Garante per la protezione
    dei dati personali


vedi anche:

I Sic dopo le verifiche svolte dal Garante
Crif 

Experian





Gestori telefonici: informazioni sulla solvibilitą e affidabilitą dei clienti

H3G

Telecom

Wind

Informazioni sulla solvibilitą e affidabilitą dei clienti dei gestori telefonici: Vodafone

PROVVEDIMENTO DEL 4 MAGGIO 2006

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceitą e la correttezza dei trattamenti di dati personali effettuati, con riferimento a servizi di telefonia, da fornitori di servizi di comunicazione elettronica tramite i sistemi di informazione creditizia, alla luce delle disposizioni vigenti in materia di protezione dei dati personali; e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti (pubblicato in G.U. del 23 dicembre 2004, n. 300);

Visto il verbale relativo all'attivitą ispettiva condotta presso Vodafone Omnitel N.V., con richiesta di informazioni ed esibizione di documenti ai sensi dell'art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
Il Garante, ad un anno dall'adozione del "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilitą e puntualitą nei pagamenti" adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice (e consultabile in G.U. 23 dicembre 2004, n. 300), nonché in considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite tali sistemi sui soggetti che (in varie forme) accedono al credito, ha avviato dall'ottobre del 2005 una serie di accertamenti ispettivi presso i principali sistemi di informazioni creditizie privati, cui ha fatto seguito l'adozione in data odierna di due provvedimenti nei confronti di Crif S.p.A. ed Experian Information Services S.p.A.

Tale attivitą Ź stata posta in essere per accertare la liceitą e la correttezza dei trattamenti di dati personali effettuati da tali titolari del trattamento, tenuto anche conto che il rispetto delle predette regole deontologiche, adottate secondo la particolare procedura descritta all'art. 12 del Codice, costituisce condizione essenziale per la liceitą del trattamento (cfr. art. 12 del medesimo Codice; v. anche l'art. 11, comma 2).

2. L'attivitą di controllo nei confronti di Vodafone Omnitel N.V.
In considerazione delle risultanze delle verifiche svolte –che hanno evidenziato anche un trattamento di dati personali da parte dei sistemi di informazioni creditizie con riferimento all'attivitą posta in essere da fornitori di servizi di comunicazione elettronica–, l'Autoritą ha avviato un'ulteriore serie di accertamenti di natura ispettiva volti a definire meglio il quadro dei trattamenti effettuati e a valutare compiutamente la loro liceitą alla luce della complessiva disciplina in materia di protezione dei dati personali.

In data 2 marzo 2006, Ź stata effettuata un'ispezione presso Vodafone Omnitel N.V. (di seguito Vodafone).

Il presente provvedimento tiene conto sia degli accertamenti svolti presso i sistemi di informazioni creditizie, sia delle risultanze dell'attivitą ispettiva effettuata presso Vodafone.

OSSERVA

3. Trattamenti di dati personali in vista dell'attivazione di contratti relativi a servizi di telefonia: la raccolta di dati personali della clientela dai sistemi di informazioni creditizie

3.1. Alla luce della documentazione acquisita presso Vodafone nel corso dell'ispezione, risulta che ai fini dell'attivazione di contratti aventi per oggetto la somministrazione di servizi di telecomunicazione in abbonamento (c.d. post-pagato) –o di contratti ulteriori ad essi accessori, quali la locazione di apparati di telecomunicazione– la societą opera "una preventiva valutazione sulla capacitą economico-finanziaria del potenziale cliente": a tal fine Vodafone ha stipulato contratti con due distinti sistemi di informazione creditizia gestiti da soggetti privati, Experian e Crif Business Information Service S.p.A. societą del gruppo Crif, per accedere ai relativi sistemi informativi ed operare la valutazione di opportunitą in ordine alla conclusione dei contratti forniti a clienti "corporate" e consumatori.

Con particolare riguardo ai servizi informativi resi da Crif, per quanto nel corso degli accertamenti ispettivi sia stato dichiarato dai rappresentanti di Vodafone che "tale contratto non Ź mai divenuto esecutivo" (sď che larga parte dei servizi informativi sarebbero resi dalla sola Experian), dalla documentazione fornita dalla societą successivamente all'esecuzione dell'ispezione Ź stato chiarito, "nell'ambito dell'ulteriore e diverso rapporto contrattuale […] costituito nel dicembre 2003 con Crif Business Information Service S.p.A. societą del gruppo Crif […], la possibilitą di acquisire, in corso di approfondimento della pratica, una serie di Rapporti contenenti anche informazioni tratte da EURISC, il Credit Bureau di Crif S.p.A.".

In base alle dichiarazioni rese, risultanti dal verbale dell'attivitą di accertamento svolta, le procedure organizzative poste in essere per effettuare tale valutazione, implementate con l'impiego di sistemi informativi, "sono differenziate a seconda della tipologia di cliente (consumer o corporate)".

In caso di richiesta di conclusione di contratto di fornitura da parte della clientela "consumer", le procedure interne prevedono che presso i punti vendita autorizzati dalla societą vengano inseriti "nel sistema informativo di Vodafone i dati identificativi del richiedente e il codice fiscale. Il sistema, sulla base di tali informazioni, fornisce automaticamente un riscontro all'addetto del tipo: richiesta accolta (Ok), richiesta respinta (Ko) o "contattare il call center". Tale esito deriva dalla verifiche effettuate automaticamente dal sistema con riguardo alle informazioni riferite al richiedente "eventualmente gią presenti sulla banca dati dell'azienda contenente le informazioni relative ai contratti di tutti i clienti Vodafone, sullo scoring risultante dalle informazioni del sistema di informazioni creditizie [della societą che lo gestisce] e dell'eventuale presenza di pregiudizievoli o protesti rilevati dalla apposita banca dati [della medesima societą]. La classificazione del potenziale cliente all'interno delle tre classi avviene in relazione ad un punteggio (score) attribuito automaticamente dal sistema. In relazione alla risposta Ok, l'addetto al punto vendita puė procedere alla stipula del contratto di abbonamento. Se la risposta Ź Ko, l'addetto non potrą proseguire l'attivazione e, di norma, puė proporre al cliente l'acquisto di una carta prepagata. Se il sistema invia la risposta "contattare call center", l'addetto procederą a mettersi in contatto con un operatore della Customer operation division credit & risk management, presso il call center per ricevere ulteriori istruzioni circa l'accettazione della richiesta".

Nell'ipotesi da ultimo menzionata l'incaricato "puė visualizzare, attraverso l'accesso alla banca dati Vodafone e alle banche dati Experian, un'informazione piĚ dettagliata (c.d. vincolo) relativa al cliente al fine di valutare il tipo di dati che hanno determinato lo score attribuito dal sistema, in base al quale, nella prima fase, non Ź stato possibile accettare o rifiutare la richiesta".

In termini sostanzialmente analoghi vengono effettuate anche le operazioni relative al trattamento dei dati della c.d. clientela corporate, arricchita "del punteggio relativo ai dati di bilancio" del soggetto che intende attivare il contratto. ť tuttavia prevista una verifica piĚ approfondita in caso di richieste da parte di clienti corporate che possano comportare una "potenziale maggiore esposizione" per la societą: precedenti casi di sospensione o disattivazione per recupero credito e specifiche richieste commerciali, quali ad esempio la richiesta di un numero elevato di servizi (cfr. all. 8 della documentazione inviata da Vodafone il 13 marzo 2006).

3.2. Il trattamento di dati appena descritto posto in essere da Vodafone si pone in contrasto con i principi di protezione dei dati personali, nei termini di seguito specificati.

Le informazioni che formano oggetto di comunicazione da parte di Experian (e, nei casi sopra individuati, Crif) a Vodafone, in forma di punteggio sintetico o, all'occorrenza, di dato analitico, sono il frutto di operazioni di trattamento effettuate da sistemi di informazioni creditizie nei quali sono censiti dati, trattati per valutare il merito creditizio, relativi a richieste e a rapporti di finanziamento conferiti da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all'art. 1, comma 1, lett. a) ed e), del predetto codice deontologico).

In base alla disciplina vigente, tali dati possono essere comunicati lecitamente solo a soggetti che svolgono attivitą di intermediazione bancaria e finanziaria o che, in qualitą di altri soggetti privati che esercitano un'attivitą commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385).

Come gią affermato in passato dal Garante, infatti, gestori e partecipanti ai sistemi di informazioni creditizie devono rispettare il principio di finalitą che nel caso di specie, sulla base della disciplina vigente, riguarda solo la tutela del credito e il contenimento del relativo rischio: in base ad esso, la consultazione dei dati personali riguardanti gli interessati, allo stato, puė avvenire soltanto se strettamente connessa all'istruttoria di una richiesta di finanziamento (cfr. punto 4 del provvedimento del 31 luglio 2002, in Bollettino n. 30 del 2002, p. 47).

Tale principio, enunciato anche in riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalitą (cfr., per la Centrale rischi della Banca d'Italia, il cap. 1, punto 2, delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004 e, per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999, in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell'art. 117 del Codice, inserito all'interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il medesimo principio Ź sviluppato nel codice di deontologia e di buona condotta adottato ai sensi dell'art. 117 del Codice, in virtĚ del quale le informazioni relative all'affidabilitą e alla puntualitą nei pagamenti della clientela possono essere trattate in base alla vigente disciplina a fini di "concessione, nell'esercizio di un'attivitą commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a), del codice di deontologia].

Peraltro, anche il verbale di sottoscrizione del predetto codice di deontologia e di buona condotta del 26 ottobre 2004 esclude dall'ambito di applicazione di quest'ultimo il trattamento di dati personali nell'ambito dei servizi di telefonia, rimettendo ad una trattazione distinta ed autonoma, "la tematica della ricognizione dell'affidabilitą e della puntualitą dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversitą degli ambiti ora considerati".

I fornitori di servizi di comunicazione elettronica, non ascrivibili tra i soggetti sopra menzionati, non stipulano contratti di finanziamento, neanche nella forma della dilazione del pagamento (rispetto ai quali puė farsi lecito uso dei menzionati sistemi di informazioni creditizie), ma concludono contratti ad esecuzione continuata o periodica (in particolare, di somministrazione di servizi telefonici o di locazione di terminali).

In questi ultimi contratti, la scadenza pattuita delle singole rate non Ź riconducibile alla diversa figura della dilazione del pagamento (e tantomeno dell'obbligo restitutorio derivante da un finanziamento). Le scadenze periodiche rappresentano, infatti, non un differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali quest'ultima deve essere pagato dall'utente il corrispettivo delle prestazioni godute per le correlative rate temporali (connesse, nel caso di specie, all'erogazione di servizi di telefonia o al godimento di beni). In tal senso, il Garante si Ź gią pronunciato disponendo la cancellazione dei dati comunicati da alcuni dei predetti fornitori a sistemi di informazioni creditizie, in quanto reputati non pertinenti per commisurare il rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Per tali ragioni, l'illiceitą del trattamento effettuato da Experian e Crif S.p.A. nei termini accertati da questa Autoritą con il provvedimento del 4 maggio 2006 –anche in ragione dell'inosservanza delle regole deontologiche (ex artt. 12 e 117 del Codice)–, determina l'inutilizzabilitą ulteriore dei dati trattati nel sistema di informazioni creditizie (art. 11, comma 2, del Codice), nel caso di specie da parte di Vodafone. Quest'ultima, contravvenendo ai principi di liceitą del trattamento e di pertinenza rispetto alla finalitą che allo stato puė essere perseguita lecitamente, ha effettuato trattamenti illeciti di dati personali.

Alla luce delle considerazioni sopra esposte, ai sensi dell'art. 154, comma 1, lett. d), del Codice, il Garante vieta a Vodafone di porre in essere ulteriori operazioni di trattamento del genere appena descritto, consistenti in particolare nella raccolta di dati personali provenienti da un sistema di informazioni creditizie istituito per la finalitą esclusiva di referenziazione creditizia; deve conseguentemente provvedersi alla cancellazione dei dati personali provenienti dal sistema di informazioni creditizie di Experian e Crif S.p.A., qualora registrati da Vodafone.

3.3. Per quanto riguarda il diverso profilo relativo ad eventuali comunicazioni di dati personali relativi alla propria clientela a vantaggio del sistema di informazioni creditizie (ulteriori rispetto a quelli strettamente necessari per effettuare le interrogazioni di cui si Ź detto al punto 3), dagli accertamenti svolti risulta che la societą comunica ad Experian le seguenti informazioni personali di ciascun cliente:

      dati anagrafici;

      codice fiscale;

      durata del contratto;

      data di inizio e estinzione degli effetti del contratto;

      valore globale del contratto e ammontare delle somme periodicamente dovute;

      frequenza dei pagamenti, con numero dei pagamenti, metodo di pagamento, soglia di esposizione, scaduto e scadere, codifica di eventuali modifiche alle modalitą precedenti.

I dati oggetto di contribuzione sono aggiornati da Vodafone e trasmessi ad Experian con cadenza mensile.
Rispetto a tale ulteriore profilo il Garante si riserva di procedere ad una autonoma valutazione della liceitą dei trattamenti effettuati.

4. Informativa resa e consenso degli interessati

4.1. Fermo restando quanto rilevato nel punto 3.2. in ordine all'illiceitą del trattamento dei dati personali provenienti dai sistemi di informazioni creditizie, un ulteriore profilo di contrarietą alla disciplina di protezione dei dati personali riguarda l'informativa resa da Vodafone agli interessati (acquisita agli atti).

A tale proposito deve rilevarsi, in riferimento ai profili presi in esame nel presente provvedimento, che non risultano rese all'interessato (il potenziale cliente) le informazioni contenute nell'art. 13 del Codice, in relazione alle categorie delle informazioni raccolte sul suo conto presso terzi (nel caso di specie, presso Experian e Crif S.p.A.), in particolare per ciė che attiene alle categorie delle informazioni trattate (facendosi unicamente riferimento a dati personali "da Voi forniti o comunque acquisiti"): si Ź cosď violata la previsione contenuta nell'art. 13, comma 4, del Codice.

Affinché l'interessato possa essere messo in condizione di comprendere l'effettiva natura (e portata) del trattamento a lui riferito –sď da poter eventualmente esercitare i diritti e le facoltą accordate dal Codice– Ź infatti necessario, in particolar modo in relazione a dati personali che vengono raccolti presso terzi (e non presso l'interessato medesimo, sui quali egli puė comunque esercitare gią in fase di raccolta un controllo diretto), che questi possa avere piena conoscenza della loro natura (ancorché mediante l'individuazione per categorie degli stessi).

Il rigoroso rispetto del precetto contenuto nell'art. 13, comma 4, del Codice, rappresenta, infatti, una garanzia fondamentale riconosciuta dalle discipline di protezione dei dati personali per l'effettiva attuazione del diritto all'autodeterminazione informativa della persona, riducendosi diversamente l'informativa ad un mero adempimento burocratico.

4.2. Un ulteriore profilo di violazione dell'art. 13 del Codice riguarda l'omessa informativa nei confronti degli interessati gią clienti di Vodafone, in ordine al trattamento delle informazioni personali ad essi riferite, conservate lecitamente dalla societą per adempiere ad obblighi di legge (ad esempio, per l'assolvimento degli obblighi previsti all'art. 2220 cod. civ.), ma trattate nella fattispecie per un'ulteriore finalitą non chiaramente esplicitata, consistente nell'utilizzare le medesime informazioni per assumere decisioni in ordine all'opportunitą di concludere (c.d. Ok) o meno (c.d. Ko) con l'interessato un contratto di abbonamento a servizi di telefonia (in tal senso, v. pure la decisione su ricorso adottata dal Garante il 2 marzo 2006).

4.3. Con riguardo ai riscontrati profili dell'informativa inidonea, questa Autoritą prescrive alla societą di riformulare l'informativa stessa ai sensi dell'art. 13 del Codice, al fine di indicare tutti i trattamenti leciti svolti; si riserva inoltre di procedere, con separato provvedimento ai sensi dell'art. 161 del Codice, alla contestazione della violazione amministrativa per l'inidonea informativa.

4.4. La medesima informativa inidonea inficia il trattamento dei dati effettuato da Vodafone e, prima ancora, il consenso al trattamento stesso, quando Ź manifestato, non risultando quest'ultimo espresso "specificamente con riferimento a un trattamento chiaramente individuato", stante la mancanza delle informazioni da rendere in forza dell'art. 13 del Codice (art. 23, comma 3, del Codice).

Alla luce delle considerazioni svolte risultano pertanto illeciti, e vengono vietati con il presente provvedimento, i trattamenti di dati personali per i quali l'informativa non Ź stata resa in osservanza delle prescrizioni contenute nell'art. 13, o non sussistono i presupposti di liceitą di cui agli artt. 23 o 24 del Codice, tenendo anche presente il disposto dell'art. 11, comma 2, del medesimo Codice secondo cui non sono utilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Resta unicamente ferma per la societą, la facoltą di conservare la notizia dell'avvenuta richiesta di attivazione di un'utenza e della determinazione interna adottata, per mere finalitą di documentazione amministrativa.

TUTTO CIŮ PREMESSO IL GARANTE

a) ai sensi dell'art. 154, comma 1, lett. d), del Codice vieta a Vodafone Omnitel N.V. l'ulteriore trattamento dei dati personali provenienti da sistemi di informazioni creditizie e relativi a contratti di finanziamento, anche in forma di punteggio sintetico (score), trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dando conferma a questa Autoritą entro la medesima data anche dell'avvenuta cancellazione dei dati provenienti dai menzionati sistemi di informazioni creditizie, se registrati nei sistemi informativi di Vodafone Omnitel N.V.;

b) ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive a Vodafone Omnitel N.V. di riformulare senza ritardo, e comunque entro e non oltre quarantacinque giorni dalla data di ricezione del presente provvedimento, l'informativa resa agli interessati, con riferimento alle operazioni oggetto di trattamento lecito, dandone conferma a questa Autoritą entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli