Civile
Servizi telefonici non richiesti: maggiori tutele per i cittadini.
Servizi telefonici non richiesti:
maggiori tutele per i cittadini.
Autorità Garante per la
protezione dei dati personali Provvedimento generale del 16 febbraio 2006
Garante per la protezione dei
dati personali
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli,
segretario generale;
Visto il Codice
in materia di protezione dei dati personali (Dl 196/03);
Vista la documentazione in atti;
Viste le
osservazioni formulate dal segretario generale ai sensi dell’articolo 15 del
regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe
Fortunato;
Premesso
Sono pervenuti a questa Autorità numerosi reclami, segnalazioni e quesiti dai
quali emergono ripetute violazioni del diritto all’utilizzo lecito e corretto
dei dati personali nella prestazione dei servizi di comunicazione elettronica.
Le violazioni emerse sono
connesse all’indebita attivazione di contratti, schede o servizi telefonici non
richiesti dagli interessati, fenomeno che risulta di
portata ampia anche dalla trattazione dei diversi ricorsi presentati al
Garante.
Attesa la molteplicità delle
questioni e dei soggetti interessati il Garante ritiene di dover adottare un
provvedimento generale per individuare un quadro di garanzie che assicuri il rispetto dei diritti e delle libertà
fondamentali dei cittadini.
Si intende
così richiamare l’attenzione dei soggetti che trattano dati personali fornendo
beni, prestazioni e servizi e impartire loro le prescrizioni necessarie a
rendere i trattamenti conformi al Codice.
I comportamenti illeciti
addebitabili a rivenditori di servizi dislocati sul territorio (c.d. dealer) o
a fornitori di servizi di comunicazione elettronica (di seguito, “operatori”)
sono presi in esame per i soli profili di competenza del Garante. Restano
impregiudicati, per gli interessati, diritti ed altri strumenti di tutela azionabili
in altra sede sul piano contrattuale ed eventualmente penale, come pure su quello amministrativo per quanto concerne la corretta
prestazione da parte dell’operatore e del rivenditore dei servizi svolti in
regime di concessione, autorizzazione o licenza.
1. Problematiche segnalate
1.1 Schede di
telefonia mobile attivate all’insaputa degli interessati
Varie segnalazioni riguardano
l’indebito trattamento dei dati di persone nei cui confronti sono attivate a
loro insaputa alcune schede di telefonia mobile, a volte anche per ingenti
quantità, perfino a centinaia. In alcuni casi l’Autorità è stata interessata
direttamente dall’autorità giudiziaria inquirente in
relazione ad indebite attivazioni risultanti da procedimenti penali in corso.
Dalla casistica esaminata emerge
che gli intestatari vengono a conoscenza
dell’attivazione delle schede raramente o tardivamente, e magari solo a seguito
di loro richieste di accesso a dati personali rivolte all’operatore. Nel
frattempo, le utenze sono a volte utilizzate per attività che comportano
conseguenze spiacevoli per gli intestatari; in alcuni casi, questi ultimi si
trovano persino sottoposti ad indagini penali che interessano l’intercettazione
o il traffico telefonico della scheda falsamente intestata, oppure altre persone
che l’hanno utilizzata nel quadro di attività
criminose. Alcune false intestazioni risultano infine
effettuate utilizzando dati di persone decedute.
1.2 Attivazione
di un servizio di carrier pre-selection non richiesto
Emerge dagli atti che alcuni dati
personali di soggetti già abbonati sono stati trattati da parte (o per conto)
di un altro operatore, senza la prescritta informativa
e in assenza di un consenso preventivo.
Tale trattamento viene effettuato per attivare il servizio di instradamento
della linea verso un operatore diverso da quello di origine, tramite selezione
automatica (c.d. carrier pre-selection, di seguito “cps”). Alcuni interessati vengono così contattati telefonicamente, oppure con visite a
domicilio, e la cps non richiesta viene poi attivata sebbene l’operatore, o chi
opera per suo conto, si sia limitato a prospettare agli interessati tariffe
ritenute vantaggiose, oppure a chiedere semplicemente un’autorizzazione ad
inviare materiale informativo o pubblicitario.
Risultano indebite attivazioni anche in casi in cui
l’interessato si è chiaramente opposto già al primo contatto.
Gli interessati apprendono spesso
di essere divenuti clienti solo con la ricezione da parte dell’operatore di
successive comunicazioni di vario tipo, che a volte consistono
direttamente in fatture o avvisi di pagamento relativi a servizi che si
assumono resi, come pure in ingiunzioni di pagamento inviate da società di
recupero crediti.
1.3 Servizi telefonici aggiuntivi
attivati dal proprio o da altro operatore
Altri dati personali di abbonati risultano trattati indebitamente, anche da parte
di operatori diversi da quello che essi hanno prescelto, al fine di attivare
servizi di telefonia ulteriori rispetto ad una linea telefonica di base (ad
es., servizi di segreteria telefonica, tariffe telefoniche “flat” o linee per
la navigazione veloce in Internet). Ciò, sempre in assenza sia dell’ informativa, sia del
consenso.
2. Gli accertamenti effettuati
Al fine di raccogliere altri
elementi di valutazione, l’Autorità ha richiesto informazioni
ed effettuato ispezioni presso operatori coinvolti e
rivenditori abilitati a concludere contratti e ad attivare schede di telefonia
mobile. Ciò, con particolare riguardo alla tipologia dei dati, alle finalità,
alle modalità e alla logica del trattamento, nonché
agli accorgimenti adottati per tutelare i diritti degli interessati e per
rispettare la normativa sulla protezione dei dati personali.
Da tale documentazione emerge
altresì che un numero consistente di violazioni deriva da un ulteriore
utilizzo improprio dei dati personali da parte di soggetti non sempre
identificati (accompagnato in particolare dalla falsificazione della firma
degli interessati), o da errori materiali commessi da operatori o rivenditori.
Non di rado, risultano
infine attivate più schede telefoniche, utilizzando i dati anagrafici tratti da
un documento di identità richiesto agli interessati per intestare le sole
schede effettivamente da loro richieste. Talvolta, tali prassi sono seguite per
attivare il maggior numero possibile di schede prepagate di un determinato
operatore nell’ambito di veri e propri “piani di incentivazione”
per i rivenditori, ai quali sono riconosciuti compensi o benefici legati al
superamento di soglie prestabilite.
3. I dati personali e le modalità
di raccolta
Le generalità e gli altri dati
riferiti agli abbonati e ai titolari di schede prepagate (ivi compreso il loro
numero di telefono), in quanto riferiti a soggetti identificati o
identificabili, devono considerarsi “dati personali” soggetti alla disciplina
del Codice (articolo 4, comma 1, lettera b)).
Pertanto, tutti i soggetti
coinvolti nel loro trattamento sono tenuti ad assicurare che i dati siano
raccolti e registrati per scopi determinati, espliciti e legittimi, e trattati
anche successivamente in modo lecito e secondo
correttezza, osservando le disposizioni del Codice e le altre norme rilevanti
nel trattamento dei dati, compresa quella che prescrive di identificare
abbonati ed acquirenti del traffico prepagato della telefonia mobile prima
dell’attivazione del servizio, al momento della consegna o messa a disposizione
della scheda elettronica. In forza di tale disposizione, gli operatori devono
peraltro adottare tutte le misure necessarie a garantire l’acquisizione dei
dati anagrafici riportati sui documenti di identità,
nonché del tipo, del numero e della riproduzione del documento, presentato
dall’acquirente (articolo 55, comma 7, del Codice delle comunicazioni elettroniche
– Dl 259/03 – come modificato dall’articolo 6, comma 2, Dl Dl 144/05 conv., con
mod., dalla legge 155/05).
4. Le verifiche da effettuare sulle attivazioni multiple di schede prepagate
Con riferimento all’attivazione
di schede di telefonia mobile prepagate è necessario che gli operatori
predispongano, altresì, apposite procedure (in parte
già adottate da alcuni, con modalità differenziate) che permettano di rilevare
più tempestivamente le intestazioni multiple di schede da parte di uno stesso
operatore ad una medesima persona.
Tenuto conto delle prime prassi
in tal senso seguite dagli operatori, appare congruo
che le nuove procedure prescritte con il presente provvedimento operino in
riferimento alle intestazioni superiori a quattro (per le persone fisiche) o a
sette utenze (per le persone giuridiche).
Quando vengono
superate tali soglie, l’operatore deve autorizzare l’attivazione delle
ulteriori schede con una procedura più accurata di verifica che accerti
l’effettiva volontà del loro intestatario, dal quale deve raccogliere
direttamente un’idonea dichiarazione di conferma, da documentarsi anche a cura
dell’operatore.
Con riferimento alle attivazioni
già effettuate alla data di ricezione del presente
provvedimento, tutti gli operatori devono sottoporre altresì a verifica le
attivazioni multiple superiori alle predette soglie, definendo una procedura
per ottenere in tempi brevi un’idonea dichiarazione di conferma da parte degli
intestatari, da documentarsi anche a cura dell’operatore.
5. L’informativa
nelle attivazioni di servizi
Chiamate e comunicazioni
promozionali volte a realizzare nuove attivazioni di servizi per il tramite di
call center possono essere effettuate solo nei
confronti dei soggetti di cui si possa disporre lecitamente dei relativi dati
personali, rispettando i loro diritti derivanti dalla nuova disciplina degli
elenchi telefonici del servizio universale o degli elenchi “categorici” (v.
Provv. del Garante 15 luglio 2004 e 14 luglio 2005 in
www.garanteprivacy.it).
Agli interessati deve essere resa
o risultare fornita un’informativa
idonea, chiara ed efficace, che deve comprendere a norma di legge anche
l’indicazione sulla facoltà o meno del conferimento dei dati, le conseguenze
del mancato conferimento e le figure del titolare e del responsabile del
trattamento (articolo 13, comma 3, del Codice).
Va altresì prescritto ad
operatori e gestori di servizi di call center di
indicare con precisione l’origine dei dati già nel corso della chiamata o
comunicazione promozionale, permettendo al soggetto contattato di individuare
subito il soggetto che ha fornito o che detiene i dati e le sue puntuali
coordinate. Ciò, a prescindere da una richiesta del destinatario stesso.
6. I soggetti del trattamento
I rapporti tra gli operatori e i
soggetti incaricati di gestire la vendita di servizi o le attività di informazione e
assistenza alla clientela (c.d. call center) non risultano spesso chiari per
quanto riguarda il ruolo che ciascun soggetto svolge rispetto al trattamento
dei dati.
Ne discende un quadro complessivo
confuso, che rende assai disagevole per gli interessati sia individuare gli
autori delle indebite attivazioni delle schede e dei servizi non richiesti, sia
porvi rapido rimedio nel rivolgersi ad un titolare o responsabile
del trattamento ben individuati.
Gli operatori, quando non
gestiscono direttamente in proprio le attività di fornitura di beni,
prestazioni e servizi, devono chiarire sia al proprio interno, sia agli
interessati, i ruoli svolti da rivenditori e da altri collaboratori esterni rispetto
al trattamento dei dati.
L’eventuale designazione di
questi ultimi in qualità di responsabili del
trattamento deve rispondere alla realtà dei rapporti sul piano rilevante per il
trattamento dei dati, ed essere accompagnata da un costante controllo –anche a
campione- sull’attività materialmente posta in essere, in particolare da agenti
e rivenditori.
Agenti e rivenditori rivestono la
qualità di titolari autonomi del trattamento dei dati utilizzati ai fini
dell’attivazione dei servizi quando, in base alle
modalità della propria attività, esercitano un potere decisionale reale e del
tutto autonomo sulle modalità e sulle finalità del trattamento effettuato nel
proprio ambito (cfr. articolo 4, comma 1, lettera f)
del Codice). In tal caso, essi devono adempiere autonomamente
agli obblighi previsti dal Codice, con particolare riferimento a quelli,
sopra specificati, di informativa, di raccolta
del consenso eventualmente necessario e dell’adozione di idonee misure di
sicurezza. Gli operatori non possono trascurare comunque
l’esigenza di assicurare adeguate verifiche su ogni categoria di figura esterna
che, anche in qualità di titolare autonomo del trattamento, possa svolgere un
ruolo nell’indebita attivazione di servizi.
7. La sicurezza dei dati
Considerati i rischi per le
persone interessate, tutti i soggetti coinvolti nel trattamento (titolari,
responsabili ed incaricati) devono assicurare – anche presso i call center- un
livello elevato di sicurezza dei dati.
Oltre all’adozione delle misure
minime di sicurezza (articoli 33 e ss. e Allegato B del Codice), i dati
personali raccolti lecitamente devono essere custoditi e controllati adottando
misure di sicurezza in grado di ridurre al minimo il rischio di
accesso non autorizzato o di trattamento non consentito o non conforme
alla finalità della raccolta (articolo 31 del Codice).
Per tutelare gli interessati in
caso di contestazione, è altresì necessario che i titolari del trattamento
sviluppino o integrino strumenti, anche informatici,
in grado di identificare l’incaricato che ha effettuato
l’attivazione.
8. L’esercizio dei diritti
I titolari del trattamento devono
predisporre idonee misure organizzative per mettere a disposizione degli
interessati modalità semplici per esercitare i propri diritti (articoli 7 e 10
del Codice).
Nel caso in cui la persona
contattata si opponga, anche immediatamente, all’utilizzo dei suoi dati per
attivare il servizio proposto e/o per ulteriori
promozioni anche di altro tipo, il servizio di call center interno od esterno
all’operatore deve registrare subito per iscritto la volontà manifestata ed
adottare contestualmente idonee procedure affinché tale volontà sia rispettata.
Il riscontro ad un’idonea
richiesta volta a conoscere l’origine dei dati personali deve comprendere
l’identità e le puntuali coordinate dell’eventuale rivenditore che abbia attivato l’utenza o il servizio non richiesto.
Analogamente, nell’ipotesi in cui
siano stati attivati servizi o utenze di telefonia fissa a seguito solo di una
chiamata o comunicazione di carattere promozionale effettuata non
dall’operatore, ma da chi gestisce per suo conto un servizio di call center,
l’interessato deve poter conoscere l’identità e le puntuali coordinate di tale
gestore.
Infine, effettuate
rapidamente le verifiche eventualmente necessarie, le richieste di rettifica
dei dati o di disattivazione dei servizi od utenze attivati indebitamente
devono essere soddisfatte tempestivamente. Ciò, senza costi per l’interessato
del quale siano stati trattati impropriamente dati personali, anche quando sia
necessario attivare una nuova linea telefonica con l’operatore di origine (cfr., in senso analogo, la deliberazione
dell’Autorità per le garanzie nelle comunicazioni n. 4/03/Cir del 2 aprile
2003, relativa alla cps.).
9. Termine
La diffusività del fenomeno
dell’indebita attivazione di servizi presuppone una rapida attuazione di misure
a tutela degli interessati; quelle indicate nel
presente provvedimento, se già non previste specificamente dal Codice o da
altra disposizione normativa, devono essere rese operative a cura dei titolari
del trattamento entro e non oltre il 31 maggio 2006.
Tutto ciò premesso il garante:
a) ai sensi dell’articolo
154, comma 1, lettera c), del Codice, prescrive ai titolari del
trattamento di adottare nei termini indicati in motivazione le misure
necessarie per rendere i trattamenti di dati personali nella prestazione dei
servizi di comunicazione elettronica conformi ai principi richiamati nel
presente provvedimento. In particolare, il Garante prescrive ai medesimi
soggetti di adottare, per le parti di competenza, le seguenti misure:
1. predisporre,
nell’ambito delle attivazioni di schede di telefonia mobile prepagate,
specifiche procedure che permettano di rilevare più tempestivamente
intestazioni multiple di schede ad una medesima persona, almeno superiori a
quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche),
autorizzando l’attivazione delle nuove schede con una procedura più accurata di
verifica che accerti l’effettiva volontà dell’intestatario dal quale
raccogliere direttamente un’idonea dichiarazione di conferma;
2. con riferimento alle
attivazioni effettuate in passato, verificare l’esistenza di attivazioni
multiple e definire una procedura per i casi di superamento delle soglie
indicate al precedente punto 1);
3. sottoporre ad attenta
valutazione i profili relativi al rapporto che
intercorre tra i soggetti incaricati di gestire la vendita di servizi o le
attività di informazione e assistenza alla
clientela e le figure del titolare e del responsabile del trattamento, e
assicurare comunque un livello più adeguato di verifiche su ogni categoria di
figura esterna;
4. indicare con precisione
l’origine dei dati già nel corso della chiamata o comunicazione promozionale da
parte di operatori e gestori di servizi di call
center, a prescindere da una richiesta del destinatario;
5. sviluppare o integrare
strumenti idonei ad identificare l’incaricato del trattamento dei dati che ha effettuato l’attivazione del servizio;
6. registrare subito presso il
servizio di call center interno od esterno all’operatore la volontà manifestata
dalla persona contattata che si opponga all’utilizzo dei dati per attivare il
servizio proposto e/o per ulteriori promozioni, ed
adottare contestualmente idonee procedure affinché tale volontà sia rispettata;
7. predisporre idonee misure
organizzative per agevolare l’esercizio dei diritti degli interessati e
riscontrare le richieste relative all’origine dei dati
personali, fornendo anche gli estremi identificativi del rivenditore che ha
attivato i servizi o le utenze non richieste o del soggetto che svolge per
conto dell’operatore un servizio di call center;
b) ai sensi degli articoli 154,
comma 1, lettera c) e 157 del Codice prescrive ai fornitori di servizi di
comunicazione elettronica di effettuare gli
adempimenti di cui alla lettera a) entro e non oltre il 31 maggio 2006, dando
conferma dell’adempimento al Garante entro lo stesso termine;
c) dispone che copia del presente
provvedimento sia trasmessa al ministero della Giustizia-Ufficio pubblicazione
leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della
Repubblica italiana ai sensi dell’articolo 143, comma 2, del Codice, nonché all’Autorità per le garanzie nelle comunicazioni.