| Garante per la protezione dei dati personali Aggiornamento delle prescrizionidirette ai fornitori di servizi di comunicazione elettronica accessibili alpubblico che svolgono attività di profilazione PROVVEDIMENTO DEL 6 FEBBRAIO 2014 (Pubblicato sulla Gazzetta Ufficiale n. 58 dell'11 marzo 2014) Registro dei provvedimenti n. 53 del 6 febbraio 2014 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI NELLAriunione odierna, in presenza del dott Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale; VISTOil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196, di seguito "Codice"); VISTOil provvedimento del Garante del 25 giugno 2009 recante "Prescrizioni aifornitori di servizi di comunicazione elettronica accessibili al pubblico chesvolgono attività di profilazione" (pubblicato in G.U. n. 159 del 11luglio 2009 e in www.gpdp.it, doc. web n. 1629107 - di seguito"provvedimento generale"); VISTAla direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre2009 recante modifica della direttiva 2002/22/CE relativa al serviziouniversale e ai diritti degli utenti in materia di reti e di servizi dicomunicazione elettronica; VISTAla direttiva 2009/140/CE del Parlamento europeo e del Consiglio, del 25novembre 2009, recante modifica delle direttive 2002/21/CE che istituisce unquadro normativo comune per le reti ed i servizi di comunicazione elettronica,2002/19/CE relativa all'accesso alle reti di comunicazione elettronica e allerisorse correlate, e all'interconnessione delle medesime e 2002/20/CE relativaalle autorizzazioni per le reti e i servizi di comunicazione elettronica; VISTAla delibera n. 147/11/CIR, adottata dall'Autorità per le garanzie nelle comunicazioni,il 30 novembre 2011 recante "Revisione delle norme riguardanti laportabilità del numero mobile – approvazione del Regolamento"; VISTOil "Regolamento riguardante la portabilità dei numeri per i servizidi comunicazioni mobili e personali" di cui all'Allegato 1 alla suddettadelibera; VISTIi singoli provvedimenti emanati nei confronti dei fornitori di servizi dicomunicazione elettronica accessibili al pubblico, a seguito delle specificheistanze di verifica preliminare presentate al Garante in materia diprofilazione della clientela, attraverso l'utilizzo di dati personali aggregati(di seguito "fornitori"); TENUTOCONTO dell'istanza di riesame e aggiornamento, presentata all'Autorità da unfornitore destinatario di uno degli specifici provvedimenti emanati, conparticolare riguardo ad una nuova previsione della base temporale diaggregazione dei dati utilizzati per finalità di profilazione; VISTAla documentazione in atti; VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento n. 1/2000; RELATOREla dott.ssa Augusta Iannini; PREMESSO Conil provvedimento generale del 25 giugno 2009 l'Autorità ha prescritto aifornitori di servizi di comunicazione elettronica accessibili al pubblico chesvolgevano o intendevano svolgere attività di profilazione nei confronti deipropri clienti, utilizzandone i dati personali aggregati e senza richiedere ilprevisto consenso, di formulare al Garante, attraverso il ricorso allaprocedura prevista dall'art. 17 del Codice, un'istanza di verificapreliminare (c.d. prior checking) nella quale individuare, in manieradettagliata, i trattamenti da effettuare, le specifiche finalità e la tipologiadei dati di cui fruire. Inparticolare, la possibilità che il trattamento di profilazione attraverso dati personali aggregati degli utenti potesse essere effettuato previo esonerodalla preventiva acquisizione del consenso previsto dall'art. 23 del Codice, èstata individuata dall'Autorità in forza di un bilanciamento di interessicondotto alla stregua dell'art. 24, comma 1, lett. g) del Codice. Aseguito del provvedimento generale, all'Autorità sono pervenute, da parte dellemaggiori società di telecomunicazioni che operano nel nostro Paese, numeroseistanze di prior checking che hanno condotto all'emanazione di specificiprovvedimenti nei confronti di ciascun titolare del trattamento, il cuilegittimo interesse è stato individuato nella necessità per i fornitori disvolgere l'attività di profilazione in quanto elemento, non solo determinantedella customer relationship management ma, anche, di un'efficace e correttapolitica commerciale e di marketing nei confronti della clientela. AlGarante è stato difatti prospettato come i risultati dell'attività di analisidei comportamenti di consumo degli utenti attraverso dati aggregati consentanodi supportare i processi decisionali e le strategie societarie, di implementarela progettazione delle strutture aziendali e, soprattutto, di fornire servizi eprodotti funzionali alle esigenze ed alle scelte dei clienti. Nell'ambitodei singoli provvedimenti adottati, il Garante ha pertanto previsto l'adozionedi una serie di misure ed accorgimenti, sia sotto il profilo giuridico, siasotto quello tecnico al fine di rendere i trattamenti di profilazione conformialla disciplina sulla protezione dei dati personali ed a rafforzare la tuteladei soggetti interessati. Difatti,come evidenziato nel provvedimento generale, i dati personali aggregati oggettodell'attività di profilazione, pur derivando da dati originari dettagliati dicui il titolare continua a disporre per finalità gestionali ed esigenzeoperative previste anche per legge, devono essere esclusivamente dati dai qualinon si possa risalire ad informazioni dettagliate relative a singoli interessati. Inragione di ciò, tra le specifiche misure prescrittive, individuate dall'Autoritànei confronti dei singoli fornitori per lo svolgimento dell'attività diprofilazione, è stata individuata la previsione di un livello di aggregazionedelle informazioni personali degli utenti non inferiore a trenta giorni. Ciòin quanto detto periodo costituiva una base temporale sufficientemente ampiaper evitare una ricostruzione dettagliata delle comunicazioni elettronicheriferibili a singoli interessati e risultava al contempo idonea a rappresentarefenomeni e comportamenti dell'utenza. Infatti,dalle valutazioni effettuate dal Garante preliminarmente all'emanazione deglispecifici provvedimenti rivolti ai fornitori, era emerso che periodi diosservazione inferiori, per tutto l'insieme dei dati considerati, conducevanoad un livello di dettaglio eccedente rispetto alla necessità dell'operatore divalutare i consumi dei clienti individuandone eventuali variazioni, le quali,oltre ad essere legate più a fenomeni stagionali, osservabili su scaletemporali mensili anziché settimanali o giornaliere, ben potevano desumersianche dal confronto con altri indicatori quali, ad esempio, la serie storicadelle fatture emesse sulla base di una normale cadenza mensile o bimestrale,oppure la frequenza di ricarica che può riguardare periodi ancor piùdistanziati. Tuttavia,a fronte di un quadro così delineato, negli ultimi tempi, all'Autorità è statoprospettato, in particolare attraverso un'apposita istanza di riesame, propostada un fornitore rispetto alle prescrizioni impartite, un nuovo assetto delmercato delle telecomunicazioni che impone, dopo alcuni anni dall'emanazionedel provvedimento generale del 2009, nonché degli specifici provvedimenti,nuove considerazioni rispetto al livello di aggregazione delle informazionidegli utenti, utilizzate per finalità di profilazione. All'Autorità,sulla base delle più recenti dinamiche di mercato che hanno prodotto un aumentodella pressione competitiva tra i soggetti che operano nel settore delletelecomunicazioni ed una crescente presenza di nuovi operatori, è stato quindirichiesto di valutare un livello di aggregazione dei dati su una base temporalepiù ridotta, come misura idonea a garantire un maggior equilibrio nei processidi gestione della clientela. Ciòtenendo conto del fatto che, tra gli elementi che hanno maggiormente alterato ipregressi assetti di mercato, generando un rilevante incremento di fenomeni dinatura concorrenziale, è emerso il crescente ricorso da parte degli utenti allostrumento della number portability, ovvero della portabilità del numero ditelefonia mobile che consente, mantenendo detto numero, di cambiare contempistiche molto rapide il fornitore del servizio, così da poter beneficiaredi nuove e più vantaggiose offerte commerciali. Attraversola number portability si viene a delineare un meccanismo di mercato checoinvolge, in tempi molto brevi, oltre all'utente che chiede la portabilità delnumero, sia l'operatore mobile (c.d. operatore donating) con il qualequest'ultimo ha stipulato l'originario contratto per la fornitura del serviziodi telefonia mobile, sia l'operatore mobile ricevente (c.d. operatorerecipient) che acquisisce tale utente. Ilregolamento, allegato alla menzionata delibera dell'Autorità per le garanzienelle comunicazioni del 30 novembre 2011, prevede peraltro che l'operatorerecipient invii all'operatore donating la richiesta di portabilità del cliente"entro le ore 19.00 del giorno in cui la medesima richiesta è immessadalle reti di vendita dei sistemi del recipient stesso, avuto riguardo alladata eventualmente indicata dal clienteŠ" (cfr. art. 5) riducendo ad ungiorno lavorativo il c.d. periodo di migrazione. Inoltre, ciascun operatoremobile, in quanto donating, mette a disposizione degli altri operatori mobiliuna capacità di evasione giornaliera degli ordinativi, ovvero delle richiestedi portabilità (cfr. art. 8). L'operatoreche causa un ritardo nella realizzazione della portabilità rispetto ai tempimassimi previsti è poi tenuto a corrispondere all'operatore recipient unapenale (cfr. art. 13), così come quest'ultimo, quale unico interlocutore delcliente, è tenuto a risarcire eventuali ritardi nell'attivazione dellaportabilità del numero, su richiesta del cliente stesso (cfr. art. 14). Peraltro,il numero degli utenti che attualmente richiedono il servizio di numberportability è superiore ai 10 milioni su base annua ed il dato risulta in forteespansione, come emerge dalla "Relazione annuale 2013 sull'attività svoltae sui programmi di lavoro" dell'Autorità per le garanzie nellecomunicazioni. L'opportunitàofferta agli utenti di cambiare il proprio operatore di telefonia mobile intempi così ridotti, unita alla crescente consapevolezza delle offerte che ilmercato è in grado di offrire, ha quindi progressivamente accentuato lacompetitività tra operatori. Oltrea tale fenomeno il mercato ha poi assistito, negli ultimi tempi, anche ad unacrescita "dell'offerta dati" legata alla sempre maggiore diffusionedi dispositivi radiomobili evoluti, quali smartphone e tablet, ed alla presenzadi una rete mobile a banda larga sempre più capillare ed efficace. Taleofferta ha modificato la propensione all'uso dei servizi tradizionalmenteofferti dall'operatore, orientando molti utenti verso l'uso di servizialternativi ai classici servizi sms o di telefonia, quali quelli dimessaggistica o fonia (c.d. VoIP) e i servizi internet, proposti dai varifornitori di servizi della società dell'informazione, indicati anche comeprovider over the top. Lacombinazione delle suddette cause ha quindi comportato una maggiore reattivitàdei clienti che sono in grado di "inseguire", in ragione sia deiridotti tempi di migrazione del numero tra i diversi gestori di telefoniamobile, sia della disponibilità di servizi alternativi a quelli di meratelefonia cui accedere attraverso la rete a banda larga, i mutamenti delmercato aderendo alle offerte più vantaggiose, di volta in volta proposte daivari competitors. Orbene,i nuovi comportamenti dell'utenza, che si verificano su una scala temporalemolto ridotta, hanno fatto emergere per i fornitori la necessità di osservarealcuni fenomeni utili per l'attività di profilazione, i quali potrebbero esserepiù efficacemente interpretati laddove l'arco temporale di aggregazione delleinformazioni fosse più breve rispetto a quello mensile, attualmente previstosulla base delle prescrizioni impartite dal Garante. Intale ipotesi, infatti, all'operatore risulta difficile comprendere edanalizzare i comportamenti dei clienti con un'adeguata velocità e quindiriuscire a gestire i servizi offerti in maniera più puntale e ritagliata sulleloro reali esigenze, tanto che spesso la clientela viene contattata sulla basedi bisogni divenuti ormai obsoleti. Siffatte condizioni rendono inoltreevidente un evento rilevante per l'operatore (come ad esempio una drasticariduzione del traffico telefonico o della spesa che costituisce un chiaroindicatore del mutamento delle esigenze del cliente), solo al termine delperiodo di riferimento ed impediscono di intervenire prontamente attraversoefficaci misure di coinvolgimento dell'utente stesso in un nuovo e più adeguatopiano di offerte e tariffe. Peraltro,da quanto rappresentato al Garante, è emerso che il periodo mensile diosservazione crea un vuoto di informazioni sulle esigenze del cliente già nelleprime fasi di attivazione di una sim, le quali si rivelano invece fondamentaliper un'idonea gestione dell'utenza. Sullabase di tutte le osservazioni sopra richiamate e nell'ottica di consentire unapiù corretta e puntuale gestione dell'offerta rivolta all'utenza, l'Autoritàritiene quindi opportuno rivedere alcuni dei presupposti che ne hanno ispiratole scelte nel provvedimento generale del 25 giugno 2009 e negli specificiprovvedimenti successivamente emanati a seguito delle diverse istanze diverifica preliminare proposte dai fornitori. Intal senso occorre, come sempre, effettuare un contemperamento dei diversiinteressi in gioco, tenuto conto delle necessarie tutele che devono presidiarela riservatezza delle comunicazioni elettroniche degli interessati e laprotezione dei relativi dati personali, in particolare nell'ambito dei processidi profilazione. Inragione di tali premesse possono pertanto individuarsi, nello specifico ambitoin oggetto, alcune peculiarità dell'attività di profilazione come attualmentesvolta dai fornitori sulla base delle prescrizioni impartite dal Garante, cheoffrono un sicuro ambito di tutela pure rispetto alle nuove valutazioni chesono state richieste all'Autorità in ragione dei cambiamenti evidenziati. Cisi riferisce, in primo luogo, alla circostanza che l'attività di profilazionesvolta dai predetti soggetti si basa su dati aggregati come espressione disomma di tutti gli eventi di traffico (volumi di minuti generati o di bytetrasmessi) i quali costituiscono una categoria sufficientemente robustarispetto a tentativi di estrazione di singole informazioni che possonoconsentire l'identificazione anche indiretta dell'utente. Tale circostanzaoffre, quindi, un'adeguata tutela anche laddove si dovesse ridurre, al di sottodel previsto periodo di osservazione mensile, la scala temporale di riferimentoper il processo di aggregazione dei dati utilizzati per profilare gli utenti. Insecondo luogo, l'attività di profilazione attualmente consentita, non si puòbasare su singole numerazioni, ma esclusivamente su direttrici di traffico, conla conseguenza che non appare possibile risalire a dati di dettaglio delsingolo evento di comunicazione elettronica riferibile ad un utenteidentificato o identificabile. Inoltre,il processo di profilazione si configura come un'attività internadell'operatore e non prevede il coinvolgimento di terze parti, peraltro ilrischio di accessi indesiderati al dato aggregato di traffico per finalità diprofilazione risulta mitigato da tutte le misure di carattere tecnico-organizzativogià individuate nei singoli provvedimenti emanati nei confronti dei fornitori. Ciòavuto particolare riguardo all'implementazione di sistemi appositamentededicati alla profilazione, funzionalmente separati dai sistemi originari checostituiscono la fonte del dato aggregato e da ulteriori eventuali sistemiutilizzati dal titolare per altre finalità; alla definizione di specificiprofili autorizzativi per gli incaricati che svolgono l'attività diprofilazione, diversi da quelli di coloro che effettuano eventuali, ulteriori,attività, anche successive alla profilazione; all'adozione di meccanismi diaudit che consentono il tracciamento delle operazioni realizzate dagliincaricati che svolgono l'attività di profilazione, nonché alla conservazionedei dati per un periodo di tempo limitato, decorso il quale gli stessi devonoessere obbligatoriamente cancellati. Incospetto di uno scenario come quello sopra delineato e ferme restando tutte lemisure prescritte dall'Autorità per garantire un corretto ed adeguatotrattamento dei dati personali degli utenti nell'ambito dell'attività diprofilazione svolta dai fornitori, si ritiene quindi possibile individuare,nell'ambito della suddetta attività, una nuova scala di misurazione deifenomeni che delineano il comportamento degli utenti. Tuttavia,tale scala di misurazione può considerarsi solo rispetto ad alcune categorie didati e senza che sussista la possibilità di risalire ad informazioni didettaglio del singolo evento di comunicazione elettronica riferibile ad unutente identificato o identificabile. Conseguentemente,il periodo minimo di riferimento per l'aggregazione dei dati personaliutilizzati al predetto fine può essere individuato in un arco temporale di duegiorni. Ciòin quanto una base di osservazione ancor più ridotta potrebbe riguardare unnumero di eventi talmente esiguo da consentire l'associazione alla singolautenza e vanificare così il processo di aggregazione che è posto alla base deltrattamento stesso. Lariduzione del periodo di osservazione dei dati personali aggregati per finalitàdi profilazione può poi ritenersi ammissibile a condizione che la misurazionedei fenomeni che rilevano per tale attività riguardi esclusivamente determinatetipologie di dati, ovvero quelle relative al volume di minuti in trafficooriginato o terminato (in minuti o byte), al numero di eventi di ricarica,distinto per canale di ricarica, nonché al totale delle ricariche. Afronte di tale previsione deve poi considerarsi che, per tutte le altremisurazioni, ovvero per l'analisi aggregata dei dati che riguardano altrieventi che il fornitore individua per finalità di profilazione della clientela,quali i contatti dell'utente con il customer care, le visite ai diversi puntivendita ed assistenza del fornitore, nonché le offerte relative ai terminali,la base temporale minima di riferimento deve essere di trenta giorni. Restaperaltro inteso che anche nelle ipotesi esaminate permangono tutti gliadempimenti di cui agli artt. 37 e 38 del Codice. Ilmancato rispetto delle prescrizioni impartite con il presente provvedimento puòinoltre comportare l'applicazione delle sanzioni previste dall'art. 162, comma2-ter del Codice. Roma, 6 febbraio 2014
|