Servizi a valore aggiunto (VAS): individuazione del titolare del trattamento dei dati personali degli utenti effettuato dal fornitore del servizio e dai gestori telefonici

Servizi a valore aggiunto (VAS): individuazione del titolare del trattamento dei dati personali degli utenti effettuato dal fornitore del servizio e dai gestori telefonici –

PROVVEDIMENTO DEL 15 SETTEMBRE 2011

Registro dei provvedimenti n. 337 del 15 settembre 2011

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il Prof. Francesco Pizzetti;

PREMESSO

L'Autorità ha svolto, a partire dal mese di maggio 2010, un ciclo di accertamenti ispettivi volti a verificare il rispetto della normativa in materia di protezione dei dati personali, con particolare riferimento alle campagne di marketing effettuate tramite numeri di cellulari (per l'invio di sms e mms) e indirizzi di posta elettronica (per l'invio di email pubblicitarie, cd. DEM).

Nell'ambito di tale attività, in data 20, 21 e 22 ottobre 2010, è stata oggetto di ispezione Buongiorno S.p.A. (di seguito "Buongiorno", con sede legale a Parma, Borgo Masnovo n. 2).

Nel corso dell'accertamento ispettivo, Buongiorno ha dichiarato, tra l'altro, di svolgere attività B2C (cd. business to consumer), che costituisce il 90% del fatturato della società. Dalle risultanze istruttorie è emerso che tale attività consiste principalmente nell'offerta e nella fornitura, prevalentemente in abbonamento, di servizi a valore aggiunto, cd. VAS, e cioè suonerie, temi, contenuti digitalizzati o editoriali che l'utente di telefonia mobile richiede di attivare tramite il portale web della società, www.blinkogold.it, mediante la compilazione di un modulo nel quale deve indicare il proprio numero di cellulare, il proprio operatore e il servizio al quale intende aderire (cfr. verbale del 20 ottobre 2010, pag. 3).

I rappresentanti della società hanno inoltre dichiarato che, allo scopo di attestare l'effettiva riconducibilità della richiesta al soggetto che ha la concreta disponibilità dell'utenza telefonica interessata, Buongiorno, una volta ricevuta la richiesta di iscrizione da parte dell'utente, gli invia, sull'utenza di telefonia mobile da lui indicata, un codice di sicurezza che questi dovrà inserire in un apposito form nel corso di una seconda fase di registrazione tramite web; che, inoltre, il dato dell'utenza telefonica viene registrato contemporaneamente sul database di Buongiorno per la fornitura del servizio prescelto e nei sistemi dell'operatore telefonico di riferimento per le operazioni connesse al relativo addebito contabile. La società ha, inoltre, reso noto che i dati degli utenti registrati sono circa 650.000 (cfr. verbale del 20 ottobre 2010, pag. 3).

I responsabili di Buongiorno hanno rappresentato che nella pagina del proprio portale web è presente l'indicazione che “il servizio è realizzato da Buongiorno S.p.A., in collaborazione con TIM, Vodafone, Wind e 3 per i rispettivi clienti” ed è indicato un rinvio al sito www.help-b.it nel quale è presente, tra l'altro, l'informativa relativa al trattamento di dati personali (cfr. verbale del 20 ottobre 2010 e relativi allegati 3 e 4).

Tale informativa contiene due diverse indicazioni: se si è utenti TIM o Wind, il titolare del trattamento dei dati personali risulta essere solo l'operatore telefonico e, in tal caso, Buongiorno agisce quale responsabile del trattamento; se, invece, si è utenti Vodafone o H3G, Buongiorno risulta titolare autonomo del trattamento, al pari dei due operatori telefonici (cfr. allegato 4 al verbale del 20 ottobre 2010).

La formale distribuzione delle responsabilità così descritta è stata confermata anche nel corso dell'ispezione dai rappresentanti della società, i quali hanno anche esibito, a conferma di ciò, la designazione con cui Telecom Italia S.p.A. ha nominato Buongiorno responsabile del trattamento (allegato 4 al verbale del 21 ottobre 2010) specificando, tuttavia, che Buongiorno effettua i medesimi trattamenti che svolge in relazione agli utenti degli altri operatori per l'attivazione del servizio richiesto, per l'erogazione dei relativi contenuti e per il servizio di customer care (cfr. verbale del 21 ottobre 2010, pag. 2).

Infine Buongiorno ha dichiarato che, relativamente ai servizi VAS, la società ha attivato, a prescindere dall'operatore telefonico di riferimento, una serie di canali per consentire il diretto esercizio dei diritti di cui all'art. 7 del Codice, tra cui anche la cancellazione (cfr. verbale del 22 ottobre 2010, pag. 3).

La ricostruzione appena descritta degli assetti relativi alla titolarità dei trattamenti di dati personali e la conseguente distribuzione delle responsabilità non appaiono corrette, in primo luogo perché, per lo svolgimento delle medesime attività (offerta dei servizi VAS), a fronte di adempimenti identici attuati con altrettanto identiche modalità, non è certamente ipotizzabile che Buongiorno ricopra, indifferentemente, talvolta il ruolo di titolare e talaltra quello di responsabile del trattamento, a seconda dell'operatore di telefonia mobile al quale l'utente risulta di volta in volta abbonato.

È di tutta evidenza, infatti, non soltanto che trattamenti di dati personali, effettuati con modalità identiche, non possono essere qualificati in modo giuridicamente diverso, ma anche che, al di là dell'aspetto puramente formale, ai fini della configurazione della titolarità e degli effetti che ne conseguono occorre aver riguardo al concreto ed effettivo atteggiarsi dei rapporti rilevanti in materia di trattamento delle informazioni personali dei soggetti interessati.

Dalle risultanze istruttorie è emerso che Buongiorno tratta i dati personali del fruitore di un servizio VAS acquisiti tramite la registrazione sul portale web della società (www.blinkogold.it), e cioè il numero di cellulare, il gestore telefonico di cui si serve ed il servizio VAS prescelto; utilizza queste informazioni per gli adempimenti contrattuali inerenti la fornitura del servizio, per svolgere funzioni di customer care e per consentire le attività ulteriori (ad es. quelle necessarie alla fatturazione) che sono, invece, concretamente eseguite e dunque di competenza dell'operatore telefonico interessato, dal momento che il pagamento avviene mediante decurtazione del credito telefonico ovvero addebito sul conto telefonico riferibile all'utenza in questione. Il gestore telefonico, a sua volta, effettua tali specifiche operazioni in qualità di titolare autonomo del trattamento, dal momento che tratta, appunto, le informazioni personali necessarie per eseguire le operazioni di addebito, fatturazione e tenuta contabile correlate all'erogazione del servizio che l'abbonato ha acquistato da Buongiorno; oltre, naturalmente, a riversare a questa società la parte del pagamento di sua spettanza, detratta cioè la percentuale che resta acquisita all'operatore stesso quale compenso per l'attività prestata. In definitiva, l'intero trattamento di dati personali relativo alla commercializzazione di servizi a valore aggiunto viene effettuato da diversi soggetti ciascuno dei quali riveste, per la parte di propria competenza, la qualifica di titolare ai sensi della normativa di legge.

In effetti il Codice definisce “titolare” "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza" e “responsabile”, "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali" (art. 4, comma 1, lett. f) e g) del Codice).

Agli articoli 28 e seguenti sono poi indicati i compiti dei soggetti che effettuano il trattamento di dati personali ed è specificato che "quando il trattamento è effettuato da una persona giuridica (…), titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice).

Alla luce della richiamata normativa, nonché delle dichiarazioni rese, dei documenti acquisiti e della verifica effettuata sulla concreta attivazione di un servizio VAS, si ritiene allora che Buongiorno debba sempre qualificarsi quale titolare del trattamento per la parte di propria competenza, analogamente a quanto avviene quando opera in collaborazione con Vodafone e H3G, società che – lo si ribadisce – agiscono a loro volta in qualità di autonomi titolari con specifico riferimento alle ulteriori operazioni di trattamento dei dati connesse agli adempimenti contrattuali di propria competenza, innanzitutto quelli contabili.

La ricostruzione effettuata da questa Autorità, oltre ad uniformare anche sotto il profilo della loro qualificazione giuridica adempimenti identici, ancorché condotti in collaborazione con operatori telefonici di volta in volta diversi, tiene anche conto del fatto che l'interessato che si registra sul sito di Buongiorno deve essere tutelato nel suo legittimo affidamento sulla circostanza che, iscrivendosi e acquistando uno specifico servizio da questa società, le conferisce i suoi dati e pertanto confida che, per l'esercizio dei diritti previsti dall'art. 7 del Codice, possa rivolgersi direttamente a Buongiorno, proprio come di fatto avviene.

L'accertata situazione di fatto in ordine alla corretta qualificazione giuridica di Buongiorno sotto il profilo degli adempimenti inerenti la protezione dei dati personali deve, allora, anche per questa ragione, essere portata a conoscenza dei soggetti interessati, con ogni riflesso sugli obblighi che gravano su Buongiorno in termini di modifica dell'attuale testo dell'informativa da rendere agli utenti interessati.

PER QUESTI MOTIVI IL GARANTE

accerta e dichiara che Buongiorno S.p.A. riveste sempre la qualifica di titolare, ai sensi degli artt. 4, comma 1, lettera f) e 28 del Codice, con specifico riguardo alle operazioni di trattamento dei dati personali di sua competenza relative alla fornitura di un servizio VAS, anche a prescindere dall'operatore telefonico di volta in volta interessato e pertanto, rilevata la necessità di adottare nei suoi confronti un provvedimento prescrittivo volto a modificare l'attuale assetto di distribuzione delle responsabilità ed a renderlo conforme alla reale situazione di fatto, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, prescrive a Buongiorno S.p.A.:

a) di adottare tutte le misure e gli accorgimenti necessari per rendere il trattamento dei dati conforme alle richiamate disposizioni di legge ed alle prescrizioni del Garante, ivi compresa la modifica dell'informativa da fornire agli interessati che richiedono un servizio a valore aggiunto, specificando che Buongiorno, per tutte le attività di propria competenza correlate alla fornitura dei servizi VAS, riveste la qualifica di titolare del trattamento e che pertanto nei suoi confronti è possibile esercitare i diritti di cui all'art. 7 del Codice;

b) di adempiere a quanto indicato alla lettera a) entro il termine di 60 giorni dalla notificazione del presente provvedimento, dandone comunicazione al Garante entro il medesimo termine.

Si ricorda che, ai sensi dell'art. 162, comma 2 ter del Codice, in caso di inosservanza del presente provvedimento, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.

Avverso il presente provvedimento può essere proposta opposizione ai sensi dell'art. 152 del Codice con ricorso dinanzi all'autorità giudiziaria ordinaria, in particolare al tribunale del luogo ove risiede il titolare del trattamento, da presentarsi entro il termine di trenta giorni dalla data della sua comunicazione. Si ricorda che l'opposizione non sospende l'esecuzione del provvedimento (art. 152, comma 5 del Codice).

Si dispone che il presente provvedimento sia comunicato ai quattro operatori di telefonia mobile citati.

L'Autorità si riserva, infine, con autonomi procedimenti, di verificare la conformità dei trattamenti di dati personali effettuati dagli operatori di telefonia mobile coinvolti che sono titolari del trattamento per la parte di loro competenza in quanto, ai sensi del presente provvedimento, svolgono le attività proprie di tale qualifica.

Roma, 15 settembre 2011

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale reggente
De Paoli