Trattamento dei dati personali nell’ambito dei servizi telefonici non richiesti.
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 16 febbraio 2006
( pubblicato nella Gazzetta Ufficiale n. 54 del 06-03-2006)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

 Nella  riunione  odierna, in presenza del prof. Francesco Pizzetti, presidente,  del  dott.  Giuseppe  Chiaravalloti, vicepresidente, del dott.  Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Visto  il  codice  in  materia  di  protezione  dei  dati personali (decreto legislativo 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste  le  osservazioni  formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;

Premesso:

Sono pervenuti a questa autorita’ numerosi reclami, segnalazioni e quesiti   dai   quali   emergono   ripetute  violazioni  del  diritto
all’utilizzo  lecito  e corretto dei dati personali nella prestazione dei servizi di comunicazione elettronica.
Le  violazioni  emerse  sono  connesse  all’indebita attivazione di contratti,   schede   o   servizi   telefonici  non  richiesti  dagli interessati,  fenomeno  che  risulta  di  portata  ampia  anche dalla trattazione dei diversi ricorsi presentati al Garante.
Attesa  la molteplicita’ delle questioni e dei soggetti interessati il  Garante  ritiene  di dover adottare un provvedimento generale per individuare  un  quadro  di  garanzie  che  assicuri  il rispetto dei diritti e delle liberta’ fondamentali dei cittadini.
Si  intende cosi’ richiamare l’attenzione dei soggetti che trattano dati  personali fornendo beni, prestazioni e servizi e impartire loro
le  prescrizioni  necessarie  a  rendere  i  trattamenti  conformi al codice.
I  comportamenti  illeciti  addebitabili  a  rivenditori di servizi dislocati  sul  territorio  (c.d. dealer) o a fornitori di servizi di comunicazione  elettronica  (di  seguito,  «operatori») sono presi in esame   per  i  soli  profili  di  competenza  del  Garante.  Restano impregiudicati,  per  gli  interessati, diritti ed altri strumenti di tutela   azionabili   in   altra   sede  sul  piano  contrattuale  ed eventualmente  penale,  come pure su quello amministrativo per quanto
concerne  la  corretta  prestazione  da  parte  dell’operatore  e del rivenditore   dei   servizi   svolti   in   regime   di  concessione, autorizzazione o licenza.

1. Problematiche segnalate.

1.1   Schede   di   telefonia   mobile  attivate  all’insaputa  degli interessati.
  Varie  segnalazioni  riguardano  l’indebito trattamento dei dati di persone nei cui confronti sono attivate a loro insaputa alcune schede di  telefonia  mobile, a volte anche per ingenti quantita’, perfino a centinaia.   In   alcuni   casi   l’autorita’  e’  stata  interessata direttamente  dall’autorita’  giudiziaria  inquirente in relazione ad indebite attivazioni risultanti da procedimenti penali in corso.
Dalla  casistica  esaminata  emerge  che  gli intestatari vengono a conoscenza  dell’attivazione delle schede raramente o tardivamente, e magari  solo  a seguito di loro richieste di accesso a dati personali rivolte   all’operatore.  Nel  frattempo,  le  utenze  sono  a  volte utilizzate  per  attivita’  che comportano conseguenze spiacevoli per gli  intestatari;  in  alcuni  casi, questi ultimi si trovano persino sottoposti  ad indagini penali che interessano l’intercettazione o il traffico  telefonico  della scheda falsamente intestata, oppure altre persone  che  l’hanno  utilizzata  nel quadro di attivita’ criminose.
Alcune  false  intestazioni  risultano  infine effettuate utilizzando dati di persone decedute.

1.2   Attivazione   di  un  servizio  di  carrier  pre-selection  non richiesto.
  Emerge  dagli  atti  che  alcuni  dati  personali  di soggetti gia’ abbonati  sono  stati  trattati  da  parte  (o per conto) di un altro operatore,  senza  la  prescritta  informativa  e  in  assenza  di un consenso preventivo.
Tale  trattamento  viene  effettuato  per  attivare  il servizio di instradamento  della  linea  verso  un operatore diverso da quello di origine, tramite selezione automatica (c.d. carrier pre-selection, di seguito   «cps»).   Alcuni   interessati   vengono  cosi’  contattati telefonicamente,  oppure  con  visite  a  domicilio,  e  la  cps  non richiesta viene poi attivata sebbene l’operatore, o chi opera per suo conto,  si  sia  limitato  a  prospettare  agli  interessati  tariffe ritenute     vantaggiose,    oppure    a    chiedere    semplicemente un’autorizzazione  ad  inviare materiale informativo o pubblicitario.
Risultano  indebite attivazioni anche in casi in cui l’interessato si e’ chiaramente opposto gia’ al primo contatto.
Gli  interessati  apprendono spesso di essere divenuti clienti solo con  la ricezione da parte dell’operatore di successive comunicazioni di  vario  tipo,  che  a  volte  consistono direttamente in fatture o avvisi  di  pagamento  relativi  a servizi che si assumono resi, come pure  in  ingiunzioni  di  pagamento  inviate da societa’ di recupero crediti.

1.3  Servizi  telefonici  aggiuntivi  attivati dal proprio o da altro operatore.
  Altri  dati personali di abbonati risultano trattati indebitamente, anche  da  parte  di  operatori  diversi  da  quello  che  essi hanno prescelto,  al  fine  di  attivare  servizi  di  telefonia  ulteriori rispetto  ad  una  linea  telefonica  di  base  (ad  es.,  servizi di segreteria  telefonica,  tariffe  telefoniche  «flat»  o linee per la navigazione   veloce  in  Internet).  Cio’,  sempre  in  assenza  sia dell’informativa, sia del consenso.

2. Gli accertamenti effettuati.

Al  fine  di raccogliere altri elementi di valutazione, l’autorita’ ha  richiesto  informazioni  ed effettuato ispezioni presso operatori coinvolti  e  rivenditori  abilitati  a  concludere  contratti  e  ad attivare  schede  di telefonia mobile. Cio’, con particolare riguardo alla tipologia dei dati, alle finalita’, alle modalita’ e alla logica del  trattamento,  nonche’  agli accorgimenti adottati per tutelare i diritti  degli  interessati  e  per  rispettare  la  normativa  sulla
protezione dei dati personali.
Da tale documentazione emerge altresi’ che un numero consistente di violazioni  deriva  da  un  ulteriore  utilizzo  improprio  dei  dati personali  da parte di soggetti non sempre identificati (accompagnato in particolare dalla falsificazione della firma degli interessati), o da errori materiali commessi da operatori o rivenditori.
Non  di  rado,  risultano  infine attivate piu’ schede telefoniche, utilizzando  per piu’ schede i dati anagrafici tratti da un documento di  identita’ richiesto agli interessati per intestare le sole schede effettivamente  da loro richieste. Talvolta, tali prassi sono seguite per  attivare  il  maggior numero possibile di schede prepagate di un determinato   operatore  nell’ambito  di  veri  e  propri  «piani  di incentivazione»   per  i  rivenditori,  ai  quali  sono  riconosciuti
compensi o benefici legati al superamento di soglie prestabilite.

3. I dati personali e le modalita’ di raccolta.

Le  generalita’  e  gli  altri  dati  riferiti  agli  abbonati e ai titolari  di  schede  prepagate  (ivi  compreso  il  loro  numero  di telefono), in quanto  riferiti   a   soggetti   identificati   o  identificabili,  devono  considerarsi  «dati personali» soggetti alla disciplina del codice (art. 4, comma 1, lettera b).
Pertanto,  tutti  i  soggetti  coinvolti  nel loro trattamento sono tenuti ad assicurare che i dati siano raccolti e registrati per scopi determinati,  espliciti e legittimi, e trattati anche successivamente in  modo lecito e secondo correttezza, osservando le disposizioni del codice  e le altre norme rilevanti nel trattamento dei dati, compresa quella  che  prescrive  di  identificare  abbonati  ed acquirenti del traffico  prepagato della telefonia mobile prima dell’attivazione del servizio,  al  momento  della  consegna  o messa a disposizione della scheda  elettronica.  In  forza  di  tale disposizione, gli operatori
devono  peraltro  adottare  tutte  le  misure  necessarie a garantire l’acquisizione   dei  dati  anagrafici  riportati  sui  documenti  di identita’,  nonche’  del  tipo,  del  numero e della riproduzione del documento,  presentato  dall’acquirente (art. 55, comma 7, del codice delle  comunicazioni  elettroniche  –  decreto  legislativo 1° agosto 2003,  n.  259,  come  modificato dall’art. 6, comma 2, decreto-legge 27 luglio  2005,  n. 144 conv., con mod., dalla legge 31 luglio 2005, n. 155).

4.  Le  verifiche  da effettuare sulle attivazioni multiple di schede prepagate.

Con  riferimento  all’attivazione  di  schede  di  telefonia mobile prepagate  e’  necessario  che gli operatori predispongano, altresi’, apposite  procedure  (in parte gia’ adottate da alcuni, con modalita’ differenziate)  che  permettano  di  rilevare piu’ tempestivamente le intestazioni  multiple  di schede da parte di uno stesso operatore ad una medesima persona.
Tenuto  conto  delle  prime  prassi  in  tal  senso  seguite  dagli operatori,  appare  congruo  che le nuove procedure prescritte con il presente  provvedimento  operino  in  riferimento  alle  intestazioni superiori a quattro (per le persone fisiche) o a sette utenze (per le persone giuridiche).
Quando  vengono  superate tali soglie, l’operatore deve autorizzare l’attivazione  delle ulteriori schede con una procedura piu’ accurata di  verifica  che accerti l’effettiva volonta’ del loro intestatario, dal  quale  deve  raccogliere direttamente un’idonea dichiarazione di conferma, da documentarsi anche a cura dell’operatore.
Con  riferimento  alle  attivazioni  gia’  effettuate  alla data di ricezione  del  presente  provvedimento,  tutti  gli operatori devono sottoporre altresi’ a verifica le attivazioni multiple superiori alle predette  soglie, definendo una procedura per ottenere in tempi brevi un’idonea  dichiarazione  di  conferma da parte degli intestatari, da documentarsi anche a cura dell’operatore.

5. L’informativa nelle attivazioni di servizi.

Chiamate  e  comunicazioni  promozionali  volte  a realizzare nuove attivazioni  di  servizi per il tramite di call center possono essere effettuate  solo  nei confronti dei soggetti di cui si possa disporre lecitamente  dei  relativi dati personali, rispettando i loro diritti derivanti   dalla  nuova  disciplina  degli elenchi  telefonici  del servizio  universale  o  degli  elenchi  «categorici»  (v. Provv. del Garante 15 luglio 2004 e 14 luglio 2005 in  ww.garanteprivacy.it).
Agli   interessati   deve   essere   resa   o   risultare   fornita un’informativa  idonea,  chiara  ed  efficace, che deve comprendere a norma  di  legge  anche  l’indicazione  sulla  facolta’  o  meno  del conferimento  dei  dati, le conseguenze del mancato conferimento e le figure  del  titolare  e  del  responsabile del trattamento (art. 13, comma 3, del codice).
Va  altresi’  prescritto  ad operatori e gestori di servizi di call center  di  indicare con precisione l’origine dei dati gia’ nel corso della  chiamata o comunicazione promozionale, permettendo al soggetto contattato  di  individuare  subito  il soggetto che ha fornito o che detiene  i  dati e le sue puntuali coordinate. Cio’, a prescindere da una richiesta del destinatario stesso.

6. I soggetti del trattamento.

I  rapporti tra gli operatori e i soggetti incaricati di gestire la vendita  di  servizi o le attivita’ di informazione e assistenza alla clientela  (c.d.  call center) non risultano spesso chiari per quanto riguarda il ruolo che ciascun soggetto svolge rispetto al trattamento dei dati.
Ne   discende  un  quadro  complessivo  confuso,  che  rende  assai disagevole  per  gli  interessati  sia  individuare  gli autori delle indebite  attivazioni  delle  schede e dei servizi non richiesti, sia porvi rapido rimedio nel rivolgersi ad un titolare o responsabile del trattamento ben individuati.
Gli  operatori,  quando  non  gestiscono direttamente in proprio le attivita’  di  fornitura  di  beni,  prestazioni  e  servizi,  devono verificare  chiarire  sia al proprio interno, sia agli interessati, i ruoli svolti da rivenditori e da altri collaboratori esterni rispetto al trattamento dei dati.
L’eventuale   designazione   di   questi   ultimi  in  qualita’  di responsabili  del  trattamento  deve  rispondere  alla  realta’  dei rapporti sul piano rilevante per il trattamento dei dati, ed essere accompagnata   da   un  costante  controllo  –  anche  a  campione  – sull’attivita’  materialmente  posta  in  essere,  in  particolare da agenti e rivenditori.
Agenti e rivenditori rivestono la qualita’ di titolari autonomi del trattamento  dei dati utilizzati ai fini dell’attivazione dei servizi quando, in base alle modalita’ della propria attivita’, esercitano un potere decisionale reale e del tutto autonomo sulle modalita’ e sulle finalita’ del trattamento effettuato nel proprio ambito (cfr. art. 4, comma 1,  lettera f)  del codice). In tal caso, essi devono adempiere autonomamente  agli  obblighi  previsti  dal  codice, con particolare riferimento  a quelli, sopra specificati, di informativa, di raccolta del  consenso  eventualmente  necessario  e  dell’adozione  di idonee
misure  di  sicurezza.  Gli operatori non possono trascurare comunque l’esigenza  di  assicurare  adeguate  verifiche  su ogni categoria di figura  esterna  che,  anche  in  qualita’  di  titolare autonomo del trattamento,  possa  svolgere  un  ruolo nell’indebita attivazione di servizi.

7. La sicurezza dei dati.

Considerati  i  rischi per le persone interessate, tutti i soggetti coinvolti  nel  trattamento  (titolari,  responsabili  ed incaricati) devono  assicurare  – anche presso i call center – un livello elevato di sicurezza dei dati.
Oltre all’adozione delle misure minime di sicurezza (articoli  33 e ss.  e  allegato B del codice), i dati personali raccolti lecitamente devono  essere  custoditi e controllati adottando misure di sicurezza in grado di ridurre al minimo il rischio di accesso non autorizzato o di  trattamento  non  consentito  o non conforme alla finalita’ della raccolta (art. 31 del codice).
Per  tutelare gli interessati in caso di contestazione, e’ altresi’ necessario  che  i  titolari  del  trattamento sviluppino o integrino strumenti,  anche  informatici, in grado di identificare l’incaricato che ha effettuato l’attivazione.

8. L’esercizio dei diritti.

I   titolari  del  trattamento  devono  predisporre  idonee  misure organizzative  per mettere a disposizione degli interessati modalita’ semplici  per  esercitare  i  propri  diritti  (articoli  7  e 10 del codice).
Nel   caso   in   cui  la  persona  contattata  si  opponga,  anche immediatamente,  all’utilizzo  dei suoi dati per attivare il servizio proposto  e/o  per  ulteriori  promozioni  anche  di  altro  tipo, il servizio  di  call  center  interno  od  esterno  all’operatore  deve registrare  subito  per  iscritto la volonta’ manifestata ed adottare contestualmente   idonee   procedure   affinche’  tale  volonta’  sia rispettata.
Il riscontro ad un’idonea richiesta volta a conoscere l’origine dei dati  personali deve comprendere l’identita’ e le puntuali coordinate dell’eventuale  rivenditore che abbia attivato l’utenza o il servizio non richiesto.
Analogamente,  nell’ipotesi  in  cui siano stati attivati servizi o utenze   di  telefonia  fissa  a  seguito  solo  di  una  chiamata  o comunicazione di carattere promozionale effettuata non dall’operatore,  ma da chi gestisce per suo conto un servizio di call center,  l’interessato deve poter conoscere l’identita’ e le puntuali coordinate di tale gestore.
Infine,   effettuate   rapidamente   le   verifiche   eventualmente necessarie,  le  richieste  di rettifica dei dati o di disattivazione dei   servizi   od   utenze   attivati  indebitamente  devono  essere soddisfatte  tempestivamente. Cio’, senza costi per l’interessato del quale  siano  stati  trattati  impropriamente  dati  personali, anche quando  sia  necessario  attivare  una  nuova  linea  telefonica  con l’operatore  di  origine  (cfr.,  in  senso analogo, la deliberazione dell’autorita’  per  le  garanzie nelle comunicazioni n. 4/03/Cir del 2 aprile 2003, relativa alla cps.).

9. Termine.

La  diffusivita’  del fenomeno dell’indebita attivazione di servizi presuppone   una   rapida   attuazione   di  misure  a  tutela  degli interessati;  quelle indicate nel presente provvedimento, se gia’ non previste specificamente dal codice o da altra disposizione normativa, devono  essere  rese  operative  a  cura dei titolari del trattamento entro e non oltre il 31 maggio 2006.

Tutto cio’ premesso, il Garante:

  • a) ai  sensi  dell’art.  154,  comma  1,  lettera c), del codice, prescrive  ai  titolari  del  trattamento  di  adottare  nei  termini indicati   in   motivazione   le  misure  necessarie  per  rendere  i trattamenti  di  dati  personali  nella  prestazione  dei  servizi di comunicazione   elettronica   conformi  ai  principi  richiamati  nel presente  provvedimento.  In  particolare,  il  Garante  prescrive ai medesimi  soggetti  di  adottare,  per  le  parti  di  competenza, le
    seguenti misure:

    1. predisporre,  nell’ambito  delle  attivazioni  di schede di telefonia  mobile  prepagate,  specifiche procedure che permettano di rilevare  piu’ tempestivamente intestazioni multiple di schede ad una medesima persona, almeno superiori a quattro (per le persone fisiche) o   a   sette   utenze  (per  le  persone  giuridiche),  autorizzando l’attivazione  delle  nuove schede con una procedura piu’ accurata di verifica che accerti l’effettiva volonta’ dell’intestatario dal quale raccogliere direttamente un’idonea dichiarazione di conferma;
    2. con  riferimento  alle  attivazioni  effettuate in passato, verificare   l’esistenza  di  attivazioni  multiple  e  definire  una procedura  per  i  casi  di  superamento  delle  soglie  indicate  al precedente punto 1);
    3. sottoporre  ad  attenta  valutazione  i profili relativi al rapporto  che  intercorre  tra  i  soggetti  incaricati di gestire la vendita  di  servizi o le attivita’ di informazione e assistenza alla clientela   e   le   figure  del  titolare  e  del  responsabile  del trattamento,  e  assicurare  comunque  un  livello  piu’  adeguato di verifiche su ogni categoria di figura esterna;
    4. indicare  con  precisione l’origine dei dati gia’ nel corso della  chiamata  o comunicazione promozionale da parte di operatori e gestori di servizi di call center, a prescindere da una richiesta del destinatario;
    5. sviluppare  o  integrare  strumenti  idonei ad identificare l’incaricato del trattamento dei dati che ha effettuato l’attivazione del servizio;
    6. registrare subito presso il servizio di call center interno od  esterno  all’operatore  la  volonta’  manifestata  dalla  persona contattata  che  si  opponga  all’utilizzo  dei  dati per attivare il servizio   proposto   e/o   per  ulteriori  promozioni,  ed  adottare contestualmente   idonee   procedure   affinche’  tale  volonta’  sia rispettata;
    7. predisporre  idonee  misure  organizzative  per  agevolare l’esercizio dei diritti degli interessati, e riscontrare le richieste relative  all’origine  dei dati personali, fornendo anche gli estremi identificativi  del rivenditore che ha attivato i servizi o le utenze non  richieste  o del soggetto che svolge per conto dell’operatore un servizio di call center;
  • b) ai  sensi  degli  articoli 154,  comma 1, lettera c) e 157 del codice prescrive ai fornitori di servizi di comunicazione elettronica di  effettuare  gli  adempimenti  di  cui alla lettera a) entro e non oltre  il  31 maggio 2006, dando conferma dell’adempimento al Garante entro lo stesso termine;
  • c) dispone  che copia del presente provvedimento sia trasmessa al Ministero  della  giustizia  – Ufficio pubblicazione leggi e decreti, per  la  sua  pubblicazione nella Gazzetta Ufficiale della Repubblica italiana  ai  sensi  dell’art.  143,  comma  2,  del  codice, nonche’ all’Autorita’ per le garanzie nelle comunicazioni.

Roma, 16 febbraio 2006
Il presidente: Pizzetti
Il relatore: Fortunato
Il segretario generale: Buttarelli