Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Verifica preliminare sulla profilazione nell’ambito dei servizi televisivi - 23 aprile 2015 [4015426]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4015426
Data:
23/04/15
Argomenti:
Internet e social media , Profilazione , Sondaggi e ricerche di mercato , Televisione
Tipologia:
Verifica preliminare

[doc. web n. 4015426]

Verifica preliminare sulla profilazione nell´ambito dei servizi televisivi - 23 aprile 2015

Registro dei provvedimenti
n. 241 del 23 aprile 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la direttiva 95/46/CE del 24 ottobre 1995, del Parlamento europeo e del Consiglio, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

VISTA la direttiva 2002/58/CE del 12 luglio 2002, del Parlamento europeo e del Consiglio, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche come da ultimo modificata dalla direttiva 2009/136/CE del 25 novembre 2009;

VISTO il decreto legislativo 28 maggio 2012, n. 69 recante modifiche al decreto legislativo 30 giugno 2003, n. 196 in attuazione anche della citata direttiva 2009/136/CE, con riguardo al trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche;

VISTA l´Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (di seguito, "WP 29") n. 4 /2007 sul concetto di dati personali, adottata il 20 giugno 2007;

VISTA l´Opinion del WP 29 n. 05/2014 sull´impiego delle tecniche di anonimizzazione, adottata il 10 aprile 2014;

VISTA l´Opinion del WP 29 n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni, adottata il 25 novembre 2004;

ESAMINATA la richiesta di verifica preliminare presentata, ai sensi dell´art. 17 del Codice, in data 15 settembre 2014 e formalizzata in data 14 gennaio 2015, da RTI- Reti televisive italiane S.p.A., Publitalia ´80 S.p.A. e Digitalia ´08 S.p.A. in veste di contitolari del trattamento dei dati personali dei propri utenti nell´ambito del progetto definito "Mediaset Sele" (di seguito "le società") e la documentazione relativa alla previsione di una preliminare fase di sperimentazione tecnica sulla base di informazioni anonimizzate;

ESAMINATA la successiva nota del 10 ottobre 2014 integrativa dell´istanza di prior checking;

VISTA la comunicazione del Garante del 17 ottobre 2014 e la successiva nota delle società del 22 ottobre 2014;

VISTI gli ulteriori elementi forniti dalle società a seguito dell´analisi della documentazione tecnica prodotta dalle stesse, nonché dei diversi incontri tenutisi presso l´Autorità;

VISTI gli elementi tecnici forniti nella documentazione successivamente prodotta con la nota del 12 febbraio 2015, all´esito della fase di sperimentazione tecnica realizzata tra dicembre e  gennaio 2015;

ESAMINATA l´ulteriore nota di integrazione del 13 marzo 2015 dell´iniziale richiesta di verifica preliminare, presentata in veste di contitolari del trattamento dei dati  personali, da RTI S.p.A., Publitalia ´80 S.p.A. e Mediaset Premium S.p.A. quest´ultima  intervenuta nelle fasi successive del progetto "Sele" quale cessionaria, a far data dal 1° dicembre 2014,  del servizio pay per view nell´ambito di un´operazione di cessione del ramo d´azienda relativo ai servizi business pay; valutato altresì che, nella fase definitiva del progetto, non risulta più coinvolta la società Digitalia ´08 S.p.A., in ragione dell´assorbimento della relativa struttura marketing in Publitalia ´80 S.p.A.;

VISTA  la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento  del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Trattamento di dati personali dell´utente nell´ambito del progetto "Sele".

La verifica preliminare inizialmente presentata all´Autorità riguardava il trattamento dei dati nell´ambito del progetto denominato "Sele", allo scopo di raccogliere giornalmente in forma aggregata informazioni asseritamente anonime relative alla visione dei canali Tv pay e free sia Mediaset Premium che generalisti, per migliorare l´offerta Mediaset, rendendola più aderente alle richieste del pubblico televisivo.

La rappresentazione inizialmente fornita nell´istanza di prior checking prevedeva un´analisi statistica, limitata nel tempo, essendo il progetto preceduto da una fase sperimentale, di "dati anonimi" relativamente ai tempi di fruizione dei canali televisivi, alla permanenza ed al numero di accessi agli stessi da parte degli abbonati Mediaset Premium che fossero in possesso di un apposito decoder Premium connesso alla rete internet.

Sotto il profilo tecnico, infatti, il sistema, così come rappresentato, avrebbe implicato il ricorso ad un´applicazione su un decoder collegato ad internet (client) volta a tracciare i dati di fruizione dei contenuti televisivi ed un´infrastruttura ed applicazione volte a ricevere ed elaborare detti dati (server). La comunicazione tra il client e i server deputati al servizio sarebbe stata poi effettuata utilizzando un canale reso sicuro dall´adozione di protocolli crittografici.

L´applicazione "Sele" avrebbe quindi utilizzato alcune delle funzionalità proprie dei decoder di riferimento in modo da "restare in esecuzione per tutto il tempo in cui il decoder è in modalità attiva".

In funzione dello stato dell´utente (in particolare se titolare di una scheda prepagata ovvero titolare di un abbonamento al servizio) l´applicazione, una volta verificata la presenza di un abbonamento attivo ai servizi Premium, avrebbe avviato l´attività di tracciamento delle informazioni relative alla fruizione dei contenuti televisivi offerti.

Come dichiarato dalle società, i dati tracciati avrebbero riguardato: la data della rilevazione, il canale televisivo sintonizzato, la permanenza sul canale, nonché il tempo ed il numero di accessi a cataloghi di contenuti on-demand.

La dinamica del servizio avrebbe previsto la memorizzazione temporanea dei dati,  raccolti su base giornaliera, sull´hard-disk del decoder e l´invio (in modalità sicura attraverso il protocollo di trasmissione SFTP) al server cui era deputata la relativa gestione, ai fini dell´elaborazione di report frutto dell´analisi statistica condotta sulle predette informazioni.

Nel quadro così delineato, al fine di differenziare i singoli flussi di informazioni  trasmessi dall´applicazione, sarebbe stato quindi necessario selezionare un identificativo univoco al quale collegare le rilevazioni. Il parametro selezionato come base da cui ricavare il suddetto identificativo era stato individuato nel c.d. codice NUID, ovvero nel valore universalmente assegnato dal fornitore del sistema di sicurezza installato su ogni decoder prodotto e in seguito fornito all´abbonato Mediaset.

Pertanto, proprio in ragione della circostanza che il NUID costituisce, data la sua univocità, un´informazione personale che implica un trattamento di dati da svolgersi nel  rispetto della normativa, l´Autorità ha, nell´ambito della verifica preliminare sottoposta al suo vaglio, espresso una serie di considerazioni.

2. Necessità di richiedere l´esame preliminare ai sensi dell´art. 17 del Codice. Le caratteristiche dell´applicazione "Sele" con riguardo alle tecniche crittografiche utilizzate.

Sotto il profilo tecnico il processo di tracciamento dei dati, inizialmente  descritto dalle società nell´istanza di prior checking,  prevedeva l´utilizzo del codice univoco di riferimento del singolo decoder, successivamente reso inintellegibile attraverso il ricorso ad un´apposita tecnica crittografica.

In particolare, secondo quanto rappresentato nell´istanza, l´applicazione "Sele" avrebbe attribuito al codice NUID, al fine di rendere l´informazione inintellegibile e non invertibile, un algoritmo di hashing che avrebbe consentito di pervenire ad un identificativo finale univoco, al quale sarebbero state riferite tutte le elaborazioni e le comunicazioni provenienti dal decoder  senza alcun ulteriore uso diretto del predetto NUID.

Tutto ciò nell´asserita convinzione che tali operazioni ed in particolare l´adozione della tecnica di hashing indicata dalle società costituissero uno strumento sufficiente ed idoneo a garantire l´anonimizzazione del dato, tanto che non sarebbe stato necessario richiedere alcun consenso al telespettatore al quale sarebbe stata fornita solo la necessaria informativa, lasciando all´Autorità la preliminare valutazione di ogni altro profilo di rischio che potesse profilarsi nell´ambito della verifica richiesta ai sensi dell´art. 17 del Codice.

Orbene, in uno scenario quale quello inizialmente sottoposto all´esame del Garante  è stato necessario evidenziare, prima di ogni altra considerazione, non solo il carattere di univocità dell´identificativo NUID che lo delinea come dato personale, ma anche che la tecnica di hashing sopra descritta, seppur tesa a  perseguire l´obiettivo di ridurre l´intellegibilità del dato, non garantiva e non garantisce "automaticamente" il risultato di modificarne  l´univocità e, come si dirà in seguito, la riferibilità all´utente.

Sulla base di tali considerazioni, avuto riguardo anche alla fase sperimentale del progetto, l´Autorità, a seguito degli incontri tenutisi con le società, ha avuto modo di chiarire che l´elemento saliente di una tecnica di anonimizzazione è costituito dalla possibilità di evitare "singolarità" e che, nell´ambito della verifica preliminare, tale obiettivo si sarebbe potuto raggiungere qualora fosse stato possibile individuare all´interno del NUID (o di altro codice univocamente associato al dispositivo, quale ad esempio il Mac Address) una radice comune, condivisa da un numero congruo di utenti, alla quale applicare lo specifico algoritmo di hashing così da pervenire ad un adeguato livello di anonimizzazione dei dati.

In tal senso le società, integrando successivamente la documentazione tecnica prodotta, hanno proposto una nuova scelta implementativa, rivisitando il processo di utilizzo dei dispositivi impiegati per l´analisi dei dati coinvolti nel progetto.

La soluzione successivamente individuata prevedeva come punto di partenza il codice  identificativo MAC Address (Media Access Control Address) anch´esso attribuito dal produttore ad ogni dispositivo utilizzato per la fruizione dei contenuti televisivi.

A tale codice sarebbe stata applicata una funzione di hashing al cui esito una parte del risultato dell´operazione di cifratura sarebbe stata azzerata. Ciò nell´asserita convinzione che tale accorgimento avrebbe garantito una corretta anonimizzazione del dato.

Tuttavia, anche la descritta implementazione ha comportato una serie di valutazioni dell´Autorità sotto il profilo del corretto trattamento dei dati personali degli utenti che hanno determinato la necessità di acquisire nuovi elementi di analisi.

3. La posizione dell´Autorità.

Prendendo in considerazione il processo di cifratura (hashing) applicato da ultimo al   MAC Address  e richiamando le valutazioni già espresse nel corso degli incontri tenutisi con le società, l´Autorità ha evidenziato come tale processo riguardi un dato che presenta caratteristiche di persistenza nel tempo, mantenendo, anche dopo l´applicazione di meccanismi criptografici, un´univocità di corrispondenza tra dato originario e dato cifrato.

Occorre sottolineare che sia la Direttiva 95/46/CE (art. 2,  lett. a) che il Codice (art. 4, comma 1, lett. b), nel delineare il concetto di dato personale impongono che l´informazione si riferisca ad una persona fisica identificata o identificabile sia direttamente che indirettamente.

Con riguardo a tale ultimo aspetto la possibilità di identificare indirettamente un soggetto può sostanzialmente basarsi su due presupposti: da un lato la possibilità che anche il dato rappresentato in una forma inintellegibile, se combinato con altre informazioni contestuali nella disponibilità del titolare del trattamento, consenta comunque di pervenire ad un´informazione intellegibile e, quindi, di distinguere la persona da tutte le altre (Opinion del WP 29 n.4 /2007), dall´altro la possibilità di identificare la persona anche nel caso in cui il dato, pur se non intellegibile, consenta comunque al titolare o ad una terza parte di assumere decisioni che riguardano quella stessa persona, persino a sua insaputa.

Pertanto, una procedura di anonimizzazione non può dirsi compiuta qualora mantenga la possibilità di isolare un soggetto all´interno di un gruppo e ciò anche quando l´identificativo che viene usato per consentire al titolare di assumere decisioni che riguardano tale soggetto sia non immediatamente intellegibile per effetto dell´applicazione di una tecnica crittografica (Opinion del WP 29 n. 05/2014).

Ciò posto, la tecnica di hashing individuata nella successiva documentazione integrativa inviata all´Autorità, non consentiva, anche in presenza di un azzeramento di parte del codice ottenuto a seguito dell´operazione di cifratura, data l´estrema variabilità dei risultatati cui dà luogo tale operazione, di scongiurare il rischio di singolarità le quali continuavano a risultare altamente probabili se non addirittura certe.

4. La fase sperimentale.

Alla luce delle considerazioni sopra esposte anche la fase sperimentale del progetto "Sele" è stata connotata dall´adozione di misure volte a garantire il rispetto della normativa sulla protezione dei dati personali.

Essa ha infatti comportato, come rappresentato dalle società, l´analisi statistica dei dati di visione  e dei tempi di fruizione di canali televisivi esclusivamente da parte degli abbonati Mediaset Premium possessori di un decoder connesso ad internet e si è svolta sulla base di dati anonimizzati.

Infatti, i set-top-box collegati ad internet e coinvolti nella sperimentazione sono stati contraddistinti dall´impiego di codici Mac Address appositamente richiesti al produttore dei dispositivi così da essere caratterizzati da una consecutività numerica. In tal modo, attraverso l´azzeramento delle cifre meno significate di ogni singolo codice, si è potuti addivenire alla creazione di cluster di apparati all´interno dei quali la possibilità di estrarre dal gruppo un dispositivo (c.d. operazione di sigle out) si è potuta ritenere largamente residuale.

Pertanto, attraverso tale procedimento è stato possibile garantire, con ragionevole certezza, l´esistenza di gruppi contenenti almeno cinque apparati contraddistinti da una radice comune all´interno del MAC Address. Applicando la tecnica di hashing alla suddetta radice si è potuta quindi scongiurare l´insorgenza di singolarità, già assenti nel MAC address  così trattato, anche con riferimento al risultato dell´operazione di cifratura e garantire una corretta applicazione della tecnica di anonimizzazione.

Tuttavia, una volta conclusa la fase sperimentale le società istanti hanno ritenuto opportuno approdare ad un livello di conoscenza delle informazioni relative agli utenti non più ancorato alla mera analisi statistica di un dato anonimizzato, quanto piuttosto volto,  attraverso l´applicazione "Sele", a consentire la raccolta e l´analisi delle preferenze, del gradimento e delle abitudini di utilizzo e visione dei contenuti televisivi, con lo scopo di  migliorare  l´affidabilità tecnica dei  servizi prestati e di personalizzarli.

A tal fine sono state apportate nuove integrazioni all´istanza di verifica di prior checking inizialmente presentata all´Autorità, con la specifica previsione della preliminare acquisizione del consenso informato dell´utente quale necessario presupposto per il corretto trattamento delle informazioni di consumo dei contenuti televisivi, effettuato in base al dato identificativo rappresentato dal NUID identificativo del decoder associato al numero della smart card in possesso dell´utente stesso.

Del resto, proprio in ragione di tale configurazione, l´analisi che le società si sono prefisse di realizzare, oltre a riferirsi al prodotto fruito attraverso il dispositivo utilizzato ed univocamente associato all´utente, ne coinvolge, come rappresentato, abitudini e gusti di consumo, comportando un trattamento di dati che non può effettuarsi senza una preliminare  manifestazione positiva della relativa volontà (art. 23 del Codice).

5. Il trattamento previo consenso dell´interessato.

Nella versione definitiva del progetto "Sele", così come descritta nella documentazione successivamente prodotta con l´ultima integrazione dell´istanza di prior cecking pervenuta all´Autorità il 16 marzo 2015, le società hanno previsto espressamente l´utilizzo dei dati personali dei telespettatori, in particolare dell´identificativo NUID del decoder associato al  numero di smart card, solo una volta acquisito preventivamente il relativo consenso.  Ciò anche in ragione del fatto che i dati monitorati attraverso l´applicazione finalizzata al progetto "Sele" (ovvero la data della rilevazione, il canale televisivo sintonizzato e la relativa permanenza, nonché il tempo di accesso a cataloghi di contenuti on demand) sono trattati per finalità di miglioramento e personalizzazione dei servizi offerti.

L´applicazione viene pertanto attivata sul decoder (necessariamente connesso alla rete internet) solo se l´utente ha prestato il proprio consenso.  La modalità tecnica prescelta dalle società per verificare lo stato la sussistenza del consenso si basa su un meccanismo di interrogazione client-server nel quale lo "stato" del consenso stesso è custodito all´interno del set-top-box nel possesso dell´utente e viene trasmesso con cadenza giornaliera a due web server appositamente predisposti che riconducono i dati di visione al codice associato alla smart card ed al NUID che contraddistingue il singolo set-top-box.

Laddove l´esito di tale interrogazione risulti positivo i dati di fruizione, memorizzati nel dispositivo durante tutta la giornata, vengono trasmessi ai suddetti server per le successive elaborazioni.

In caso contrario,  non viene effettuato alcun tracciamento di informazioni e ciò non solo nell´ipotesi in cui non sia stato rilasciato alcun consenso da parte dell´utente, ma anche nell´ipotesi in cui la smart-card non sia presente nel decoder, ovvero non sia stata inserita correttamente.

Le informazioni raccolte, pur essendo memorizzate in maniera permanente sul dispositivo (salvo il caso di revoca del consenso da parte dell´utente), non sono riconducibili all´istallazione, all´interno del terminale, di marcatori (cookie)  trasmessi dal server.

Ciò consente al telespettatore di avere un maggiore controllo sulle informazioni che lo riguardano e che vengono coinvolte nelle operazioni di tracciamento.

Il consenso viene espresso dall´utente al momento dell´istallazione dell´applicazione "Sele" una volta che lo stesso abbia avuto accesso ad una prima informativa  breve, ovvero ad una seconda informativa più estesa qualora abbia ritenuto opportuno ricevere maggiori informazioni sul trattamento dei dati personali prima di effettuare una scelta positiva.

Il consenso  può essere successivamente modificato accedendo ad un´apposita sezione del menù di configurazione del decoder e, quindi, ad un sub-menu nel quale è predisposta una specifica area ("trattamento dati personali") che permette all´utente, cliccando su un apposito comando, di revocare il consenso precedentemente espresso.

La suddetta misura deve essere tuttavia accompagnata da un ulteriore accorgimento  volto a garantire non solo una maggiore trasparenza sullo stato delle operazioni di trattamento dei dati di visione raccolti tramite l´applicazione "Sele", ma anche una maggiore   consapevolezza del telespettatore sulle scelte già effettuate.

In particolare, al fine di consentire l´esercizio agevole e più immediato del diritto di revoca di un consenso precedentemente rilasciato, l´utente accedendo alla suddetta sezione di configurazione del menù del decoder deve poter visualizzare immediatamente un´apposita voce che riguardi specificamente la sussistenza delle operazioni di trattamento dei propri dati (ad esempio "stato del consenso") e deve poter azionare uno specifico comando che gli consenta, senza passaggi intermedi, di modificare in ogni momento le proprie scelte. Entrambe le funzioni possono anche convogliarsi in un unico comando.

Resta comunque inteso che il consenso previsto per il trattamento sopra descritto non si estende, stante il disposto dell´art. 23 del Codice, a nessun altro tipo di trattamento dei dati personali degli utenti, con la conseguenza che eventuali, futuri, trattamenti di marketing  o di comunicazione a soggetti terzi che coinvolgano i menzionati dati, implicano la necessaria, preventiva, acquisizione di specifici consensi da parte del telespettatore.

6. L´informativa.

Unitamente all´ultima nota integrativa dell´iniziale istanza di verifica preliminare, le società hanno prodotto il testo dell´informativa da rilasciare agli utenti con riguardo all´attivazione dell´applicazione "Sele".

Come già accennato, l´impostazione applicativa presenta:

- una prima breve informativa visibile sul video al momento dell´installazione sul decoder del nuovo software che consente l´attivazione di "Sele", la quale contiene l´indicazione delle società contitolari del trattamento, delle relative finalità, nonché l´indicazione della tipologia di dati trattati (in particolare il numero della smart-card) e il richiamo alle modalità di manifestazione del consenso e all´esercizio dei diritti di cui all´art. 7 del Codice. Risulta inoltre possibile accedere ad un´informativa completa direttamente dal  menù del decoder di cui sono richiamate sia le apposite sezioni ("impostazione decoder"-"gestione decoder") sia la specifica voce ("trattamento dati personali");

- una seconda informativa più ampia e dettagliata cui l´utente, che non abbia espresso il proprio consenso premendo il tasto ok, può accedere attraverso il tasto INFO al fine di  acquisire maggiori informazioni prima di acconsentire al trattamento (premendo il tasto ok), ovvero di negare il consenso premendo il tasto exit  che permette di uscire dall´applicazione.

Con specifico riguardo al numero della smart-card, sia nella prima che nella seconda informativa è inoltre previsto un apposito richiamo alla relativa reperibilità (sul tessera stessa, oppure nel  menù del decoder alla voce "Mediaset Premium- Informazioni tessera" ) anche ai fini di un corretto ed efficace esercizio dei diritti di cui al citato art. 7, per i quali è richiamato, nell´informativa ampia, un apposito indirizzo e-mail al quale inoltrare le richieste, ovvero la possibilità di accedere al  menù del decoder, in particolare per esercitare il diritto di opposizione al trattamento.

Ciò premesso, date le caratteristiche del servizio, in un´ottica di semplificazione che renda più fruibile l´informativa, si prende atto della scelta operata dalle società di adottare il c.d. approccio multistrato, in armonia con le stesse raccomandazioni espresse dal WP 29 nella menzionata Opinion n. 10/2004 sulla maggiore armonizzazione della fornitura di informazioni.

Infatti come emerge dal suddetto parere "le avvertenze multistrato possono contribuire a migliorare la qualità delle informazioni sulla tutela dei dati; ciascuno strato privilegia le informazioni necessarie alla persona per capire la propria posizione e assumere decisioni. In caso di spazio/tempo di comunicazione limitato, i formati multistrato possono migliorare la leggibilità delle avvertenze". Pertanto  la scelta di un´architettura volta ad evitare un´eccessiva frammentazione in un numero troppo elevato di livelli, evita la dispersione e la scarsa fruibilità delle informazioni rese.

7. La conservazione dei dati.

Le società hanno richiesto di poter conservare i dati memorizzati sul server per un periodo di due anni, al fine di valutare l´andamento di due stagioni televisive e confrontare le strategie di pianificazione  editoriali di due periodi omogenei.

Orbene, posto che i dati personali coinvolti nell´applicazione "Sele" devono essere conservati per un arco temporale proporzionato alle finalità perseguite attraverso il servizio, un congruo periodo di conservazione può  individuarsi in  12 mesi.

Tuttavia, a tale arco temporale potrà aggiungersi un ulteriore periodo di 3 mesi, proprio al fine di consentire alle società di avere evidenza degli effetti di stagionalità legati alla fruizione dei contenuti televisivi offerti (ad esempio Primavera 2015- Primavera 2016).

Alla scadenza del suddetto periodo di conservazione i dati personali  trattati dalle società  devono essere cancellati o resi anonimi in modo irreversibile e permanente.

8. La notificazione del trattamento.

Il trattamento che le società intendono svolgere ha lo scopo di  raccogliere ed analizzare dati relativi alle preferenze, al gradimento ed alle abitudini di consumo degli utenti che comportano l´obbligo di notificazione al Garante ai sensi degli artt. 37, comma 1, lett. d) e 38 del Codice.

9. Le sanzioni.

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento comporta l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis, Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive a RTI-Reti televisive italiane  S.p.A., con sede in Roma, Largo del Nazareno, 8, Publitalia ´80 S.p.A. e Mediaset Premium S.p.A. Milano, entrambe con sede in Milano, Via Paleocapa, 3, ai sensi dell´art. 17 del Codice, di adottare a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione, e in particolare:

1. con riguardo all´esercizio del diritto di revoca del consenso precedentemente rilasciato dall´utente:

a) predisporre, nella pagina di configurazione del menù del decoder, nel quale è attualmente prevista una sezione che rimanda ad un sub-menu "trattamento dati personali", un´apposita voce che riguardi specificamente la sussistenza delle operazioni di trattamento dei dati (ad esempio "stato del consenso");

b) predisporre uno specifico comando che consenta all´utente, senza passaggi intermedi, di poter modificare direttamente e in ogni momento le proprie scelte.

2.  con riguardo alla conservazione dei dati:

a) conservare i dati personali oggetto dell´attività svolta attraverso l´applicazione "Sele"  per un limitato periodo di tempo, proporzionato alle finalità perseguite mediante il servizio, prevedendo il periodo di conservazione in 12 mesi, cui può aggiungersi un ulteriore periodo di 3 mesi, allo scopo di avere evidenza degli effetti di stagionalità legati alla fruizione dei contenuti televisivi offerti;

b) disporre, alla scadenza del suddetto periodo di conservazione, che i dati personali  trattati siano cancellati o resi anonimi in modo irreversibile e permanente.

3.  trasmettere al Garante, considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, entro il termine di 30 giorni dalla data dell´eventuale implementazione delle misure indicate ai precedenti punti, copia della documentazione che ne comprovi l´adozione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 23 aprile 2015

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia