento, neanche nella forma della dilazione del pagamento (rispetto ai quali puė farsi lecito uso dei menzionati sistemi di informazioni creditizie), ma concludono contratti ad esecuzione continuata o periodica (in particolare, di somministrazione di servizi telefonici o di locazione di terminali).

In questi ultimi contratti, la scadenza pattuita delle singole rate non Ź riconducibile alla diversa figura della dilazione del pagamento (e tantomeno dell'obbligo restitutorio derivante da un finanziamento). Le scadenze periodiche rappresentano, infatti, non un differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali quest'ultima deve essere versata dall'utente quale corrispettivo delle prestazioni godute per le correlative rate temporali (connesse, nel caso di specie, all'erogazione di servizi di telefonia o al godimento di beni). In tal senso il Garante si Ź gią pronunciato disponendo la cancellazione dei dati comunicati da alcuni dei predetti fornitori ai sistemi di informazioni creditizie, in quanto reputati non pertinenti per commisurare il rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Per tali ragioni, l'illiceitą del trattamento effettuato da Crif S.p.A. nei termini accertati da questa Autoritą con il provvedimento del 4 maggio 2006, –anche in ragione dell'inosservanza delle regole deontologiche (ex artt. 12 e 117 del Codice)–, determina l'inutilizzabilitą ulteriore dei dati trattati nel sistema di informazioni creditizie (art. 11, comma 2 del Codice), nel caso di specie da parte di Telecom. Quest'ultima, contravvenendo ai principi di liceitą del trattamento e di pertinenza rispetto alla finalitą che allo stato puė essere perseguita lecitamente, ha effettuato trattamenti illeciti di dati personali.

Alla luce delle considerazioni sopra esposte, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta a Telecom di porre in essere ulteriori operazioni di trattamento del genere appena descritto, consistenti in particolare nella raccolta di dati personali provenienti da un sistema di informazioni creditizie istituito per la finalitą esclusiva di referenziazione creditizia; deve conseguentemente provvedersi alla cancellazione dei dati personali provenienti dal sistema di informazione creditizia di Experian, qualora registrati da Telecom.

3.3. Dalle dichiarazioni rese, inoltre, risulta che formano oggetto di conservazione nel sistema informativo di Telecom "le richieste di attivazioni respinte" il cui esito viene conservato "nei sistemi informativi della societą con finalitą di documentazione dell'attivitą svolta". In particolare, le informazioni a contenuto negativo vengono conservate nel sistema della societą; "allo stato, non Ź stabilito il periodo di conservazione dei predetti dati sia su supporto cartaceo che informatico e […] pertanto il sistema non prevede la cancellazione dei dati piĚ risalenti".

Al di lą delle considerazioni svolte al punto 3.2. in ordine alla illiceitą del trattamento dei dati provenienti dai sistemi di informazioni creditizie (anche nella forma dell'eventuale giudizio negativo in ordine alla conclusione del contratto derivante dalla loro consultazione), attesa la diversa finalitą per la quale il trattamento viene effettuato rispetto ai dati personali contenuti nei medesimi sistemi, deve altresď rilevarsi, con riferimento alla conservazione per il citato periodo di trenta giorni delle informazioni raccolte, che risulta violato il principio di qualitą dei dati, con particolare riferimento al precetto contenuto nell'art. 11, comma 1, lett. c), del Codice, secondo il quale i dati devono essere esatti e, se necessario, aggiornati: nella fattispecie in esame la conservazione dei dati trattati in vista di un loro possibile (ri-)utilizzo, cela il rischio che, a distanza di tempo, i dati originariamente raccolti e registrati possano aver subito variazioni che potrebbero influire sulle determinazioni assunte dalla societą.

3.4. Per quanto riguarda il diverso profilo relativo ad eventuali comunicazioni di dati personali relativi alla propria clientela a vantaggio del sistema di informazioni creditizie (ulteriori rispetto a quelli strettamente necessari per effettuare le interrogazioni di cui si Ź detto al punto 3.1.), dagli accertamenti svolti risulta che la societą, con cadenza mensile, "provvede a comunicare ad Experian i dati relativi alle attivazioni di contratti in abbonamento, nonché le cessazioni per frode e quelle per morositą".

Rispetto a tale ulteriore profilo il Garante si riserva di procedere ad una autonoma valutazione della liceitą dei trattamenti effettuati.

4. Informativa resa e consenso degli interessati

4.1. Dall'esame dell'informativa resa agli interessati da Telecom Italia S.p.a. (societą risultante dalla fusione tra Telecom S.p.A. e Telecom Italia mobile S.p.A.), acquisita agli atti e allegata alle condizioni generali di contratto denominate "proposta di abbonamento multibusiness", si rileva (in riferimento ai profili presi in esame nel presente provvedimento), l'incompletezza e la genericitą della medesima informativa rispetto ai trattamenti effettuati, contemplando il testo in esame la mera dizione, nell'individuazione delle finalitą del trattamento, dello scopo di "prevenzione frodi e gestione morosi".

Tale informativa, per la vaghezza della formula utilizzata, non consente all'interessato di individuare chiaramente la specifica finalitą del trattamento effettuato in sede di formazione del contratto, ed omette di comunicare "i soggetti o le categorie di soggetti" (qui, i sistemi di informazione creditizia) ai quali, per detta finalitą, le informazioni anagrafiche dei potenziali clienti per i quali viene interrogato il sistema informativo di Experian "possono essere comunicati": sotto tale profilo, dunque, l'informativa resa non Ź conforme all'art. 13, comma 1, lett. a) e d) del Codice.

L'informativa resa (acquisita agli atti) prevede le "[c]ategorie di soggetti terzi ai quali i dati potrebbero essere comunicati in qualitą di titolari o che potrebbero venirne a conoscenza in qualitą di responsabili o incaricati". Al riguardo Ź previsto che "oltre che dai dipendenti di Telecom Italia, alcuni trattamenti dei Suoi dati personali potranno essere effettuati anche da soggetti terzi, ivi incluse le societą del Gruppo Telecom Italia, con sede in Italia e/o all'estero, ai quali Telecom Italia affida talune attivitą (o parte di esse) [...]. In tal caso gli stessi soggetti opereranno in qualitą di titolari autonomi o saranno designati come responsabili o incaricati del trattamento. Ai responsabili o agli incaricati eventualmente designati Telecom Italia impartirą adeguate istruzioni operative, con particolare riferimento all'adozione delle misure minime di sicurezza, al fine di poter garantire la riservatezza e la sicurezza dei dati. I soggetti terzi sopra citati sono essenzialmente ricompresi nelle seguenti categorie: […], (ii) societą di recupero credito; (iii) societą che elaborano dati di traffico per la fatturazione; (iv) societą incaricate per la stampa e la spedizione delle fatture ai clienti; (v) consulenti; (vi) societą cessionarie dei crediti; (vii) Agenti e Procacciatori d'affari e Franchisee; (viii) Autoritą per le garanzie nelle comunicazioni (Agcom) ed ogni altro soggetto pubblico legittimato a richiedere i dati".

Deve incidentalmente rilevarsi che, con riguardo al profilo qui esaminato, maggiore chiarezza e completezza delle informazioni rese era invece presente nell'informativa fornita in precedenza da Telecom Italia mobile S.p.A.-Tim S.p.A., nella "proposta di abbonamento multibusiness" relativa agli anni 2004-2005 (come risulta dalla documentazione acquisita in atti).

4.2. Salvo quanto disposto al punto 3.2., in ordine alla liceitą del trattamento dei dati personali provenienti dai sistemi di informazioni creditizie, un ulteriore profilo di contrarietą alla disciplina di protezione dei dati personali riguarda l'informativa resa da Telecom agli interessati (acquisita agli atti) –limitando anche in questo caso le presenti considerazioni agli aspetti presi in esame nel presente provvedimento–: a questo proposito, deve rilevarsi che non vengono rese all'interessato (il potenziale cliente) le informazioni contenute nell'art. 13 del Codice, in relazione alle categorie delle informazioni raccolte sul suo conto presso terzi (nel caso di specie, presso Experian) con particolare riferimento alle categorie delle informazioni trattate, violando cosď la previsione contenuta nell'art. 13, comma 4, del Codice.

Affinché l'interessato possa essere messo in condizione di comprendere l'effettiva natura (e portata) del trattamento a lui riferito –sď da poter eventualmente esercitare i diritti e le facoltą accordate dal Codice– Ź infatti necessario, in particolar modo in relazione a dati personali che vengono raccolti presso soggetti terzi (e non presso l'interessato medesimo, sui quali egli puė comunque esercitare gią in fase di raccolta un controllo diretto), che questi possa avere piena conoscenza della loro natura (ancorché mediante l'individuazione per categorie degli stessi).

Il rigoroso rispetto del precetto contenuto nell'art. 13, comma 4, del Codice, rappresenta, infatti, una garanzia fondamentale riconosciuta dalle discipline di protezione dei dati personali per l'effettiva attuazione del diritto all'autodeterminazione informativa della persona, riducendosi diversamente l'informativa ad un mero adempimento burocratico.

4.3. Un altro profilo di violazione dell'art. 13 del Codice riguarda l'omessa informativa nei confronti dell'interessato, se gią cliente di Telecom, in ordine al trattamento delle informazioni personali al medesimo riferite all'interessato medesimo, pur legittimamente conservate dalla societą per l'adempimento di obblighi di legge (ad esempio per l'assolvimento degli obblighi previsti all'art. 2220 c.c.), ma trattate nella fattispecie per una finalitą diversa ed ulteriore, non chiaramente esplicitata, consistente nell'utilizzazione delle medesime informazioni per assumere decisioni in ordine all'opportunitą di concludere (c.d. verde) o meno (c.d. rosso) con l'interessato un contratto di abbonamento a servizi di telefonia (in tal senso, v. pure la decisione su ricorso adottata dal Garante il 2 marzo 2006).

4.4. Con riguardo al profilo dell'inidonea informativa, questa Autoritą prescrive la riformulazione dell'informativa ai sensi dell'art. 13 del Codice, per indicare tutti i trattamenti leciti svolti, e si riserva di procedere, con separato provvedimento ai sensi dell'art. 161 del Codice, alla contestazione della violazione amministrativa per l'inidonea informativa.

4.5. Il profilo dell'inidonea informativa all'interessato inficia altresď il trattamento dei dati effettuato da Telecom e, prima ancora, il consenso al trattamento, quando Ź manifestato, non risultando quest'ultimo espresso "specificamente con riferimento a un trattamento chiaramente individuato" stante la mancanza delle informazioni da rendere in forza dell'art. 13 del Codice (art. 23, comma 3, del Codice).

Alla luce delle considerazioni svolte, sono pertanto illeciti e vengono vietati con il presente provvedimento, i trattamenti di dati personali per i quali l'informativa non Ź stata resa in osservanza delle prescrizioni contenute nell'art. 13, o non sussistono i presupposti di liceitą di cui agli artt. 23 o 24 del Codice, tenendo anche presente il disposto dell'art. 11, comma 2, del medesimo Codice secondo cui non sono utilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Resta unicamente ferma per la societą, la facoltą di conservare la notizia dell'avvenuta richiesta di attivazione di un'utenza e della determinazione interna adottata, per mere finalitą di documentazione amministrativa.

TUTTO CIŮ PREMESSO IL GARANTE

a) ai sensi dell'art. 154, comma 1, lett. d), del Codice vieta a Telecom Italia S.p.A. l'ulteriore trattamento dei dati personali provenienti da sistemi di informazioni creditizie e relativi a contratti di finanziamento, anche in forma di punteggio sintetico (score), trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dando conferma a questa Autoritą entro la medesima data anche dell'avvenuta cancellazione dei dati provenienti dai menzionati sistemi di informazioni creditizie, se registrati nei sistemi informativi di Telecom Italia S.p.A.;

b) ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive a Telecom Italia S.p.A. di riformulare senza ritardo, e comunque entro e non oltre quarantacinque giorni dalla data di ricezione del presente provvedimento, l'informativa resa agli interessati, con riferimento alle operazioni oggetto di trattamento lecito, dandone conferma a questa Autoritą entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli