Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Informazioni sulla solvibilità e affidabilità dei clienti dei gestori telefonici: Wind - 4 maggio 2006 [1302395]

[doc. web n. 1302395]

vedi anche
I Sic dopo le verifiche svolte dal Garante
Crif n. 1302311 Experian n.
1302326

Gestori telefonici: informazioni sulla solvibilità e affidabilità dei clienti
H3G n. 
1302339 - Telecom n. 1302373 - Vodafone n. 1302385

Informazioni sulla solvibilità e affidabilità dei clienti dei gestori telefonici: Wind - 4 maggio 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visti gli accertamenti disposti dal Garante per verificare la liceità e la correttezza dei trattamenti di dati personali effettuati, con riferimento a servizi di telefonia, da fornitori di servizi di comunicazione elettronica tramite i sistemi di informazione creditizia, alla luce delle disposizioni vigenti in materia di protezione dei dati personali e di quelle contenute nel codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (pubblicato in G.U. del 23 dicembre 2004, n. 300);

Visto il verbale relativo all´attività ispettiva condotta presso Wind telecomunicazioni S.p.A., con richiesta di informazioni ed esibizione di documenti ai sensi dell´art. 157 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il trattamento di dati personali nei sistemi di informazioni creditizie
Il Garante, ad un anno dall´adozione del "codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti", adottato in attuazione delle previsioni contenute negli artt. 12 e 117 del Codice (e consultabile in G.U. 23 dicembre 2004, n. 300), nonché in considerazione delle conseguenze derivanti dai trattamenti di dati personali effettuati tramite tali sistemi sui soggetti che (in varie forme) accedono al credito, ha avviato dall´ottobre 2005 una serie di accertamenti ispettivi presso i principali sistemi di informazioni creditizie privati, cui ha fatto seguito l´adozione in data odierna di due provvedimenti nei confronti di Crif S.p.A. ed Experian Information Services S.p.A.

Tale attività è stata posta in essere per accertare la liceità e la correttezza dei trattamenti di dati personali effettuati da tali titolari del trattamento, tenuto anche conto che il rispetto delle regole deontologiche, adottate secondo la particolare procedura descritta all´art. 12 del Codice, costituisce condizione essenziale per la liceità del trattamento ai sensi dell´art. 11 del Codice (cfr. art. 12 del medesimo Codice; v. anche l´art. 11, comma 2).

2. L´attività di controllo nei confronti di Wind telecomunicazioni S.p.A.
In considerazione delle risultanze delle verifiche svolte –che hanno evidenziato anche un trattamento di dati personali da parte dei sistemi di informazioni creditizie con riferimento all´attività posta in essere da diversi fornitori di servizi di comunicazione elettronica–, l´Autorità ha avviato un´ulteriore serie di accertamenti di natura ispettiva volti a definire meglio il quadro dei trattamenti effettuati e a valutare compiutamente la loro liceità alla luce della complessiva disciplina in materia di protezione dei dati personali.

In data 7 aprile 2006, è stata effettuata un´ispezione presso Wind telecomunicazioni S.p.A. (di seguito, Wind).

Il presente provvedimento tiene conto sia degli accertamenti svolti presso i sistemi di informazioni creditizie, sia delle risultanze dell´attività ispettiva effettuata presso Wind.

OSSERVA

3. Trattamenti di dati personali in vista dell´attivazione di contratti relativi a servizi di telefonia: la raccolta di dati personali della clientela dai sistemi di informazioni creditizie

3.1. Alla luce della documentazione acquisita presso Wind nel corso dell´ispezione risulta che, ai fini della "attivazione di contratti di telefonia in abbonamento, sia fisso che mobile" (c.d. post-pagato), relativi ai settori denominati "consumer" e "micro business" (che si riferiscono, rispettivamente, a persone fisiche e imprese individuali), i dati identificativi del potenziale cliente vengono inseriti dal rivenditore appartenente alla rete distributiva della società nel sistema informativo di quest´ultima affinché, grazie ad una "istruttoria totalmente automatizzata", ne venga verificata "l´affidabilità attraverso la consultazione della banca dati interna di Wind denominata CRM (Customer Relation Manager)"che contiene, "oltre alle informazioni anagrafiche sui clienti, anche un codice sintetico relativo allo stato contrattuale di tutti i clienti Wind. Qualora il richiedente risulti titolare di un abbonamento sospeso per morosità, il sistema restituisce al dealer un riscontro negativo (Ko) alla richiesta di attivazione. Qualora invece il richiedente sia già cliente Wind e non abbia contratti sospesi, il sistema fornisce al dealer un riscontro positivo (Ok)".

Per quanto attiene a soggetti non censiti nella banca dati in quanto nuovi (potenziali) clienti, "il sistema procede alla verifica automatizzata della solvibilità mediante l´utilizzo dei servizi forniti da Experian. Tale procedura prevede dapprima la verifica della presenza di protesti ed iscrizioni pregiudizievoli. Qualora gli stessi siano presenti, ciò è sufficiente per fornire un giudizio negativo in merito all´attivazione (Ko). Qualora invece non si riscontrino protesti o iscrizioni, il sistema prende in considerazione anche i dati del SIC di Experian il quale fornisce un punteggio (delphi score) determinato dal complesso delle informazioni relative alla regolarità dei pagamenti ivi censite. A tale score vengono aggiunti ulteriori punteggi assegnati sulla base degli elementi forniti dal cliente relativi alla regione geografica di provenienza, alle modalità di pagamento e all´età, creando un nuovo punteggio (SEM score). Tale punteggio determina la collocazione del soggetto esaminato in classi di rischio" e, a livelli predeterminati, il sistema informativo di Wind "fornisce, all´esito dell´interrogazione, un giudizio negativo sull´attivazione (Ko)" o positivo (Ok).

L´intera procedura, completamente automatizzata, "non viene visualizzata dal dealer, il quale riceve la sola indicazione sintetica circa l´esito della procedura stessa (Ok–Ko) in base al quale procede all´attivazione o comunica l´impossibilità di procedere al perfezionamento del contratto invitando il richiedente a contattare il call center per eventuali ulteriori informazioni".

Per quanto attiene invece ad eventuali comunicazioni di dati personali relativi alla propria clientela nei confronti del sistema di informazioni creditizie, la società ha dichiarato di non porre in essere tali operazioni di trattamento.

3.2. Il trattamento di dati appena descritto posto in essere da Wind si pone in contrasto con i principi di protezione dei dati personali, nei termini di seguito specificati.

Le informazioni che formano oggetto di comunicazione da parte di Experian a Wind, in forma di punteggio sintetico o, all´occorrenza, di dato analitico sono il frutto di operazioni di trattamento effettuate da sistemi di informazioni creditizie nei quali sono censiti dati, trattati per valutare il merito creditizio, relativi a richieste e rapporti di finanziamento conferiti da soggetti "partecipanti" (meglio individuati alla luce delle disposizioni contenute all´art. 1, comma 1, lett. a) ed e) del predetto codice deontologico).

In base alla disciplina vigente, tali dati possono essere comunicati lecitamente solo a soggetti che svolgono attività di intermediazione bancaria e finanziaria o che, in qualità di altri soggetti privati che esercitano un´attività commerciale o professionale, concedono una dilazione di pagamento del corrispettivo per la fornitura di beni e servizi ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1 settembre 1993, n. 385).

Come già affermato in passato dal Garante, infatti, gestori e partecipanti ai sistemi di informazioni creditizie devono rispettare il principio di finalità, che nel caso di specie, sulla base della disciplina vigente, riguarda solo la tutela del credito e il contenimento del relativo rischio: in base ad esso, la consultazione dei dati personali riguardanti gli interessati allo stato può avvenire soltanto se strettamente connessa all´istruttoria di una richiesta di finanziamento (cfr. punto 4 del provvedimento del 31 luglio 2002, in Bollettino n. 30 del 2002, p. 47).

Tale principio enunciato anche in riferimento ad altri sistemi di informazioni creditizie che perseguono analoga finalità (cfr. per la Centrale rischi della Banca d´Italia, il cap. 1, punto 2, delle "Istruzioni degli intermediari creditizi", Circ. n. 139, 11 febbraio 1991–9° aggiornamento del 22 giugno 2004 e, per il sistema di rilevazione dei rischi di importo contenuto il punto 3 della delibera Cicr del 3 maggio 1999, in G.U. 8 luglio 1999, n. 158), trova ulteriore riscontro nella collocazione sistematica dell´art. 117 del Codice, inserito all´interno del titolo IX del medesimo Codice che riguarda il sistema bancario e finanziario.

Il medesimo principio è sviluppato nel codice di deontologia e di buona condotta adottato ai sensi dell´art. 117 del Codice, in virtù del quale le informazioni relative all´affidabilità e alla puntualità nei pagamenti della clientela possono essere trattate in base alla vigente disciplina a fini di "concessione, nell´esercizio di un´attività commerciale o professionale, di credito sotto forma di dilazione di pagamento, di finanziamento o di altra analoga facilitazione finanziaria ai sensi del testo unico delle leggi in materia bancaria e creditizia (d.lg. 1° settembre 1993, n. 385)" [cfr. art. 1, comma 1, lett. a), del codice di deontologia].

Peraltro, anche il verbale di sottoscrizione del predetto codice di deontologia e di buona condotta del 26 ottobre 2004 esclude dall´ambito di applicazione il trattamento dei dati personali nell´ambito dei servizi di telefonia, rimettendo ad una trattazione distinta ed autonoma, "la tematica della ricognizione dell´affidabilità e della puntualità dei pagamenti in altri contesti, con specifico riferimento ad inadempimenti nel settore della telefonia, individuando idonee soluzioni circa la questione del se e come determinati operatori possano anche consultare, per alcune categorie di interessati, taluni dati di sintesi relativi ai suddetti inadempimenti presenti nei sistemi di informazioni creditizie, ferma restando la diversità degli ambiti ora considerati".

I fornitori di servizi di comunicazione elettronica, non ascrivibili tra i soggetti sopra menzionati, non stipulano contratti di finanziamento, neanche nella forma della dilazione del pagamento (rispetto ai quali può farsi lecito uso dei menzionati sistemi di informazioni creditizie), ma concludono contratti ad esecuzione continuata o periodica (in particolare, di somministrazione di servizi telefonici o di locazione di terminali).

In questi ultimi contratti, la scadenza pattuita delle singole rate non è riconducibile alla diversa figura della dilazione del pagamento (e tantomeno dell´obbligo restitutorio derivante da un finanziamento). Le scadenze periodiche rappresentano, infatti, non un differimento del pagamento della somma dovuta, ma (semplicemente) i termini nei quali quest´ultima deve essere versata dall´utente quale corrispettivo delle prestazioni godute per le correlative rate temporali (connesse, nel caso di specie, all´erogazione di servizi di telefonia o al godimento di beni). In tal senso il Garante si è già pronunciato, disponendo la cancellazione dei dati comunicati da alcuni dei predetti fornitori a sistemi di informazioni creditizie, in quanto reputati non pertinenti per commisurare il rischio creditizio (cfr. decisioni su ricorso del 16 settembre 2004 e 5 novembre 2004).

Per tali ragioni, l´illiceità del trattamento effettuato da Experian, nei termini accertati da questa Autorità con il provvedimento del 4 maggio 2006 –anche in ragione dell´inosservanza delle regole deontologiche (ex artt. 12 e 117 del Codice)–, determina l´inutilizzabilità ulteriore dei dati trattati nel sistema di informazioni creditizie (art. 11, comma 2, del Codice), nel caso di specie da parte di Wind. Quest´ultima, contravvenendo ai principi di liceità del trattamento e di pertinenza rispetto alla finalità che allo stato può essere lecitamente perseguita, ha effettuato trattamenti illeciti di dati personali.

Alla luce delle considerazioni sopra esposte, ai sensi dell´art. 154, comma 1, lett. d), del Codice, il Garante vieta a Wind di porre in essere ulteriori operazioni di trattamento del genere appena descritto, consistenti in particolare nella raccolta di dati personali provenienti da un sistema di informazioni creditizie istituito per la finalità esclusiva di referenziazione creditizia; deve conseguentemente provvedersi alla cancellazione dei dati personali provenienti dal sistema di informazioni creditizie di Experian, qualora registrati da Wind.

4. Qualità dei dati
Dalle dichiarazioni rese per conto della società, risulta che formano oggetto di conservazione nel sistema informativo di Wind "tutte le richieste di attivazione, sia con esito positivo (Ok) sia con esito negativo (Ko)" senza che, allo stato, sia prevista alcuna "procedura di cancellazione dei dati più risalenti". In particolare, le informazioni a contenuto negativo vengono conservate nel sistema della società "al fine di evitare ulteriori interrogazioni alle banche-dati di Experian nel caso che la stessa persona presenti una nuova richiesta di attivazione nei trenta giorni successivi. In questo caso, infatti, il sistema fornisce al dealer direttamente riscontro negativo (Ko)".

Al di là delle considerazioni svolte al punto 3.2. in ordine alla illiceità del trattamento dei dati provenienti dai sistemi di informazioni creditizie (anche nella forma dell´eventuale Ko derivante dalla loro consultazione), attesa la diversa finalità per la quale il trattamento viene effettuato rispetto ai dati personali contenuti nei medesimi sistemi, deve altresì rilevarsi, con riferimento alla conservazione per il citato periodo di trenta giorni delle informazioni raccolte, che risulta, altresì, violato il principio di qualità dei dati, con particolare riferimento al precetto contenuto nell´art. 11, comma 1, lett. c), del Codice, secondo il quale i dati devono essere esatti e, se necessario, aggiornati: nella fattispecie in esame la conservazione dei dati trattati in vista di un loro possibile (ri-)utilizzo, cela il rischio che, a distanza di tempo, i dati originariamente raccolti e registrati possano aver subito variazioni che potrebbero influire sulle determinazioni assunte dalla società.

5. Informativa resa e consenso degli interessati

5.1. Dall´esame delle informative rese da Wind agli interessati, allegate alle diverse condizioni generali di contratto presentate alla clientela, e denominate "I servizi Wind per le persone"/"I servizi Wind per le imprese" (acquisite nel corso dell´attività ispettiva e relative ai contratti di telefonia mobile), oltre che "Condizioni generali tutto incluso" (queste ultime acquisite d´ufficio e riguardanti i contratti di telefonia fissa), emerge la loro incompletezza e genericità rispetto ai trattamenti effettuati.

In particolare l´informativa relativa a "Condizioni generali tutto incluso" fa riferimento alla sola comunicazione di dati personali riferiti al cliente ai fini di "tutela del credito, anche attraverso l´impiego di soggetti terzi"; le altre due informative, che hanno identico contenuto, prevedono che "i dati potranno essere comunicati a società terze specializzate nella gestione di informazioni commerciali o relative al credito (quali centri di elaborazione dati, banche, centrali rischi)".

Tali informative, per la vaghezza e la genericità delle formule utilizzate, (in modo più accentuato quella contenuta nelle "Condizioni generali tutto incluso") non consentono all´interessato di individuare con chiarezza e comprendere la specifica finalità del trattamento effettuato in sede di formazione del contratto, né "i soggetti o le categorie di soggetti" (qui i sistemi di informazione creditizie privati) ai quali, per detta finalità, le informazioni anagrafiche dei potenziali clienti per i quali viene interrogato il sistema informativo di Experian "possono essere comunicati": sotto tale profilo, dunque, l´informativa resa non è conforme all´art. 13, comma 1, lett. a) e d), del Codice.
 
5.2. Salvo quanto disposto al punto 3.2., in ordine alla liceità del trattamento dei dati personali provenienti dai sistemi di informazioni creditizie, un ulteriore profilo di contrarietà alla disciplina di protezione dei dati personali riguarda le informative rese da Wind agli interessati (acquisite agli atti) –limitando le presenti considerazioni agli aspetti presi in esame nel presente provvedimento–: a questo proposito, deve rilevarsi che non vengono rese all´interessato (il potenziale cliente) le informazioni contenute nell´art. 13 del Codice, in relazione alle categorie delle informazioni raccolte sul suo conto presso terzi (nel caso di specie presso Experian), in particolare per ciò che attiene alle categorie delle informazioni trattate (facendosi unicamente riferimento, nelle informative relative a "I servizi Wind per le persone"/"I servizi Wind per le imprese" a dati personali "forniti dal cliente o comunque raccolti in dipendenza della richiesta di adesione ai servizi di telecomunicazione forniti da Wind", mentre in quella relativa a "Condizioni generali tutto incluso" "a dati personali da Lei forniti ovvero altri acquisiti nell´ambito della nostra attività"): si è così violata la previsione contenuta nell´art. 13, comma 4, del Codice.

Affinché l´interessato possa essere messo in condizione di comprendere l´effettiva natura (e portata) del trattamento a lui riferito –sì da poter eventualmente esercitare i diritti e le facoltà accordate dal Codice– è infatti necessario, in particolar modo in relazione a dati personali che vengono raccolti presso terzi (e non presso l´interessato medesimo, sui quali egli può comunque esercitare già in fase di raccolta un controllo diretto), che questi possa avere piena conoscenza della loro natura (ancorché mediante l´individuazione per categorie degli stessi).

Il rigoroso rispetto del precetto contenuto nell´art. 13, comma 4, del Codice, rappresenta, infatti, una garanzia fondamentale riconosciuta dalle discipline di protezione dei dati personali per l´effettiva attuazione del diritto all´autodeterminazione informativa della persona, riducendosi diversamente l´informativa ad un mero adempimento burocratico.

5.3. Un ulteriore profilo di violazione dell´art. 13 del Codice riguarda l´omessa informativa nei confronti degli interessati già clienti di Wind, in ordine al trattamento delle informazioni personali ad essi riferite, conservate lecitamente dalla società per l´adempimento di obblighi di legge (ad esempio, per l´assolvimento degli obblighi previsti all´art. 2220 c.c.), ma trattate nella fattispecie per una ulteriore finalità, non chiaramente esplicitata, consistente nell´utilizzare le medesime informazioni per assumere decisioni in ordine all´opportunità di concludere (c.d. Ok) o meno (c.d. Ko) con l´interessato un contratto di abbonamento a servizi di telefonia (in tal senso v. pure la decisione su ricorso adottata dal Garante il 2 marzo 2006).

5.4. Con riguardo ai riscontrati profili dell´informativa inidonea, questa Autorità prescrive alla società di riformulare l´informativa stessa ai sensi dell´art. 13 del Codice, al fine di indicare tutti i trattamenti leciti svolti; si riserva inoltre di procedere, con separato provvedimento ai sensi dell´art. 161 del Codice, alla contestazione della violazione amministrativa per l´inidonea informativa.

5.5. La medesima informativa inidonea inficia il trattamento dei dati effettuato da Wind e, prima ancora, il consenso al trattamento stesso, quando è manifestato, non risultando quest´ultimo espresso "specificamente con riferimento a un trattamento chiaramente individuato" stante la mancanza delle informazioni da rendere in forza dell´art. 13 del Codice (art. 23, comma 3, del Codice).

Alla luce delle considerazioni svolte, sono pertanto illeciti e vengono vietati con il presente provvedimento i trattamenti di dati personali per i quali l´informativa non è stata resa in osservanza delle prescrizioni contenute nell´art. 13, o non sussistono i presupposti di liceità di cui agli artt. 23 o 24 del Codice, tenendo anche presente il disposto dell´art. 11, comma 2, del medesimo Codice secondo cui non sono utilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Resta unicamente ferma per la società, la facoltà di conservare la notizia dell´avvenuta richiesta di attivazione di un´utenza e della determinazione interna adottata, per mere finalità di documentazione amministrativa.

TUTTO CIÒ PREMESSO IL GARANTE

a) ai sensi dell´art. 154, comma 1, lett. d) del Codice vieta a Wind telecomunicazioni S.p.A. l´ulteriore trattamento dei dati personali provenienti da sistemi di informazioni creditizie e relativi a contratti di finanziamento, anche in forma di punteggio sintetico (score), trattamento da interrompere senza ritardo e comunque entro e non oltre quindici giorni dalla data di ricezione del presente provvedimento, dando conferma a questa Autorità entro la medesima data anche dell´avvenuta cancellazione dei dati provenienti dai menzionati sistemi di informazioni creditizie, se registrati nei sistemi informativi di Wind telecomunicazioni S.p.A.;

b) ai sensi dell´art. 154, comma 1, lett. c) del Codice prescrive a Wind telecomunicazioni S.p.A. di riformulare senza ritardo, e comunque entro e non oltre quarantacinque giorni dalla data di ricezione del presente provvedimento, l´informativa resa agli interessati, con riferimento alle operazioni oggetto di trattamento lecito, dandone conferma a questa Autorità entro la medesima data.

Roma, 4 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli