Garante per la protezione
    dei dati personali

L'American Express ha chiesto un parere al Garanteriguardo ai modelli per l'informativa e per la prestazione delconsenso da inviare ai clienti.
Nella risposta, si richiama l'attenzione sul fattoche l'interessato, prestando il proprio consenso, deve esserea conoscenza di tutte le informazioni richieste dall'art. 10 edeve essere libero di esprimere il consenso per uno o piùtrattamenti.

Roma, 22 ottobre 1997                

American Express S.E.L.               
Largo Caduti di El Alamein, 9               
00173 ROMA               

OGGETTO: Modelli per l'informativa e il consenso. Riferimento nota ALS/100/97 del 19 agosto 1997.

Con riferimento alla nota in oggetto, si fa presenteche i modelli per l'informativa all'interessato e la manifestazionedel consenso sottoposti all'attenzione di quest'Autoritàil 14 settembre u.s., soddisfano in alcuni punti i requisiti previstidalla legge n. 675/1996.

Si illustrano, di seguito, alcune modificazioni daapportare.

Informativa

1) Nella prima parte dell'informativa, occorre precisarese i dati sono raccolti presso l'interessato o da terzi ovvero,come sembra, da entrambi (art. 10, commi 1 e 3, legge n. 675/1996).

2) Le finalità del trattamento devono esserespecificate meglio, evidenziando anche la natura facoltativa oobbligatoria del conferimento dei dati, in modo da permettereall'interessato di esercitare consapevolmente le opzioni in ordineall'ampiezza del consenso.

Particolare chiarezza necessita per ciò cheriguarda alcune finalità (quelle di cui al punto 6 dell'informativa,nonché quelle di cui al punto c), che vanno esplicitatenella prima pagina al posto dell'attuale formula di rinvio): ilcliente deve poter comprendere agevolmente che per queste finalitàvi è un'assoluta libertà di esprimere o meno ilconsenso, e che l'eventuale diniego non comporta alcuna conseguenzasfavorevole, fatta eccezione, ovviamente, per l'impossibilitàdi ricevere offerte commerciali dell'American Express o da terzi.

3) Il riferimento alle modalità impiegateper il trattamento deve essere sviluppato descrivendo la logicasu cui si basa il trattamento, e individuando, in particolare,i principali criteri e le metodologie di elaborazione dei dati.

In particolare, non può ritenersi sufficientel'accenno ai "criteri qualitativi, quantitativi e temporali"su cui si basa l'intreccio dei dati. Sia pure per grandi linee,l'interessato deve essere consapevole della circostanza che leanalisi e i controlli effettuati sugli acquisti possono comportareil raffronto con dati detenuti all'estero e la classificazionedei clienti in fasce a seconda del tipo di acquisto o della puntualitànei pagamenti.

4) Nell'informativa si parla dei «terzi fornitoridi fiducia incaricati». L'inciso sembra riguardare non isoggetti estranei all'attività del titolare, ma le personeche operano direttamente per conto di quest'ultimo.

Occorre tuttavia precisare se tali soggetti assumano,al pari del sig. Gaddini, la qualità di «responsabili»del trattamento (art. 8, L. 675/1996).

Qualora essi svolgano, invece, il ruolo degli «incaricatidel trattamento» (i quali com'è noto, possono esseresolo persone fisiche: art. 19, L. 675/1996), non è necessariomenzionarli nell'informativa.

Si ricorda che può essere designato come «responsabile»del trattamento sia una persona fisica dipendente dal titolare,sia un ente, un'associazione o una persona giuridica esterna allastruttura del titolare, sia, infine, una persona fisica dipendenteda uno di tali organismi.

L'informativa dovrà comprendere il nome, ladenominazione o la ragione sociale e il domicilio, la residenzao la sede delle persone fisiche o degli organismi designati inqualità di «responsabili» (ari. 10, comma 1,lett. f) L. 675/1996).

Le persone fisiche responsabili potranno essere indicateanche con un riferimento alla qualità rivestita pro-tempore(es. in qualità di capo del settore... ), il che eviterà,in caso di avvicendamento in tale qualità, di ripeterel'informativa.

5) Con riferimento alla parte relativa all'ambitodi comunicazione e di diffusione dei dati, risultano genericii riferimenti alle società «licenziatarie ovunquenel mondo» (punto a)) e ai «centri di elaborazione dati/banchedati e loro aderenti» (punto b)). Si precisa, al riguardo,che è sufficiente indicare le categorie di soggetti aiquali i dati possono essere comunicati e l'ambito di diffusionedei dati medesimi.

6) Alla pagina 2, in relazione alla natura del conferimentodei dati e alle eventuali conseguenze del rifiuto di fornirli,occorre distinguere le ipotesi in cui i dati:

    a) devono essere forniti per adempiere ad un obbligodi legge (ad es., in base alla normativa antiriciclaggio);

    b) sono necessari all'instaurazione o, a secondadei casi, all'attuazione del rapporto contrattuale (in alcunesituazioni, peraltro, il consenso non è necessario, ilche potrebbe verificarsi, ad esempio, nel caso in cui la valutazionedell'esistenza di un rischio di inadempienza e insolvenza siastrettamente connaturata al tipo di rapporto: art.12, comma 1,lett. b) L. 675/1996);

    c) si riferiscono ad attività svolte da societàterze o dall'American Express, per le quali. il diniego di consensonon può avere alcuna conseguenza sfavorevole sulla costituzioneo sulla prosecuzione del rapporto.
    Le diverse conseguenze del rifiuto di fornire i datipersonali devono essere collegate, alle ipotesi.

7) Il riferimento alla possibilità di escludereil trattamento di cui al punto C) dell'informativa dovràessere riformulato in modo da precisare che l'opzione a disposizionedell'interessato è di tipo «positivo» (possibilitàdi esprimere o di negare un consenso) anziché «negativo»(possibilità di esercitare a posteriori un diniego).

8) E' da precisare che le ultime due righe che figuranoa pagina 2 non hanno effetti sostanziali, in quanto l'AmericanExpress, qualora raccolga presso il titolare della carta di creditodati relativi a terzi (ad es., ai familiari), deve fornire inogni caso, ai terzi medesimi, a posteriori, l'informativa di cuiall'art. 10, comma 3, della legge n.675/1996, e chiedere il loroconsenso, ove necessario.

9) Nel modello d'informativa occorre specificaremeglio chi siano i soggetti indicati al punto d) del modello diconsenso quali «terzi fornitori» selezionati al «soloscopo di assicurare i livelli di servizio ed il controllo deiflussi operativi», chiarendo inoltre il rapporto che intercorrecon l'American Express.

Consenso

1) La Vs. società intende inserire la formularelativa alla dichiarazione del consenso all'interno del regolamentoconcernente la carta di credito, consegnato all'interessato almomento dell'adesione. Tale formula, sia per la sua collocazione,sia per il mancato collegamento ad una informativa, risulterebbein contrasto con l'art.11, comma 3, della legge n.675/1996, il qualestabilisce che il consenso può ritenersi validamente prestatosolo se è espresso «in forma specifica» e sonostate rese all'interessato le informazioni di cui all'art. 10.Pertanto, nella formula del consenso, dovrà essere inseritoun richiamo puntuale alle informazioni rese prima della sottoscrizionedella richiesta della carta, ai sensi del medesimo art. 10, articolandola formula con eventuali distinzioni in modo da permettere all'interessatodi esprimere liberamente, ed in forma specifica, il proprio consenso«informato».

2) L'inciso nel quale il titolare della carta dicredito autorizza l'American Express ad ottenere informazionipresso il datore di lavoro o altri soggetti non è conformealle disposizioni della legge n. 675/1996, le quali prevedono chesiano gli altri titolari del trattamento (datori di lavoro, banche,ecc.) a dover richiedere, ove necessario, il consenso dell'interessatoalla comunicazione dei dati personali all'American Express, (laquale, a sua volta, deve acquisire il consenso per la comunicazionedei dati a terzi).

Non è preclusa la possibilità di esprimerecon un solo atto il consenso sia in favore dell'American Express,sia del datore di lavoro, della banca, di terzi ecc. In tal caso,però, affinché il consenso sia espresso «informa specifica», occorre citare puntualmente i soggetti«autorizzati» al trattamento. Si ricorda, peraltro quantoosservato a proposito dell'informativa in ordine alla genericitàdel riferimento alle società licenziatarie.

3) L'ipotesi descritta al punto a) del modulo diconsenso dovrebbe essere depennata in quanto non è necessariorichiedere il consenso agli interessati per ciò che riguardal'attività dei soggetti che, agiscono, come sembra, inqualità di responsabili (punto a). L'interessato dovràinoltre disporre della possibilità di manifestare a partel'eventuale consenso per ciò che riguarda la partecipazionedell'American Express alle banche dati operanti nel credito (puntob), e per quanto concerne l'analisi delle informazioni, dellecaratteristiche delle spese e degli orientamenti all'acquisto(punto c), a prescindere dalla circostanza che tale analisi siaeffettuata dall'American Express o da terzi.

4) Suscita perplessità il riferimento al trafficotelefonico, che incide su una materia sulla quale è intervenutauna recente direttiva comunitaria che dovrà essere recepitaentro il 23 ottobre 1998. Non sono chiare, anzitutto, le caratteristichee la durata temporale del «monitoraggio» delle telefonate.

In secondo luogo, non occorre richiedere il consensoqualora la registrazione della conversazione sia realmente necessariaper l'esecuzione degli obblighi contrattuali o per l'acquisizionedelle informative precontrattuali attivate su richiesta dell'interessato(art.12 comma 1 lett. b) L. 675/1996). Si informa infine che la rispostaai quesiti formulati con lettera del 13/6/1997, è statasospesa in base alle intese telefoniche con i competenti ufficidella Vs. società, in attesa degli ulteriori quesiti preannunciati.

IL PRESIDENTE