Civile

Thursday 23 March 2006

Servizi di comunicazione elettronica. Secondo il Garante per la privacy è vietato attivare schede o servizi telefonici senza il consenso dell’ intestatario

Servizi di comunicazione
elettronica. Secondo il Garante per la privacy è vietato attivare schede o
servizi telefonici senza il consenso dell’intestatario

GARANTE PER LA PROTEZONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli,
segretario generale;

VISTO il Codice in materia di
protezione dei dati personali (d.lg. 30 giugno 2003,
n. 196);

VISTA la documentazione in atti;

VISTE le
osservazioni formulate dal segretario generale ai sensi dell’art. 15 del
regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe
Fortunato;

PREMESSO

Sono pervenuti a questa Autorità numerosi reclami, segnalazioni e quesiti dai
quali emergono ripetute violazioni del diritto all’utilizzo lecito e corretto
dei dati personali nella prestazione dei servizi di
comunicazione elettronica.

Le violazioni emerse sono
connesse all’indebita attivazione di contratti, schede o servizi telefonici non
richiesti dagli interessati, fenomeno che risulta di
portata ampia anche dalla trattazione dei diversi ricorsi presentati al
Garante.

Attesa la molteplicità delle
questioni e dei soggetti interessati il Garante ritiene di dover adottare un
provvedimento generale per individuare un quadro di garanzie che assicuri il rispetto dei diritti e delle libertà
fondamentali dei cittadini.

Si intende
così richiamare l’attenzione dei soggetti che trattano dati personali fornendo
beni, prestazioni e servizi e impartire loro le prescrizioni necessarie a
rendere i trattamenti conformi al Codice.

I comportamenti illeciti
addebitabili a rivenditori di servizi dislocati sul territorio (c.d. dealer) o
a fornitori di servizi di comunicazione elettronica (di seguito,
"operatori") sono presi in esame per i soli profili di competenza del
Garante. Restano impregiudicati, per gli interessati, diritti ed altri
strumenti di tutela azionabili in altra sede sul piano contrattuale ed
eventualmente penale, come pure su quello amministrativo
per quanto concerne la corretta prestazione da parte dell’operatore e del
rivenditore dei servizi svolti in regime di concessione, autorizzazione o
licenza.

1. Problematiche segnalate

1.1 Schede di telefonia mobile
attivate all’insaputa degli interessati

Varie segnalazioni riguardano
l’indebito trattamento dei dati di persone nei cui confronti sono attivate a
loro insaputa alcune schede di telefonia mobile, a volte anche per ingenti quantità,
perfino a centinaia. In alcuni casi l’Autorità è stata interessata direttamente
dall’autorità giudiziaria inquirente in relazione ad
indebite attivazioni risultanti da procedimenti penali in corso.

Dalla casistica esaminata emerge
che gli intestatari vengono a conoscenza
dell’attivazione delle schede raramente o tardivamente, e magari solo a seguito
di loro richieste di accesso a dati personali rivolte all’operatore. Nel
frattempo, le utenze sono a volte utilizzate per attività che comportano conseguenze
spiacevoli per gli intestatari; in alcuni casi, questi ultimi si trovano
persino sottoposti ad indagini penali che interessano l’intercettazione o il
traffico telefonico della scheda falsamente intestata, oppure altre persone che
l’hanno utilizzata nel quadro di attività criminose.
Alcune false intestazioni risultano infine effettuate
utilizzando dati di persone decedute.

1.2 Attivazione
di un servizio di carrier pre-selection non richiesto

Emerge dagli atti che alcuni dati
personali di soggetti già abbonati sono stati trattati da parte (o per conto)
di un altro operatore, senza la prescritta informativa e in assenza di un
consenso preventivo.

Tale trattamento viene effettuato per attivare il servizio di instradamento
della linea verso un operatore diverso da quello di origine, tramite selezione
automatica (c.d. carrier pre-selection, di seguito "cps"). Alcuni
interessati vengono così contattati telefonicamente,
oppure con visite a domicilio, e la cps non richiesta viene poi attivata sebbene l’operatore, o chi
opera per suo conto, si sia limitato a prospettare agli interessati tariffe
ritenute vantaggiose, oppure a chiedere semplicemente un’autorizzazione ad
inviare materiale informativo o pubblicitario. Risultano
indebite attivazioni anche in casi in cui l’interessato si è chiaramente
opposto già al primo contatto.

Gli interessati apprendono spesso
di essere divenuti clienti solo con la ricezione da parte dell’operatore di
successive comunicazioni di vario tipo, che a volte consistono
direttamente in fatture o avvisi di pagamento relativi a servizi che si
assumono resi, come pure in ingiunzioni di pagamento inviate da società di
recupero crediti.

1.3 Servizi telefonici aggiuntivi
attivati dal proprio o da altro operatore

Altri dati personali di abbonati risultano trattati indebitamente, anche da parte
di operatori diversi da quello che essi hanno prescelto, al fine di attivare
servizi di telefonia ulteriori rispetto ad una linea telefonica di base (ad
es., servizi di segreteria telefonica, tariffe telefoniche "flat" o
linee per la navigazione veloce in Internet). Ciò, sempre in assenza sia dell’ informativa, sia del consenso.

2. Gli accertamenti effettuati

Al fine di raccogliere altri
elementi di valutazione, l’Autorità ha richiesto informazioni ed effettuato ispezioni presso operatori coinvolti e
rivenditori abilitati a concludere contratti e ad attivare schede di telefonia
mobile. Ciò, con particolare riguardo alla tipologia dei dati, alle finalità,
alle modalità e alla logica del trattamento, nonché
agli accorgimenti adottati per tutelare i diritti degli interessati e per
rispettare la normativa sulla protezione dei dati personali.

Da tale documentazione emerge
altresì che un numero consistente di violazioni deriva da un ulteriore
utilizzo improprio dei dati personali da parte di soggetti non sempre
identificati (accompagnato in particolare dalla falsificazione della firma
degli interessati), o da errori materiali commessi da operatori o rivenditori.

Non di rado, risultano
infine attivate più schede telefoniche, utilizzando i dati anagrafici tratti da
un documento di identità richiesto agli interessati per intestare le sole
schede effettivamente da loro richieste. Talvolta, tali prassi sono seguite per
attivare il maggior numero possibile di schede prepagate di un determinato
operatore nell’ambito di veri e propri "piani di incentivazione"
per i rivenditori, ai quali sono riconosciuti compensi o benefici legati al
superamento di soglie prestabilite.

3. I dati personali e le modalità
di raccolta

Le generalità e gli altri dati
riferiti agli abbonati e ai titolari di schede prepagate (ivi compreso il loro
numero di telefono), in quanto riferiti a soggetti identificati o
identificabili, devono considerarsi "dati personali" soggetti alla
disciplina del Codice (art. 4, comma 1, lett. b)).

Pertanto, tutti i soggetti
coinvolti nel loro trattamento sono tenuti ad assicurare che i dati siano
raccolti e registrati per scopi determinati, espliciti e legittimi, e trattati
anche successivamente in modo lecito e secondo
correttezza, osservando le disposizioni del Codice e le altre norme rilevanti
nel trattamento dei dati, compresa quella che prescrive di identificare
abbonati ed acquirenti del traffico prepagato della telefonia mobile prima
dell’attivazione del servizio, al momento della consegna o messa a disposizione
della scheda elettronica. In forza di tale disposizione, gli operatori devono
peraltro adottare tutte le misure necessarie a garantire l’acquisizione dei
dati anagrafici riportati sui documenti di identità,
nonché del tipo, del numero e della riproduzione del documento, presentato
dall’acquirente (art. 55, comma 7, del Codice delle comunicazioni elettroniche
-d.lg. 1 agosto 2003, n. 259- come modificato dall’art. 6, comma 2, d.l. 27
luglio 2005, n. 144 conv., con mod., dalla l. 31 luglio 2005, n. 155).

4. Le verifiche da effettuare sulle attivazioni multiple di schede prepagate

Con riferimento all’attivazione
di schede di telefonia mobile prepagate è necessario che gli operatori
predispongano, altresì, apposite procedure (in parte
già adottate da alcuni, con modalità differenziate) che permettano di rilevare
più tempestivamente le intestazioni multiple di schede da parte di uno stesso
operatore ad una medesima persona.

Tenuto conto delle prime prassi
in tal senso seguite dagli operatori, appare congruo
che le nuove procedure prescritte con il presente provvedimento operino in
riferimento alle intestazioni superiori a quattro (per le persone fisiche) o a
sette utenze (per le persone giuridiche).

Quando vengono
superate tali soglie, l’operatore deve autorizzare l’attivazione delle
ulteriori schede con una procedura più accurata di verifica che accerti
l’effettiva volontà del loro intestatario, dal quale deve raccogliere
direttamente un’idonea dichiarazione di conferma, da documentarsi anche a cura
dell’operatore.

Con riferimento alle attivazioni
già effettuate alla data di ricezione del presente
provvedimento, tutti gli operatori devono sottoporre altresì a verifica le
attivazioni multiple superiori alle predette soglie, definendo una procedura
per ottenere in tempi brevi un’idonea dichiarazione di conferma da parte degli
intestatari, da documentarsi anche a cura dell’operatore.

5. L’informativa nelle attivazioni di servizi

Chiamate e comunicazioni promozionali
volte a realizzare nuove attivazioni di servizi per il tramite di call center
possono essere effettuate solo nei confronti dei
soggetti di cui si possa disporre lecitamente dei relativi dati personali,
rispettando i loro diritti derivanti dalla nuova disciplina degli elenchi
telefonici del servizio universale o degli elenchi "categorici" (v.
Provv. del Garante 15 luglio 2004 e 14 luglio 2005 in www.garanteprivacy.it).

Agli interessati deve essere resa
o risultare fornita un’informativa idonea, chiara ed
efficace, che deve comprendere a norma di legge anche l’indicazione sulla
facoltà o meno del conferimento dei dati, le conseguenze del mancato
conferimento e le figure del titolare e del responsabile del trattamento (art.
13, comma 3, del Codice).

Va altresì prescritto ad
operatori e gestori di servizi di call center di
indicare con precisione l’origine dei dati già nel corso della chiamata o
comunicazione promozionale, permettendo al soggetto contattato di individuare
subito il soggetto che ha fornito o che detiene i dati e le sue puntuali
coordinate. Ciò, a prescindere da una richiesta del destinatario stesso.

6. I soggetti del trattamento

I rapporti tra gli operatori e i
soggetti incaricati di gestire la vendita di servizi o le attività di informazione e assistenza alla clientela (c.d. call
center) non risultano spesso chiari per quanto riguarda il ruolo che ciascun
soggetto svolge rispetto al trattamento dei dati.

Ne discende un quadro complessivo
confuso, che rende assai disagevole per gli interessati sia individuare gli
autori delle indebite attivazioni delle schede e dei servizi non richiesti, sia
porvi rapido rimedio nel rivolgersi ad un titolare o responsabile
del trattamento ben individuati.

Gli operatori, quando non
gestiscono direttamente in proprio le attività di fornitura di beni,
prestazioni e servizi, devono chiarire sia al proprio interno, sia agli
interessati, i ruoli svolti da rivenditori e da altri collaboratori esterni
rispetto al trattamento dei dati.

L’eventuale designazione di questi
ultimi in qualità di responsabili del trattamento deve
rispondere alla realtà dei rapporti sul piano rilevante per il trattamento dei
dati, ed essere accompagnata da un costante controllo –anche a campione-
sull’attività materialmente posta in essere, in particolare da agenti e
rivenditori.

Agenti e rivenditori rivestono la
qualità di titolari autonomi del trattamento dei dati utilizzati ai fini
dell’attivazione dei servizi quando, in base alle
modalità della propria attività, esercitano un potere decisionale reale e del
tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel
proprio ambito (cfr. art. 4, comma 1, lett. f) del
Codice). In tal caso, essi devono adempiere autonomamente
agli obblighi previsti dal Codice, con particolare riferimento a quelli,
sopra specificati, di informativa, di raccolta del consenso eventualmente
necessario e dell’adozione di idonee misure di sicurezza. Gli operatori non
possono trascurare comunque l’esigenza di assicurare
adeguate verifiche su ogni categoria di figura esterna che, anche in qualità di
titolare autonomo del trattamento, possa svolgere un ruolo nell’indebita
attivazione di servizi.

7. La sicurezza dei dati

Considerati i rischi per le
persone interessate, tutti i soggetti coinvolti nel trattamento (titolari,
responsabili ed incaricati) devono assicurare -anche presso i call center- un
livello elevato di sicurezza dei dati.

Oltre all’adozione delle misure
minime di sicurezza (artt. 33 e ss. e Allegato B del Codice), i dati personali
raccolti lecitamente devono essere custoditi e controllati adottando misure di
sicurezza in grado di ridurre al minimo il rischio di accesso
non autorizzato o di trattamento non consentito o non conforme alla finalità
della raccolta (art. 31 del Codice).

Per tutelare gli interessati in
caso di contestazione, è altresì necessario che i titolari del trattamento
sviluppino o integrino strumenti, anche informatici, in grado di identificare
l’incaricato che ha effettuato l’attivazione.

8. L’esercizio dei diritti

I titolari del trattamento devono
predisporre idonee misure organizzative per mettere a disposizione degli
interessati modalità semplici per esercitare i propri diritti (artt. 7 e 10 del
Codice).

Nel caso in cui la persona
contattata si opponga, anche immediatamente, all’utilizzo dei suoi dati per
attivare il servizio proposto e/o per ulteriori
promozioni anche di altro tipo, il servizio di call center interno od esterno
all’operatore deve registrare subito per iscritto la volontà manifestata ed
adottare contestualmente idonee procedure affinché tale volontà sia rispettata.

Il riscontro ad un’idonea
richiesta volta a conoscere l’origine dei dati personali deve comprendere
l’identità e le puntuali coordinate dell’eventuale rivenditore che abbia attivato l’utenza o il servizio non richiesto.

Analogamente, nell’ipotesi in cui
siano stati attivati servizi o utenze di telefonia fissa a seguito solo di una
chiamata o comunicazione di carattere promozionale effettuata non
dall’operatore, ma da chi gestisce per suo conto un servizio di call center,
l’interessato deve poter conoscere l’identità e le puntuali coordinate di tale
gestore.

Infine, effettuate
rapidamente le verifiche eventualmente necessarie, le richieste di rettifica
dei dati o di disattivazione dei servizi od utenze attivati indebitamente
devono essere soddisfatte tempestivamente. Ciò, senza costi per l’interessato
del quale siano stati trattati impropriamente dati personali, anche quando sia
necessario attivare una nuova linea telefonica con l’operatore di origine (cfr., in senso analogo, la deliberazione
dell’Autorità per le garanzie nelle comunicazioni n. 4/03/Cir del 2 aprile
2003, relativa alla cps.).

9. Termine

La diffusività del fenomeno
dell’indebita attivazione di servizi presuppone una rapida attuazione di misure
a tutela degli interessati; quelle indicate nel
presente provvedimento, se già non previste specificamente dal Codice o da
altra disposizione normativa, devono essere rese operative a cura dei titolari
del trattamento entro e non oltre il 31 maggio 2006.

TUTTO CIÒ PREMESSO IL GARANTE:

a) ai sensi dell’art. 154, comma
1, lett. c), del Codice, prescrive ai titolari del trattamento di adottare nei
termini indicati in motivazione le misure necessarie per rendere i trattamenti
di dati personali nella prestazione dei servizi di
comunicazione elettronica conformi ai principi richiamati nel presente
provvedimento. In particolare, il Garante prescrive ai medesimi soggetti di
adottare, per le parti di competenza, le seguenti misure:

predisporre,
nell’ambito delle attivazioni di schede di telefonia mobile prepagate,
specifiche procedure che permettano di rilevare più tempestivamente
intestazioni multiple di schede ad una medesima persona, almeno superiori a
quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche),
autorizzando l’attivazione delle nuove schede con una procedura più accurata di
verifica che accerti l’effettiva volontà dell’intestatario dal quale
raccogliere direttamente un’idonea dichiarazione di conferma;

con riferimento
alle attivazioni effettuate in passato, verificare l’esistenza di attivazioni
multiple e definire una procedura per i casi di superamento delle soglie
indicate al precedente punto 1);

sottoporre
ad attenta valutazione i profili relativi al rapporto che intercorre tra i
soggetti incaricati di gestire la vendita di servizi o le attività di
informazione e assistenza alla clientela e le figure del titolare e del
responsabile del trattamento, e assicurare comunque un livello più adeguato di
verifiche su ogni categoria di figura esterna;

indicare
con precisione l’origine dei dati già nel corso della chiamata o comunicazione
promozionale da parte di operatori e gestori di servizi di call center, a
prescindere da una richiesta del destinatario;

sviluppare
o integrare strumenti idonei ad identificare l’incaricato del trattamento dei
dati che ha effettuato l’attivazione del servizio;

registrare
subito presso il servizio di call center interno od esterno all’operatore la
volontà manifestata dalla persona contattata che si opponga all’utilizzo dei
dati per attivare il servizio proposto e/o per ulteriori promozioni, ed
adottare contestualmente idonee procedure affinché tale volontà sia rispettata;

predisporre
idonee misure organizzative per agevolare l’esercizio dei diritti degli
interessati e riscontrare le richieste relative all’origine dei dati personali,
fornendo anche gli estremi identificativi del rivenditore che ha attivato i
servizi o le utenze non richieste o del soggetto che svolge per conto dell’operatore
un servizio di call center;

b) ai sensi degli artt. 154,
comma 1, lett. c) e 157 del Codice prescrive ai fornitori di servizi di
comunicazione elettronica di effettuare gli
adempimenti di cui alla lettera a) entro e non oltre il 31 maggio 2006, dando conferma
dell’adempimento al Garante entro lo stesso termine;

c) dispone che copia del presente
provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione
leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della
Repubblica italiana ai sensi dell’art. 143, comma 2, del Codice, nonché all’Autorità per le garanzie nelle comunicazioni.

Roma, 16 febbraio 2006