Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Informazioni sulla solvibilità e affidabilità dei clienti dei gestori telefonici: H3G - 4 maggio 2006 [1302339]

[doc. web n. 1302339]

vedi anche
I Sic dopo le verifiche svolte dal Garante
Crif n. 
1302311 Experian n. 1302326

Gestori telefonici: informazioni sulla solvibilità e affidabilità dei clienti
Telecom n.
 1302373 - Vodafone n. 1302385 - Wind n. 1302395

Informazioni sulla solvibilità e affidabilità dei clienti dei gestori telefonici: H3G - 4 maggio 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceità e la correttezza dei trattamenti di dati personali effettuati, con riferimento a servizi di telefonia, da fornitori di servizi di comunicazione elettronica tramite i sistemi di informazione creditizia, alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (pubblicato in G.U. 23 dicembre 2004, n. 300);

Visto il verbale relativo all´attività ispettiva condotta presso H3G S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
Il Garante, ad un anno dall´adozione del "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti" adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice (e consultabile in G.U. 23 dicembre 2004, n. 300), nonché in considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite tali sistemi sui soggetti che (in varie forme) accedono al credito, ha avviato dall´ottobre del 2005 una serie di accertamenti ispettivi presso i principali sistemi di informazioni creditizie privati, cui ha fatto seguito l´adozione in data odierna di due provvedimenti nei confronti di Crif S.p.A. ed Experian Information Services S.p.A.

Tale attività è stata posta in essere per accertare la liceità e la correttezza dei trattamenti di dati personali effettuati da tali titolari del trattamento, tenuto anche conto che il rispetto delle predette regole deontologiche, adottate secondo la particolare procedura descritta all´art. 12 del Codice, costituisce condizione essenziale per la liceità del trattamento (cfr. art. 12 del medesimo Codice; v. anche l´art. 11, comma 2).

2. L´attività di controllo nei confronti di H3G S.p.A.
In considerazione delle risultanze delle verifiche svolte –che hanno evidenziato anche un trattamento di dati personali da parte dei sistemi di informazioni creditizie con riferimento all´attività posta in essere da fornitori di servizi di comunicazione elettronica–, l´Autorità ha avviato un´ulteriore serie di accertamenti di natura ispettiva volti a definire meglio il quadro dei trattamenti effettuati e a valutare compiutamente la loro liceità alla luce della complessiva disciplina in materia di protezione dei dati personali.

In data 5 aprile 2006 è stata effettuata un´ispezione presso H3G S.p.A. (di seguito H3G).

Il presente provvedimento tiene conto sia degli accertamenti svolti presso i sistemi di informazioni creditizie, sia delle risultanze dell´attività ispettiva effettuata presso H3G.

OSSERVA

3. Trattamenti di dati personali in vista dell´attivazione di contratti relativi a servizi di telefonia: la raccolta di dati personali della clientela dai sistemi di informazioni creditizie

3.1. Alla luce della documentazione acquisita presso H3G anche nel corso dell´ispezione, risulta che, con riguardo a soggetti (persone fisiche, comprensive dei "titolari di ditte individuali", o giuridiche) che richiedono l´attivazione di utenze telefoniche in abbonamento (c.d. post-pagato), la società ne identifica i "profili di rischio" accedendo "ai dati contenuti nel sistema di informazioni creditizie (Sic) di Crif S.p.A." (cfr. verbale dell´accertamento ispettivo).

Con riguardo a potenziali clienti che abbiano la qualità di persone giuridiche H3G consulta, avvalendosi dei servizi resi da Crif S.p.A., informazioni provenienti da archivi pubblici, "le quali evidenziano situazioni di criticità solo in presenza di protesti, iscrizioni pregiudizievoli o dati di visure camerali dai quali si evince l´inattività della società".

Nell´ambito di questa consultazione è possibile, altresì, "visionare un sintetico report relativo al rappresentante legale della società, report nel quale sono riportate anche informazioni ricavate dal Sic. La società riassume l´esito istruttorio in un giudizio sintetico positivo o negativo (Ok o Ko) sulla base del quale il contratto viene perfezionato o non concluso".

In base alle procedure adottate, in occasione di ciascuna richiesta di attivazione di carte in abbonamento da parte di persone fisiche e di imprese individuali, i rivenditori presenti presso i punti-vendita abilitati dalla società (dealer) inseriscono in un sistema informatizzato gestito da H3G (dealer-station) i dati anagrafici e il codice fiscale del cliente. Il sistema, "mediante una procedura automatizzata di valutazione del rischio creditizio, esprime un giudizio sintetico (Ok o Ko) sulla base del quale l´attivazione viene effettuata o meno".

In base alle dichiarazioni raccolte a verbale, detta procedura si articola in varie fasi alle quali corrisponde l´interrogazione di archivi distinti: "la prima consiste nell´interrogazione del data-base della società. Se il richiedente risulta già cliente in abbonamento H3G, la valutazione del rischio viene effettuata solo sulla base delle informazioni relative al comportamento contrattuale (frodi, morosità ecc.) e, pertanto, non si procede alla consultazione delle banche dati di Crif o rese disponibili da Crif. Qualora invece il richiedente non risulti essere già abbonato H3G, il sistema procede ad interrogare i diversi data-base di Crif, secondo una gerarchia predefinita: la prima analisi riguarda la presenza di eventuali protesti o iscrizioni pregiudizievoli. Qualora gli stessi siano presenti, ciò è sufficiente per fornire un giudizio negativo in merito all´attivazione (Ko) e pertanto non si procede all´ulteriore interrogazione del Sic di Crif. Qualora invece non si riscontrino protesti o iscrizioni, il sistema procede alla interrogazione del Sic di Crif il quale fornisce un punteggio (score) determinato dal complesso delle informazioni relative alla regolarità dei pagamenti ivi censite. Lo score determina la collocazione del soggetto esaminato in "classi di rischio" individuate da Crif" e, a certe condizioni, "il sistema di H3G fornisce, all´esito dell´interrogazione, un giudizio negativo sull´attivazione (Ko)".

3.2. Il trattamento di dati appena descritto posto in essere da H3G si pone in contrasto con i principi di protezione dei dati personali, nei termini di seguito specificati.

Le informazioni che formano oggetto di comunicazione da parte di Crif S.p.A. ad H3G, in forma di punteggio sintetico o, all´occorrenza, di dato analitico, sono il frutto di operazioni di trattamento effettuate da sistemi di informazioni creditizie nei quali sono censiti dati, trattati per valutare il merito creditizio, relativi a richieste e a rapporti di finanziamento conferiti da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all´art. 1, comma 1, lett. a) ed e), del predetto codice deontologico).

In base alla disciplina vigente, tali dati possono essere comunicati lecitamente solo a soggetti che svolgono attività di intermediazione bancaria e finanziaria o che, in qualità di altri soggetti privati che esercitano un´attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385).

Come già affermato in passato dal Garante, infatti, gestori e partecipanti ai sistemi di informazioni creditizie devono rispettare il principio di finalità che nel caso di specie, sulla base della disciplina vigente, riguarda solo la tutela del credito e il contenimento del relativo rischio: in base ad esso, la consultazione dei dati personali riguardanti gli interessati allo stato può avvenire soltanto se strettamente connessa all´istruttoria di una richiesta di finanziamento (cfr. punto 4 del provvedimento del 31 luglio 2002, in Bollettino n. 30 del 2002, p. 47 ).

Tale principio, enunciato anche in riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalità (cfr., per la Centrale rischi della Banca d´Italia, il cap. 1, punto 2, delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004 e, per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999, in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell´art. 117 del Codice, inserito all´interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il medesimo principio è sviluppato nel codice di deontologia e di buona condotta adottato ai sensi dell´art. 117 del Codice, in virtù del quale le informazioni relative all´affidabilità e alla puntualità nei pagamenti della clientela possono essere trattate in base alla vigente disciplina a fini di "concessione, nell´esercizio di un´attività commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a), del codice di deontologia].

Peraltro, anche il verbale di sottoscrizione del predetto codice di deontologia e di buona condotta del 26 ottobre 2004 esclude dall´ambito di applicazione di quest´ultimo il trattamento di dati personali nell´ambito dei servizi di telefonia, rimettendo ad una trattazione distinta ed autonoma, "la tematica della ricognizione dell´affidabilità e della puntualità dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversità degli ambiti ora considerati".

I fornitori di servizi di comunicazione elettronica, non ascrivibili tra i soggetti sopra menzionati, non stipulano contratti di finanziamento, neanche nella forma della dilazione del pagamento (rispetto ai quali può farsi lecito uso dei menzionati sistemi di informazioni creditizie), ma concludono contratti ad esecuzione continuata o periodica (in particolare, di somministrazione di servizi telefonici o di locazione di terminali).

In questi ultimi contratti, la scadenza pattuita delle singole rate non è riconducibile alla diversa figura della dilazione del pagamento (e tantomeno dell´obbligo restitutorio derivante da un finanziamento). Le scadenze periodiche rappresentano, infatti, non un differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali quest´ultima deve essere versata dall´utente quale corrispettivo delle prestazioni godute per le correlative rate temporali (connesse, nel caso di specie, all´erogazione di servizi di telefonia o al godimento di beni). In tal senso, il Garante si è già pronunciato disponendo la cancellazione dei dati comunicati da alcuni dei predetti fornitori a sistemi di informazioni creditizie, in quanto reputati non pertinenti per commisurare il rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Per tali ragioni, l´illiceità del trattamento effettuato da Crif S.p.A. nei termini accertati da questa Autorità con il provvedimento del 4 maggio 2006 –anche in ragione dell´inosservanza delle regole deontologiche (ex artt. 12 e 117 del Codice)–, determina l´inutilizzabilità ulteriore dei dati trattati nel sistema di informazioni creditizie (art. 11, comma 2, del Codice), nel caso di specie da parte di H3G. Quest´ultima, contravvenendo ai principi di liceità del trattamento e di pertinenza rispetto alla finalità che allo stato può essere lecitamente perseguita, ha effettuato trattamenti illeciti di dati personali.

Alla luce delle considerazioni sopra esposte, ai sensi dell´art. 154, comma 1, lett. d), del Codice, il Garante vieta a H3G di porre in essere ulteriori operazioni di trattamento del genere appena descritto, consistenti in particolare nella raccolta di dati personali provenienti da un sistema di informazioni creditizie istituito per la finalità esclusiva di referenziazione creditizia; deve conseguentemente provvedersi alla cancellazione dei dati personali provenienti dal sistema di informazioni creditizie di Crif S.p.A., qualora registrati da H3G.

3.3. Per quanto attiene, invece, ad eventuali comunicazioni di dati personali relativi alla propria clientela a vantaggio del sistema di informazioni creditizie gestito da Crif S.p.A., si prende atto che la società dichiara di non porre in essere, allo stato, operazioni di trattamento di tale natura.

4. Qualità dei dati
Dalle dichiarazioni rese per conto della società risulta che formano oggetto di conservazione nel sistema informativo di H3G anche "le informazioni acquisite dal sistema nel corso dell´istruttoria automatizzata", sia per documentare l´attività svolta a seguito della richiesta di attivazione, sia "al fine di evitare ulteriori interrogazioni alle banche-dati di Crif nel caso che la stessa persona presenti una nuova richiesta di attivazione nei dodici mesi successivi. In questo caso, infatti, il sistema rifiuta automaticamente la richiesta". In particolare, "i dati relativi a tutte le richieste di attivazione sono conservati all´interno della banca-dati della società a partire dalla costituzione della stessa" e, allo stato, forma oggetto di valutazione presso H3G la "determinazione di tempi di conservazione sulla base dei quali effettuare la cancellazione dei dati più risalenti".

Al di là delle considerazioni svolte al punto 3.2. in ordine all´illiceità del trattamento dei dati provenienti dai sistemi di informazioni creditizie (anche nella forma dell´eventuale Ko derivante dalla loro consultazione), attesa la diversa finalità per la quale il trattamento viene effettuato rispetto ai dati personali contenuti nei medesimi sistemi, deve rilevarsi, con riferimento alla conservazione per il citato periodo di dodici mesi delle informazioni raccolte, che risulta altresì violato il principio di qualità dei dati, con particolare riferimento al precetto contenuto nell´art. 11, comma 1, lett. c), del Codice, secondo il quale i dati devono essere esatti e, se necessario, aggiornati. Nella fattispecie in esame, la conservazione dei dati trattati in vista di un loro possibile (ri-)utilizzo, cela infatti un rischio elevato, accentuato dal lungo periodo di conservazione, che a distanza di tempo i dati originariamente raccolti e registrati possano aver subito variazioni che potrebbero influire sulle determinazioni assunte dalla società.

5. Informativa resa agli interessati

5.1. Fermo restando quanto rilevato nel punto 3.2. in ordine all´illiceità del trattamento dei dati personali provenienti dai sistemi di informazioni creditizie, un ulteriore profilo di contrarietà alla disciplina di protezione dei dati personali riguarda l´informativa resa da H3G agli interessati, acquisita in atti. A tale proposito deve rilevarsi, in riferimento ai profili presi in esame nel presente provvedimento, che non risultano rese all´interessato (il potenziale cliente) le informazioni contenute nell´art. 13 del Codice, in relazione alle categorie delle informazioni raccolte sul suo conto presso terzi (nel caso di specie, presso Crif S.p.A.), in particolare per ciò che attiene alle categorie delle informazioni trattate (facendosi unicamente riferimento a dati personali "acquisiti attraverso la rete commerciale di "3" ovvero da archivi privati o pubblici nello svolgimento dell´attività economica di "3" "): si è così violata la previsione contenuta nell´art. 13, comma 4, del Codice.
Affinché l´interessato possa essere messo in condizione di comprendere l´effettiva natura (e portata) del trattamento a lui riferito –sì da poter eventualmente esercitare i diritti e le facoltà accordate dal Codice– è infatti necessario, in particolar modo in relazione a dati personali che vengono raccolti presso terzi (e non presso l´interessato medesimo, sui quali egli può comunque esercitare già in fase di raccolta un controllo diretto), che questi possa avere piena conoscenza della loro natura (ancorché mediante l´individuazione per categorie degli stessi).
Il rigoroso rispetto del precetto contenuto nell´art. 13, comma 4, del Codice, rappresenta, infatti, una garanzia fondamentale riconosciuta dalle discipline di protezione dei dati personali per l´effettiva attuazione del diritto all´autodeterminazione informativa della persona, riducendosi diversamente l´informativa ad un mero adempimento burocratico.

5.2. Un ulteriore profilo di violazione dell´art. 13 del Codice riguarda l´omessa informativa nei confronti degli interessati già clienti di H3G, in ordine al trattamento delle informazioni personali ad essi riferite, conservate lecitamente dalla società per adempiere ad obblighi di legge (ad esempio, per l´assolvimento degli obblighi previsti all´art. 2220 cod. civ.), ma trattate nella fattispecie per un´ulteriore finalità non chiaramente esplicitata (il riferimento contenuto nell´informativa è genericamente indirizzato allo svolgimento di "istruttorie rispetto alla stipulazione del contratto"), consistente nell´utilizzare le medesime informazioni per assumere decisioni in ordine all´opportunità di concludere (c.d. Ok) o meno (c.d. Ko) con l´interessato un contratto di abbonamento a servizi di telefonia (in tal senso, v. pure la decisione su ricorso adottata dal Garante il 2 marzo 2006).

5.3. Con riguardo ai riscontrati profili dell´informativa inidonea, questa Autorità prescrive alla società di riformulare l´informativa stessa ai sensi dell´art. 13 del Codice, al fine di indicare tutti i trattamenti leciti svolti; si riserva inoltre di procedere, con separato provvedimento ai sensi dell´art. 161 del Codice, alla contestazione della violazione amministrativa per l´inidonea informativa.

5.4. La medesima informativa inidonea inficia il trattamento dei dati effettuato da H3G e, prima ancora, il consenso al trattamento stesso, quando è manifestato, non risultando quest´ultimo espresso "specificamente con riferimento a un trattamento chiaramente individuato", stante la mancanza delle informazioni da rendere in forza dell´art. 13 del Codice (art. 23, comma 3, del Codice).

Alla luce delle considerazioni svolte risultano pertanto illeciti, e vengono vietati con il presente provvedimento, i trattamenti di dati personali per i quali l´informativa non è stata resa in osservanza delle prescrizioni contenute nell´art. 13, o non sussistono i presupposti di liceità di cui agli artt. 23 o 24 del Codice, tenendo anche presente il disposto dell´art. 11, comma 2, del medesimo Codice secondo cui non sono utilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Resta unicamente ferma per la società, la facoltà di conservare la notizia dell´avvenuta richiesta di attivazione di un´utenza e della determinazione interna adottata, per mere finalità di documentazione amministrativa.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 154, comma 1, lett. d), del Codice vieta a H3G S.p.A. l´ulteriore trattamento dei dati personali provenienti da sistemi di informazioni creditizie e relativi a contratti di finanziamento, anche in forma di punteggio sintetico (score), trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dando conferma a questa Autorità entro la medesima data anche dell´avvenuta cancellazione dei dati provenienti dai menzionati sistemi di informazioni creditizie, se registrati nei sistemi informativi di H3G S.p.A.;

b) ai sensi dell´art. 154, comma 1, lett. c), del Codice prescrive a H3G S.p.A. di riformulare senza ritardo, e comunque entro e non oltre quarantacinque giorni dalla data di ricezione del presente provvedimento, l´informativa resa agli interessati, con riferimento alle operazioni oggetto di trattamento lecito, dandone conferma a questa Autorità entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli