Diritti interna

Doveri interna

ricerca avanzata

Trattamento da parte di RTI – Reti televisive italiane S.p.A. di dati personali dell’utente acquisiti attraverso “Mediaset Rewind” - 12 marzo 2015 [3881392]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
3881392
Data:
12/03/15
Argomenti:
Marketing , Digitale terrestre
Tipologia:
Prescrizioni del Garante

[doc. web n. 3881392]

Trattamento da parte di RTI – Reti televisive italiane S.p.A. di dati personali dell´utente acquisiti attraverso "Mediaset Rewind" - 12 marzo 2015

Registro dei provvedimenti
n. 144 del 12 marzo 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche come da ultimo modificata dalla direttiva 2009/136/CE del 25 novembre 2009;

VISTO il decreto legislativo 28 maggio 2012, n. 69 recante modifiche al decreto legislativo 30 giugno 2003, n. 196, in attuazione anche della citata direttiva 2009/136/CE, con riguardo al trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche;

VISTA l´Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (di seguito, "WP 29") n.4 /2007 sul concetto di dati personali,  adottata il 20 giugno 2007; 

VISTA l´Opinion del WP 29 n. 05/2014 sull´impiego delle tecniche di anonimizzazione, adottata il 10 aprile 2014;

VISTE  l´Opinion del WP 29 n. 04/2012 in materia di Cookie Consent Exemption, adottata il 7 giugno 2012, ed il Working Document del medesimo WP 29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013;

VISTA l´Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni, adottata il 25 novembre 2004;

ESAMINATA la richiesta di verifica preliminare presentata, ai sensi dell´art. 17 del Codice, da  RTI – Reti televisive italiane S.p.A., in data 1 agosto 2014 e successivamente reiterata con l´istanza del 2 dicembre 2014, formalizzata in data 14 gennaio 2015, rispetto al trattamento dei dati personali dei propri utenti nell´ambito della fornitura del servizio Mediaset Rewind;

VISTA  la documentazione in atti;

VISTI gli ulteriori elementi forniti dalla società su richiesta del Garante a seguito dell´analisi della documentazione tecnica prodotta dalla stessa, nonché dei diversi incontri tenutisi presso l´Autorità;

VISTI gli elementi tecnici forniti nella documentazione successivamente prodotta con la nota della società dell´11 febbraio 2015;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento  del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. Trattamento da parte di RTI – Reti televisive italiane S.p.A. di dati personali dell´utente acquisiti attraverso "Mediaset Rewind". Descrizione del servizio.

La verifica preliminare che Reti Televisive S.p.A. (di seguito "RTI") richiede all´Autorità riguarda il trattamento dei dati degli utenti tramite il servizio Mediaset Rewind, allo scopo di analizzare "la misura delle prestazioni del servizio nella sua diffusione sul mercato e nella quantità di contenuti consumati in forma aggregata" e di migliorarne l´offerta, rendendola sempre più aderente ai gusti del pubblico televisivo.

Mediaset Rewind è un servizio gratuito di catch-up TV che consente al telespettatore di rivedere una selezione di programmi di intrattenimento, informazione, fiction e sport in formato "full lenght" ossia nella loro integralità, riferibile alla programmazione della settimana precedente sulle reti Mediaset e fruibile in digitale terrestre o gratuitamente via internet in modalità over the top, attraverso televisori e decoder predisposti per una connessione a banda larga alla rete internet. L´accesso all´applicazione permette infatti la fruizione dei programmi anche in streaming video via internet.

Sotto il profilo tecnico il servizio si avvale di uno specifico componente software che, attraverso internet, viene scaricato su set-top-box o smart Tv quando l´utente vi accede.

Come espresso nell´istanza di verifica preliminare presentata da RTI, il download a richiesta dell´utente avviene più precisamente da un menu associato al tasto rosso del telecomando quando si è sintonizzati su uno dei canali televisivi Mediaset, oppure qualora l´utente selezioni il canale "805 Mediaset Rewind" sia sul digitale terrestre che su tivùsat.

Mediaset Rewind è inoltre accessibile, previa richiesta, anche dai portali delle applicazioni degli smart Tv dei maggiori marchi televisivi.

Una volta "scaricato" e lanciato il servizio, il telespettatore accede quindi ad una home page costituita da un catalogo di immagini di contenuti editoriali e può, selezionando tramite semplici azioni sul telecomando una delle immagini, fruire in tempo reale del programma televisivo scelto.

All´utente è altresì offerta la possibilità  di accedere a sezioni di ricerca organizzate per data, rete televisiva, genere di programma o titolo.

Tale accesso consente quindi di recuperare il programma preferito nell´arco temporale dei sette giorni precedenti e di visionarlo a richiesta. Normalmente, come dichiarato dalla società, la visione del programma è preceduta dalla presentazione di uno o più spot pubblicitari. Anche  le interfacce di ricerca dell´applicazione presentano banner pubblicitari o promozionali.

Nella richiesta di verifica preliminare la società ha evidenziato come i dispositivi set-top-box o smart Tv su cui viene scaricata l´applicazione Rewind siano caratterizzati dalla presenza di un codice identificativo univoco, il quale oltre che essere utilizzato per tracciare fisicamente il decoder, è impiegato per consentire la trasmissione dei canali all´interno della rete internet.

Tale codice corrisponde al cd. MAC Address (Media Access Control Address) ed è costituito da una sequenza numerica di 6 cifre anche rappresentabili come sequenze di 48 bit (ovvero 6 byte).

Il MAC Address costituisce pertanto, date le sue caratteristiche, ed in particolare la sua univocità, un´informazione personale ed implica un trattamento di dati che impone il rispetto della normativa sulla protezione dei dati personali ed una apposita valutazione da parte dell´Autorità nell´ambito della verifica preliminare richiesta da RTI.

2. Descrizione del processo iniziale di utilizzo del servizio. Necessità di richiedere l´esame preliminare ai sensi dell´art. 17 del Codice.

L´attività che RTI intende svolgere nell´ambito del servizio Mediaset Rewind riguarda la raccolta, l´anonimizzazione ed il monitoraggio dei dati di visione generati dai clienti che fruiscono del servizio, per finalità di analisi delle prestazioni del servizio stesso, al fine di migliorare l´offerta del prodotto, adeguandolo alle preferenze del pubblico televisivo.

Nella propria istanza la società ha evidenziato come il servizio Mediaset Rewind, dotato dell´omonima applicazione, abbia lo scopo di raccogliere esclusivamente le informazioni dirette a rivelare l´utilizzo del dispositivo su cui è scaricata l´applicazione, il numero di accessi al servizio e il consumo dei contenuti del servizio stesso. 

RTI ha specificato che tali informazioni riguardano più dettagliatamente: i dispositivi unici che fruiscono del servizio, la relativa marca e modello, il numero di volte in cui l´applicazione è utilizzata, gli accessi alle varie sezioni dell´applicazione stessa (home page e sezioni di ricerca), il numero totale dei video visti, il numero di video lanciati per sezione, nonché il tempo di visione di ogni contenuto.

Ferma restando tale prospettazione, in particolare avuto riguardo alle finalità del trattamento, sotto il profilo più propriamente tecnico, il progetto  inizialmente  descritto dalla società nell´istanza di verifica preliminare prevedeva che l´utente, una volta "scaricata" l´applicazione, potesse accedere ad un servizio per la cui fruizione era sempre necessario l´invio, da parte del terminale, del relativo codice identificativo (il menzionato MAC Address). Al fine di ridurre il livello di intellegibilità del dato, tale codice veniva preliminarmente trattato con tecniche criptografiche (hashing) e inviato al server della società attraverso un canale cifrato (protocollo HTTPS) in modo da garantire un elevato livello di sicurezza, nell´asserita convinzione che tali operazioni ed in particolare l´adozione della tecnica di hashing costituissero strumento sufficiente a garantire l´anonimizzazione del dato.

A sostegno dell´efficacia della tecnica di anonimizzazione adottata, la società precisava come l´operazione venisse effettuata "…senza alcuna memorizzazione o persistenza del dato originale" il quale, una volta anonimizzato, era immediatamente cancellato. L´informazione così ottenuta, unitamente ai dati di consumo dei contenuti e a quelli relativi alla navigazione dell´applicazione, veniva quindi memorizzata nel database del sistema per successive elaborazioni statistiche.

In ragione  di quanto sopra evidenziato e, in particolare, della raccolta del dato derivato dal MAC Address tramite un processo di codifica basato su "algoritmi di hashing unidirezionali e quindi non invertibili", la società riteneva come in siffatta ipotesi il consenso dell´utente non fosse necessario, restando invece fermi l´obbligo di fornire un´adeguata informativa e la necessaria valutazione dell´Autorità, ai sensi dell´art. 17 del Codice, su ogni altro profilo di rischio che il trattamento avesse potuto comportare.

Orbene, in un quadro così delineato occorre effettuare alcune considerazioni di cui la prima investe il carattere di dato personale del MAC Address stante la relativa "univocità", mentre la seconda riguarda la circostanza che, pur applicando la tecnica di hashing sopra descritta, seppure risulta possibile perseguire l´obiettivo di ridurre l´intellegibilità del dato, non si perviene "automaticamente" al risultato di modificarne  l´univocità e pertanto la riferibilità all´utente.

Un ultimo elemento riguarda, inoltre, la  circostanza che se l´esame, come descritto dalla società, del numero degli accessi al servizio Mediaset Rewind e del consumo dei contenuti visionati dal telespettatore comporta un´analisi essenzialmente legata al prodotto fruito, ciò nondimeno l´analisi del dispositivo utilizzato ed univocamente associato all´utente, oltre ad implicare un trattamento di dati personali, può estendersi anche ai relativi comportamenti di consumo e diventa particolarmente delicata quando, come pure dichiarato, al servizio può essere affiancato l´invio di spot e banner pubblicitari.

Pertanto anche l´utilizzo del codice hash associato al MAC Address e dunque indirettamente al possessore del decoder per realizzare un´analisi del servizio può presentare rischi specifici per i diritti e le libertà degli utenti e necessita di una preliminare valutazione da parte dell´Autorità, in primo luogo con riguardo alla sussistenza dei presupposti giuridici che la normativa sulla protezione dei dati personali pone a presidio di tali diritti e libertà.

Alla luce di quanto sopra descritto sono stati quindi acquisiti, anche a seguito degli incontri avutisi con l´Autorità e delle integrazioni documentali prodotte dalla società, tutti i necessari elementi di analisi.

3. La posizione dell´Autorità.

Il processo di  cifratura (hashing) che riguarda il  MAC Address  coinvolge un dato che presenta caratteristiche di persistenza nel tempo, mantenendo, anche dopo l´applicazione di meccanismi criptografici, un´univocità di corrispondenza tra dato originario e dato cifrato.

Occorre sottolineare che la direttiva 95/46/CE (art. 2,  lett. a) ed il Codice (art. 4, comma 1, lett. b), nel delineare il concetto di dato personale impongono che l´informazione si riferisca ad una persona fisica identificata o identificabile sia direttamente che indirettamente. Con riguardo a tale ultimo aspetto la possibilità di identificare indirettamente un soggetto può sostanzialmente declinarsi sulla base di due direttrici interpretative.

La prima delinea tale possibilità qualora i dati trattati, anche combinati con altre informazioni contestuali nella disponibilità del titolare del trattamento, consentano di pervenire ad un dato intellegibile e, quindi, di distinguere la persona da tutte le altre (Opinion del WP 29 n.4 /2007).

La seconda prospetta la possibilità di identificare la persona anche nel caso in cui il dato, pur se non intellegibile, consenta comunque al titolare o ad una terza parte di assumere decisioni che riguardano quella stessa persona, persino a sua insaputa.

Pertanto, una procedura di anonimizzazione non può dirsi compiuta qualora mantenga la possibilità di isolare un soggetto all´interno di un gruppo e ciò anche quando l´identificativo che viene usato per consentire al titolare di assumere decisioni che riguardano tale soggetto sia non immediatamente intellegibile per effetto dell´applicazione di una tecnica crittografica (Opinion del WP 29 n. 05/2014).

Del resto, già il Considerando 26 della citata direttiva 95/46/CE offre una serie di elementi che consentono di valutare la robustezza di una tecnica di anonimizzazione, prevedendo  espressamente che "per determinare se una persona è identificabile è opportuno prendere in considerazione l´insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona".

Pertanto, se tenendo conto dell´insieme dei mezzi di cui può disporre il titolare del trattamento (compresa la disponibilità di una chiave di de-codifica, ovvero la disponibilità di altri strumenti tecnici) sussiste la concreta possibilità di ritenere identificabile una persona, ovvero la possibilità di assumere comunque nei confronti della stessa decisioni che la riguardano, le informazioni che offrono tali possibilità sono da considerarsi dati personali.

Sempre dal menzionato Considerando 26 può infatti desumersi che per rendere anonimi determinati dati gli stessi devono essere trattati in modo tale da non poter più essere utilizzati per identificare una persona fisica, ricorrendo proprio  "all´insieme dei mezzi che possono essere ragionevolmente utilizzati" dal titolare del trattamento o da altri.

E´ quindi opportuno rilevare che i meccanismi di crittografia, individuati da RTI rispetto al MAC Address nella propria richiesta iniziale, non impedivano l´identificazione dell´utente proprio in quanto la società, potendo rimanere nella disponibilità della chiave di co-decodifica dei dati, avrebbe sempre avuto la possibilità di risalire "a ritroso" all´identità del telespettatore.

Peraltro, anche laddove il processo di cifratura fosse stato in grado di garantire la sussistenza del requisito della irreversibilità, v´è da considerare, proprio alla luce dell´ultimo parere reso dal Gruppo ex art. 29, che tale elemento, pur costituendo una valida misura di sicurezza, non sarebbe stato, e non è, di per sé idoneo ad impedire al titolare di isolare un interessato nell´ambito di un gruppo e di prendere decisioni che lo riguardano.

4. La successiva posizione di RTI. Il consenso dell´interessato. Il codice univoco per tutti gli utenti che negano il consenso. L´utilizzo di cookie.

A seguito dei chiarimenti espressi dal Garante anche negli incontri tenutisi presso l´Autorità in merito alla reversibilità dei meccanismi di crittografia su cui si basava il processo di codifica descritto da RTI, quest´ultima ha mutato la propria posizione ed integrato, in data 2 dicembre 2014, la propria istanza di verifica preliminare e la documentazione tecnica di supporto, prevedendo che l´attività da svolgersi sulla base dell´utilizzo del MAC Address del dispositivo su cui viene scaricata l´applicazione Mediaset Rewind possa riguardare solo ed esclusivamente gli utenti che abbiamo espresso un consenso al trattamento dei loro dati personali.

Il funzionamento del servizio prevede quindi che al primo accesso l´utente visualizzi una "pagina iniziale", in cui viene fornita una breve informativa e  possa esprimere il proprio consenso al monitoraggio dei dati di visione ed all´utilizzo del MAC Address del ricevitore televisivo, premendo con il telecomando il tasto "ok" per proseguire. A seguito di tale operazione il telespettatore potrà accedere alla  home page del servizio e ai contenuti disponibili.

Con riguardo all´utente che invece non intenda esprimere, in questa fase, alcun consenso, l´accesso alla pagina iniziale consente anche di premere il tasto "back" e "passare" ad una area dedicata contenente informazioni più dettagliate sulla policy privacy adottata dalla società.

Una volta presa visione dell´informativa più estesa, è data al telespettatore la possibilità di scegliere se proseguire nella visione del servizio ed esprimere il proprio consenso (attraverso l´opzione "acconsento",) ovvero fruire comunque del servizio escludendo tale trattamento attraverso l´opzione "non acconsento". Nella pagina iniziale è inoltre contenuto il richiamo al testo completo dell´informativa presente sull´apposito sito web dedicato al servizio.

Pertanto, il conferimento dei dati risulta essere facoltativo e non preclude l´accesso e la visione dei contenuti offerti dal servizio Mediaset Rewind.

Nei confronti dei telespettatori che abbiano invece negato il proprio consenso, l´attività in esame viene svolta da RTI, anche  a seguito delle indicazioni fornite dall´Autorità, sulla base di una nuova implementazione tecnica che prevede il ricorso ad un codice alfanumerico identico, assegnato a tutti gli utenti e dagli stessi condiviso.

In questo caso l´applicazione invia al server, attraverso un canale criptato, il codice alfanumerico comune a tutti gli utenti, associato a tutte le informazioni di consumo. In tal modo al medesimo codice alfanumerico risultano aggregati in modo indistinto tutti i dati di visione di tutti gli utenti che non abbiano espresso il consenso al trattamento dei dati personali.

In particolare, la nuova procedura adottata dalla società non consente di isolare un singolo utente a partire dal codice alfanumerico adottato, ma semplicemente di estrarre un "utente fittizio" che rappresenta tutto l´insieme degli utenti che non abbiamo espresso il consenso. A tale insieme saranno riferiti tutti i dati di visione così da rendere di fatto impossibile, ricorrendo ai mezzi che possono ragionevolmente essere utilizzati dal titolare, l´estrazione di un singolo telespettatore rispetto al quale assumere decisioni.

La misura tecnica descritta consente di aggregare le  informazioni ad un livello in cui, all´interno dell´insieme, i singoli eventi non sono più identificabili e i dati non più collegabili,  garantendo in tal modo la conformità del trattamento di anonimizzazione alle indicazioni fornite dal Gruppo ex art 29 nella citata Opinion n. 5 del 2014.

Dalla documentazione prodotta a supporto del successivo progetto presentato dalla società è anche emerso il ricorso ad una modalità tecnica volta a "documentare" il consenso espresso dal telespettatore.

Tale modalità, in seguito abbandonata, prevedeva, contestualmente alla raccolta del consenso, la registrazione, sul dispositivo dell´utente, di un cookie il quale veniva letto agli accessi successivi al servizio Mediaset Rewind permettendo di non richiedere allo stesso, ogni volta, la manifestazione della propria volontà positiva.

Questo meccanismo non era invece adottato nel caso in cui l´utente non avesse manifestato il suo consenso, con la conseguenza che al medesimo veniva ripresentata, ad ogni successivo accesso al servizio, l´informativa predisposta dalla società  e la nuova richiesta di consenso.

5. Le ultime integrazioni tecniche.

Pur permanendo in tutti i suoi tratti essenziali, il quadro sopra descritto è stato oggetto di ulteriori modifiche da parte di RTI, preliminarmente illustrate in un incontro con l´Autorità e successivamente documentate in una nota dell´11 febbraio 2015.

Nella sua ultima prospettazione la società ha infatti  abbandonato la soluzione legata ai cookie, anche in considerazione del fatto che il suddetto servizio è collegato all´apposito decoder associato all´apparecchio televisivo ed è generalmente fruibile anche da diversi membri di uno stesso nucleo familiare, prevedendo una nuova modalità di gestione delle scelte operate dall´utente.

Pertanto, in base all´attuale assetto, il consenso espresso o negato dal telespettatore ha valenza esclusivamente con riguardo alla "sessione corrente di Mediaset Rewind", ovvero per il tempo intercorrente tra due successive selezioni del canale di accesso al servizio. Ciò con la conseguenza che ad ogni nuovo accesso e fruizione di Mediaset Rewind  è sempre necessario rinnovare la propria scelta, esprimendo o negando il consenso.

Orbene, la tecnologia da ultimo prescelta che non prevede più l´utilizzo dei cookie consente non solo la libera manifestazione del consenso del singolo telespettatore, ma garantisce anche la riservatezza delle informazioni degli interessati, posta l´assenza di qualsivoglia accesso del titolare ai dati memorizzati nel set-top-box dell´utente.

Resta comunque inteso che il consenso previsto per il trattamento del MAC Address e dei dati di visione connessi alla fruizione del servizio Mediaset Rewind per le finalità di analisi e monitoraggio richiamate nell´istanza di prior checking non si estende, stante il disposto dell´art. 23 del Codice, a nessun altro tipo di trattamento dei dati personali degli utenti. Ciò con la conseguenza che eventuali, futuri, trattamenti di profilazione individuale, marketing o di comunicazione a soggetti terzi che coinvolgano tali dati implicano la necessaria, preventiva, acquisizione di specifici consensi da parte del telespettatore per ogni trattamento previsto.

6. L´esercizio dei diritti di cui all´art. 7 del Codice.

La soluzione adottata dalla società con riguardo al meccanismo che consente all´utente di esercitare i diritti di cui all´art. 7 del Codice e in particolare quello di successiva revoca del proprio consenso, impone una serie di  precisazioni.

RTI ha espressamente previsto che l´esercizio dei citati diritti ed in particolare la possibilità di revocare il consenso al trattamento dei dati personali o di richiederne la cancellazione sia esercitabile  inviando una e-mail ad un indirizzo dedicato al servizio Mediaset Rewind, specificando il MAC Address dell´interfaccia di rete del ricevitore utilizzato, reperibile tramite il menù di configurazione di rete del ricevitore stesso, o anche sul retro o sulla confezione del set-top-box fornito.

Orbene, tale iter presenta alcune criticità sotto il profilo dell´accessibilità al dato, nonché della trasparenza e della tempestività delle fasi che caratterizzano il processo.

Con riguardo al primo profilo, v´è da considerare, infatti, come in base alla configurazione attualmente delineata dalla società, l´utente che voglia esercitare i menzionati diritti sia costretto, al fine di "reperire"  il MAC Address da inserire nella e-mail, ad adottare una modalità particolarmente complessa e di non facile attuazione soprattutto se inesperto.

Pertanto, una soluzione in linea con la disciplina sul trattamento dei dati personali rende opportuno un intervento del titolare del trattamento volto ad individuare tale dato, di cui peraltro la stesso dispone per finalità di servizio prima ancora di qualsiasi accesso da parte del telespettatore a Mediaset Rewind, ed a renderlo disponibile all´utente già nella prima informativa che viene rilasciata quando si attiva il servizio.

Accedendo alla suddetta informativa, all´utente sarà quindi data la possibilità di reperire agevolmente  il codice che configura il MAC Address del proprio decoder e di riportarlo in seguito nel testo della propria e-mail in maniera semplice e veloce.

Con riferimento, invece, ai profili di trasparenza e celerità, posto che allo stato all´utente non è fornito alcun riscontro alle richieste rivolte alla società ai sensi del citato art. 7 del Codice con l´invio della menzionata e-mail e non viene data contezza della tempistica con la quale il titolare le "registra" ed interviene, una soluzione idonea può individuarsi nell´implementazione da parte di quest´ultimo di un meccanismo di "doppia notifica"  attraverso la posta elettronica.

Tale meccanismo prevede, infatti, l´invio da parte del titolare non solo di una e-mail di conferma dell´avvenuta ricezione della richiesta dell´utente, ma anche di una successiva e-mail di conferma dell´avvenuta adozione della specifica misura richiesta dallo stesso.

7. L´informativa.

La società ha prodotto, unitamente all´istanza di verifica preliminare presentata all´Autorità, il testo di un´informativa relativa alla fruizione del servizio Mediaset Rewind.

L´impostazione applicativa presenta l´informativa su due pagine.

Una prima pagina che contiene le indicazioni più immediate sulle finalità del servizio e la raccolta del MAC Address per gli utenti che, premendo il tasto "ok", esprimono il loro consenso al trattamento e il richiamo ad una informativa più ampia per quelli che negano, in questa fase, tale consenso premendo il tasto "back".

Una seconda pagina, cui l´utente accede, premendo il suddetto tasto "back", che contiene informazioni più dettagliate sulla policy privacy della società. 

Un´informativa più ampia e dettagliata è prevista anche  sul sito web dedicato al servizio Mediaset Rewind ed è richiamata in entrambe le menzionate pagine.

Ciò premesso, date le caratteristiche del servizio, in un´ottica di semplificazione che renda più fruibile l´informativa, si prende atto della scelta operata da RTI di adottare il cd. approccio multistrato, in armonia con le stesse raccomandazioni espresse dal WP 29 nella menzionata Opinion n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni.

Infatti come emerge dal suddetto parere "le avvertenze multistrato possono contribuire a migliorare la qualità delle informazioni sulla tutela dei dati; ciascuno strato privilegia le informazioni necessarie alla persona per capire la propria posizione e assumere decisioni. In caso di spazio/tempo di comunicazione limitato, i formati multistrato possono migliorare la leggibilità delle avvertenze".

Analogamente, si concorda con la scelta di un´architettura volta ad evitare un´eccessiva frammentazione in un numero troppo elevato di livelli, pena la dispersione e la scarsa fruibilità delle informazioni rese.

Tuttavia, il Garante ritiene opportuno che a tale schema vengano apportati alcuni accorgimenti correttivi.

In particolare nell´informativa breve, già fornita nella prima pagina cui l´utente perviene accedendo al servizio Mediaset Rewind, deve essere contenuta una serie più dettagliata di informazioni.

Mantenendo la struttura dell´informativa su più livelli, le informazioni devono pertanto essere distribuite secondo il seguente criterio:

- un primo livello che ospiti tutte le informazioni di carattere generale di maggiore importanza per gli utenti, relativamente al trattamento dei dati ed alle sue finalità e modalità, alle tipologie di dati trattati con specifico riguardo al MAC Address, nonché alle modalità di  manifestazione del consenso. In questo primo livello di informativa è peraltro corretto richiamare il sito web dedicato al servizio Mediaset Rewind nel quale è presente l´informativa privacy più estesa.

Con specifico riguardo al MAC Address in tale ambito sarà poi necessario indicare espressamente l´apposito codice che lo contraddistingue e individua ogni singolo decoder, in modo da consentire all´utente, come sopra già evidenziato, di poter agevolmente esercitare i diritti di cui all´art. 7 del Codice, inserendolo nella e-mail da inviare al titolare.  Rispetto a tale ultimo profilo è necessario inoltre che questa prima informativa contenga un breve richiamo all´esercizio dei citati diritti cui il MAC Address è funzionale;

- un secondo livello destinato a contenere una policy privacy più estesa cui, nel caso in esame l´utente accede premendo il tasto "back", che riguardi tutte le ulteriori informazioni richieste sulla base dell´art. 13 del Codice e, in particolare, l´indicazione della qualifica di titolare che compete alla società e dei suoi estremi identificativi, le modalità di esercizio dei diritti di cui all´art. 7 del Codice, il riferimento al MAC Address nel caso di richiesta di revoca del consenso e/o cancellazione dei dati raccolti e l´indirizzo e-mail al quale inoltrare le richieste.

Anche in questo caso risulta corretto il richiamo già presente ad un´analoga informativa estesa anche sull´apposito sito web dedicato al servizio Mediaset Rewind. 

8. La conservazione dei dati.

I dati personali oggetto dell´attività svolta da RTI devono essere conservati per un limitato periodo di tempo, proporzionato alle finalità perseguite attraverso il servizio Mediaset Rewind.

In ogni caso il periodo di conservazione può  individuarsi in 12 mesi. A tale arco temporale potrà poi aggiungersi un ulteriore periodo di 3 mesi, al precipuo scopo di consentire alla società di avere  evidenza degli effetti di stagionalità propri delle modalità di  fruizione del predetto servizio.

Alla scadenza del suddetto periodo di conservazione i dati personali  trattati dalla società  devono essere cancellati o resi anonimi in modo irreversibile e permanente.

9. La notificazione del trattamento.

Resta inteso che qualora il trattamento sia volto a definire il profilo o la personalità dell´interessato, o ad analizzare abitudini o scelte di consumo esso deve essere notificato al Garante ai sensi degli artt. 37, comma 1, lett. d) e 38 del Codice.

10. Le sanzioni.

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis, Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive a RTI – Reti televisive italiane S.p.A., con sede a Roma, Largo del Nazareno n. 8, ai sensi dell´art. 17 del Codice, di adottare a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, e in particolare:

1. con riguardo all´informativa da rilasciare agli utenti ai sensi dell´art. 13 del Codice:

a) indicare nell´informativa breve, fornita nella prima pagina cui l´utente perviene accedendo al servizio Mediaset Rewind, tutte le informazioni di carattere generale di maggiore importanza così come descritte in motivazione;

b) indicare con specifico riguardo al MAC Address in maniera chiara ed espressa l´apposito codice che lo contraddistingue e individua il singolo decoder, nonché fornire un  breve richiamo all´esercizio dei diritti di cui all´art. 7 del Codice cui il MAC Address è funzionale;

c) indicare nell´informativa  più ampia cui l´utente accede premendo il tasto "back" tutte le altre informazioni relative agli elementi di cui all´art. 13 del Codice ed in particolare l´indicazione della qualifica di titolare che compete alla società e dei suoi estremi identificativi, le modalità di esercizio dei diritti di cui all´art. 7 del Codice, il riferimento al MAC Address nel caso di richiesta di revoca del consenso e/o cancellazione dei dati raccolti e l´indirizzo e-mail al quale inoltrare le richieste;

2. con riguardo alla modalità di esercizio dei diritti di cui all´art. 7 del Codice disporre un meccanismo di doppia notifica attraverso la posta elettronica così come descritto in motivazione;

3. con riguardo alla conservazione dei dati:

a) conservare i dati personali oggetto dell´attività svolta attraverso Mediaset Rewind  per un limitato periodo di tempo, proporzionato alle finalità perseguite mediante il servizio, prevedendo il periodo di conservazione in 12 mesi, cui può aggiungersi un ulteriore periodo di 3 mesi, allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di  fruizione del predetto servizio;

b) disporre, alla scadenza del suddetto periodo di conservazione, che i dati personali  trattati siano cancellati o resi anonimi in modo irreversibile e permanente.

4.  trasmettere al Garante, considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, entro il termine di 30 giorni dalla data dell´eventuale implementazione delle misure indicate ai precedenti punti, copia della documentazione che ne comprovi l´adozione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 12 marzo 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia