Europa
(dal Garante per la protezione dei dati personali)
Trattamento dei dati relativi al traffico telefonico e telematico
I dati per la fatturazione del traffico telefonico e telematico pongono delicate questioni di privacy, devono essere conservati per un periodo limitato e vanno cancellati al massimo dopo sei mesi. Questo, in sintesi, il pronunciamento dei Garanti per la privacy europei che il 29 gennaio scorso hanno approvato uno specifico documento comune (1/2003):
Parere 1/2003 sulla memorizzazione ai fini della fatturazione dei dati relativi al traffico.
Secondo il Gruppo che riunisce le Autorità di protezione dati dell¿UE i dati relativi al traffico telefonico e telematico, la cui finalità di raccolta è per scopi di fatturazione, devono essere conservati per un periodo che non deve superare i 3-6 mesi, tranne casi particolari (ad esempio, qualora una fattura sia contestata dall¿abbonato o in presenza di dati acquisiti per motivi di sicurezza nazionale, ordine pubblico, indagini penali).
Il punto di partenza del documento adottato è l¿assenza – tempi nella direttiva 97/66, in materia di privacy e telecomunicazioni – di precise indicazioni normative europee sui tempi di conservazione dei dati di traffico utilizzati per l¿emissione di fatture. La stessa osservazione vale per la nuova direttiva 2002/58, che riguarda la tutela della privacy nelle comunicazioni elettroniche e che è destinata a sostituire la precedente dal mese di novembre 2003. In entrambi i testi, sulla scorta dei principi fondamentali affermati nella direttiva 95/46 cosiddetta ¿madre¿, ed in particolare del principio di finalità e proporzionalità del trattamento di dati personali, si sancisce però che il trattamento di questi dati ¿è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento.¿
I Garanti europei hanno quindi sottolineato che tale disposizione rappresenta, comunque, solo un¿eccezione al principio generale fissato nell¿Articolo 6(1) di entrambe le direttive, secondo cui i dati di traffico devono essere cancellati o trasformati in dati anonimi al termine della comunicazione.
Poiché, inoltre, in omaggio ai principi di pertinenza e non eccedenza, il trattamento dei dati personali finalizzato, fra l¿altro, alla fatturazione deve limitarsi a quanto necessario per tali finalità – come prevede l¿Articolo 6(4) della direttiva 97/66 e l¿Articolo 6(5) della direttiva 2002/58 -è chiaro che la disposizione sopra citata sulla conservazione dei dati per scopi di fatturazione deve essere interpretata in modo restrittivo, soprattutto se non c¿è contestazione della fattura emessa dal fornitore di servizi telefonici e/o telematici.
Le proposte dei Garanti. I Garanti propongono, dunque, di considerare un termine massimo oscillante fra 3 e 6 mesi per la conservazione dei dati di traffico, sulla base di una valutazione di proporzionalità e ragionevolezza. Soltanto in casi del tutto ¿eccezionali e particolari¿ deve essere ammessa la conservazione per periodi prolungati, tenendo conto volta per volta delle circostanze specifiche.
Il periodo di conservazione non è l¿unico elemento sul quale si sono appuntate le osservazioni dei Garanti. Proprio per rispettare i principi di pertinenza e non eccedenza sopra citati, infatti, il trattamento dei dati di traffico per scopi di fatturazione deve limitarsi ai dati effettivamente ¿necessari¿.
Ne deriva che, da un lato, le comunicazioni non soggette a fatturazione (ad esempio, quelle a titolo gratuito verso i cosiddetti ¿numeri verdi¿) non devono essere conservate; dall¿altro lato, occorre valutare con attenzione la necessità di elaborare dati di traffico se quest¿ultimo viene pagato sulla base di importi forfettari (le cosiddette ¿tariffe flat¿), indipendentemente dalla durata e dalla natura delle singole comunicazioni.
Le Autorità garanti dell¿UE hanno sottolineato chiaramente che comportamenti divergenti dai principi indicati in questo parere sono da considerarsi incompatibili con le disposizioni dell¿UE in materia di protezione dati.
L¿unica eccezione è rappresentata dall¿esistenza di una specifica riserva di legge: è il caso, ad esempio, delle eventuali deroghe proporzionate, previste in quanto effettivamente ¿necessarie¿ per la salvaguardia della sicurezza nazionale, della difesa o dell¿ordine pubblico, oppure per il perseguimento dei reati e le indagini penali.
Tuttavia, anche in quest¿ultimo caso non è ammissibile una conservazione ¿indiscriminata e obbligatoria¿ dei dati di traffico: i Garanti avevano già preso posizione contro questa eventualità in un Parere che è significativamente richiamato in questo documento.
Nuove disposizioni in materia di elenchi telefonici
Il D.P.R. n. 77 dell” 11 gennaio 2001, ha introdotto nell¿ordinamento italiano alcune disposizioni in materia di elenchi telefonici in attuazione delle direttive comunitarie 97/51/CE e 98/10/CE, da applicarsi nel rispetto della normativa in materia di protezione dei dati personali e della vita privata nel settore delle telecomunicazioni. Il Garante della Privacy ha segnalato agli operatori le garanzie necessarie per raccogliere e trattare i dati personali necessari ai fini della prevista formazione di uno o più elenchi telefonici generali e per la prestazione dei servizi di informazione all¿utenza.
Le garanzie e i presupposti del trattamento sono richiamati, in particolare, in attuazione della legge n. 675/1996, del d.lg. 13 maggio 1998, n. 171 e del d.P.R. 19 settembre 1997, n. 318, nonché della direttiva n. 97/66/CE del Parlamento europeo e del Consiglio, la quale sarà a breve sostituita da una nuova direttiva comunitaria (v. la posizione comune n. 26/2002 definita il 28 gennaio 2002, pubblicata sulla Gazzetta ufficiale delle Comunità europee C 113 del 14 maggio 2002).
In relazione ai tempi tecnici previsti per la formazione dell¿elenco telefonico generale, va segnalata l¿opportunità di tener conto di alcune novità che verranno introdotte a breve dalla nuova direttiva.
La segnalazione del garante riguarda, in particolare:
– i soggetti ai quali si riferiscono i dati personali inclusi negli elenchi (“interessati”);
– i dati necessari per identificare i soggetti medesimi;
– le modalità per includere, aggiornare, rettificare e cancellare i dati riportati negli elenchi o relativi ad interessati che non figurino al loro interno;
– il contenuto della specifica informativa da fornire agli interessati;
– le modalità per esprimere e revocare le manifestazioni di volontà
– i principi cui deve ispirarsi la disciplina transitoria per formare per la prima volta un elenco telefonico generale.
Un unico elenco di tipo “fisico”. Per quanto riguarda l¿elenco telefonico generale che conterrà i dati degli abbonati ai servizi di più operatori, il Garante ha esaminato le diverse opzioni disponibili rispetto alla creazione di un elenco unico di tipo “fisico” (derivante dalla riunione, mediante duplicazione delle informazioni, delle basi di dati relative agli elenchi dei singoli operatori), oppure “logico” (basato sulla sola interconnessione telematica delle medesime basi di dati).
Il Garante ritiene essenziale che gli accordi da stipulare in materia prevedano idonee misure per prevenire incertezze applicative sull¿individuazione dei titolari del trattamento e per evitare gravi effetti in termini di possibile duplicazione dei dati, oppure disomogeneità delle basi di dati, ritardi nel loro aggiornamento o dubbi sulle responsabilità connesse.
Se, come pare ipotizzabile, si realizzerà un collegamento telematico che permetterà di far interagire tra loro gli elenchi di abbonati ai singoli operatori, le soluzioni hardware e software prescelte devono assicurare che ciascun operatore possa essere considerato esclusivo titolare del trattamento dei dati personali conferiti dalla clientela, e risponda della loro qualità e conformità alle manifestazioni di volontà – anche di revoca – degli interessati.
L¿interessato dovrebbe potersi quindi rivolgere esclusivamente al proprio operatore, al quale dovrebbero essere riservati gli interventi sui dati (in particolare, di modifica e di aggiornamento), da operare con contestuale effetto, sulla base di idonee soluzioni telematiche, sia sul singolo elenco dell¿operatore, sia sull¿elenco generale.
L¿organismo o il soggetto che curerà la tenuta dell¿elenco generale in cui saranno riportati i dati provenienti dai singoli elenchi non dovrebbe avere la possibilità di intervenire autonomamente sui dati, e risulterebbe pertanto titolare di un trattamento autonomo e correlato dei dati, solo per quanto riguarda profili tecnici di interoperabilità degli elenchi e di rispetto delle disposizioni in tema di sicurezza dei dati personali e dei sistemi (in conformità all¿art. 15, comma 1, della legge n. 675/1996, nonché, per quanto riguarda le c.d. “misure minime” di sicurezza, al d.P.R. n. 318/1999).
L¿elenco telefonico generale potrebbe essere predisposto formando un unico elenco comprensivo sia della numerazione del servizio di telefonia vocale (già oggetto di disciplina), sia di quella concernente la telefonia mobile e personale (che diverrà invece solo ora oggetto dell¿inclusione in elenchi consultabili da chiunque, a seguito delle recenti novità introdotte dalle direttive comunitarie nn. 97/51/CE e 98/10/CE richiamate in premessa). Verrebbero quindi in considerazione anche i numeri di fac-simile e i numeri telefonici personali.
In tale elenco generale potrebbero essere inseriti anche ulteriori dati personali a richiesta degli abbonati, supplementari rispetto a quelli necessari per identificare questi ultimi.
Il citato art. 20 del d.P.R. n. 77/2001, nel considerare il diritto di essere inseriti negli elenchi telefonici, si riferisce agli “abbonati”, ponendo il dubbio se gli elenchi possano comprendere anche gli acquirenti del traffico prepagato della telefonia mobile (che in base all¿art. 17, comma 3, del d.P.R. n. 318/1997 devono essere identificati da parte degli organismi di telecomunicazione).
Anche alla luce delle previsioni della nuova direttiva in materia di trattamento dei dati personali e di tutela della vita privata nel settore delle telecomunicazioni (che nel disciplinare le relazioni contrattuali tra abbonati e operatori impone di considerare, alla stregua di un contratto, anche i rapporti relativi alle schede prepagate), non si ravvisano profili ostativi alla soluzione prefigurata dall¿Autorità per le garanzie nelle comunicazioni, volta a riconoscere il diritto di essere inseriti negli elenchi (e di esercitare quindi gli altri diritti in materia di protezione dei dati personali), anche ai titolari di carte prepagate della telefonia mobile.
Garanzie e limiti da osservare nella formazione e tenuta di elenchi telefonici. In data 23 maggio 2002, pertanto, il Garante ha segnalato agli operatori interessati i seguenti punti.
I diritti richiamati nella segnalazione del Garante devono essere riconosciuti a tutti gli abbonati e acquirenti del traffico prepagato della telefonia mobile e personale (di seguito: “interessati”), siano essi persone fisiche, persone giuridiche, enti o associazioni.
Per il traffico prepagato, negli elenchi è indicato il sottoscrittore. Nel caso in cui l¿utenza sia utilizzata stabilmente da altro soggetto, quest¿ultimo può, con atto sottoscritto sotto la propria responsabilità, dichiarare di essere l¿utilizzatore effettivo e stabile dell¿utenza che, previa informativa al sottoscrittore, può quindi essere indicato negli elenchi e al quale devono essere riconosciuti i diritti in materia.
Oltre a quanto previsto dall¿art. 10 della legge n. 675/1996 (che implica anche informazioni sui titolari dei trattamenti e sulle modalità di esercizio dei diritti), l¿operatore deve informare preventivamente gli interessati, in modo agevolmente comprensibile e sulla base di un¿eventuale informativa-tipo prevista dagli accordi:
a) sulle finalità degli elenchi realizzati in qualunque forma (elenchi cartacei o su supporti magnetici od ottici, consultabili off-line o on-line; ottenibili attraverso servizi che forniscono informazioni sugli elenchi);
b) in merito ad ogni ulteriore possibilità di utilizzo basato su funzioni di ricerca incorporate nelle versioni elettroniche degli elenchi e sui risultati conseguibili;
c) sulla facoltà di esprimere un consenso libero, differenziato e revocabile, nonché di formulare alcune richieste, nei termini di seguito indicati;
d) sulla possibilità che gli elenchi consultabili da chiunque possano essere oggetto di cessione a terzi, in conformità alla legge e per usi non incompatibili con le finalità per le quali i dati sono stati raccolti.
Gli interessati hanno il diritto di decidere se i dati personali che li riguardano debbano essere riportati negli elenchi conoscibili da chiunque.
Il consenso all¿inserimento di tali dati deve essere espresso liberamente, in forma specifica e documentata per iscritto, sulla base di un¿idonea informativa ai sensi dell¿art. 10 della legge 31 dicembre 1996, n. 675. Tale diritto va riconosciuto sia in riferimento a elenchi formati da singoli operatori, sia in relazione a elenchi unici messi a disposizione di chiunque ai sensi dell¿art. 20 del d.P.R. n. 77/2001, a prescindere dalla forma con cui sono realizzati.
I dati personali riportati negli elenchi conoscibili da chiunque sono limitati agli elementi necessari per identificare un determinato interessato (nome, cognome, indirizzo postale e numeri di telefono fisso e – nel caso di elenco misto per la telefonia vocale/mobile e personale – mobile).
Nel caso di eventuali elenchi riferiti alla sola telefonia mobile è omesso, salvo che l¿interessato vi acconsenta, l¿indirizzo postale. L¿interessato può però chiedere che sia indicato il comune di residenza o di domicilio.
L¿interessato può chiedere che l¿indirizzo postale sia omesso in parte. Ove sia possibile dal punto di vista linguistico, può altresì richiedere di non essere contraddistinto da un riferimento che ne riveli il sesso, mediante abbreviazione del nome.
L¿interessato può esprimere ulteriore consenso:
a) all¿inserimento di altri dati personali che lo riguardano, ove pertinenti e non eccedenti rispetto alle finalità dell¿elenco dichiarate dall¿operatore o, per un elenco generale, unitariamente dagli operatori. Deve essere possibile esprimere tale consenso in modo differenziato in relazione a singoli dati (titolo di studio o di specializzazione; professione; ulteriori indirizzi o recapiti, ivi compreso l¿indirizzo di posta elettronica; numero di telefonia mobile nel caso di elenco riservato alla sola telefonia fissa);
b) all¿utilizzazione dell¿elenco consultabile da chiunque per finalità diverse dalla ricerca di dati su persone sulla base del loro nome (e, ove necessario, di un numero minimo di altri elementi di identificazione), in particolare per quanto riguarda:
1. l¿inclusione dei dati personali che riguardano il medesimo interessato nell¿ambito di quelli ottenibili attraverso servizi di c.d. ricerca derivata o a criteri multipli che permettano a chiunque di risalire, nei casi in cui è stato espresso il consenso, alle generalità di uno o più interessati disponendo del solo numero telefonico o di un altro dato non identificativo;
2. l¿utilizzazione dei dati personali che riguardano il medesimo interessato (sia attraverso chiamate, sia per inoltri a domicilio), a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta, ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva. A tal fine gli accordi di cui all¿art. 2, par. 2 e 3, della deliberazione n. 36/02/Cons. del 6 febbraio 2002 dell¿Autorità per le garanzie nelle comunicazioni devono prevedere una procedura uniforme che tutti gli operatori sono tenuti ad utilizzare per esplicitare la manifestazione di consenso attraverso un simbolo unico da apporre a fianco dei singoli nominativi negli elenchi consultabili da chiunque, in qualunque forma realizzati.
L¿interessato può modificare in ogni tempo le manifestazioni del consenso e le proprie richieste, che devono essere documentate per iscritto e non devono comportare oneri per l¿abbonato.
L¿operatore deve indicare a disposizione del pubblico almeno un indirizzo postale, un numero di telefax, un indirizzo di posta elettronica e un ufficio cui gli interessati possono rivolgersi agevolmente. Va altresì indicato un recapito telefonico presso il quale ottenere informazioni con chiamata gratuita.
I diritti di cui all¿art. 13 della legge n. 675/1996, oggetto anche della presente segnalazione, sono esercitabili gratuitamente, ricorrendone i presupposti, anche nei riguardi dei dati non riportati in elenchi consultabili da parte di chiunque.
I menzionati accordi devono prevedere idonee misure affinché l¿elenco generale e gli elenchi dei singoli operatori:
a) siano progettati per consentire la visualizzazione di un numero limitato di risultati per pagina in caso di utilizzazione dei c.d. servizi di ricerca derivata o a criteri multipli;
b) prevedano idonee procedure per l¿aggiornamento immediato degli elenchi disponibili on-line o ottenibili attraverso servizi che forniscono informazioni sugli elenchi, nonché per l¿aggiornamento periodico, entro un congruo termine non superiore all¿anno, di quelli cartacei o su supporti magnetici od ottici consultabili off-line, i quali devono indicare la data di ultimo aggiornamento.
Gli accordi devono prevedere una procedura per immettere nella prima versione degli elenchi consultabili da chiunque, istituiti in applicazione della citata deliberazione dell¿Autorità per le garanzie nelle comunicazioni:
a) i nominativi degli interessati compresi negli elenchi di telefonia vocale già pubblicati, decorso un periodo non inferiore a sessanta giorni dalla ricezione di un¿informativa scritta, inviata da ciascun operatore anche unitamente alla corrispondenza commerciale, rispettando le manifestazioni di volontà espresse in passato in applicazione dell¿art. 9 del d.lg. n. 171/1998;
b) i nominativi degli interessati, in relazione a servizi di telefonia personale e mobile, i quali abbiano espresso il proprio consenso, sulla base di un¿informativa scritta inviata al domicilio del sottoscrittore;
c) i nominativi di eventuali acquirenti del traffico prepagato della telefonia personale e mobile che, sulla base del modulo scritto di informativa e di consenso, posto a disposizione dagli operatori anche per via telematica, abbiano spontaneamente manifestato il proprio consenso all¿inclusione negli elenchi, alle condizioni sopra precisate.