g-docweb-display Portlet

10. Le attività economiche.Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 [1424512]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1424512]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

 

10. Le attività economiche

10.1. I sistemi di informazioni creditizie e commerciali

A due anni dall´introduzione del codice di deontologia per i sistemi di rilevazioni creditizie (Allegato A.5. al Codice) –contenente specifiche regole che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali effettuati dalle società e dai soggetti privati che gestiscono i sistemi di informazioni creditizie (Sic), come pure dagli istituti di credito e finanziari che li utilizzano ai fini del rilascio alla clientela di prestiti personali, mutui o finanziamenti– si registra una diminuzione del contenzioso in tale ambito.

Si può ritenere che tale risultato sia dovuto in parte al decorso della prima fase di applicazione del codice deontologico, che ha chiarito e disciplinato molti ambiti interessati da questi trattamenti, a lungo privi di qualsiasi disciplina.


Trattamenti effettuati nell´ambito dei sistemi
di informazioni creditizie

Come già rappresentato nella Relazione 2005 (p. 68), il Garante (con avviso pubblicato in G.U. 6 marzo 2006, n. 54 [doc. web n. 1245761]) ha definito la questione riguardante i tempi di conservazione dei cd."dati positivi" nei sistemi di informazione creditizie, confermando che gli stessi possono restare archiviati per un termine non superiore a trentasei mesi.


Conservazione dei "dati positivi"

Un´altra questione affrontata dal Garante, della quale pure si era fatto cenno nella Relazione 2005 (p. 69), ha riguardato l´istanza avanzata da alcune società che gestiscono sistemi di informazione creditizie in merito al contributo spese richiesto in caso di esercizio dei diritti da parte degli interessati. In merito, il Garante ha ricordato di aver già individuato nella deliberazione n. 14/2004 [doc. web n. 1104892] –in termini generali (per tutte le categorie di titolari del trattamento)– i presupposti per poter richiedere un contributo spese agli interessati.


Contributo spese

Al fine di verificare l´osservanza da parte dei gestori di sistemi di informazione creditizie e di alcuni partecipanti agli stessi delle disposizioni contenute nel predetto codice deontologico, nell´ambito dell´attività di controllo ivi prevista (art. 13), si è svolta dalla fine dell´anno 2005 una serie di accertamenti che hanno coinvolto i principali Sic privati e i fornitori di servizi di comunicazione elettronica. Da tale attività è emerso che, in difformità dal quadro normativo vigente e dalle regole deontologiche, le principali compagnie telefoniche avevano accesso ad alcuni Sic gestiti da soggetti privati effettuando, in sede di conclusione del contratto, verifiche sulla solvibilità e affidabilità dei clienti.


Sistemi
di informazioni creditizie e gestori telefonici

A conclusione della complessa attività ispettiva sono stati adottati sei distinti provvedimenti: in particolare, nei confronti di due gestori di sistemi di informazione creditizie sono state disposte misure volte a garantire il rispetto dei principi stabiliti dal codice di deontologia (Provv. 4 maggio 2006 [doc. web n. 1302311 e n. 1302326]) e si è constatata l´illiceità del trattamento dei dati provenienti dai Sic effettuato dai fornitori predetti, in quanto raccolti per la diversa e non compatibile finalità di tutela del credito (e di contenimento del relativo rischio), da cui è disceso il divieto di ulteriore trattamento di tali informazioni (Provv. 4 maggio 2006 [doc. web n. 1302395, n. 1302385, n. 1302373 e n. 1302339]).

Anche a seguito degli accertamenti appena menzionati, è ripresa l´attività (prevista dal verbale di sottoscrizione del codice deontologico e già iniziata nel mese di aprile 2005, con la predisposizione di una consultazione pubblica tramite il sito web dell´Autorità) tesa a valutare se, e in che modo, i predetti fornitori, con particolare riguardo alla telefonia mobile, possano costituire sistemi informativi centralizzati per trattare informazioni relative a inadempimenti (ascrivibili per lo più a soggetti imprenditoriali) o avvalersi a tal fine di sistemi informativi già esistenti. Analoga questione si pone per operatori economici appartenenti ad altre categorie, che hanno fatto pervenire anch´essi proprie richieste all´Autorità.


Blacklisting
e dati relativi
agli inadempimenti nel settore
della telefonia

La valutazione di tali aspetti è tuttora in corso: al tavolo di lavoro hanno partecipato le associazioni di rappresentanza dei consumatori, nonché dei rappresentanti dei sistemi di informazioni creditizie e dei gestori di telefonia.

10.2. Settore bancario e assicurativo

Al fine di verificare il rispetto delle discipline nazionali di protezione dei dati nel settore delle assicurazioni sanitarie private è stata intrapresa, su impulso dell´autorità di controllo olandese (e nell´ambito delle attività del Gruppo europeo di lavoro per la protezione dei dati-Gruppo art. 29), un´indagine conoscitiva relativa al trattamento dei dati personali da parte di compagnie di assicurazione operanti nel settore sanitario privato, anche in vista di un´eventuale successiva attività di enforcement.

L´indagine, preordinata a realizzare un´istruttoria settoriale, è stata condotta mediante l´invio di un questionario comune a compagnie di assicurazioni rappresentative del mercato nazionale, individuate secondo criteri condivisi. Successivamente il Garante ha elaborato e valutato i risultati a livello nazionale inviando poi un rapporto finale al Gruppo art. 29, senza riferimenti nominativi alle compagnie, ai fini della stesura di una relazione di sintesi a livello europeo e in vista dell´eventuale predisposizione di linee-guida comuni. In questo contesto l´Autorità ha individuato, anche con la collaborazione dell´Associazione nazionale fra le imprese assicuratrici (Ania), il campione rappresentativo cui destinare il questionario.


L´attività
di enforcement
nel settore
delle assicurazioni operanti nel settore sanitario privato

In termini generali, il livello di cooperazione delle società interpellate, che hanno tutte fornito riscontro, è stato soddisfacente. Sono pervenute risposte da tredici compagnie assicurative (che controllano complessivamente il 50% del mercato), tutte entro il termine fissato dall´Autorità.

Anche il grado di dettaglio della risposte pervenute è stato complessivamente soddisfacente, benché le stesse siano risultate redatte secondo logiche e modalità non sempre uniformi.

Il quadro evidenziato denota che le società di assicurazione operanti in Italia nel settore esaminato offrono polizze individuali e collettive; queste ultime risultano stipulate per conto altrui (ad es., polizze "nucleo familiare", con indicazione nominativa degli assicurati) o per conto di chi spetta (in favore di soggetti genericamente individuati: ad es., familiari, soci, amministratori, dipendenti, ecc.). Le informazioni oggetto del trattamento, anche di natura sensibile, sono raccolte di regola in fase di conclusione del contratto (fase cd. "assuntiva") o successivamente, a seguito del verificarsi dell´evento dedotto nel contratto (fase cd."liquidativa").

Riguardo al contenuto informativo delle risposte pervenute, in prima approssimazione (e con il rischio implicito nella necessaria generalizzazione rispetto ad un contenuto assai più articolato), emergono alcuni aspetti che sono stati rappresentati al Gruppo anche nella prospettiva di eventuali ulteriori iniziative comuni. Si tratta, in particolare:

  • dell´eventuale trattamento dei dati genetici, in relazione alla liceità generale nonché alla precisa identificazione della loro stessa nozione (dati relativi alla storia sanitaria di familiari o a malattie ereditarie, talora comunque raccolti);
  • delle condizioni di liceità (e delle modalità) dei trattamenti effettuati con finalità di contrasto delle frodi a danno dell´assicurazione;
  • delle (eventuali) comunicazioni di dati all´interno di un gruppo di imprese, con particolare necessità di definirne le condizioni di liceità;
  • delle modalità osservate per rendere l´informativa e per raccogliere il consenso dei soggetti assicurati, in riferimento alle polizze collettive.

Le prime considerazioni dell´Autorità, basate sulle risposte pervenute, sono destinate a confluire in un documento di prossima adozione da parte del Gruppo art. 29.

10.3. Trattamento dei dati personali in ambito lavorativo e previdenziale

10.3.1. Rapporto di lavoro in ambito pubblico

L´Ufficio del Garante si è espresso sulla liceità della trasmissione alla Presidenza del Consiglio dei ministri di alcune informazioni nominative relative al personale che ha fruito di distacchi, permessi cumulativi sotto forma di distacco, aspettative e permessi per attività sindacale o per funzioni pubbliche elettive. In particolare, è stato ritenuto immotivato il diniego opposto al riguardo da una provincia, dal momento che l´art. 50 d.lg. 30 marzo 2001, n. 165 prevede espressamente che le pubbliche amministrazioni forniscano al Dipartimento della funzione pubblica  "il numero complessivo ed i nominativi dei beneficiari dei permessi sindacali, al fine del contenimento, della trasparenza e della razionalizzazione delle aspettative e dei permessi sindacali nel settore pubblico". Il trattamento di queste informazioni, in quanto necessario per adempiere a tale obbligo di legge, è riconducibile alla finalità di rilevante interesse pubblico di "gestione dei rapporti di lavoro" di cui all´art. 112, comma 2, lett. e), del Codice e può ritenersi quindi lecito se effettuato nel rispetto dei principi di necessità, completezza, indispensabilità, pertinenza e non eccedenza (artt. 3, 11, 20 e 22 del Codice) (Nota 8 giugno 2006).


Permessi sindacali
ed elettivi

Il Garante ha ricevuto alcune segnalazioni riguardanti l´affissione in bacheche sindacali, senza il consenso degli interessati, di missive della rappresentanza sindacale unitaria dal contenuto apparentemente lesivo della riservatezza. L´Ufficio sta valutando le fattispecie alla luce dei principi di liceità e correttezza del trattamento, con particolare riferimento al diritto di affissione di pubblicazioni, testi e comunicati inerenti materie di interesse sindacale e del lavoro (art. 3 Ccnl 7 agosto 1998; art. 3 del Codice), nonché alla necessità, pertinenza e non eccedenza dei dati trattati (artt. 3, 11 e 24 del Codice) (Nota 29 settembre 2006).


Pubblicazione
di corrispondenza
in bacheca sindacale

A seguito di una comunicazione ai sensi dell´art. 39, comma 1, lett. a), del Codice l´Autorità è stata chiamata a valutare, alla luce dei principi di pertinenza e non eccedenza dei dati, la possibilità per un soggetto pubblico di comunicare, su richiesta delle amministrazioni nei cui ruoli erano transitati due ex-dipendenti dell´ente medesimo, i relativi dati personali contenuti nel fascicolo personale e nello stato matricolare, con particolare riferimento alle informazioni relative alla richiesta di cessazione dal servizio di uno dei due interessati, nel caso di specie idonee a rivelarne lo stato di salute, essendo correlate a motivazioni di inabilità.


Transito in altri ruoli

Al riguardo, l´Ufficio ha rilevato che non avrebbe potuto trovare applicazione la disciplina di cui all´art. 39 del Codice data la presenza, nel caso di specie, di dati sensibili, per il trattamento dei quali è necessario fare riferimento alla più stringente disciplina degli artt. 20 e 22 del Codice. Si è inoltre rilevato che non occorre informare l´Autorità ai sensi del medesimo art. 39 nel caso in cui i flussi di dati tra soggetti pubblici siano riconducibili alla finalità di acquisire la certezza o verificare l´esattezza di stati, qualità e fatti dichiarati dal dipendente ai sensi del d.p. R. 28 dicembre 2000, n. 445, o di aderire a espresse e specifiche richieste degli interessati (Nota 22 maggio 2006).

Con specifico riferimento al trattamento dei dati sensibili del personale delle forze armate e di polizia, il Garante, nell´ambito di un procedimento avviato ai sensi dell´art. 154 del Codice, si è pronunciato sulla liceità e sulla correttezza del trattamento dei dati degli appartenenti al Corpo della Guardia di finanza, effettuato a seguito dell´utilizzo di test psico-attitudinali e dei relativi esiti nelle prove concorsuali per il reclutamento.


Forze armate
e di polizia

Il caso ha riguardato un finanziere il quale aveva proposto diversi ricorsi al Garante opponendosi al trattamento dei dati che lo riguardano, dopo essere venuto a conoscenza di essere stato oggetto di un´attività di monitoraggio da parte dei comandi territoriali del Corpo, all´esito di test preselettivi ai quali era stato sottoposto nell´ambito delle selezioni per un concorso e in base ai quali era risultato affetto da "turbe nevrotiche non strutturate".

Al riguardo, è stato accertato che le risposte ad alcune delle domande in cui si articolava il questionario sottoposto al militare risultavano idonee a rivelarne profili particolarmente delicati della sfera privata quali la salute, le abitudini sessuali o le convinzioni religiose, in palese violazione del divieto di trattare informazioni sensibili nell´ambito di test psico-attitudinali volti a definire il profilo o la personalità dell´interessato (art. 22, comma 10, del Codice). Nel caso di specie, inoltre, le informazioni attinenti allo stato di salute dell´interessato relative agli esiti del test, unitamente ad altre riferibili al suo comportamento raccolte successivamente dai superiori, risultavano utilizzate anche per valutare l´efficacia dei test preselettivi impiegati nelle selezioni; finalità perseguita all´insaputa dell´interessato e risultata eccedente rispetto a quella di gestione di rapporti di lavoro prevista dalla disciplina di riferimento.

Il Garante ha quindi adottato un provvedimento vietando alla Guardia di finanza il trattamento dei dati sensibili dell´interessato risultanti dal test utilizzato, se non per la loro conservazione ed eventuale utilizzo per esclusivi fini di giustizia o di tutela di un diritto rispetto alla violazione contestata, inibendo inoltre lo svolgimento di successive attività di monitoraggio dell´interessato al fine di valutare l´efficacia degli strumenti preselettivi impiegati (Provv. 8 marzo 2007 [doc. web n. 1390891]; v. già Provv. 16 dicembre 2004 [doc. web n. 1123194] e 23 dicembre 2004 [doc. web n. 1121968]).

Nel corso del procedimento, su richiesta dell´Ufficio del Garante, la Guardia di finanza ha disposto verifiche tecniche tese ad accertare se i test utilizzati nell´ambito delle diverse procedure di reclutamento contenessero riferimenti e informazioni relative a dati sensibili. All´esito di tali approfondimenti, l´Autorità verificherà la liceità degli stessi in relazione al divieto di trattare informazioni sensibili nell´ambito di test psico-attitudinali volti a definire la personalità dell´interessato di cui all´art. 22, comma 10, del Codice.

Sempre in ambito lavoristico, è in corso di definizione l´istruttoria relativa all´attivazione, da parte di un soggetto pubblico, di un sistema consistente nell´utilizzo di badge di prossimità connessi, in alcuni punti, con strumenti di videosorveglianza, per il controllo degli accessi alla sede e per la rilevazione delle presenze del personale.

10.3.2. Rapporto di lavoro in ambito privato

L´attività del Garante dedicata nel 2006 al tema del trattamento di dati personali dei dipendenti da parte dei datori di lavoro privati è stata particolarmente impegnativa.

Il consistente numero di segnalazioni, reclami, quesiti e richieste di parere pervenuti, spesso di tenore similare, ha reso possibile fornire indicazioni, orientamenti o prescrizioni di carattere generale ai datori di lavoro privati. In tale ambito, l´attività di esame ha consentito di elaborare documenti che esprimono, in un quadro unitario e di sintesi, la posizione dell´Autorità su argomenti particolarmente rilevanti e su problematiche sollevate di frequente da diverse categorie di soggetti (lavoratori, organizzazioni sindacali e imprese).

Con riguardo alla casistica individuale, si è rivelata particolarmente interessante la trattazione di una segnalazione inoltrata dal comitato di redazione di una testata a tiratura nazionale e relativa al trattamento di dati personali dei lavoratori per finalità di accesso ai locali aziendali, effettuato mediante un sistema basato sull´impiego della tecnologia Rfid cd. "passiva".

A conclusione dell´istruttoria (che ha comportato anche l´effettuazione di accertamenti in loco) non sono emersi profili di illiceità; la società titolare del trattamento è stata comunque invitata ad adottare precauzioni nell´impiego del sistema e richiamata al rispetto di taluni principi contenuti nel Codice (Nota 24 agosto 2006).

In particolare, il trattamento di dati personali (non sensibili) dei lavoratori effettuato è risultato conforme ai principi di necessità, finalità, proporzionalità e correttezza (artt. 3 e 11 del Codice). La finalità perseguita nel caso di specie (identificazione dei dipendenti che accedono all´azienda) non è apparsa illecita né sproporzionata, considerata l´esigenza primaria, specie in realtà aziendali di grandi dimensioni come la società segnalata, di identificare i soggetti autorizzati ad accedervi (ivi compresi i lavoratori) e, nel caso di specie, la dichiarata natura di "obiettivo sensibile" attribuita alla sede della società.


Impiego della tecnologia Rfid
cd. "passiva"
e sorveglianza
dei lavoratori

Si è inoltre ritenuto che il trattamento, inizialmente effettuato mediante un sistema di rilevazione a banda magnetica ancora mantenuto parzialmente in efficienza, potesse legittimamente continuare ad essere svolto avvalendosi della diversa tecnologia Rfid. Detta tecnologia infatti non determina, di per sé, una modifica nelle finalità perseguite (rispetto alle quali era stato già raggiunto apposito accordo con le rappresentanze sindacali, ai sensi dell´art. 4, secondo comma, l. n. 300/1970), mentre le caratteristiche tecniche del sistema –contraddistinto da una minore distanza di lettura del badge (tale da renderne complessa l´attivazione involontaria) e dall´accertata localizzazione dei lettori esclusivamente ai varchi di ingresso alla sede interessata– non hanno evidenziato rischi per gli interessati con riguardo ai profili di protezione dei dati personali, escludendo la possibilità di registrazioni degli spostamenti dei dipendenti all´interno dell´azienda e non producendo, di fatto, conseguenze differenti rispetto al sistema già in uso basato sull´impiego di tessere magnetiche.

La liceità del sistema è stata altresì confermata in relazione al rispetto dell´art. 8 dello Statuto dei lavoratori, alla luce della sua concreta inidoneità a consentire indagini vietate sui lavoratori e, in particolare, a trattare dati sensibili.

Con riferimento alla potenzialità di controllo a distanza derivante, in generale, dall´installazione di sistemi di controllo degli accessi idonei a consentire l´identificazione dei lavoratori, la società è stata comunque invitata a tenere presenti i vincoli imposti dall´art. 4 dello Statuto (la cui vigenza è espressamente fatta salva dall´art. 114 del Codice). A questo riguardo la società ha dichiarato di aver già fornito alcune informazioni alle organizzazioni sindacali e di avere in corso un confronto sindacale sul tema, rendendosi altresì disponibile a fornire ulteriori garanzie da sottoporre al vaglio del comitato di redazione nelle sedi opportune (ad es., proponendo la dotazione ai dipendenti di un involucro porta-tessere di alluminio al fine di evitare rischi di involontarie letture dei dati presenti sulle tessere).

L´Autorità ha poi prescritto di riformulare il modello di informativa resa agli interessati dando espressamente conto del trattamento effettuato mediante il sistema in esame; con riguardo alle misure minime di sicurezza adottate a protezione dei dati memorizzati nel sistema (che non sono risultate, nel complesso, difformi da quanto prescritto agli artt. 31 ss. del Codice e nel Disciplinare tecnico) sono state fornite ulteriori indicazioni cui attenersi.

Va in questa sede dedicato un breve cenno, ancorché sia stato approvato nel corso del 2007, al provvedimento generale sul "Trattamento di dati personali relativo all´utilizzo di strumenti elettronici da parte dei lavoratori" (Provv. 1° marzo 2007 [doc. web n. 1387522], in G.U. 10 marzo 2007, n. 58), con il quale l´Autorità ha fornito concrete indicazioni in ordine all´uso di posta elettronica e Internet sul luogo di lavoro.


Utilizzo di e-mail
e Internet sul lavoro

Nel corso del 2006 le questioni relative al controllo sulla navigazione in rete e all´utilizzo di computer aziendale da parte di dipendenti sono state inoltre oggetto di due ricorsi all´Autorità all´esito dei quali il Garante ha riscontrato profili di illiceità dei trattamenti effettuati dai datori di lavoro (v. par. 19.3).

L´Autorità ha adottato un provvedimento nei confronti di una società operante nel settore della telefonia (Provv. 16 novembre 2006 [doc. web n. 1366011]), a conclusione di accertamenti ispettivi.

Tali accertamenti, effettuati presso alcune sedi della società nonché presso la sede legale di un´altra azienda, alla quale era stata affidata in outsourcing la gestione della posizione amministrativa e contributiva del personale, erano stati motivati dalla necessità di verificare l´ottemperanza da parte del titolare a precedenti decisioni rese su ricorso, nonché di valutare, in generale, la liceità del trattamento dei dati personali dei dipendenti della società conservati in fascicoli personali.


Accesso di lavoratori a dati personali trattati nell´ambito del rapporto di lavoro

Il complesso degli elementi acquisiti in sede istruttoria ha evidenziato che le misure organizzative in concreto adottate non risultavano del tutto idonee ad agevolare il tempestivo ed esaustivo riscontro da parte della società alle richieste degli interessati ai sensi degli articoli 7 ss. del Codice. Il Garante ha pertanto prescritto alla società, quale misura opportuna ai sensi dell´art. 154, comma 1, lett. c), del Codice, di adottare soluzioni organizzative aggiuntive rispetto a quelle esistenti, volte ad agevolare l´esercizio del diritto d´accesso da parte dei dipendenti, con particolare riguardo ai casi in cui i dati personali siano conservati in più archivi, specie se presso società diverse dal titolare del trattamento.

Per quanto riguarda l´informativa resa ai dipendenti, l´Autorità ha prescritto alla società di integrare l´elenco di responsabili del trattamento reperibile sul sito intranet aziendale indicando specificamente l´esistenza di ulteriori soggetti che possano venire a conoscenza dei dati personali dei lavoratori in qualità di responsabili del trattamento.

Un ulteriore caso significativo, relativo a un lavoratore che lamentava l´illiceità di talune operazioni di trattamento di dati personali effettuate nell´ambito del proprio rapporto di lavoro alle dipendenze di una banca, è stato oggetto di un provvedimento collegiale; attesa la complessità dell´istruttoria, si è resa peraltro opportuna una verifica presso la sede legale dell´istituto di credito allo scopo di acquisire definitivi elementi di valutazione (Provv. 25 gennaio 2007 [doc. web n. 1381999]).

Il lavoratore in questione (analista programmatore su grandi sistemi) aveva dichiarato di essere stato licenziato dalla banca all´esito di un procedimento disciplinare e di aver impugnato il licenziamento dinanzi al giudice del lavoro chiedendo la reintegra con ricorso ex art. 700 c.p. c. ed ottenendola in fase cautelare. L´ex-dipendente aveva contestato la liceità della produzione in giudizio da parte della banca –al fine di provare l´insussistenza del periculum in mora – di una copia integrale dell´estratto di un conto corrente acceso dall´interessato presso il medesimo istituto. Lo stesso segnalante aveva inoltre contestato la liceità dell´attività ispettiva effettuata dalla banca nel periodo antecedente al licenziamento, durante il quale era stato sospeso cautelativamente dal servizio, sostenendo l´illegittimità della rimozione di documenti contenenti dati personali dalla sua scrivania ad opera di personale interno incaricato dall´istituto del cd. "internal auditing".


Trattamento
di dati personali
di un dipendente
di banca per finalità di difesa di diritti
in sede giudiziaria
e nell´ambito
di attività
di internal auditing

Con riferimento al primo profilo segnalato, gli elementi in atti hanno dimostrato che la banca, producendo in giudizio i menzionati documenti, aveva inteso esclusivamente provare l´avvenuto versamento della somma spettante all´interessato a titolo di competenze di fine rapporto. Di conseguenza, tale trattamento è stato ritenuto lecito anche se effettuato senza il consenso dell´interessato, dal momento che i dati non risultavano trattati per altre finalità e oltre il periodo necessario (art. 24, comma 1, lett. f), del Codice).

Anche in relazione al secondo profilo dedotto, le risultanze istruttorie non hanno evidenziato violazioni del Codice. Il trattamento di dati personali effettuato in occasione dell´ispezione interna non è infatti risultato illecito (art. 11, comma 1, lett. a), del Codice), sia in quanto l´attività di controllo interno svolta dalla banca nel caso di specie traeva fondamento dalla regolamentazione delle modalità di funzionamento della "direzione audit" adottata dalla capogruppo, sia perché l´attività di controllo interno nelle banche, già disciplinata dalla legge (d.lg. 24 febbraio 1998, n. 58, recante il "Testo unico delle disposizioni in materia di intermediazione finanziaria"; l. 28 dicembre 2005, n. 262, recante "Disposizioni per la tutela del risparmio"; l. 5 luglio 1991, n. 197 e d.lg. 20 febbraio 2004, n. 56 in materia di contrasto al riciclaggio e al terrorismo internazionale sul piano finanziario), è altresì prevista da un quadro regolamentare che fa capo a istruzioni della Banca d´Italia (cfr. in particolare le istruzioni di vigilanza in materia di "Organizzazione e controlli interni"). Tali istruzioni impongono alle banche di dotarsi di sistemi di monitoraggio dei rischi aziendali e di verifica dell´affidabilità e della sicurezza, anche dei sistemi informativi, istituendo indicatori di anomalie (cd. "alert") in grado di orientare successivi interventi di audit.

Si è inoltre appurato che il gruppo bancario del quale fa parte l´istituto di credito in esame si è dotato di un codice interno di autodisciplina nella prestazione dei servizi di investimento e dei servizi accessori, adottato ai sensi dell´art. 58, comma 1, del regolamento Consob 1° luglio 1998, n. 11522. Detto codice, il quale prevede che i singoli intermediari si dotino di una funzione di controllo interno operante secondo adeguati standard professionali, è reperibile nell´ intranet aziendale ed è stato consegnato, anche in copia cartacea, ai lavoratori, inclusi gli ispettori ed il segnalante, i quali hanno sottoscritto apposita comunicazione.

Gli elementi acquisiti non hanno infine neppure evidenziato violazioni da parte della banca dell´obbligo di dotarsi di misure di sicurezza dei dati, in particolare di quelle minime (artt. 31 ss. del Codice e Allegato B. al Codice).

Negli ultimi mesi del 2006 è pervenuta una segnalazione da parte di organizzazioni sindacali in merito al trattamento di dati effettuato da una compagnia aerea nazionale nell´ambito di un´iniziativa aziendale riguardante l´avvio di un progetto di turni di lavoro, che avrebbe riservato, in base a quanto dichiarato dai segnalanti, un trattamento più favorevole ai dipendenti le cui prestazioni lavorative fossero state svolte in turni "più stabili" nel corso dell´anno.


Casistica ulteriore

Si è rilevato che il segnalato trattamento non presentava profili di violazione del Codice. Non si dava luogo a divulgazione di informazioni personali dei singoli lavoratori in quanto il trattamento appariva effettuato da soggetti designati come responsabili e/o incaricati del medesimo (artt. 29 e 30 del Codice); inoltre, la modalità di comunicazione (individualizzata) utilizzata dal datore di lavoro era tale da escludere la divulgazione a terzi delle informazioni relative a ciascun lavoratore. La società aveva infine dichiarato nella lettera di informazione personale inviata ai lavoratori la finalità perseguita (fornire a tutto il personale interessato elementi ed informazioni su alcuni dati riguardanti la compagnia, la categoria di lavoratori coinvolti nell´iniziativa e l´andamento delle performance individuali).

Si è colta l´occasione per rappresentare ai sindacati istanti che, in merito al trattamento di dati personali nell´ambito del rapporto di lavoro, l´art. 113 del Codice fa espressamente salva la vigenza dell´art. 8 della legge n. 300/1970. Tale norma, risultata non violata nel caso di specie, vieta al datore di lavoro "di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell´attitudine professionale del lavoratore" (Nota 21 settembre 2006).

L´Autorità, tenendo conto di un numero rilevante di istanze di contenuto eterogeneo (quesiti, richieste di parere, segnalazioni e reclami) pervenute nel tempo, ha adottato "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati", al fine di mettere a disposizione dei datori di lavoro un quadro di misure e accorgimenti conformi al Codice cui attenersi.

I principi salienti affermati nelle linee-guida (Provv. 23 novembre 2006 [doc. web n. 1364939], in G.U. 7 dicembre 2006, n. 285) si possono sintetizzare nei termini seguenti:


Linee-guida
sul trattamento
di dati personali
di lavoratori dipendenti
nel settore privato

- in termini generali, il datore di lavoro, in qualità di titolare del trattamento, può trattare le informazioni di carattere personale indispensabili per dare esecuzione al rapporto di lavoro individuale nel rispetto dei principi di necessità, finalità e proporzionalità (artt. 3 e 11 del Codice);
- deve designare il personale che può trattare tali dati (artt. 29 e 30 del Codice) e assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni (artt. 31 ss. del Codice e Allegato B. al Codice);
- il lavoratore deve essere informato nei termini prescritti dall´art. 13 del Codice in ordine al trattamento dei dati personali che lo riguardano;
- al lavoratore, in qualità di interessato, deve essere consentito di esercitare agevolmente i propri diritti nei modi e termini previsti dal Codice (artt. 7 ss.);
- salvi i casi in cui il datore di lavoro sia tenuto a comunicare i dati personali del lavoratore a terzi (per obblighi di legge o scaturenti dal contratto di lavoro, o in presenza di un altro tra i presupposti di liceità del trattamento alternativi al consenso previsti dal Codice), è necessario il consenso del dipendente per comunicare informazioni ad esso riferite a soggetti estranei al rapporto di lavoro (ad es., ad associazioni di datori di lavoro, di ex-dipendenti, conoscenti, familiari). Il consenso è necessario anche per la diffusione di tali dati (ad es., mediante pubblicazione di foto nella intranet aziendale e, a maggior ragione, in Internet). Nella bacheca aziendale possono essere affissi ordini di servizio, turni lavorativi o feriali, ma non dati riferiti a emolumenti percepiti, sanzioni disciplinari, assenze per malattia e adesione ad associazioni. Allo stesso modo, può risultare eccedente un cartellino identificativo del lavoratore che contenga suoi dati anagrafici o sue generalità, potendo bastare, a seconda dei casi, un codice identificativo o il solo nome o il ruolo professionale;
- i dati sanitari vanno conservati in fascicoli separati e devono essere trattati esclusivamente da soggetti previamente designati (per iscritto) e istruiti come incaricati o responsabili del trattamento. Il lavoratore assente per malattia è tenuto a produrre al proprio datore di lavoro un certificato senza la diagnosi, con la sola indicazione dell´inizio e della durata presunta dell´infermità (cd. "prognosi"). Nel caso di denuncia di infortuni o malattie professionali, il datore di lavoro, sebbene tenuto a fornire indicazioni anche in ordine alla diagnosi, deve limitarsi a comunicare all´Inail solo le informazioni connesse alla patologia denunciata. Il datore di lavoro non può accedere alle cartelle sanitarie dei dipendenti sottoposti ad accertamenti dal medico del lavoro;
- non è lecito l´uso generalizzato di dati biometrici di lavoratori, specie se ricavati dalle loro impronte digitali. Il trattamento di tali dati può essere giustificato solo per finalità particolari (ad es., per controllare gli accessi ad "aree sensibili" ove si svolgono lavorazioni pericolose, ovvero destinati alla custodia di beni, o di documenti riservati). Non è ammessa la costituzione di banche di dati biometrici centralizzate ove sia sufficiente la loro memorizzazione su una smart card che resti nell´esclusiva disponibilità del dipendente (v. anche par. 17.1).

L´immediata attività di divulgazione delle indicazioni e degli orientamenti espressi dall´Autorità con tale documento ha consentito di dare risposta, già nell´anno in esame, a circa settanta istanze specifiche di lavoratori, imprese e di associazioni datoriali e sindacali.

10.3.3. Previdenza

Nell´ambito della collaborazione con l´Autorità per la predisposizione dello schema di regolamento sul trattamento dei dati sensibili e giudiziari, l´Istituto nazionale della previdenza sociale ha avviato una rivisitazione di tutta la modulistica attualmente utilizzata manifestando, in particolare, l´impegno a rivedere il modello relativo alla domanda di astensione obbligatoria e facoltativa per maternità sulla base delle valutazioni effettuate dall´Ufficio nell´istruttoria preliminare di una segnalazione, con specifico riguardo al rispetto dei principi di necessità, indispensabilità, pertinenza e non eccedenza dei dati (artt. 3, 11 e 22 del Codice). L´Inps si è avvalso della collaborazione con gli uffici del Garante anche al fine di rivedere il testo dell´informativa sul trattamento dei dati personali da rendere ai propri dipendenti e agli assicurati (art. 13 del Codice).


Rivisitazione
della modulistica Inps

10.4. Attività di marketing

Con riguardo al settore del marketing sono stati riaffermati dal Garante alcuni principi in materia di tutela dei dati personali già applicati in passato, anche alla luce delle novità introdotte dalla normativa di settore e dal Codice.

In particolare sono pervenute all´attenzione dell´Autorità numerose istanze e segnalazioni concernenti il trattamento di dati personali relativi alla fornitura di beni o servizi non richiesti.

Con tali segnalazioni gli interessati, avendo fornito dati in occasione della stipula di contratti di finanziamento volti a consentire il pagamento rateale per l´acquisto di beni di varia natura (ad es., elettrodomestici, autovetture, ecc.), contestavano l´utilizzo degli stessi dati a fini di invio non richiesto di carte di credito, in taluni casi già attivate. In altri casi, si lamentava il recapito di beni (ad es., riviste o quotidiani) presso il domicilio dell´interessato in assenza di una preventiva richiesta, cui avevano fatto seguito, a distanza di tempo, solleciti di pagamento.


Servizi non richiesti

Al riguardo è stato fatto presente ai segnalanti che il titolare del trattamento deve garantire all´interessato il diritto di opporsi all´utilizzo dei dati personali per scopi di invio di materiale commerciale o pubblicitario (in base all´art. 7, comma 4, lett. b), del Codice); devono altresì essere soddisfatte le eventuali richieste di attestazione ai sensi dell´art. 7, comma 3, lett. c), del Codice.

In questo quadro è necessario che si pongano a disposizione degli interessati, anche nell´informativa, specifici recapiti anche di posta elettronica per un agevole esercizio di tali diritti.

È stato inoltre precisato che, ferma ed impregiudicata l´applicazione dell´art. 7, comma 4, del Codice, lo specifico aspetto concernente la fornitura di servizi o beni non richiesti è disciplinato anche nell´art. 57 del d.lg. 6 settembre 2005, n. 206 recante il "Codice del consumo" (già art. 9 d.lg. n. 185/1999). Detta disposizione, in materia di contratti a distanza, prevede il divieto di fornire beni o servizi (e di richiederne il pagamento) in mancanza di una previa ordinazione da parte del consumatore. In caso di violazione, al di là dell´effetto previsto dall´art. 57, comma 2, del predetto d.lg. n. 206/2005 (in base al quale il consumatore non è tenuto ad alcuna prestazione corrispettiva nei confronti del fornitore), l´art. 62 del medesimo decreto legislativo prevede, altresì, l´applicazione di sanzioni amministrative.

L´Autorità ha affrontato una delicata quanto complessa questione connessa al trattamento di dati personali per finalità di marketing riferiti a donne in stato di gravidanza o puerpere (nonché ai loro neonati). Il procedimento ha avuto origine dalle segnalazioni di una coppia di coniugi che aveva lamentato l´invio ripetuto e indesiderato di materiale editoriale, richiedendo contestualmente al titolare di conoscere l´origine dei dati trattati e la loro cancellazione.

In considerazione dei riscontri contradditori forniti dalla società titolare del trattamento alle richieste dei segnalanti e, in particolare, dell´inidoneità degli elementi forniti in ordine alla liceità dell´acquisizione dei dati, la vicenda ha formato oggetto di una successiva attività ispettiva da parte dell´Autorità, che ha interessato la società e suoi collaboratori (denominati "promotori") operanti in specifiche aree geografiche.

Tale attività ha consentito di accertare che questi ultimi provvedevano per conto della società alla raccolta delle informazioni personali delle interessate (donne in stato di gravidanza o puerpere), mediante la distribuzione di coupon presso strutture sanitarie neonatali e avvalendosi della collaborazione di personale sanitario (cd. "referenti").


Dati personali
e attività
di marketing
presso strutture sanitarie neonatali

Dall´esame della vicenda sono inoltre emerse difformità rispetto alla disciplina di protezione dei dati personali, sotto il profilo della designazione di responsabili e incaricati, delle modalità prescelte per fornire l´informativa agli interessati e per acquisirne il consenso, nonché delle procedure introdotte per cancellare i dati e per dare seguito alle richieste di opposizione al trattamento.

Con provvedimento del 7 dicembre 2006 [doc. web n. 1379101] l´Autorità ha prescritto alla società di designare quali responsabili del trattamento, ai sensi dell´art. 29 del Codice, i soggetti di cui la stessa si avvale per la gestione del data-base o per la raccolta dei dati personali finalizzati allo svolgimento dell´attività di marketing.

In quest´ultimo caso, la designazione di responsabile deve riguardare i "promotori", considerato che dalla ricostruzione delle attività svolte e degli impegni contrattualmente assunti da tali soggetti ex art. 2222 c.c., la figura degli stessi (non sempre persone fisiche) non risultava qualificabile alla stregua di semplici "incaricati del trattamento".

Il grado di autonomia del "promotore" in ordine alle modalità da osservare nel trattamento dei dati, come prefigurata dalle clausole contrattuali che regolano il rapporto di collaborazione coordinata e continuativa con la società, risultava infatti alquanto ampio, ancorché nell´ambito di direttive impartite dalla società.

Nel richiamare alcune precedenti pronunce in materia di marketing, il Garante haritenuto che fosse necessario riformulare l´informativa inserita nei coupon, in conformità alla previsione ora contenuta nell´art. 13 del Codice e ai principi richiamati inprecedenti occasioni (v. Provv. 24 febbraio 2005, punto 6 [doc. web n. 1103045] e Provv. 13 gennaio 2000 [doc. web n. 42276]), integrandola in maniera tale da renderechiari e comprensibili tutti gli aspetti qualificanti del trattamento.

La decisione si è altresì soffermata sul modello di raccolta del consenso, prescrivendo l´utilizzo di formule che permettano agli interessati di manifestare validamentela propria volontà in termini positivi e in modo specifico e informato, distinguendo ciascuna delle finalità perseguite dalla società (differenti da quella relativa all´invio della rivista, per la quale non è necessario acquisire il consenso): ossia, quelle di profilazione e di ricerca di mercato da un lato, e quella di marketing dall´altro (cfr. Provv. 24 febbraio 2005, cit., punto 7).

In ordine alle procedure adottate dalla società per garantire un esatto adempimento alle istanze presentate dagli interessati ai sensi degli artt. 7 e 8 del Codice, è stato precisato che, in caso di opposizione al trattamento ai sensi dell´art. 7, comma 4, lett. b), del Codice, il titolare non è tenuto a cancellare i dati, essendo sufficiente per riscontrare l´istanza l´adozione di un sistema che consenta di impedire l´ulteriore trattamento per le finalità oggetto dell´opposizione (ad es., costituendo appositi elenchi di chi non intenda ricevere materiale pubblicitario).

Al contrario, diversamente da quanto è risultato essere effettuato dalla società, la richiesta di cancellazione di dati dell´interessato comporta (quando sussistono i presupposti previsti nell´art. 7, comma 3, lett. b), del Codice, ossia la violazione di legge o l´esaurimento degli scopi per i quali sono stati raccolti) la necessaria eliminazione definitiva dei medesimi dal data-base ove sono custoditi, in maniera tale da escludere qualsiasi loro ulteriore trattamento, anche in forma di conservazione.

Al di là di tali profili di contrarietà alla disciplina di protezione dei dati personali, l´aspetto che ha destato maggiori perplessità ha riguardato il ruolo svolto nell´interesse della società dal personale sanitario, la cui attività veniva remunerata da regalie di varia natura (attraverso un sistema a punti). Questi referenti, a titolo diverso, consentivano, tolleravano, o effettuavano direttamente un´attività di distribuzione dei coupon nonché di loro raccolta e conservazione (una volta compilati), con eventuale partecipazione diretta nella loro redazione; prestavano altresì assistenza agli interessati, finanche sostituendosi ai medesimi (a loro insaputa) nella compilazione e sottoscrizione della cartoline (coupon cd. non spontanei).

Tale attività, lungi dal caratterizzarsi come saltuaria ed occasionale, ha permesso di riscontrare la stabilità dell´impegno assunto dai referenti con i promotori (e la società) quale elemento indefettibile per la buona riuscita delle operazioni di raccolta, finalizzate alla successiva attività di marketing della società titolare del trattamento.

Il Garante ha evidenziato che i referenti non avevano assunto questo compitoin termini leciti in rapporto alle concomitanti funzioni che i medesimi sono tenuti ad assolvere nelle strutture pubbliche e private di appartenenza in base al rapporto di lavoro (non constando, dagli atti acquisiti, che l´attività svolta per la società fosse prevista da convenzioni legittimamente sottoscritte dalle strutture sanitarie o consentita da atti autorizzativi interni).

Sotto altro aspetto, oltre ai menzionati aspetti di illiceità e non correttezza del trattamento legati a talune modalità dell´informativa e in relazione alla compilazione dei coupon, non è risultato che i referenti avessero trattato legittimamente idati nella qualità di incaricati del trattamento designati dalla società o dai promotori. Tale incarico è risultato illecito alla luce della disciplina vigente e dell´anomalo sistema di collaborazione instaurato nel caso di specie, atteso che i referenti sono generalmente dipendenti o collaboratori delle strutture sanitarie presso le quali operano–sono, quindi, già incaricati delle medesime– mentre l´incaricato del trattamento può essere designato come tale solo se opera sotto la diretta autorità deltitolare o del responsabile (art. 30 del Codice).

Sono attualmente al vaglio del Garante alcune segnalazioni concernenti la problematica della legittima utilizzabilità, per il compimento di operazioni di marketing, di dati personali ricavati dal Pubblico registro automobilistico-Pra (art. 11, comma 3, r.d.l. 15 marzo 1927, n. 436), istituito per assicurare un regime di pubblicità legale con riguardo al trasferimento della proprietà e ai vincoli di privilegio costituiti sugli autoveicoli (art. 6 r.d.l. n. 436/1927) e gestito dall´Aci. In taluni casi, infatti, è emerso che tali informazioni personali venivano utilizzate per inviare comunicazioni commerciali contenenti un invito ad effettuare la revisione periodica dell´autoveicolo.

L´Autorità, alla luce del quadro appena descritto, sta inoltre valutando la liceità dell´utilizzo per finalità di marketing di dati contenuti in altri pubblici registri, sempre nell´ambito delle verifiche in corso nei confronti di operatori economici che si avvalgono di dati ricavati dal Pra.


Trattamento dei dati provenienti dal Pubblico registro automobilistico per finalità di marketing

10.5. Programmi e carte di fidelizzazione

Quello delle carte e dei programmi di fidelizzazione è un fenomeno sempre diffuso, che coinvolge un´ampia fascia della popolazione e che interessa, in particolare, il settore della cd. grande distribuzione. Nel corso del 2006, a seguito dell´avvio dell´attività di vendita di farmaci da banco all´interno di esercizi commerciali, è stata sottoposta all´attenzione dell´Autorità la specifica questione del trattamento dei dati sensibili (nella fattispecie, di quelli idonei a rivelare lo stato di salute degli interessati) nell´ambito di operazioni di fidelizzazione.


Dati sensibili e programmi di fidelizzazione

Al riguardo, con nota del 5 settembre 2006, la Federazione nazionale dei titolari di farmacia italiani (Federfarma) ha segnalato all´Autorità la possibile violazione, da parte di una società che gestisce una catena di supermercati, della disposizione prevista dall´art. 5 del decreto-legge 4 luglio 2006, n. 223 (Disposizioni urgenti per il rilancio economico e sociale, per il contenimento e la razionalizzazione della spesa pubblica, nonché interventi in materia di entrate e di contrasto all´evasione fiscale) poi convertito dalla l. 4 agosto 2006, n. 248, che vieta i concorsi, le operazioni a premio e le vendite sotto costo aventi ad oggetto i farmaci (art. 5, comma 2, d.l. n. 223/2006 cit.).

Federfarma ha sostenuto, in particolare, che il trattamento di dati sensibili nell´ambito di un programma di fidelizzazione realizzato dalla società avrebbe potuto configurare un trattamento illecito contrastando con le prescrizioni contenute nel provvedimento generale del Garante del 24 febbraio 2005 [doc. web n. 1103045] relativo al trattamento di dati personali nell´ambito dell´attività di fidelizzazione.

Con detto provvedimento l´Autorità aveva stabilito, in termini generali, che l´utilizzazionedi dati sensibili (art. 4, comma 1, lett. d), del Codice) non è di regola ammessa per alcuna delle finalità indicate, fatta salva l´ipotesi eccezionale nella quale il trattamento di dati sia realmente indispensabile in rapporto allo specifico bene oservizio richiesto e sia stato autorizzato dal Garante, oltre che consentito per iscritto dall´interessato, ciò valendo anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie (punto 2 del Provv. cit.). Il provvedimento aveva inoltre stabilito che non è lecito utilizzare a fini di profilazione dati idonei a rivelare la stato di salute e la vita sessuale (punto 4 del Provv. cit.).

Considerato che l´acquisto di alcuni beni presso la catena di supermercati (come nel caso dei prodotti presi in esame, i cd. farmaci da banco) avrebbe potuto determinare la raccolta di dati idonei a rilevare lo stato di salute, palesandosi così rischi concreti per i diritti e le libertà degli interessati, il Garante, alla luce dei principi di necessità, pertinenza e non eccedenza (v. punto 2 Provv. cit., e le autorizzazioni generali n. 2/2005 e n. 5/2005), ha avviato accertamenti anche in relazione alle disposizioni contenute nella legge finanziaria 2007, che contiene uno specifico divieto delle cd. operazioni a premio.

Alla luce di quanto rappresentato sono stati acquisiti elementi istruttori sulle operazioni di trattamento di dati eventualmente idonei a rivelare lo stato di salute degli interessati nell´ambito di programmi di fidelizzazione della clientela, anche in relazione alle norme concernenti le operazioni a premio aventi ad oggetto farmaci. Con nota del 12 dicembre 2006 è stata comunicata alla società la conclusione delle verifiche, tenuto conto che la stessa ha dichiarato di non effettuare alcun trattamento di dati idonei a rivelare lo stato di salute degli interessati contenuti nel dettaglio degli acquisiti effettuati dal titolare della carta e di non svolgere operazioni a premi ai sensi del d.l. n. 223/2006.

A seguito di accertamenti disposti nei confronti di una società al fine di verificarne l´osservanza alla disciplina di protezione dei dati personali –con particolare riferimento alle informazioni raccolte in occasione del rilascio di carte di fidelizzazione della clientela– come pure del provvedimento del 24 febbraio 2005 [doc. web n. 1103045], l´Autorità si è pronunciata in ordine ai trattamenti dalla stessa effettuatiper finalità di operazioni a premio, profilazione e marketing (Provv. 24 maggio2006 [doc. web n. 1298784]).

In particolare il Garante si è soffermato sulle caratteristiche di una card distribuita presso la clientela dalla società. La carta presentava la peculiarità di consentire ai suoi intestatari di beneficiare di sconti e promozioni nonché di ottenere da una banca la contestuale apertura di un fido finalizzato all´acquisto di beni presso i punti vendita della società, operando in tal caso anche quale carta di pagamento.


Carte
di fidelizzazione
e di finanziamento

I dati personali riferiti alla clientela, talora relativi anche al coniuge (tra i quali: dati anagrafici e stato civile, recapiti anche telefonici e coordinate di posta elettronica, professione svolta e reddito percepito, coordinate bancarie, identità del proprietario o locatario dell´immobile di residenza; ammontare del mutuo e/o del canone di locazione mensile; composizione del nucleo familiare) raccolti in sede dirilascio della card formavano oggetto di trattamento da parte sia della società, sia della banca, le quali fornivano, in qualità di autonomi titolari del trattamento, due distinte informative alla clientela collocate in distinti riquadri dell´unico modulo contrattuale utilizzato. I dati raccolti dal personale incaricato della società venivano immessi direttamente nei sistemi informativi della banca per consentire l´istruttoria in ordine al rilascio del fido.

A seguito della valutazione favorevole in ordine alla concessione del finanziamentoda parte della banca veniva consegnata al cliente la card; in caso di mancata erogazione la società rilasciava comunque una card utile solo per fruire dei vantaggi economici. In ogni caso la banca, con periodicità mensile e in via telematica, inviava alla società un estratto dei dati raccolti che venivano successivamente aggregati in un data-base gestito dalla medesima società.

I dati venivano utilizzati per perseguire distinte finalità: ammissione degli intestatari al godimento di condizioni economiche di favore loro riservate in occasione degli acquisti effettuati, svolgimento di attività di marketing, creazione di profili diconsumo della clientela. Non venivano raccolti dati relativi al dettaglio degli acquisti effettuati, registrandosi solo il loro ammontare complessivo. A questo proposito veniva inserita nella modulistica predisposta la possibilità di manifestare un consenso per autorizzare trattamenti di dati sulle abitudini di consumo dell´intestatario della carta e della sua famiglia, in prospettiva di futuri trattamenti aventi le predette finalità.

Nella fattispecie, il Garante –anche in considerazione del fatto che non risultava fornita alcuna informativa esplicita circa la comunicazione di dati alla banca, se non per la presenza di un riferimento alla cooperazione svolta dalla società a favore dell´ente creditizio– ha rilevato l´opportunità di rendere in modo chiaro e trasparente l´informativa (art. 13 del Codice) attraverso un unico modulo, nonché la necessità di porre in distinta e specifica evidenza le caratteristiche dell´eventuale attività di profilazione e/o di marketing e l´intenzione di cedere i dati a terzi specificamente individuati, per finalità puntualmente indicate (cfr. Provv. 13 gennaio 2000 [doc. web n. 42276]; lo stesso principio era stato ribadito con Provv. 24 febbraio 2005 [doc. web n. 1103045]).

Anche in ossequio alla clausola generale di correttezza del trattamento (art. 11del Codice), il Garante ha ribadito che l´informativa, seppure formulata sinteticamentee inserita all´interno di moduli contrattuali, deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, in modo da risultare agevolmente individuabile rispetto ad altre clausole del contratto (cfr. Provv. 13 gennaio 2000, cit.).

L´Autorità è intervenuta anche con riguardo alla specifica acquisizione del consenso in presenza di finalità del trattamento ulteriori rispetto all´esecuzione del contratto (art. 24, comma 1, lett. b), del Codice). Il Garante ha sottolineato che l´attività di raccolta di dati relativi alle abitudini di consumo, prodromica alla definizione di profili individuali e del gruppo familiare, richiede l´acquisizione di un ulteriore consenso autonomo e differenziato da parte dell´interessato rispetto allo svolgimentodi attività di marketing e di ricerche di mercato, anziché, come avveniva nel caso di specie, un consenso onnicomprensivo reso con unica dichiarazione.

Al di là della differente portata dei trattamenti effettuati per finalità di marketing e di profilazione della clientela, deve poi rilevarsi il loro diverso ed autonomo apprezzamento da parte del legislatore che, per ciascuno di essi, fissa un differenziato statuto normativo: il trattamento di dati funzionali alla creazione di profili di consumo individuale viene regolato, infatti, agli artt. 14, 22, comma 10, e 37,comma 1, lett. d), del Codice. I trattamenti di dati personali effettuati ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale trovano diversa disciplina negli artt. 7, comma 4, lett. b), e 130 del Codice.

Ferma l´eventuale rilevanza di uno degli altri presupposti di liceità del trattamento indicati all´art. 24 del Codice, gli interessati debbono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando un consenso modulare per ciascuna distinta finalità perseguita dal titolare (cfr. già Provv. 28 maggio 1997 [doc. web n. 40425]; Provv. 24 febbraio 2005, punto 7, cit.).

Il Garante ha altresì rilevato che non può definirsi libero il consenso al trattamento dei dati personali che l´interessato debba prestare aderendo a un testo predisposto unilateralmente dalla controparte quale condizione per conseguire la prestazione richiesta (nel caso di specie, data la genericità della formulazione utilizzata, il rilascio della card e, con essa, la concessione del fido e l´ammissione al godimento degli sconti), atteso che il consenso è validamente prestato solo se è espresso liberamente (art. 23, comma 3, del Codice).

Da ultimo, nel dichiarare illecito il descritto trattamento dei dati personali della clientela aderente alla card in ordine ai profili di inidonea informativa e mancata acquisizione di uno specifico e autonomo consenso per lo svolgimento delle distinte operazioni di marketing e per i trattamenti strumentali alla definizione dei profili individuali della clientela, il Garante ha in conclusione vietato, ai sensi dell´art. 154, comma 1, lett. d), del Codice, la prosecuzione del trattamento dei dati personali svolto in violazione di legge, dichiarandoli inutilizzabili ai sensi dell´art. 11,comma 2, del Codice.

10.6. Altre attività imprenditoriali

Come già rappresentato nella Relazione 2005 (p. 78), muovendo da alcune segnalazioni di singoli e di associazioni per la tutela dei diritti dei consumatori, il Garante aveva valutato la liceità del trattamento di dati personali della clientela effettuato da soggetti che forniscono servizi radiotaxi. Al termine della relativa istruttoria l´Autorità era intervenuta con provvedimento del 26 luglio 2005 [doc. web n. 1151997].

Riguardo all´obbligo previsto dal Codice di rendere l´informativa agli interessati al momento della raccolta dei dati, l´Autorità aveva prescritto ai gestori di servizi radiotaxi di informare i relativi clienti al momento del contatto (di regola telefonico) circa l´uso dei dati che li riguardano, con particolare riferimento alle differenti finalità perseguitee alla tipologia dei dati personali utilizzati per ciascuna di esse. Il Garante aveva stabilito che tale informativa può essere resa in forma semplificata (al telefono, in sede di prenotazione del servizio) previa specifica e motivata richiesta rivolta all´Autorità; tale informativa deve essere integrata mediante l´affissione all´interno del taxi di un testo contenente tutti gli elementi menzionati nell´art. 13 del Codice.


Informativa semplificata
e servizi
radiotaxi

A seguito dell´adozione del citato provvedimento sono pervenute all´attenzione dell´Autorità numerose istanze da parte di soggetti che gestiscono servizi radiotaxi, al fine di poter rendere l´informativa agli interessati con modalità semplificate. A tale proposito, anche a seguito della nota dell´11 gennaio 2006 con la quale la Confederazione nazionale dell´artigianato e della piccola e media impresa (Cna) ha chiesto all´Autorità di considerare l´opportunità di esonerare dal pagamento dei diritti di segreteria i soggetti che gestiscono i servizi radiotaxi quando trattasi della semplice comunicazione di adeguamento normativo e di adozione dell´informativa semplif icata formulata dal Garante o, quanto meno di considerare giustificata una proporzionale riduzione dell´importo richiesto, commisurata alla dimensione associativa dell´impresa di radiotaxi, è stato fatto presente che l´Autorità è tenuta (ai sensi dell´art.19 del regolamento interno n. 1/2000) a prevedere la riscossione di diritti di segreteria per l´adozione di alcuni provvedimenti tra i quali (in ragione della complessità dell´istruttoria che di regola si rende necessaria) è stato considerato anche quello che autorizza il titolare del trattamento a rendere l´informativa agli interessati con modalità semplificate.

Tale procedimento trova tra l´altro applicazione nei confronti di qualsiasi soggetto titolare di un trattamento che presenti una specifica richiesta in tal senso al Garante, e prescinde pertanto dalla natura giuridica del richiedente o dall´attività dal medesimo svolta (art. 13, comma 3, del Codice).

In particolare, per quanto concerne i gestori del servizio radiotaxi l´Autorità aveva già individuato con il citato provvedimento del 26 luglio 2005 le modalità semplificate con le quali i gestori interessati possono rendere l´informativa alla propria clientela, autorizzando contestualmente i medesimi ad avvalersi di tali modalità a seguito di apposita istanza presentata al Garante nei termini di cui al punto 3 del provvedimento medesimo (v. Relazione 2005, p. 78 ss.). È stato altresì evidenziato che tali procedure di semplificazione sono meramente facoltative e che il gestore del servizio, qualora non intenda avvalersene, è comunque tenuto (senza dover corrispondere ovviamente alcun importo) a rendere l´informativa in forma integrale ai sensi e per gli effetti dell´art. 13, comma 1, del Codice.

L´Autorità ha inoltre valutato con attenzione i profili sottoposti dalla Cna concernenti la possibilità di commisurare l´importo da corrispondere a titolo di diritti di segreteria in ragione delle peculiarità che contraddistinguono il settore in esame, come pure le osservazioni formulate al riguardo da alcuni gestori di servizi radiotaxi (che hanno presentato autonomamente al Garante una formale richiesta di pagamento in misura ridotta di tali diritti).

Alla luce della predetta valutazione l´Autorità ha definito i seguenti parametri, in base ai quali deve ritenersi autorizzato il pagamento in misura ridotta dei diritti menzionati:

  • scopo mutualistico perseguito dal soggetto operante in qualità di gestore del servizio radiotaxi;
  • natura di servizio pubblico della prestazione resa;
  • dimensione della compagine sociale, individuata nella soglia di un numero non superiore a cinquanta tassisti che si avvalgono del servizio reso;
  • bacino d´utenza servito tramite il servizio radiotaxi, non superiore ai centocinquantamila abitanti.

Tali presupposti devono ricorrere congiuntamente e il gestore è tenuto a documentarli in modo adeguato (Nota 6 dicembre 2006).

Merita anche evidenziare che in ordine alle modalità e ai presupposti del pagamento dei diritti di segreteria nel settore considerato è stata proposta, tra l´altro, un´interrogazione parlamentare il 12 gennaio 2006 rispetto alla quale, anche sulla base di elementi forniti dall´Autorità, è stato dato riscontro nella seduta del 9 febbraio 2006 (v. par. 1.2.2).

Scheda

Doc-Web
1424512
Data
12/07/07

Tipologie

Relazione annuale

Documenti citati