Trattamento di dati aggregati dei clienti per finalità di profilazione. Verifica preliminare richiesta da Tiscali Italia S.p.A.

Trattamento di dati aggregati deiclienti per finalità di profilazione. Verifica preliminare richiesta da TiscaliItalia S.p.A.

PROVVEDIMENTO DEL 24 OTTOBRE 2013

Registro dei provvedimenti n. 468 del 24 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici,componente e del dott. Giuseppe Busia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice");

VISTOil provvedimento generale del Garante del 25 giugno 2009 recante"Prescrizioni ai fornitori di servizi di comunicazione elettronicaaccessibili al pubblico che svolgono attività di profilazione",pubblicato nella G.U. n. 159 dell'11 luglio 2009);

VISTOil provvedimento del 2 febbraio 2012 adottato dall'Autorità nei confronti diTiscali Italia S.p.A. (di seguito "Tiscali") a conclusione delprocedimento di prior checking avviato dalla società con la richiesta dell'8ottobre 2011;

VISTOche con il suddetto provvedimento che autorizzava la società, ai sensi degliartt. 17 e 24, comma 1, lett.g) del Codice, ad effettuare il trattamento didati aggregati dei propri clienti per finalità di profilazione, anche senza unconsenso specifico degli interessati, sono state prescritte apposite misuretecniche e organizzative ed indicato un termine di 90 giorni dalla data dellarelativa notificazione per l'adozione delle stesse e la conseguentetrasmissione all'Autorità della relativa documentazione;

CONSIDERATOche, prima della scadenza del termine, con comunicazione del 3 maggio 2012 lasocietà, pur rappresentando al Garante l'avvenuta adozione di gran parte dellemisure prescritte con riguardo alla profilazione della propria utenzatelefonica, richiedeva, in attesa di dare avvio allo svolgimento di taleattività, un nuovo esame dell'Autorità rispetto ad alcune di esse sulla base diuna diversa prospettazione dei presupposti che ne avevano giustificato laprescrizione;

RILEVATO,in particolare, che le richieste di tale valutazione da parte della societàvertevano sulle misure prescrittive di cui ai punti 1 e 5 della lett. B) delprovvedimento del 2 febbraio 2012, ovvero sull'estensione del periodo storicodi riferimento utilizzato da Tiscali per l'analisi di alcuni degli indicatoriadottati ai fini dell'attività di profilazione della propria utenza(classe-insolvenza e classe-fatturato) e sull'estensione del periodo diconservazione dei dati;

CONSIDERATOche, in data 26 febbraio 2013, a seguito dei contatti intercorsi con il Garantee della rappresentata necessità di investire il Collegio dell'opportunità diun'ulteriore verifica rispetto all'adozione di misure differenti da quelleoggetto delle specifiche prescrizioni indicate nel provvedimento del 2 febbraio2012, la società provvedeva a proporre una nuova istanza di verifica preliminare,corredata da un'articolata relazione tecnica;

CONSIDERATOche, a seguito della suddetta istanza e degli specifici confronti avutisi conl'Autorità successivamente alla stessa, in data 13 settembre 2013, la societàprovvedeva formalmente ad integrare la medesima dei nuovi elementi emersi,avuto riguardo in particolare alle modalità ed agli ulteriori parametriutilizzati per l'attività di profilazione, allegando, altresì, tutta lanecessaria documentazione anche di natura tecnica;

VISTOaltresì il provvedimento sulle "Misure e accorgimenti prescritti aititolari dei trattamenti effettuati con strumenti elettronici relativamentealle attribuzioni delle funzioni di amministratore di sistema",pubblicato nella G.U. n. 300 del 24 dicembre 2008), successivamentemodificato dal provvedimento del 25 giugno 2009 "Modifiche delprovvedimento del 27 novembre 2008 recante prescrizioni ai titolari deitrattamenti effettuati con strumenti elettronici relativamente alleattribuzioni di amministratore di sistema e proroga dei termini per il loroadempimento", pubblicato nella G.U. n. 149 del 30 giugno 2009);

ESAMINATA,pertanto, la richiesta di verifica preliminare, presentata da Tiscali con lerichieste integrazioni, in data 13 settembre 2013;

VISTIgli elementi acquisiti a seguito dell'analisi della documentazione prodottadalla società, a supporto della nuova istanza di verifica preliminare;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 delRegolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSO

1. Architettura dei sistemi dedicati all'attività diprofilazione.

Dall'analisidella documentazione prodotta dalla società in data 13 settembre 2013, adintegrazione dell'istanza di verifica preliminare del 26 febbraio 2013, nonsono emerse significative modifiche all'architettura generale dei sistemidedicati alla profilazione dei clienti Tiscali, già analizzati preliminarmenteall'adozione del provvedimento del 2 febbraio 2012.

L'attualesoluzione implementata dalla società, in particolare attraverso una evoluzionedel sistema TEDW (Tiscali Enterprise Data Warehouse), deputato alla generazionedelle liste di contatti e-mail, utilizzate per le campagne commerciali, e larecente integrazione di tale sistema con quello Kiwari, deputato allapianificazione ed all'invio delle stesse e-mail non ha, infatti, incisosull'assetto della suddetta architettura, ma ne ha piuttosto comportato unmiglioramento sotto il profilo della funzionalità tra applicazioni.

Inparticolare, gli interventi realizzati da Tiscali hanno comportato l'esclusionedel sistema TEDW nella costruzione delle liste clienti da destinare allesingole campagne marketing, attribuendo l'individuazione del bacino di utenzaesclusivamente alla competenza del sistema Kiwari affiancato, peraltro, da unnuovo sistema denominato Contact-Lab che nel tempo andrà gradualmente asostituirlo.

Comeemerge dal suddetto documento descrittivo e da quanto asserito dalla stessasocietà, con riguardo ad entrambe le piattaforme risultano essere stateadottate tutte le misure di sicurezza precedentemente prescritte dall'Autoritàcon il provvedimento del 2 febbraio 2012, per cui né durante la selezione deltarget di utenza cui indirizzare le campagne marketing, né durante lesuccessive pianificazioni e l'invio della posta elettronica, risultano essere"mostrati sull'interfaccia Kiwari i dati personali della clientelacontenuta nel target", con la conseguenza che "nessuno degliincaricati che operano su Kiwari accede ai dati personali dellaclientela". Analoghe misure saranno in seguito estese agli incaricati che opererannosul sistema Contact-Lab.

Lemenzionate misure risultano, come evidenziato da Tiscali, essere state previsteanche con riguardo alla prevista implementazione della funzionalità diprofilazione della clientela Tiscali attraverso l'introduzione, nel sistemaTEDW, di una nuova base dati denominata TiscCBprofiling fisicamente separata datutte le altre che compongono tale sistema.

Oltrealla prescritta separazione fisica e logica dei sistemi che svolgono attivitàdi profilazione rispetto agli altri sistemi aziendali, la società ha poi datoatto di aver adottato tutte le prescrizioni relative al mascheramento deidati personali aggregati oggetto dell'attività di profilazione, nel sensoche i codici utilizzati per sostituire i dati personali relativi aiclienti sono diversi da sistema a sistema e che gli addetti alle tabelle ditrasformazione, che consentono l'associazione tra codice e dato, sono diversida quelli che effettuano attività di profilazione.

Intal senso risulta altresì documentata l'adozione, da parte della società, delleprocedure di autenticazione ed autorizzazione dettate dal Garante con riguardoagli incaricati al trattamento dei dati personali nell'ambito dell'attività diprofilazione, nonché delle ulteriori attività, successive alla stessa.

2. Sistema centralizzato per la gestione dei logprodotti dagli amministratori di sistema. Misure ed accorgimentiprescrittivi.

Nelladocumentazione integrativa inviata il 13 settembre 2013 da Tiscali, a corredo ecompletamento della nuova istanza di verifica preliminare presentata alGarante, la società ha rappresentato la realizzazione di un sistemacentralizzato per la gestione dei log prodotti dagli amministratori di sistema.

L'architetturadi questo nuovo sistema prevede la registrazione di eventi generati a livelloapplicativo e sistemistico. In particolare, vengono registrati e archiviati suun server centralizzato i metadati (nello specifico i log che memorizzano glieventi significativi tra il sistema che fornisce i servizi ed i clienti deiservizi stessi, cd. "log di sistema") relativi sia ad accessiapplicativi (tra i quali CRM, Billing, Database Management System), sia adapparati di rete che generano tutti i dati successivamente impiegati perl'attività di profilazione (tra i quali router, firewall, IDS/IPS), nonchè ilog generati dai sistemi operativi che abilitano le funzionalità dei diversiapplicativi.

Ilog relativi alle attività degli amministratori di sistema riguardano l'istantedi tempo in cui un evento è stato generato, l'identificativo dell'account chelo ha generato, l'identificativo delle risorse coinvolte, nonché la tipologiadi operazione effettuata. L'archiviazione dei log è sottoposta a procedure disicurezza volte ad assicurarne l'integrità, mediante l'applicazione di unmeccanismo crittografico (c.d. hash) che ne garantisce appunto l'inalterabilitànel tempo.

Orbene,con riguardo a tale specifico aspetto, occorre rilevare come dall'analisi delladocumentazione prodotta, la quale si riferisce unicamente alle funzionalitàrese disponibili dal sistema di log management, non risulti essere stato ancorapredisposto, da parte di Tiscali, il documento sulle policy cheriguardano l'archiviazione dei log, che costituisce presupposto necessario alrelativo trattamento.

Intal senso giova ricordare che l'Autorità, nel citato provvedimento del 27novembre 2008 sulle misure e gli accorgimenti prescritti con riguardo alleattribuzioni delle funzioni di amministratore di sistema ed in quellosuccessivo di modifica del 25 giugno 2009 ha chiaramente evidenziato che, perla conservazione dei log di accesso, debbano essere preliminarmente individuatee codificate le finalità di verifica delle attività degli amministratori disistema e che i tempi di conservazione dei log (non inferiori a 6 mesi)debbano essere scelti conformemente a tali finalità.

Inragione di quanto rilevato, Tiscali dovrà pertanto predisporre preliminarmenteun documento di analisi e codificazione delle suddette finalità, nonché deimenzionati tempi di conservazione.

3. Tipologia e livello di aggregazione dei datiutilizzati. Misure ed accorgimenti prescrittivi:

a. Profondità storica del dato utilizzato per attività diprofilazione.

Comegià evidenziato, l'Autorità è stata investita delle richieste formulate dalla societàsulla base di una differente tempistica.

Inun primo tempo, nel dare atto del parziale adempimento delle prescrizioni dicui al provvedimento del 2 febbraio 2012, Tiscali ha rappresentato al Garantela necessità di una nuova valutazione delle misure indicate alla lett. Bpunti 1) e 5) del provvedimento stesso, in considerazione di una più puntualeed articolata rappresentazione del proprio assetto aziendale sotto il profiloorganizzativo e commerciale.

Detteprescrizioni si riferiscono in particolare, la prima alla misura che prevedeche il periodo storico di riferimento, previsto per il calcolo degli indicatoriclasse-insolvenza e classe-fatturato, utilizzati da Tiscali per l'elaborazione del criterio di ripartizione della clientela ai fini della relativaprofilazione, non possa superare i 3 mesi dalla data in cui la profilazionestessa viene effettuata, la seconda alla misura che stabilisce che il periododi conservazione dei dati, utilizzati per attività di profilazione, non possaessere superiore ai 6 mesi.

Inun secondo tempo, nell'ambito della nuova istanza di verifica preliminaresottoposta all'Autorità, la società ha anche evidenziato la necessità di unamaggiore individuazione dei parametri utilizzati per la definizione dellapropria base clienti, in particolare attraverso una più precisa"clusterizzazione" della stessa, e, quindi, un ampliamento dellagamma di indicatori sui quali articolare l'attività di profilazione.

Ciòposto, con riguardo alla misura di cui alla citata lett. B) punto 1 delprovvedimento del 2 febbraio 2012 relativamente al periodo storico diriferimento previsto per gli indicatori classe-insolvenza e classe-fatturato,la società ha richiesto un'estensione sino a 12 mesi per i prodotti afatturazione mensile/ bimestrale e sino a 24 mesi per quelli a fatturazioneannuale, fornendo una serie di nuovi elementi che possono giustificare unarimodulazione delle misure prescritte dall'Autorità.

Inparticolare, a fronte della rappresentata circostanza per cui il ciclo difatturazione adottato da Tiscali è di tipo bimestrale, è possibile ritenere che l'adozione di un periodo storico di riferimento di 3 mesi come precedentementeindicato dall'Autorità, implicando l'utilizzo di una singola osservazione per la creazione dei cluster di utenza, potrebbe determinare il fenomeno deicosiddetti "falsi positivi", ossia comportare la scelta erronea dellasocietà di attribuire ai propri clienti lo "stato di insolvenza", checostituisce appunto uno degli indicatori di ripartizione dell'utenza, solosulla base di una singola osservazione, ovvero dell'ultima che, in ordinetemporale, ricade nel suddetto trimestre.

Peraltro,sulla base di quanto rappresentato dalla società, le modalità richieste daquest'ultima per il pagamento delle relative fatture, prevedono anche ilricorso all'uso di bollettini postali e tale canale di pagamento si rivelaspesso scarsamente efficace per l'individuazione degli effettivi casi diinsolvenza, posto che l'incasso dell'importo fatturato si realizza solosuccessivamente e, a volte, anche molto tempo dopo la data di emissione dellafattura stessa.

Incospetto di siffatta realtà è plausibile quindi ritenere che, adottando un periodo di osservazione trimestrale, si incorra nel rischio che il ritardo deicircuiti postali possa determinare, proprio con riguardo ai tempi diregistrazione degli accrediti, ancora una volta, casi di "falsipositivi" con l'erronea attribuzione da parte della società dello stato diinsolvenza a quei clienti che si siano limitati ad utilizzare bollettinipostali di pagamento.

Pertanto,alla luce delle richiamate considerazioni, la classificazione dell'utenzaTiscali sulla base dell'indicatore classe-insolvenza non può basarsi su unasingola osservazione e rende congrua la richiesta estensione del periodostorico di riferimento oltre il prescritto trimestre, anche e soprattutto abeneficio del soggetto interessato.

Inoltrel'uso di tre dati successivi di fatturazione, oltre a limitare l'incidenza di falsi positivi, può contenere anche il rischio di indebitecreazioni di liste di utenti ritenuti insolventi sulla base di meri elementioccasionali, quali ritardi nei pagamenti determinati da cause diverse daun'effettiva condizione di insolvenza.

Analogheconsiderazioni possono valere sia con riguardo all'indicatore definito classe-fatturato, sia con riguardo al nuovo parametro individuato dalla societàcome la classe-pagamenti.

Ciòposto, considerato altresì che la società ha rappresentato la presenza di ciclidi fatturazione bimestrale, può ritenersi opportuna, rispetto ai parametriclasse-insolvenza e classe-fatturato, l'estensione del periodo di osservazionedai 3 mesi inizialmente prescritti ad un periodo massimo di 6 mesi, proprio alfine di consentire a Tiscali l'osservazione di tre cicli completi difatturazione, ai quali potranno aggiungersi 3 ulteriori mesi di osservazione,in considerazione dei possibili ritardi, non imputabili alla società, nellagestione dei casi di accredito da bollettino postale.

Sullabase delle menzionate considerazioni un analogo periodo di 6 mesi, cui potràaggiungersi una finestra di osservazione di altri 3 mesi, dovrà poi essereadottato per il parametro costituito dalla classe-pagamenti.

Rispetto,invece, ai soli servizi che prevedono una fatturazione annuale e limitatamenteai parametri che attengono ai dati di fatturazione e relativo pagamento, ilperiodo di osservazione potrà considerarsi di 24 mesi (12 mesi più 12mesi), così da consentire l'osservazione di due cicli di fatturazione,cui potrà aggiungersi una finestra di osservazione di altri 3 mesi, ai finidella gestione degli accrediti effettuati con bollettino postale.

Conriguardo poi alla profondità storica dei dati impiegati per l'attività diprofilazione nell'ambito degli altri, ulteriori, parametri che la societàintende adottare, occorre distinguere gli indicatori per i quali Tiscali haindividuato tale profondità da quelli per i quali non emerge alcuna indicazionein tal senso.

Pertantocon riguardo alle classi traffico-entrante, traffico-uscente, ed alle classireclami e guasti il periodo storico di 6 mesi, richiamato daTiscali nella propria istanza, può ritenersi congruo e al medesimo,conformemente a quanto sopra evidenziato, potrà ulteriormente aggiungersi unafinestra di osservazione di ulteriori 3 mesi.

Conriguardo, invece, a quei parametri (classe-anagrafica cliente, classe-contrattoe classe-promozione) per i quali la società non ha individuato la profonditàstorica dei dati impiegati per l'attività di profilazione giova ricordare chel'Autorità, nei propri pronunciamenti, ha sempre ritenuto congrua per l'analisivolta alla creazione di cluster omogenei di utenza una profondità temporale di12 mesi. A tale periodo può poi aggiungersi un'ulteriore finestra di 3mesi per consentire sia lo svolgimento delle funzionalità operative dicaricamento e cancellazione dei dati (c.d. rolling), sia l'osservazione difenomeni stagionali, quali gli incrementi di consumo, associati a specificiperiodi dell'anno (vacanze estive, periodi festivi, ricorrenze). Taleintervallo temporale appare infatti sufficiente a fornire evidenza deglieffetti di stagionalità propri del consumo e/o delle modalità pagamento diservizi di comunicazione elettronica, nonché a garantire stime accuratesull'andamento dei consumi dei clienti e sugli indicatori economici dellasocietà. L'indicazione del periodo storico di riferimento nei termini di12 mesi, cui può aggiungersi un'ulteriore finestra di osservazione di 3 mesi,dovrà valere anche per la classe-prodotto, rispetto alla quale, peraltro, lasocietà ha già individuato una profondità storica di un anno.

b.Ampliamento della gamma di parametri utilizzati per effettuare l'attività diprofilazione della clientela. Utilizzo di dati anonimizzati.

Laprevisione da parte di Tiscali di nuovi parametri ai fini dell'individuazionedella propria base utenza per finalità di profilazione e le variantirilevate nel processo stesso di profilazione, impongono l'individuazionedi specifiche cautele al fine di mitigare i rischi che potrebbero derivare daltrattamento dei dati personali dei clienti.

Lasocietà, come già evidenziato, ha introdotto nuove tipologie di cluster,denominate classi (come, ad esempio, le classi prodotto, promozione, trafficoentrante/uscente), le quali vengono popolate sulla base dell'attribuzione dispecifici valori ad un insieme predefinito di parametri con cadenza periodica(tipicamente mensile).

Sottoil profilo tecnico, il sistema adottato dalla società rende possibilidifferenti modalità di ripartizione dell'utenza, ossia di redistribuzione dellastessa in insiemi disgiunti, in modo che ogni cliente sia associato ad unaclasse e che nessun cliente possa appartenere a cluster diversi.

Talemetodologia impone due ordini di considerazioni: uno di carattere generale, cherileva trasversalmente su tutte le classi individuate dalla società, e uno dicarattere specifico che riguarda in particolare due nuovi parametri introdotti da Tiscali, ovvero le classi "traffico-uscente" e"traffico-entrante".

Ilprofilo più generale investe il presupposto su cui Tiscali, così comeevidenziato nel documento che descrive l'architettura del sistema, basal'attività di profilazione della propria clientela, ovvero il ricorso a datianonimizzati a partire dai quali non sarebbe possibile risalire all'identitàdell'utente.

Orbene,occorre rilevare che l'accresciuta disponibilità di parametri su cui la societàintende articolare la creazione di cluster di utenza contrastasignificativamente con tale affermazione.

Conspecifico riferimento agli algoritmi di profilazione sviluppati da Tiscali sievidenzia, infatti, come l'applicazione contemporanea di più criteri diselezione (quali il genere, l'età, la tipologia di servizi sottoscritti, ladata di attivazione, per citare alcuni dei parametri indicati dalla società)possa ridurre sensibilmente la numerosità del cluster, facendo emergereelementi contestuali associati al cliente (quali, ad esempio, la zonageografica di appartenenza, la tipologia di servizi sottoscritti) tali darendere il dato indirettamente identificativo e dunque personale ai sensi delCodice (art. 4, comma1, lett. b). Pertanto, al fine di mitigare tale rischio,risulta necessaria l'adozione di due misure.

Daun lato, la scelta di fasce di valori piuttosto che di valori puntuali per iparametri impiegati per la costruzione del cluster (ad es. attraversol'utilizzo di intervalli di età del tipo 20-30 ovvero 30-40 anni, o l'impiegodi aree geografiche di ampiezza superiore al Comune di appartenenza), ovvero diogni altro accorgimento equivalente volto a ridurre il rischio di pervenire adun livello di dettaglio tale da consentire di identificare, seppureindirettamente, gli utenti.

Dall'altrola realizzazione di un controllo ex-post su ogni cluster estratto, in modo daescludere la creazione di cluster con un numero di clienti inferiore alle 100unità, così da ridurre significativamente il potere identificativo associato aldato a seguito del trattamento.

Appositiaccorgimenti devono invece essere previsti per le classi "traffico-entrante" e "traffico- uscente" al fine di limitare sia il rischio dire-identificazione anche indiretta degli utenti, sia la conoscibilità di datidi dettaglio relativamente alle singole comunicazioni elettroniche effettuatedagli interessati.

Inparticolare, con riferimento alle direttrici di traffico uscente ed entrante,si specifica che tali direttrici devono essere classificate all'interno deisistemi di profilazione esclusivamente per tipologia di arco decadico dinumerazione fissa (ad es. indicatore geografico 0xy, indicatore di servizio direte 4xy, indicatore di servizio ad addebito ripartito 8xy, ecc.) o perindicatore di operatore radiomobile (3xy) e non possono riportare il numerochiamante o chiamato in chiaro.

Lasocietà dovrà inoltre adottare un unico periodo di riferimento minimo di 30giorni per l'aggregazione di tutti gli indicatori di traffico (minuti ditraffico originato/terminato, volumi in Byte di traffico dati, numerocomplessivo di SMS) e di spesa (totale ricariche se applicabili, eventualmentedistinte per canale di ricarica, spesa complessiva, eventualmente distinta percanale di pagamento).

4. Conservazione.

Conriguardo al periodo di conservazione dei dati utilizzati per l'attività diprofilazione la richiesta di estensione dal periodo di 6 mesi prescrittodall'Autorità nel precedente provvedimento a quello di 12 mesi evidenziato daTiscali nella nuova istanza di verifica preliminare, può ritenersi congrua, invirtù di vari elementi.

Innanzituttola circostanza che l'indicazione di un arco temporale di 6 mesi era stataevidenziata dalla stessa società nella precedente istanza di prior checking.   Insecondo luogo la circostanza che l'estensione del periodo di conservazione sinoai richiesti 12 mesi risulta in linea con le prescrizioni di cui sono statidestinatari altri fornitori di servizi di comunicazione elettronica accessibilial pubblico che svolgono attività di profilazione. A tale arco temporale potràpoi aggiungersi un ulteriore periodo di 3 mesi, tenuto conto che tale arco ditempo si rivela, come già evidenziato, sufficiente sia a fornire evidenza deglieffetti di stagionalità propri del consumo e/o delle modalità di pagamento deisuddetti servizi, sia a fornire al pubblico accurati elementi di valutazionesull'andamento dei consumi della clientela Tiscali e sugli indicatori economicidella società.

Allascadenza del suddetto periodo di conservazione i dati personali oggettodell'attività di profilazione svolta da Tiscali devono essere cancellati o resianonimi in modo irreversibile e permanente.

5. Informativa e consenso.

L'informativada rendere con riguardo al trattamento dei dati personali che la societàintende effettuare per finalità di profilazione, oltre a dover specificare cherispetto a tali finalità il trattamento avviene attraverso l'utilizzo di datipersonali aggregati, avvalendosi dell'esonero dalla previa acquisizione delconsenso specifico dell'interessato sulla base del provvedimento generale delGarante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizidi comunicazione elettronica accessibili al pubblico che svolgono attività diprofilazione", (pubblicato nella Gazzetta Ufficiale n. 159 dell'11 luglio2009 e sul sito dell'Autorità doc. web n. 1629107), nonché delle successivegaranzie e misure specificamente prescritte alla società, dovrà contenere, nonsolo tutte le indicazioni e precisazioni già individuate nel precedenteprovvedimento del 2 febbraio 2012, ma anche alcune ulteriorispecificazioni.

Inparticolare con riguardo al periodo di conservazione dei "dati diprofilazione" la società dovrà specificare che gli stessi sarannoconservati per un periodo massimo di 12 mesi, cui potrà aggiungersi unulteriore periodo di 3 mesi come sopra evidenziato e che, alla relativascadenza, tali dati saranno cancellati ovvero resi anonimi in manierairreversibile.

Laddovepoi la società intenda svolgere attività di profilazione attraverso l'utilizzodei dati personali individuali dei propri clienti, l'informativa dovràchiaramente specificare che tale attività può svolgersi solo in presenza delconsenso preventivo e specifico dell'interessato da rilasciarsifacoltativamente da parte di quest'ultimo.

Lanecessità del rilascio di un apposito consenso da parte dell'interessato dovràessere evidenziata anche con riguardo al trattamento dei dati personali perfinalità di "marketing" e per la comunicazione dei dati a soggettiterzi, nonché nel caso di trasferimento degli stessi al di fuori del territoriodell'Unione Europea, salvo che non ricorrano gli altri presupposti sancitidagli artt. 43 e 44 del Codice.

6. Notificazione del trattamento.

Anchea seguito della nuova istanza di verifica preliminare presentata da Tiscalisussiste l'obbligo della società di notifica all'Autorità del trattamento didati personali aggregati della propria utenza per finalità di profilazione come previsto dagli artt. 37, comma 1, lett. d) e 38 del Codice, il cui mancatorispetto implica l'applicazione dell'art. 163 e 164 bis del Codice.

7. Sanzioni.

Ilmancato rispetto delle prescrizioni impartite con il presente provvedimento puòcomportare l'applicazione delle sanzioni previste dall'art. 161, 162, comma2-bis del Codice.

8. Considerazioni conclusive.

Allaluce delle considerazioni sopra evidenziate nell'ambito di quanto richiesto daTiscali sulla base della nuova istanza di verifica preliminare ex art. 17 delCodice sottoposta all'Autorità e della documentazione posta a corredo dellastessa, può pervenirsi alla conclusione che, anche nella più recente situazionedelineata dalla società e nel nuovo assetto della stessa, è possibileeffettuare un corretto bilanciamento tra gli interessi di quest'ultima in vestedi titolare del trattamento e quelli dei soggetti interessati e, pertanto,prevedersi che l'attività di profilazione, attraverso l'utilizzo di datipersonali aggregati della clientela possa essere realizzato per perseguire illegittimo interesse di Tiscali anche senza richiedere un preventivo e specificoconsenso degli interessati.

Unsiffatto trattamento è tuttavia possibile solo a condizione che venganorispettate tutte le prescrizioni precedentemente dettate alla società con ilprovvedimento del 2 febbraio 2012 e quelle espressamente indicate nel presenteprovvedimento a seguito della nuova istanza di prior checking presentata daTiscali.

TUTTO CIO' PREMESSO IL GARANTE:

A)individua, nei termini di cui in motivazione, ai sensi dell'art. 24, comma 1,lett. g) del Codice, bilanciati gli interessi, nella situazione delineata daTiscali Italia S.p.A, con sede legale in Cagliari, località Sa Illetta S.S.195, km 2,3, un'ipotesi in cui il trattamento dei dati personali aggregati perattività di profilazione della clientela può essere effettuato per perseguireun legittimo interesse del titolare, anche senza richiedere il consenso degliinteressati, nel rispetto delle prescrizioni indicate alle successive lettereB) e C);

B)prescrive a Tiscali Italia S.p.A., ai sensi dell'art. 17 del Codice, diadottare, a garanzia degli interessati, in conformità alle disposizioni inmateria di protezione dei dati personali, preliminarmente all'avviodell'attività di profilazione con i dati aggregati della clientela, le misure egli accorgimenti necessari nei termini di cui in motivazione, unitamente aquelle già prescritte con il precedente provvedimento del 2 febbraio 2012 e conparticolare riguardo:

1. alsistema centralizzato per la gestione dei log prodotti dagli amministratori disistema:

a)predisporre un documento relativo all'analisi preliminare ed alla codificazionedelle finalità di verifica delle attività degli amministratori di sistema;

b)individuare tempi di conservazione dei log di accesso conformi a tali finalitàe comunque non inferiori a 6 mesi;

2. allatipologia ed al livello di aggregazione dei dati utilizzati:

a)delimitare il periodo storico massimo di riferimento previsto per il calcolodegli indicatori classe-insolvenza, classe-fatturato e classe-pagamenti,utilizzati dalla società per l'elaborazione del criterio di ripartizione dellaclientela in cluster ai fini dell'attività di profilazione, a 6 mesi, cui potràaggiungersi un'ulteriore finestra di osservazione di 3 mesi;

b) per isoli servizi che prevedono una fatturazione annuale e limitatamente aiparametri che attengono ai dati di fatturazione e relativo pagamento, circoscrivereil periodo di osservazione a 24 mesi (12 mesi più 12 mesi), cui potràaggiungersi una finestra di osservazione di altri 3 mesi, ai fini dellagestione degli accrediti effettuati con bollettino postale;

c) conriguardo alle classi traffico-entrante, traffico-uscente, alla classe- guastied alla classe-reclami prevedere un periodo storico di 6 mesi al quale puòaggiungersi una finestra di osservazione di 3 mesi;

d)rispetto ai parametri classe-anagrafica cliente, classe-contratto,classe-promozione e classe-prodotto, individuare una profondità di 12 mesi cuipuò aggiungersi un'ulteriore finestra temporale di 3 mesi per le finalitàrichiamate in premessa;

e) definire il parametro di costituzione del cluster di utenza sulla base di fascedi valori piuttosto che sulla base di valori puntuali, ovvero attraverso ognialtro accorgimento equivalente volto a ridurne il rischio di pervenire ad unlivello di dettaglio tale da consentire l'identificazione, seppure indiretta,degli utenti;

f)effettuare un controllo ex-post su ogni cluster estratto, in modo da escluderela creazione di cluster con un numero di clienti inferiore alle 100 unità, alfine di ridurre significativamente il potere identificativo associato al dato aseguito del trattamento;

g) con riguardoalle specifiche classi "traffico-entrante" e"traffico-uscente" classificare le rispettive direttrici, all'internodei sistemi di profilazione, esclusivamente per tipologia di arco decadico dinumerazione fissa, ovvero per indicatore di operatore radiomobile;

h)evitare che le direttrici "traffico-uscente" e"traffico-entrante" riportino il numero chiamante o chiamato inchiaro;

i)adottare per l'aggregazione di tutti gli indicatori di traffico e di spesa ununico periodo di riferimento minimo di 30 giorni;

3. alperiodo di conservazione dei dati:

a)conservare i dati utilizzati per l'attività di profilazione per un periodomassimo di 12 mesi, cui potrà aggiungersi un ulteriore periodo di 3 mesi;

b) allascadenza del periodo sopra indicato cancellare tali dati, ovvero trasformaregli stessi in forma anonima ed in modo irreversibile e permanente;

4.all'informativa da rendere agli interessati:

a)specificare che il trattamento di profilazione della clientela, effettuatoattraverso dati personali aggregati, viene realizzato, avvalendosi dell'esonerodalla previa acquisizione del consenso, sulla base di quanto previsto dalprovvedimento generale del Garante del 25 giugno 2009, nonché delle successivegaranzie e misure specificamente prescritte alla società;

b) specificare che il periodo di conservazione dei "dati diprofilazione" è di 12 mesi, cui può aggiungersi un ulteriore periododi 3 mesi e che, alla relativa scadenza, tali dati saranno cancellati ovveroresi anonimi in maniera irreversibile;

c)evidenziare che, nel caso in cui l'attività di profilazione venga effettuataattraverso l'utilizzo dei dati personali individuali dei clienti, tale attivitàsi svolge solo in presenza del consenso preventivo e specificodell'interessato da rilasciarsi facoltativamente da parte di quest'ultimo;

d)evidenziare che il rilascio di un apposito consenso da parte dell'interessato ènecessario anche con riguardo al trattamento dei dati personali per finalità di"marketing" e per la comunicazione dei dati a soggetti terzi, nonchénel caso di trasferimento degli stessi al di fuori del territorio dell'UnioneEuropea, salvo che non ricorrano gli altri presupposti sanciti dagli artt. 43 e44 del Codice.

C)richiede, ai sensi dell'art. 157 del Codice, di comunicare a questa Autorità,preliminarmente all'avvio dell'attività di profilazione, l'avvenuta adozionedelle suddette misure, trasmettendo copia della relativa documentazione.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 24 ottobre 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia