Contro la pratica di Retention che di fatti e` illegale ma
in realta` grazie ad una postilla del tutto ignobile
consente ai gestori di telefonia di contattare un cliente
che decide liberamente di cambiare operatore.
Sottolineo che la telefonata di retention e` illegale e
contro la violazione del diritto di privacy...Il diritto di
recesso e` unilaterale e riguarda essenzialemente il
consumatore e non il gestore di telefonia.. (La ricaricabile
non e` un contratto!!!!!)..Sull`abbonamento la legge BERSANI
NON PREVEDE VINCOLI TRANNE SE UN CLIENTE NON HA PRESO IN
COMODATO UN TELEFONO, UNA CHIAVETTA PER LA CONNEssIONE AD
INTERNET!!!!
Il Garante per la protezione dei dati personali ha un'unica
sede in Roma
Indirizzo
Piazza di Monte Citorio n. 121 00186 ROMA
E-mail:
[email protected]
Fax: (+39) 06.69677.785
Centralino telefonico: (+39) 06.69677.1
Ricordo altresì:
Prescrizioni ai fornitori di servizi di comunicazione
elettronica accessibili al pubblico che svolgono attività
di profilazione - 25 giugno 2009
(G.U. n. 159 dell'11 luglio 2009)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,
vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti e del dott. Filippo Patroni Griffi,
segretario generale;
VISTO il Codice in materia di protezione dei dati personali
(d.lg. 30 giugno 2003, n. 196, di seguito, "Codice")
pubblicato nella Gazzetta Ufficiale della Repubblica
Italiana n. 174 del 29 luglio 2003;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai
sensi dell'art. 15 del regolamento del Garante n.
1/2000;
RELATORE il prof. Francesco Pizzetti;
PREMESSO
1. Considerazioni preliminari e attività istruttoria
L'Autorità ha effettuato una serie di attività
istruttorie, anche di carattere ispettivo, al fine di
realizzare un monitoraggio sull'attività svolta dai
fornitori di servizi di comunicazione elettronica
accessibili al pubblico (di seguito "fornitori"), con
l'intento di acquisire informazioni relative alle modalità
che ciascun fornitore adotta per svolgere attività di
"profilazione" della totalità dei propri clienti (c.d.
"base clienti"), anche in relazione alla possibilità di
classificare gli interessati in determinate categorie
omogenee (cd. cluster).
I fornitori in questione, sono quelli che mettono a
disposizione del pubblico servizi di comunicazione
elettronica su reti pubbliche di comunicazione dove per
"servizi di comunicazione elettronica" devono intendersi
quelli consistenti, esclusivamente o prevalentemente, "nella
trasmissione di segnali su reti di comunicazioni
elettroniche" (art. 4, comma 2, lett. d) ed e), del
Codice).
Dall'esame delle risultanze istruttorie è emerso che i
fornitori effettuano attività di profilazione utilizzando
dati personali che vengono anche aggregati secondo parametri
predefiniti individuati da ciascun titolare di volta in
volta, a seconda delle esigenze aziendali. Tali dati possono
comprendere informazioni personali di tipo variegato, tra
cui dati di carattere contrattuale e dati relativi ai
consumi effettuati, dai quali è possibile desumere
indicazioni ulteriori riferibili a ciascun interessato (ad
esempio, fascia di consumo, livello di spesa sostenuto ad
intervalli regolari, servizi attivi su ciascuna
utenza).
La circostanza che un fornitore possa disporre e trattare,
seppur su base aggregata, tali tipologie di dati, comporta
la disponibilità di un patrimonio informativo che va ben al
di là delle informazioni considerate singolarmente e
relative a ciascun interessato. Attraverso il confronto e
l'utilizzo dei dati dei propri clienti, è possibile,
infatti, che il fornitore acquisisca informazioni
concernenti il singolo utente o derivanti proprio
dall'aggregazione dei dati e dalla loro catalogazione in
cluster, al fine di monitorare l'andamento economico della
società o, eventualmente, in un secondo momento, anche di
progettare e realizzare campagne di marketing sulla base
delle analisi effettuate.
2. Ambito oggettivo del provvedimento
La profilazione costituisce una delle attività prevalenti
dei fornitori, e, dunque, rientra nell'attività strutturale
e sostanziale di tali soggetti (infatti, a partire dalle
risultanze degli esami di business intelligence che ad essa
sono naturalmente collegate, essi sono in grado di
implementare la progettazione della propria struttura e dei
servizi offerti).
I dati, che siano "anonimi" ai sensi dell'art. 4, comma 1,
lett. n) del Codice esulano dall'ambito oggettivo del
presente provvedimento.
L'attività di profilazione può concernere dati personali
"individuali" o dati personali "aggregati" derivanti da dati
personali individuali dettagliati (ad esempio, anagrafici e
di traffico).
Il presente provvedimento, pertanto, riguarda le ipotesi in
cui l'attività di profilazione abbia ad oggetto dati
personali individuali e dati personali aggregati derivanti
da dati personali individuali dettagliati.
Come si dirà di seguito, l'attività di profilazione che ha
ad oggetto dati personali individuali, è consentita solo
se, in base a quanto stabilito dall'art. 23 del Codice, il
titolare sia in grado di documentare per iscritto un
consenso informato, libero e specifico manifestato
dall'interessato per tale finalità. Tale consenso
ricomprende, ovviamente, anche il trattamento di dati
personali aggregati.
Nell'eventualità in cui il fornitore intenda, invece,
utilizzare per la profilazione dati personali aggregati, per
i quali non risulti acquisito il consenso degli interessati,
sarà necessario che presenti al Garante una richiesta di
verifica preliminare, in quanto il trattamento presenta
rischi specifici per l'interessato, in relazione alla natura
dei dati o alle modalità del trattamento o agli effetti che
il trattamento può determinare.
Solo in quella sede, infatti, sarà possibile valutare, tra
le altre condizioni, se sia possibile autorizzare il
trattamento avente ad oggetto tali dati, anche in assenza
del consenso degli interessati, ai sensi dell'art. 24, comma
1, lett. g) del Codice.
Il presente provvedimento non incide sulla disciplina, che
resta immutata, di cui all'art. 123 del Codice, relativa
alla conservazione dei dati per finalità di fatturazione e
quella concernente la conservazione e sicurezza dei dati di
traffico telefonico e telematico, per l'accertamento e
repressione dei reati, prevista dall'art. 132 del Codice,
dal d. lgs. n. 109 del 2008 e dal provvedimento di carattere
generale adottato da questa Autorità in data 17 gennaio
2008, pubblicato in G.U. n. 30 del 5 febbraio 2008 e poi
aggiornato con il provvedimento del 24 luglio 2008,
pubblicato in G.U. n. 189 del 13 agosto 2008 (entrambi in
www.garanteprivacy.it, docc. web nn. 1482111 e
1538224).
3. La profilazione con dati personali "individuali":
consenso
In ossequio ai principi di necessità (art. 3 del Codice) e
di proporzionalità nel trattamento (art. 11 del Codice),
l'attività di profilazione dovrebbe essere svolta
utilizzando solo dati strettamente necessari al
perseguimento della finalità e, in ogni caso, trattando
solo dati per i quali, sulla base di quanto disposto dagli
artt. 13 e 23 del Codice, il titolare abbia rilasciato una
idonea informativa e sia in grado di documentare un consenso
libero e specifico dell'interessato.
Tali principi si applicano non solo se la raccolta dei dati
è specificamente effettuata dai fornitori per questa
finalità, ma anche se l'attività di profilazione viene
realizzata mediante dati inizialmente raccolti per una
diversa finalità, ivi compresa quella dell'erogazione del
servizio.
4. La profilazione con dati personali "aggregati": prior
checking
Qualora la profilazione abbia ad oggetto dati personali
aggregati, occorre in primo luogo osservare che il livello
di aggregazione è variabile e dipende dal dettaglio dei
parametri stabiliti da ciascun titolare del
trattamento.
Il rischio che può derivare all'interessato da tale
trattamento deriva dalla profondità del livello di
aggregazione impostato e dalle modalità tecniche con le
quali viene effettuato il trattamento.
I dati personali aggregati oggetto di profilazione derivano,
infatti, da dati personali individuali dettagliati,
contenuti in una pluralità di sistemi, e tali restano nella
disponibilità del titolare del trattamento, il quale è
tenuto a conservarli per esigenze gestionali, finalità
operative e tempi diversi, tra cui anche quelli che la legge
gli impone (ad esempio, per esigenze di fatturazione, art.
123 del Codice, o per finalità di accertamento e
repressione di reati, art. 132 del Codice e d. lg. 109 del
2008).
Pur in presenza di tale aggregazione, i dati non sono per
ciò solo qualificabili anonimi e rientrano nella nozione di
"dati personali", secondo la definizione dell'art. 4, comma
1, lett b) del Codice: la norma, infatti, qualifica come
"dato personale" qualunque informazione relativa ad un
soggetto, identificato o identificabile, anche
indirettamente, mediante il riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione
personale.
Pertanto, nell'eventualità in cui il fornitore intenda
utilizzare per la profilazione dati personali aggregati, per
i quali non risulti acquisito il consenso degli interessati,
sarà necessario che presenti al Garante una richiesta di
verifica preliminare.
Tale richiesta dovrà essere presentata in base al disposto
dell'art. 17 del Codice, elencando nel dettaglio quali
trattamenti intenda effettuare, specificando ciascuna
finalità e indicando, altresì, le tipologie di dati che si
intendono utilizzare.
A fronte di tale richiesta, il Garante con il provvedimento
che renderà all'esito della procedura di verifica
preliminare:
a) verificherà la sussistenza dei parametri e delle
condizioni minime individuate con il presente
provvedimento;
b) prescriverà le eventuali altre misure specifiche
necessarie al fine di rendere il trattamento conforme alle
disposizioni del Codice;
c) valuterà se autorizzare i fornitori ad effettuare
l'attività di profilazione, in assenza del consenso degli
interessati, ai sensi dell' art. 24, comma 1, lett. g), del
Codice.
Si segnala sin d'ora che il Garante, in sede di verifiche
preliminari, orienterà le proprie valutazioni anche in base
ai seguenti parametri e condizioni minime:
1. i dati personali oggetto dell'attività di profilazione,
ancorché possano derivare da dati originari dettagliati di
cui il titolare continua a disporre per finalità gestionali
ed esigenze operative previste anche per legge, siano
esclusivamente dati personali aggregati, dai quali,
nell'ambito dei sistemi dedicati alla profilazione, non sia
possibile risalire immediatamente a informazioni dettagliate
relative a singoli interessati;
2. i dati personali aggregati oggetto di profilazione siano
contenuti in uno o più sistemi appositamente dedicati alla
profilazione, funzionalmente separati dai sistemi originari
che costituiscono la fonte del dato aggregato e da ulteriori
eventuali sistemi utilizzati dal titolare per altre
finalità (ad esempio marketing);
3. i dati personali aggregati oggetto dell'attività di
profilazione, sia quando si riferiscano ad un interessato,
sia quando si riferiscano ad una pluralità di interessati,
siano sottoposti ad un processo in grado di impedire
l'immediata identificabilità dei singoli interessati;
4. gli incaricati che svolgono l'attività di profilazione
dispongano di un profilo di autenticazione limitato e
diverso da quello di coloro che svolgono eventuali ulteriori
attività, anche successive alla profilazione;
5. i dati personali oggetto dell'attività di profilazione
siano conservati per un periodo di tempo limitato, decorso
il quale devono essere cancellati.
5. Ulteriori obblighi
Tranne che per gli aspetti disciplinati dal presente
provvedimento, restano fermi, in capo ai fornitori, taluni
obblighi.
In particolare, il fornitore che intenda procedere al
trattamento di dati personali ("individuali" o "aggregati")
per finalità di profilazione è tenuto, ai sensi dell'art.
37, comma 1, lett. d) del Codice a notificare, in ogni caso,
al Garante tale trattamento, con le modalità indicate
all'art. 38 del Codice.
Inoltre il titolare è in ogni caso tenuto a rendere, ai
sensi dell'art. 13 del Codice, l'informativa agli
interessati in relazione alle finalità perseguite e ai
diritti riconosciuti agli interessati dall'art. 7 del
Codice.
6. Sanzioni
È utile rammentare che la mancata osservanza delle
disposizioni richiamate nonché delle prescrizioni impartite
può comportare l'applicazione delle sanzioni previste dagli
artt. 161, 162, commi 2 bis e 2 ter, 163 e 164 bis, commi 2,
3 e 4 del Codice (disposizioni introdotte o modificate dalla
legge 27 febbraio 2009, n. 14 di conversione, con
modificazioni, del decreto legge n. 207 del 30 dicembre
2008).
L'art. 161 sanziona la mancata o inidonea informativa,
stabilendo che la violazione delle disposizioni di cui
all'art. 13, nel quale è indicato che le informazioni da
rendere all'interessato devono includere anche le finalità
per cui i dati sono trattati, ivi inclusa la profilazione,
è punita con la sanzione amministrativa del pagamento di
una somma da seimila euro a trentaseimila euro.
L'art. 163 sanziona l'omessa o incompleta notificazione
prevedendo che chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi degli artt. 37 e
38, ovvero indica in essa notizie incomplete, è punito con
la sanzione amministrativa del pagamento di una somma da
ventimila euro a centoventimila euro.
L'art. 162, comma 2 bis prevede che in caso di trattamento
di dati personali effettuato in violazione delle
disposizioni indicate nell'art. 167, il quale, al comma 2,
comprende anche l'art. 17 è applicata in sede
amministrativa, in ogni caso, la sanzione del pagamento di
una somma da ventimila euro a centoventimila euro. Inoltre,
il comma 2 ter del medesimo articolo stabilisce che in caso
di inosservanza dei provvedimenti di prescrizione di misure
necessarie di cui all'art. 154, comma 1, lettera c), è
applicata in sede amministrativa, in ogni caso, la sanzione
del pagamento di una somma da trentamila euro a
centottantamila euro.
L'art. 164 bis, comma 2, stabilisce, infine, che in caso di
più violazioni di un'unica o di più disposizioni relative
a violazioni amministrative, commesse anche in tempi
diversi, in relazione a banche di dati di particolare
rilevanza o dimensioni, si applica la sanzione
amministrativa del pagamento di una somma da cinquantamila
euro a trecentomila euro: nei casi di maggiore gravità o
considerando le condizioni economiche del contravventore,
tale sanzione può essere aumentata (commi 3 e 4 del
medesimo articolo).
TUTTO CIÒ PREMESSO IL GARANTE
fermo restando, per i fornitori che intendano effettuare un
trattamento di dati personali, anche in forma "aggregata",
per finalità di profilazione, l'obbligo di rendere, ai
sensi dell'art. 13 del Codice, l'informativa agli
interessati in relazione alle finalità perseguite e ai
diritti riconosciuti agli interessati dall'art. 7 del
Codice, nonché l'obbligo di notificare, ai sensi dell'art.
37, comma 1, lett. d) del Codice, al Garante tale
trattamento, con le modalità indicate all'art. 38 del
Codice,
PRESCRIVE
ai sensi degli artt. 143, comma 1, lett. b), 154, comma 1,
lett. c) del Codice,
A) ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che intendano svolgere attività di
profilazione (anche in assenza di uno specifico consenso)
utilizzando dati personali "aggregati", di formulare
all'Autorità, mediante la procedura prevista dall'art. 17
del Codice, una richiesta di verifica preliminare con la
quale siano specificati in maniera dettagliata i trattamenti
che si intendono effettuare, indicando ciascuna finalità e
le tipologie di dati che si intendono utilizzare;
B) ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che, allo stato, svolgono attività
di profilazione, in assenza di uno specifico consenso,
utilizzando dati personali "aggregati", di formulare la
richiesta di verifica preliminare di cui alla lettera A)
entro il 30 settembre 2009.
Si dispone la trasmissione di copia del presente
provvedimento al Ministero della giustizia-Ufficio
pubblicazione leggi e decreti, per la sua pubblicazione
sulla Gazzetta Ufficiale della Repubblica italiana.
Roma, 25 giugno 2009
Ricordo ancora: (fonte www.mondo3.com)
Sinteticamente [...]:
1. I ricorsi di Vodafone e Telcom Italia erano stati
presentati a gennaio e febbraio scorso con richiesta di
sospensiva della delibera Agcom.
2. La sospensiva non è poi stata concessa dal TAR.
3. Il TAR si è pronunciato alcuni giorni fa nel merito dei
due ricorsi.
Sulla pronuncia del TAR Lazio, nelle due sentenze ( Telecom
e Vodafone) tutti i motivi di impugnazione dei due ricorsi
di Telecom Italia e Vodafone sono stati rigettati tranne
uno, quello relativo ai tempi del recesso a seguito della
richiesta di MNP: tempo che potrebbe scontrarsi con l'arco
temporale di preavviso di comunicazione del recesso, ovvero
30 giorni come riaffermato dalla Legge Bersani.
Il TAR ha in pratica respinto la parte in virgolettato, o
meglio ha riconosciuto ai gestori il diritto del preavviso,
ma allo stesso tempo ha riconosciuto come legittima la
riduzione dei tempi della MNP in 3 giorni decisa da Agcom.
In pratica i due tempi sono distinti.
A parte questo rilievo ( è un bel grattacapo non c'è
dubbio), il TAR ha confermato la validità di tutta la
delibera Agcom 78/08/CIR e di conseguenza:
1)Ha Confermato i 3 giorni per la Portabilità` del
numero
2) Ha confermato il divieto di retention una volta richiesta
la MNP*
3) Ha confermato il divieto di ripensamento del cliente una
volta avviata la procedura di MNP con richiesta del
"recipient" all'operatore "donating"
4) Ha confermato l'obbligo per il gestore ad eseguire la MNP
anche in caso di insolvenza, credito negativo
5) Ha confermato la natura di "prestazione accessoria" della
MNP.
. Con l'unico rilievo accolto dal TAR, è fatta salva la
possibilità di retention teorica durante i 30 giorni del
recesso
...Il diritto di recesso e` unilaterale e riguarda
l`esclusiva decizione del consumatore e non il gestore di
telefonia.. (La ricaricabile non e` un
contratto!!!!!)..Sull`abbonamento la legge BERSANI NON
PREVEDE VINCOLI TRANNE SE UN CLIENTE NON HA PRESO IN
COMODATO UN TELEFONO, UNA CHIAVETTA PER LA CONNEssIONE AD
INTERNET!!!!
In conclusione: le due fasi temporali sono state scorporate:
da una parte il tempo di recesso dal contratto deve essere
notificato 30 giorni prima, dall'altra parte la "prestazione
accessoria" della MNP deve essere eseguita in 3 giorni come
deciso dall' Agcom.
Non si capisce perche` nessuna autorità` blocchi questa
pratica illegale!!Solo con un mercato libero si potra`
veramente risparmiare dei soldi.e vedere vere offerte e non
fasulle!!!!
Fermate questo scempio!!!Fermate il casino` della
telefonia!!! FermaTe la Retention. Si richia da far chiudere
a breve il mercato dei piccoli..Conad gia` ha chiuso i
battenti..!!!British telecom ha denunciato Vodafone!!!a cosa
dobbiamo ancora arrivare?????
Che AGCOM e L`autorità` garante della rpivacy intervenga
subito!!!
Grazie ADUC sottolineo per l`impegno a favore dei diritti
dei consumatori!!!!!!!