II - L´attività svolta dal Garante - par. 9 - Relazione 2005 - 7 luglio 2006

9. Attività economiche

9.1. Credito

Come ricordato in precedenti relazioni, per lungo tempo le cd. centrali rischi private hanno operato in assenza di un quadro regolamentare. Al di là della conseguente incertezza dal punto di vista dell´operatività di questi sistemi, per ragioni diverse è risultato elevato il contenzioso in materia nei primi anni di applicazione della disciplina di protezione dei dati personali (accentuato dagli effetti negativi che ha sull´accesso al credito l´avvenuta segnalazione in dette centrali). Ciò, in ragione della scarsa trasparenza dei tempi di conservazione dei dati (reputati eccessivamente lunghi, specie in presenza di segnalazioni dovute a meri ritardi nei pagamenti o ad inadempimenti di importo contenuto), a causa della qualità dei dati trattati, non sempre esatti o aggiornati, oltre che per il mancato (o tardivo) riscontro all´esercizio del diritto d´accesso da parte degli interessati.

L´adozione del codice di deontologia e buona condotta da parte degli operatori del settore (preceduta da una copiosa serie di decisioni su ricorsi proposti ex art. 145 del Codice) ha perciò rappresentato una tappa significativa nell´attività svolta dal Garante in questo ambito assai delicato: essa ha determinato l´emersione del fenomeno della referenziazione creditizia, specie grazie alla formulazione di un´informativa chiara agli interessati da parte dei soggetti partecipanti a detti sistemi d´informazione, ed ha determinato una più puntuale attenzione alla qualità delle informazioni trattate ai fini della valutazione del rischio di credito, unitamente alla definizione dei tempi massimi di conservazione delle medesime.

Il codice deontologico ha previsto una serie di misure a carico degli operatori del settore da adottare in fasi successive, nel corso della prima metà del 2005. Tra di esse figuravano la riduzione dei tempi di conservazione dei dati personali relativi ad informazioni creditizie di tipo positivo, la costituzione di un organismo di controllo con la partecipazione di rappresentanti delle associazioni consumeristiche, l´invio al Garante delle informazioni e della documentazione necessaria per consentire il controllo sulla corretta attuazione delle disposizioni contenute nel Codice e l´integrazione dell´informativa fornita agli interessati, contenente le informazioni non comprese nelle informative rese precedentemente.

L´attività svolta nel corso dell´anno dall´Autorità in questo settore ha, quindi, richiesto un attento esame dell´operato dei nuovi sistemi di informazioni creditizie (Sic) allo scopo di valutare sia la progressiva attuazione delle misure previste, sia i primi problemi applicativi. In questa cornice si è svolta, nella seconda parte dell´anno, un´estesa attività di accertamento in loco presso i gestori dei principali sistemi, che ha avuto ad oggetto la verifica della conformità dei trattamenti concretamente posti in essere, rispetto alla disciplina di protezione dei dati personali come integrata dalle disposizioni di natura deontologica. L´attività di accertamento si è protratta presso i gestori di servizi di comunicazione elettronica nei primi mesi del 2006, in vista dei provvedimenti calendarizzati per la prima parte del 2006.

Con riguardo alla tematica dei tempi di conservazione, l´art. 13, comma 4 del codice deontologico prevedeva invece che, in sede di prima applicazione delle disposizioni contenute nell´art. 6 del medesimo codice, i gestori riducessero ad un termine non superiore a trentasei mesi i tempi di conservazione dei dati personali relativi ad informazioni creditizie di tipo "positivo" (relative, cioè, all´avvenuta conclusione positiva del rapporto contrattuale o al diligente adempimento degli obblighi contrattuali in corso). In tempi successivi, l´organo di controllo previsto dall´art. 13, comma 7, del codice deontologico avrebbe valutato, alla luce dell´esperienza maturata, se fosse giustificato il mantenimento del termine più lungo, e il Garante, su richiesta del predetto organismo o di propria iniziativa, avrebbe dovuto indicare il termine da osservare. A questo proposito, con avviso pubblicato in Gazzetta Ufficiale 6 marzo 2006, n. 54, il Garante ha infine disposto che i dati personali relativi ad informazioni creditizie di tipo positivo possono continuare ad essere conservati nei sistemi di informazioni creditizie per un termine non superiore a trentasei mesi (anziché per il più breve termine di ventiquattro mesi come prefigurato dall´art. 6, comma 6, del codice deontologico).

Con provvedimento del 27 ottobre 2005 [doc. web n. 1246675] (in G.U. 22 marzo 2006, n. 68 ; cfr. anche Provv. 2 marzo 2006 [doc. web n. 1248850], pubblicato nella stessa G.U. 22 marzo 2006, n. 68), il Garante, ribadendo il proprio indirizzo –contrario all´uso generalizzato di sistemi che associno immagini e impronte digitali–, ha individuato le misure e gli accorgimenti che, a garanzia degli interessati, devono essere adottati dagli istituti di credito che intendano avvalersi di sistemi di rilevazione dell´impronta digitale in associazione a sistemi di videosorveglianza. Secondo il provvedimento, che ha tenuto conto delle novità sopravvenute con l´entrata  in  vigore  del  Codice  (in  particolare,  gli artt. 17,  24, comma 1, lett. g) e 154, comma 1, lett. c)) e dei principi generali già enunciati nei citati provvedimenti del 28 settembre 2001 e 29 aprile 2004, è lecito installare apparecchiature che consentano l´identificazione delle persone attraverso la combinazione di telecamere e di sistemi per la raccolta dell´immagine delle impronte digitali, solo in presenza di condizioni di effettivo rischio (ades., con riguardo a sportelli siti in aree ad effettiva alta densità criminale, oppure in aree isolate o nella prossimità di "vie di fuga") e per l´esclusiva finalità di incrementare il grado di sicurezza di beni e persone.

Se non sono rispettati i principi di necessità e di proporzionalità il trattamento dei predetti dati non è lecito. Misure articolate devono essere comunque adottate affinché il trattamento sia conforme ai principi di protezione dei dati personali. In particolare:

• la banca, prima che i dati siano rilevati (e, comunque, prima dell´accesso del cliente all´interno della propria sede), deve fornire agli interessati un´informativa sintetica, ma chiara, relativa alla presenza di sistemi di raccolta di impronte digitali e di immagini; informativa che dovrà essere integrata da un´altra, più ampia, informativa esposta all´interno dei locali della banca;
• ai clienti deve essere comunque consentito l´accesso alla banca con modalità alternative, senza apporre le proprie impronte digitali. Ciò, sia disabilitando (temporaneamente) il sistema di rilevazione delle impronte, sia utilizzando accessi alternativi (in tal caso si possono adottare opportune cautele in relazione all´accesso del cliente, quali, ad esempio, la richiesta di esibizione di un suo documento di identificazione);
• le immagini e le impronte digitali devono essere cifrate prima della loro registrazione in un archivio. Il provvedimento ha previsto che il processo crittografico sia garantito dalla figura del "vigilatore dei dati", un soggetto indipendente, anche esterno alla banca, depositario delle chiavi crittografiche idonee a decifrare le informazioni conservate. Ai dati "in chiaro" possono accedere soltanto l´autorità giudiziaria e la polizia;
• i dati relativi alle immagini e alle impronte digitali devono essere cancellate automaticamente, salvo quanto disposto per specifici motivi di giustizia o a seguito della richiesta di un interessato, trascorso un periodo non superiore ad una settimana.

Anche al fine di agevolare un´eventuale attività di verifica preliminare, come pure (più in generale) di controllo da parte dell´Autorità, il provvedimento prevede che le banche, le quali intendano intraprendere trattamenti del tipo qui descritto, o che abbiano già installato sistemi di rilevazione dell´immagine e dell´impronta digitale, debbano comunicare detta circostanza al Garante inviando una specifica richiesta per via telematica compilando il modello reso disponibile sul sito web dell´Autorità.

Dopo aver rilevato che le operazioni di identificazione implicano un trattamento di dati personali –che va conformato anch´esso ai principi di liceità, pertinenza e non eccedenza rispetto alle finalità perseguite (art. 11 del Codice)– il Garante ha osservato che è necessario, per valutare la fattispecie, distinguere tra la necessità generale di identificare la persona e le modalità con cui ciò avviene.

L´identificazione del soggetto che effettua una determinata operazione risulta a volte prescritta da una disposizione normativa (si pensi, ad esempio, all´art. 2, comma 14, d.l. 30 settembre 2005, n. 203, a modifica dell´art. 7 d.P.R. 29 settembre 1973, n. 605, oppure all´art. 45 d.P.R. 28 dicembre 2000, n. 445, relativo alle modalità per identificare i cittadini da parte di organi della pubblica amministrazione e di gestori di pubblici servizi o, ancora, alle vigenti disposizioni in materia di riciclaggio), mentre può essere altre volte necessaria per eseguire obblighi derivanti dal contratto o per adempiere a specifiche richieste precontrattuali dell´interessato (art. 24, comma 1, lett. a) e b), del Codice). In tali ipotesi, fatta salva l´osservanza dell´obbligo di informativa (fornita anche una tantum al cliente), non è necessario richiedere il consenso dell´interessato.

Le modalità con le quali avviene l´identificazione, in ossequio al principio di proporzionalità, devono tener conto delle circostanze di fatto: fuori dai casi in cui espresse disposizioni normative stabiliscano precise modalità, la banca o l´ufficio postale ha l´onere di verificare l´identità dell´interessato basandosi su idonei elementi di valutazione, quali, ad esempio, la conoscenza personale, la consultazione di atti e documenti acquisiti in precedenza, anche in sede di instaurazione del rapporto, ovvero l´esibizione di un documento di riconoscimento, provvedendo se del caso ad annotarne gli estremi.

La richiesta di produrre, anche per via telematica, la copia di un documento di riconoscimento e la sua conservazione presso la filiale possono ritenersi giustificate solo quando si rinvenga una disposizione normativa che preveda espressamente l´acquisizione e la conservazione temporanea di tale copia, oppure quando la banca o l´ufficio postale debba poter dimostrare di aver identificato l´interessato con modalità più accurate, tenendo conto del particolare contesto e delle operazioni da svolgere. In questi ultimi casi può rientrare anche quello del portatore "non conosciuto" di un assegno (o di un vaglia): in tale ipotesi, l´acquisizione del relativo documento è da ritenersi legittima considerata la responsabilità della banca o dell´ufficio postale in relazione ai pagamenti che vanno effettuati, con la necessaria diligenza, solo al creditore (cfr. anche l´art. 1189 c.c. e gli artt. 43 e 86 r.d. 21 dicembre 1933, n. 1736).

Il Garante ha affermato conclusivamente che il trattamento delle informazioni raccolte a fini di identificazione risulta lecito, pertinente e non eccedente se effettuato nei termini sopra riassunti, i quali trovano riscontro nelle disposizioni dell´ordinamento che prevedono già la necessità di conservare copia di un documento da esibire. In applicazione del principio della pertinenza e di non eccedenza nel trattamento dei dati occorre altresì evitare di acquisire più volte copie di documenti già disponibili agli atti e, comunque, di utilizzarle ad altri scopi. Infine, gli istituti bancari e gli uffici postali devono assicurare che l´accesso alle informazioni sia consentito unicamente nelle ipotesi indicate e solo da chi ne abbia titolo, evitando, in ciascuna fase, ogni inutile comunicazione di dati personali anche nello svolgimento di operazioni allo sportello.

9.2. Assicurazioni

A fronte di numerose segnalazioni relative alla possibile interferenza tra la citata disciplina di settore e quella sulla protezione dei dati personali, è stato ribadito in più occasioni l´orientamento già espresso in materia dal Garante (Provv. 8 maggio 2001 [doc. web n. 39284]) secondo cui la disposizione contenuta nel predetto art. 12-ter riconosce un particolare diritto d´accesso alla documentazione, distinto rispetto al diritto di accesso ai dati personali previsto dal Codice, confermando la piena compatibilità tra le due discipline. L´Autorità ha nuovamente distinto chiaramente l´esercizio del diritto di accesso ai dati personali (di cui all´art. 7 del Codice), che può essere esercitato –limitatamente ai dati personali relativi all´interessato– in ogni momento, dal diritto degli assicurati e dei danneggiati ad accedere "agli atti a conclusione dei procedimenti di valutazione, contestazione e liquidazione dei danni che li riguardano", per il quale le sopra menzionate disposizioni normative di rango primario in materia assicurativa (cui è stata data attuazione con il d.m. 20 febbraio 2004, n. 74) stabiliscono, parimenti, precisi limiti temporali a garanzia degli interessati.

La diversa qualificazione dell´istanza da parte del soggetto interessato risulta idonea ad individuare la disciplina di volta in volta applicabile in quanto, se la richiesta di accesso concerne dati personali dell´interessato, troveranno applicazione gli artt. 7 e 8 del Codice e la conseguente possibilità, in caso di mancato o inidoneo riscontro da parte del titolare del trattamento, di adire l´autorità giudiziaria ordinaria o di presentare ricorso al Garante ai sensi degli artt. 145 e ss. del Codice. Qualora, invece, l´oggetto dell´accesso riguardi la documentazione relativa al procedimento di liquidazione del danno, opereranno i limiti ed i presupposti previsti dalla legge n. 57/2001 (ora dal Codice delle assicurazioni private) e dal citato regolamento di attuazione.

A questo proposito è opportuno ricordare che, qualora entro sessanta giorni dalla ricezione della richiesta l´assicurato o il danneggiato non sia messo in condizione da parte della compagnia di assicurazione di prendere visione degli atti richiesti, il medesimo può rivolgersi all´Isvap per vedere garantito il proprio diritto (art. 4, comma 4, d.m. 20 febbraio 2004, n. 74).

Il richiamato orientamento del Garante ha trovato ulteriore conferma alla luce del nuovo testo dell´art. 146 del Codice delle assicurazioni private che, nel disciplinare il diritto degli assicurati e dei danneggiati ad accedere agli atti del procedimento di liquidazione, ha chiarito il rapporto con l´esercizio del diritto di accesso ai dati personali dell´interessato, facendo appunto salvo "quanto previsto per l´accesso ai singoli dati personali dal codice in materia di protezione dei dati personali" (comma 1). La disposizione in esame ha inoltre stabilito la non gratuità del diritto di accesso agli atti e ai documenti assicurativi (comma 3) ed ha introdotto, altresì, maggiori limitazioni all´esercizio di tale diritto (che "non è consentito quando abbia ad oggetto atti relativi ad accertamenti che evidenziano indizi o prove di comportamenti fraudolenti"; la norma prevede, inoltre, la sospensione del diritto in caso di pendenza di controversia giudiziaria tra l´impresa ed il richiedente). Resta salva, nei casi di preclusione del diritto di accesso ai documenti, la facoltà di esercitare l´accesso ai propri dati personali exart. 7 del Codice, nei limiti dell´art. 8, comma 2, lett.  e).

È stato altresì precisato, in conformità con una precedente pronuncia (cfr. Provv. 28 dicembre 2000 [doc. web n. 40647] in materia di accesso alle informazioni contenute nella documentazione bancaria), che il diritto di accesso comporta l´obbligo per il titolare del trattamento di estrarre i dati riferiti all´interessato e di trasporli, se vi è richiesta, su un supporto cartaceo o informatico; non è invece attribuito all´interessato il diritto di ottenere "copia integrale" della documentazione contenente i dati personali, salvo che risulti particolarmente difficoltosa l´estrazione dei dati dai medesimi atti o documenti e non sia parimenti possibile la loro trasmissione per via telematica.

Maggiori problemi sembra invece comportare il caso della richiesta, rivolta sempre alla compagnia assicuratrice, di copia della perizia medico-legale avente ad oggetto i dati sanitari relativi ad un terzo (ad es., la persona danneggiata da un sinistro): in tale ipotesi, trattandosi di un caso di comunicazione di dati idonei a rivelare lo stato di salute di un terzo, trova applicazione la disciplina prevista dall´art. 26, comma 4, lett. c), del Codice –che ammette il trattamento dei dati sensibili senza il consenso dell´interessato, previa autorizzazione del Garante, in presenza dell´esigenza di esercizio del diritto di difesa, purché il diritto che si intenda difendere sia di "rango almeno pari a quello dell´interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile" (Provv. 9 luglio 2003 [doc. web n. 29832]).

Il fondo, che in un primo momento aveva negato siffatta possibilità, ostandovi il regolamento di assistenza (approvato tramite accordo collettivo sottoscritto dalle associazioni sindacali), a seguito della richiesta di informazioni da parte dell´Ufficio del Garante volta a chiarire le eventuali ragioni ostative che avrebbero impedito al segnalante, ove legittimato a godere delle prestazioni assicurative, ad inviare direttamente la pertinente documentazione sanitaria all´assicurazione, considerata la delicatezza del caso, si è dichiarato disposto a "derogare" al predetto regolamento (consentendo al segnalante la gestione diretta delle relative pratiche ed impegnandosi a tener in conto di siffatte problematiche connesse con l´esigenza di riservatezza e di protezione dei dati sensibili degli altri beneficiari della polizza, nell´ambito dei negoziati sindacali per la redazione di un nuovo regolamento).

Al di là di questo caso specifico, sono comunque all´esame dell´Autorità le modalità con le quali, nel settore assicurativo, vengono gestiti analoghi contratti, con particolare riferimento alla presenza di possibili modalità individualizzate di trasmissione dei dati (non di rado sanitari) relativi a familiari, potendosi presentare situazioni delicate connesse alla conoscibilità delle informazioni relative alla salute dei congiunti (e destinate ad acuirsi in presenza di particolari circostanze, quali il caso del coniuge separato o di figli, pur maggiorenni, a carico dell´assicurato).

A seguito dei riscontri forniti e delle successive osservazioni ed integrazioni documentali pervenute dai segnalanti, rispetto ad un caso il procedimento è stato definito senza l´adozione di provvedimenti da parte dell´Autorità, risultando il mancato aggiornamento dei dati imputabile alla pendenza di controversie aventi ad oggetto la regolarità e la tempestività dell´esercizio del diritto di recesso. Nei confronti di un altro gruppo assicurativo, con esclusivo riferimento al trattamento posto in essere da una singola agenzia, è tuttora in corso l´attività istruttoria, attesa la discordanza degli elementi che emergeva dalla documentazione in atti.

9.3. Marketing

Numerosi, in proposito, sono stati i ricorsi, le segnalazioni e i reclami relativi alla ricezione di lettere, telefonate, fax ed altre comunicazioni, spesso effettuate mediante posta elettronica, relative ad informazioni pubblicitarie non richieste dagli interessati. Si è inoltre esaminato approfonditamente il profilo dei trattamenti di dati personali in occasione di operazioni a premio e, più in generale, in relazione a fenomeni di "fidelizzazione" della clientela (cfr. Relazione 2004, p. 70). Hanno formato, altresì, oggetto di trattazione numerose segnalazioni tanto con riguardo ai profili inerenti alle informazioni da rendere agli interessati, quanto in relazione alle modalità di acquisizione del loro consenso mediante l´utilizzo di moduli resi disponibili on-line– in occasione del compimento di attività di raccolta di dati per il perseguimento della finalità in esame. Se, con riguardo alle informazioni da rendere, si riscontra non di rado che esse sono difettose o comunque non sufficientemente chiare, in relazione al consenso gli operatori economici sembrano prediligere formulazioni generali, tese a ricomprendere più finalità, tra loro diverse e talvolta incompatibili.

Nel 2005, è stata rivolta attenzione anche alle numerose istanze e segnalazioni pervenute in ordine alle modalità prescelte dagli operatori del settore al fine di acquisire, in occasione dell´instaurazione di un rapporto contrattuale, il consenso degli interessati al trattamento dei dati che li riguardano per perseguire finalità di marketing.

A questo proposito, con un provvedimento del 12 ottobre 2005 [doc. web n. 1179604], si è affermato che è non "libero", ma "necessitato" (e, quindi, invalido), il consenso al trattamento dei dati per finalità promozionali reso senza una libera scelta aderendo ad un testo predisposto unilateralmente dalla controparte contrattuale quale condizione per il conseguimento della prestazione principale richiesta. In tal modo, i dati personali raccolti lecitamente dal titolare (e conferiti dall´interessato) per perseguire una finalità determinata (dare esecuzione al rapporto contrattuale, finalità che non richiede il consenso), vengono di fatto piegati ad un utilizzo diverso dallo scopo originario che ne giustifica la raccolta, in violazione del principio di finalità (art. 11, comma 1, lett. b), del Codice).

Alla luce di tali considerazioni, pur consentendo che si potesse continuare a perseguire le finalità principali del contratto connesse alla prenotazione, all´acquisto e al recapito di biglietti (art. 24, comma 1, lett. b), del Codice), il Garante ha quindi prescritto di adottare alcune necessarie modifiche al modello per la manifestazione del consenso al trattamento dei dati, affinché quest´ultimo risultasse "modulare", ossia prestato dagli interessati distintamente per ciascuna distinta finalità perseguita.

In un caso particolare, anche alla luce di quanto sopra rappresentato, è stata ad esempio constatata la non conformità alle norme in materia di protezione dei dati della scelta di raccogliere in un unico contesto (si trattava delle condizioni generali di contratto), sia il "consenso" del cliente per accedere on-line ad alcuni servizi, sia il consenso per trattare i dati conferiti per la fruizione di quest´ultimi allo scopo di perseguire una finalità diversa, quale quella dell´invio di comunicazioni commerciali in forma elettronica intese a promuovere iniziative proprie o a veicolare iniziative promozionali nell´interesse di terzi. Si è nuovamente ritenuto che un consenso manifestato nei termini appena descritti non può ritenersi valido, atteso che i clienti devono essere messi in condizione di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei dati che li riguardano, manifestando il proprio consenso –quando questo è necessario– per ciascuna distinta finalità perseguita dal titolare (Provv. 3 novembre 2005  [doc. web n. 1195215]).

Il Garante ha poi precisato che è possibile basare su un altro presupposto tale trattamento di dati qualora ricorrano le condizioni di cui all´art. 130, comma 4, del Codice, norma in base alla quale il titolare del trattamento che utilizzi le coordinate di posta elettronica fornite dall´interessato nel contesto della vendita di un prodotto o di un servizio ai fini di vendita diretta di propri prodotti o servizi (e sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l´interessato), può non richiedere il consenso qualora l´interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. Affinché in tale ipotesi il trattamento si configuri come legittimo, occorre quindi accordare al cliente la possibilità di opporsi in maniera agevole e gratuitamente all´utilizzo delle coordinate di posta elettronica per finalità di vendita diretta, sin dalla fase di raccolta dei dati ("inizialmente", secondo la prescrizione dell´art. 130, comma 4, del Codice), come pure in occasione dell´invio di ogni comunicazione successiva, possibilità che non veniva accordata all´interessato nel caso esaminato.

Il Garante ha infine evidenziato che la circostanza dell´"assorbimento" del consenso all´utilizzo dei dati per finalità di vendita diretta nelle condizioni generali di contratto (destinate a regolare solo la fornitura dei servizi propriamente intesi), è tra l´altro idonea di per sé a evidenziare una violazione della disposizione richiamata, che intende salvaguardare la facoltà di autodeterminazione dell´interessato, anche nella forma della libera opposizione al trattamento dei dati, in ordine all´utilizzo delle proprie coordinate di posta elettronica al fine di vendita diretta.

Alla luce degli elementi acquisiti il Garante ha constatato che in occasione del rilascio delle carte di fidelizzazione (spesso mediante compilazione di questionari) e della loro successiva utilizzazione (attraverso la registrazione delldi beni e servizi) vengono raccolti dati personali dei clienti e, a volte, dei loro familiari (tra i quali, dati anagrafici, titolo di studio, professione, interessi, abitudini di consumo, modalità di acquisto, volumi di spesa effettuata, ecc.), e che tali informazioni sono spesso utilizzate, senza che gli interessati ne abbiano piena conoscenza e possano acconsentire al loro uso, anche per monitorarne in dettaglio i comportamenti o le loro propensioni al consumo; per creare, cioè, "profili" individuali o di gruppo volti a confrontarne le abitudini di consumatori con altri clienti.

Le regole individuate nel provvedimento riguardano pertanto le tre principali finalità per le quali i dati personali degli interessati sono di regola raccolti e trattati: la cd. fidelizzazione in senso stretto, che viene realizzata attribuendo vantaggi connessi all´uso della carta (di regola consistenti nella partecipazione ad operazioni a premio), la cd. profilazione, volta ad analizzare abitudini e scelte di consumo della clientela, e lo svolgimento di attività di marketing diretto.

Il primo obbligo previsto per chi rilascia carte di fedeltà è quello di informare in maniera chiara e completa i clienti sull´uso che verrà fatto dei dati che li riguardano, tenendo conto in maniera differenziata delle diverse finalità perseguite. In base a quanto indicato dall´Autorità, l´informativa al cliente deve essere chiaramente evidenziata all´interno dei moduli di sottoscrizione utilizzati e risultare agevolmente individuabile rispetto alle altre clausole del regolamento. In particolare, deve essere posta in evidenza l´eventuale attività di profilazione e/o quella di marketing chiarendo che, per queste ultime due finalità, il conferimento dei dati è libero (e facoltativo rispetto alle ordinarie attività legate alla fidelizzazione in senso stretto) e che il consenso va prestato distintamente per ciascuna di esse.

Il Garante ha poi stabilito che chiunque ponga in essere operazioni a premio (o programmi di fidelizzazione) deve ridurre al minimo l´uso delle informazioni personali e utilizzare solo informazioni pertinenti e non eccedenti (artt. 3 e 11 del Codice). In particolare, per quanto riguarda la fidelizzazione, possono essere trattati senza acquisire il consenso degli interessati solo i dati necessari per attribuire vantaggi connessi all´utilizzo della carta, ovvero i dati correlati all´identificazione dell´intestatario o relativi al volume di spesa globale realizzato, di regola senza riferimento al dettaglio dei singoli prodotti acquistati.

Per l´attività di profilazione, occorre invece il consenso dell´interessato per trattare le informazioni relative agli acquisti effettuati e quelle ulteriori raccolte all´atto dell´adesione del cliente all´iniziativa, ed è necessario adempiere altresì all´obbligo di notificazione (art. 37, comma 1, lett. d), del Codice).

Riguardo all´attività di marketing possono essere raccolti, sempre con il consenso dell´interessato, i dati necessari all´invio di materiale pubblicitario o di comunicazioni commerciali.

Il Garante ha disposto che. allo stato, la conservazione dei dati personali dei clienti relativi al dettaglio degli acquisti non può superare un anno rispetto alle finalità di profilazione, e due anni per i dati raccolti a fini di marketing.

È stato altresì precisato che le carte fedeltà già rilasciate non dovevano essere annullate laddove i dati raccolti venissero utilizzati, sulla base di un´adeguata informativa, ai soli fini di sconti, premi, bonus, servizi accessori, facilitazioni di pagamento, sul presupposto che in tali casi non è necessario il consenso degli interessati e che questo resta, invece, necessario quando i dati vengono utilizzati per il perseguimento di altre finalità quali la profilazione e il marketing (Comunicato stampa 29 luglio 2005).

Per quanto attiene da ultimo all´interconnessione con altre banche dati, va ricordato che il Garante ha adottato un apposito provvedimento in materia di utilizzo a fini di marketing e di profilazione degli elenchi "categorici" (cfr. par. 15.3), le cui prescrizioni sono ora da coordinare con il disposto dell´art. 19-bis l. n. 51/2006 (su cui v. par. 1.3).

9.4. Impresa

Si è in particolare riscontrato come, attraverso soggetti incaricati del recupero, venissero poste in essere modalità particolarmente invasive di ricerca, di presa di contatto e di sollecitazione al pagamento delle somme dovute: visite a domicilio o sul posto di lavoro degli interessati, reiterate sollecitazioni al telefono fisso o sul cellulare, utilizzo di sistemi automatizzati di chiamata senza operatore, invio di cartoline o di plichi postali con l´indicazione chiaramente visibile della scritta "recupero crediti" o "preavviso esecuzione notifica" o diciture analoghe, affissione di avvisi di mora sulla porta di casa. Spesso, i dati personali relativi ai componenti di intere famiglie risultavano inoltre inseriti nelle banche dati del soggetto creditore o delle società di recupero crediti.

Il Garante ha conseguentemente adottato un provvedimento a carattere generale con il quale ha prescritto alle società di recupero crediti e a quanti –finanziarie, banche, concessionari di pubblici servizi, compagnie telefoniche– svolgono tale attività direttamente, le misure alle quali attenersi per non incorrere in illeciti e per rispettare i principi posti a tutela dei diritti della persona: fermo restando il diritto del creditore a tutelare le proprie ragioni, il suo esercizio non deve infatti tradursi in abuso, dovendo essere improntato ai generali principi di buona fede e di correttezza contemplati nel nostro ordinamento.

Sono state pertanto considerate illecite tutte le modalità di recupero del credito le quali, ancorché finalizzate all´esercizio di diritti, risultino lesive della sfera personale dei debitori e della loro dignità (Provv. 30 novembre 2005 [doc. web n. 1213644]).

Non è risultato lecito, in particolare, comunicare ingiustificatamente informazioni relative ai mancati pagamenti a soggetti diversi dall´interessato (ad es., familiari, colleghi di lavoro o vicini di casa) ed esercitare indebite pressioni su quest´ultimo al fine di sollecitare il pagamento di somme dovute. Non è risultato consentito, altresì, ricorrere a telefonate pre-registrate, anche perché attraverso questa modalità persone diverse dal debitore, in assenza di adeguate garanzie, potrebbero venire a conoscenza della sua eventuale inadempienza.

È emersa anche l´illiceità dell´affissione da parte degli incaricati del recupero crediti di avvisi di mora su porte di abitazioni, trattandosi di modalità che rende possibile la diffusione dei dati personali dell´interessato ad una serie indeterminata di soggetti. Non deve inoltre rendersi visibile a persone estranee il contenuto di una comunicazione, come può avvenire ad esempio mediante l´utilizzo di cartoline postali o con l´invio di plichi recanti all´esterno la scritta "recupero crediti" o formule simili. è necessario, invece, che le sollecitazioni di pagamento vengano portate a conoscenza del solo debitore, usando plichi chiusi e senza scritte specifiche. Gli incaricati delle società non possono poi usare altri dati se non quelli necessari all´esecuzione del mandato (dati anagrafici, codice fiscale, ammontare del credito, recapiti telefonici).

Salvo l´assolvimento di specifici obblighi di legge che può richiedere una conservazione prolungata dei dati raccolti (ad es., per rendere conto delle attività svolte), una volta portato a termine l´incarico i dati non possono formare oggetto di ulteriore trattamento. La loro eventuale conservazione ulteriore deve essere realizzata con modalità tali, comunque, da precluderne agli incaricati del trattamento l´ordinaria consultabilità (adottando opportune misure logiche o provvedendo alla trasposizione dei dati in archivi separati).

Gli accertamenti hanno permesso di constatare che questi ultimi raccolgono, generalmente per via telefonica, richieste di corse taxi nell´interesse dei titolari di licenza (art. 7 l. n. 21/1992). Di regola, le informazioni raccolte si esauriscono nel solo indirizzo di prelievo; in altri casi, invece, formano oggetto di trattamento anche il numero di telefono e il nominativo del cliente (eventualmente associando, in modo automatizzato, il numero telefonico a dati ricavati da elenchi pubblici). In casi limitati, vengono registrate informazioni aggiuntive concernenti comportamenti tenuti dal cliente a seguito della chiamata (ad es., assenza presso l´indirizzo di prelievo o mancato pagamento della corsa).

Con un provvedimento del 26 luglio 2005 [doc. web n. 1151997], il Garante ha affermato che è lecito utilizzare solo i dati necessari per mettere in contatto il cliente con il taxi indicato per effettuare la corsa, o comunque utili per dare attuazione al relativo rapporto contrattuale (quali l´indirizzo di prelievo, il nominativo, l´eventuale numero telefonico fisso o mobile), agevolando in tal modo l´esatta esecuzione della prestazione (ad es., per segnalare una sostituzione del taxi o per assicurarsi che il servizio venga reso alla persona che lo ha effettivamente richiesto). L´Autorità ha aggiunto che, in base a quanto previsto dall´art. 11, comma 1, lett. b), del Codice, non possono essere registrati dati sui percorsi effettuati dai clienti o relativi ad eventuali inadempimenti loro attribuiti, fatta salva l´esigenza di far valere o difendere un diritto in sede giudiziaria; né possono essere conservate informazioni relative all´assenza dei clienti presso l´indirizzo di prelievo indicato oltre il tempo strettamente necessario a rispondere ad eventuali contestazioni, considerato che il loro trattamento ha una finalità del tutto diversa da quella perseguita nel rendere possibile il trasporto della clientela (unica finalità per la quale il gestore del servizio radiotaxi può raccogliere lecitamente i dati).

Al di fuori delle operazioni di raccolta e di successivo trattamento dei dati della clientela preordinati alla ordinaria prestazione del servizio (in relazione alla quale trova applicazione l´art. 24, comma 1, lett. b), del Codice), il trattamento delle informazioni relative ai clienti per perseguire scopi ulteriori (ad es., a fini di marketing o per compiere ricerche di mercato, o ancora al fine di fornire, anche su registrazione o abbonamento, servizi aggiuntivi rispetto alla singola corsa di volta in volta richiesta) richiede infatti il consenso specifico degli stessi.

È stato altresì precisato che, una volta espletato il servizio, i dati non più necessari devono essere cancellati o trasformati in forma anonima, salva l´osservanza di eventuali e puntuali obblighi di legge che ne legittimino l´ulteriore conservazione; i dati relativi alla clientela possono essere conservati solo per scopi compatibili con il servizio reso (restituzione oggetti smarriti, contestazioni sulla corsa), per un tempo massimo di trenta giorni.

Con riguardo agli ulteriori obblighi previsti dalla normativa contenuta nel Codice, il Garante ha prescritto ai gestori di servizi radiotaxi di informare i propri clienti al momento del contatto (di regola telefonico) circa l´uso che verrà fatto dei dati che li riguardano, con particolare riferimento alle differenti finalità perseguite e alla tipologia dei dati personali utilizzati per ciascuna di esse. Tale informativa può essere resa, previa motivata e specifica richiesta rivolta all´Autorità, in forma semplificata, al telefono –in sede di prenotazione del servizio– e deve essere integrata mediante l´affissione all´interno del taxi di un testo contenente gli elementi menzionati nell´art. 13 del Codice. Al riguardo, l´Autorità ha predisposto un modello di informativa di riferimento per i gestori di servizi radiotaxi cui uniformarsi, allegandolo, a tal fine, al provvedimento sopra citato.

Il consenso dell´ospite al trattamento dei dati personali a sé riferiti non è in termini generali necessario, sia nella parte in cui si deve adempiere a specifiche disposizioni di legge (ad esempio, per le menzionate finalità di pubblica sicurezza), sia per ciò che attiene all´ordinario servizio di albergo, quando il trattamento dei relativi dati è indispensabile per eseguire obblighi derivanti dal contratto o per adempiere, anche in fase precontrattuale, a specifiche richieste dell´ospite-interessato, ad esempio a seguito dell´adesione ad una operazione a premi (art. 24, comma 1, lett. a) e b), del Codice).

Ogni altra finalità del trattamento che comporti un´ulteriore conservazione dei dati personali raccolti (ad es., come avvenuto nel caso esaminato, ricerche di mercato, operazioni di marketing o profilazioni) necessita, invece, del consenso specifico e informato, espresso distintamente da parte del cliente (art. 23 del Codice). Tale autodeterminazione non è assicurata quando si raccoglie il consenso in modo indifferenziato per perseguire finalità in realtà distinte tra loro, quali la definizione dei profili della clientela e l´invio alla stessa di comunicazioni commerciali (marketing), ben potendo essere ciascuna di esse perseguita singolarmente in presenza di autonome valutazioni e determinazioni dell´interessato.

Il Garante è intervenuto anche in ordine al profilo della durata massima di conservazione dei dati raccolti, atteso che nel medesimo caso non era stato stabilito un termine di conservazione dei dati presenti nella banca dati della clientela, accessibili nella loro interezza solo dalle funzioni centrali della società e, limitatamente agli ultimi tre soggiorni di ciascun cliente, anche da parte delle singole strutture alberghiere. In applicazione dei principi di pertinenza e proporzionalità, si è prescritto quindi di identificare i tempi massimi di conservazione dei dati trattati alla luce delle finalità in concreto perseguite dalla società, nonché delle scelte dell´interessato in ordine al trattamento medesimo. In particolare, nell´ipotesi in cui il trattamento dei dati sia preordinato alla realizzazione delle operazioni a premio, la conservazione non deve protrarsi oltre la scadenza del termine della stessa indicato nel regolamento (o della sua eventuale proroga); con specifico riguardo all´attività di profilazione della clientela il Garante ha poi ribadito il termine massimo di dodici mesi decorrenti dalla registrazione delle informazioni, conformemente a quanto stabilito nel provvedimento del 24 febbraio 2005 [doc. web n. 1103045].

Per quanto attiene quindi alle finalità di marketing e di vendita diretta, si è precisato che resta impregiudicata la facoltà degli interessati di opporsi al trattamento dei dati personali che li riguardano (art. 7, comma 4, lett. b), del Codice; v. anche, per quanto riguarda le "coordinate di posta elettronica", l´art. 130, comma 4, del Codice).

Da ultimo, nel dichiarare illecito il trattamento dei dati personali della clientela effettuato dalla catena alberghiera in ordine ai profili dell´omessa e incompleta informativa, della mancata acquisizione del consenso per le attività connesse alla definizione dei profili individuali in relazione a scelte e preferenze di consumo e per svolgere operazioni di marketing nell´ambito della gestione dell´operazione a premi, nonché dell´omessa notificazione dei trattamenti volti a definire il profilo degli interessati e ad analizzarne abitudini o scelte di consumo, il Garante ha in conclusione vietato, ai sensi dell´art. 154, comma 1, lett. d), del Codice, la prosecuzione delle operazioni di trattamento di dati personali effettuate in violazione di legge.

Alla luce di tali considerazioni, con riferimento al caso di specie (rispetto al quale la società aveva adottato il sistema di voto a scrutinio palese nelle proprie deliberazioni attraverso l´approvazione di un´autonoma clausola statutaria), l´Autorità si è espressa nel senso che la propria competenza relativa alla liceità e correttezza del trattamento dei dati in relazione al Codice non consente un intervento inibitorio o interdittivo in materia, non disponendo del potere di vincolare l´autonomia contrattuale dei soci di una società a r.l. per introdurre, in deroga al predetto principio civilistico dello scrutinio palese, una clausola statutaria (peraltro controversa in giurisprudenza) che preveda lo scrutinio segreto.

In occasione di tali incontri sono stati affrontati, anche alla luce dei provvedimenti già adottati dal Garante, e in aggiunta ad alcuni profili relativi ai principi generali in materia di trattamento dei dati (quali l´obbligo di rendere l´informativa agli interessati, di notificare i trattamenti al Garante ai sensi dell´art. 37 del Codice e di designare incaricati ed eventuali responsabili del trattamento), altri più specifici aspetti concernenti l´utilizzazione di sistemi di videosorveglianza, l´attivazione di call center, l´adozione di adeguate misure di sicurezza dei dati e le modalità di contatto con la clientela. Inoltre, hanno formato oggetto di esame i nuovi modelli predisposti dal Comitato per informare la clientela, presso i relativi punti vendita, ma anche on-line e attraverso il call center, all´atto dell´acquisto e/o della prenotazione dei biglietti, nonché per richiedere il suo specifico consenso all´eventuale uso dei dati che la riguardano per compiere operazioni di marketing.

9.5. Trasferimento dei dati personali all´estero

In quest´ambito l´attività del Garante ha assunto particolare rilievo nel corso del2005 in corrispondenza all´adozione di alcune decisioni comunitarie concernenti il livello di adeguatezza di protezione di dati personali garantito da Paesi extra-Ue. Il 9 giugno2005 il Garante ha autorizzato, con due deliberazioni (pubblicate in G.U. 25 luglio 2005, n. 171) i trasferimenti dei dati personali dal territorio italiano verso l´Argentina e l´Isola di Man, considerato che, stando alla valutazione svolta dalla Commissione europea nelle decisioni assunte il 30 giugno 2003 (n. 2003/490/Ce) e il 28 aprile 2004 (n. 2004/411/Ce), deve ritenersi che tali Paesi garantiscano nel proprio ordinamento un livello adeguato di protezione dei dati personali (Autorizzazioni 9 giugno 2005 [doc. web n. 1151846 e n. 1151889]).

Va segnalata, inoltre, la pubblicazione (in G.U. 22 luglio 2005, n. 169) della precedente deliberazione n. 6 del 7 settembre 2004 [doc. web n. 1139333], con cui il Garante aveva ritenuto parimenti adeguato il livello di protezione dei dati personali nel Baliato di Guernsey, come evidenziato nella decisione della Commissione europea del 21 novembre 2003 n. 2003/821/Ce (v. Relazione 2004, pag. 73).

Il Garante ha reso quindi pienamente operative nell´ordinamento interno le tre predette decisioni della Commissione europea che vanno ad affiancarsi alle altre pronunzie in materia, concernenti il livello di adeguatezza di Canada, Svizzera e Ungheria (anteriormentemente al suo ingresso nell´Ue), e rispetto alle quali il Garante ha simmetricamente rilasciato negli anni precedenti apposite autorizzazioni.

L´Autorità, come previsto dai compiti attribuiti dal Codice, si è riservata di svolgere controlli sulla liceità e correttezza dei trasferimenti e delle operazioni di trattamento anteriori ai trasferimenti stessi e di adottare, qualora si riveli necessario, eventuali provvedimenti di blocco o di divieto.

Al fine di rendere lecite le operazioni sopra menzionate la società interessata ha sottoscritto con altre società controllate e collegate, aventi sede in vari Stati dell´Ue ed in alcuni Paesi terzi, un contratto cd. globale volto a regolamentare i flussi transfrontalieri di dati personali all´interno del gruppo.

Sulla base di alcune prime osservazioni formulate dall´Ufficio e da altre autorità di controllo europee interpellate, nell´ambito del rapporto di collaborazione instauratosi, è stato predisposto un nuovo schema di "contratto integrativo" volto a regolamentare specificamente i flussi di dati oggetto di trattamento nel gruppo, dalle società europee alla società americana e alle altre affiliate stabilite al di fuori dell´Ue. Tale schema di contratto, denominato Eu Addendum, basato sostanzialmente sulle clausole contrattuali-tipo per trasferire dati a responsabili del trattamento stabiliti in Paesi terzi (di cui all´allegato della decisione del 27 dicembre 2001 della Commissione europea n. 2002/16/Ce, e relativa autorizzazione del Garante del 10 aprile 2002 [doc. web n. 1065361]), è in corso di valutazione.

Le clausole, elaborate dalla Camera di commercio internazionale (Icc) e da altre organizzazioni commerciali, hanno formato oggetto di un primo parere del Gruppo art. 29 (parere 8/2003, 17 dicembre 2003) il quale aveva suggerito alcune modifiche per rendere il livello di tutela equiparabile a quello delle clausole già approvate dalla Commissione il 15 giugno 2001 e rese operative in Italia con l´autorizzazione del Garante del 10 ottobre 2001 [doc. web n. 42156].

Le clausole trovano applicazione in caso di trasferimenti di dati effettuati a partire dal territorio dello Stato, da un titolare del trattamento avente sede nella Comunità (soggetto esportatore) ad un diverso titolare del trattamento (soggetto importatore), residente in un Paese terzo che non assicura un livello di protezione adeguato, e possono essere utilizzate alternativamente rispetto alle clausole contrattuali standard individuate con la decisione del 2001 (ora definite "Insieme I"). Il Garante ha reso operative tali clausole nell´ordinamento interno con un´autorizzazione del 9 giugno 2005 [doc. web n. 1151949].

Il 14 aprile 2005 il Gruppo ha approvato due documenti (WP 107 e WP 108; cfr. Newsletter del 25 aprile-1° maggio 2005), individuando le procedure di verifica attraverso le quali le imprese multinazionali potrebbero vedere riconosciuta in tutti i Paesi dell´Ue la validità delle cd. "regole vincolanti nell´impresa" ai fini del trasferimento di dati personali verso Paesi terzi che non garantiscono un livello adeguato di protezione.

Con il primo documento sono stati fissati alcuni aspetti procedurali prevedendo, come auspicato da soggetti interessati, la designazione di un unico interlocutore, ossia di un´autorità di protezione dati che opererebbe quale "leader" della valutazione, alla quale tutte le altre autorità interessate dei Paesi Ue dovrebbero far capo per commenti ed osservazioni. La designazione spetterebbe alla società multinazionale, la quale dovrebbe rifarsi ai criteri indicati nel documento, fra i quali la priorità viene data alla considerazione del Paese ove è situata la capogruppo o la sede centrale europea della multinazionale. Le autorità sono libere di accettare o meno tale designazione, sulla base della documentazione prodotta dalla società, eventualmente formulando una contro-proposta.

La procedura prevede, stabilita l´autorità-leader, l´elaborazione di una bozza finale di "regole vincolanti nell´impresa" sottoposta alla valutazione congiunta di tutte le autorità interessate, coordinate dall´autorità-leader; l´accettazione di tale bozza finale varrebbe come riconoscimento dell´adeguatezza delle norme in essa contenute e, quindi, come autorizzazione al loro impiego.

Contestualmente all´elaborazione del primo documento citato il Gruppo ha prodotto un ulteriore documento (WP 108) che integra e completa il precedente, fornendo indicazioni specifiche sui contenuti delle regole vincolanti nell´impresa. Rifacendosi ai criteri fissati nel giugno del 2003 (documento WP 74, 3 giugno 2003; cfr. Newsletter 2-8 giugno 2003), i Garanti europei hanno elaborato una checklist che le imprese potrebbero utilizzare per dimostrare che le rispettive "regole vincolanti nell´impresa" rispondono ai principi fissati nella direttiva 95/46/Ce. Ciò concerne, in particolare, la verifica dell´effettiva vincolatività delle regole –sia alldel gruppo (rispetto a controllate, collegate, dipendenti e terzi fornitori), sia all´esterno– soprattutto ai fini dell´esercizio dei diritti riconosciuti agli interessati.

Secondo il giudizio della Commissione europea i criteri utilizzati dal Cbp per trattare i dati Pnr dei passeggeri, in conformità alla legislazione statunitense e alla Dichiarazione d´impegno dello stesso Cbp, comprenderebbero elementi fondamentali per assicurare un livello di protezione adeguato delle persone fisiche interessate.

Dovendosi attenere a tale valutazione il Garante, il 14 luglio 2005, ne ha dato attuazione ai sensi del Codice, autorizzando il trasferimento fuori dal territorio dello Stato italiano all´Ufficio statunitense delle dogane e della protezione delle frontiere del Ministero della sicurezza interna, da parte dei vettori aerei che assicurano il trasporto di passeggeri con destinazione o in partenza dagli Stati Uniti, dei dati personali contenuti nelle schede nominative dei passeggeri, nella misura in cui tali dati siano stati raccolti e memorizzati nei relativi sistemi informatici di prenotazione, sulla base dei presupposti e in conformità a quanto previsto dalla decisione della Commissione europea sopra citata e alla Dichiarazione di impegno ivi allegata (Autorizzazione 14 luglio 2005 [doc. web n. 1149808], in G.U. 25 luglio 2005, n. 171).

9.6. Lavoro

L´esame dell´informativa è stato svolto con la collaborazione di Italia lavoro S.p.A., soggetto deputato a fornire il supporto tecnico e strumentale alla Commissione per il raccordo e il coordinamento permanente tra il livello regionale e quello nazionale della Borsa in qualità di segreteria tecnico-organizzativa della stessa (art. 7, comma 4, d.m. 13 ottobre 2004).

Si è rappresentata, in particolare, l´opportunità di elaborare un´informativa che tenesse conto di una pluralità di circostanze:

• il differente ruolo spettante a ciascun titolare del trattamento nel sistema della Borsa continua nazionale del lavoro;
• la necessità di considerare titolari del trattamento esclusivamente i soggetti indicati dall´art. 6 del predetto decreto interministeriale (cioè, il Ministero del lavoro e delle politiche sociali, le regioni e gli operatori pubblici e privati, ad esclusione degli enti previdenziali ed assistenziali ai quali non compete il ruolo di titolari del trattamento dei dati trattati nella Borsa e che, per la peculiare funzione istituzionale rivestita, non possono essere designati quali responsabili del trattamento da uno dei titolari), specificando il ruolo rivestito da alcuni soggetti preposti al trattamento dei dati in nome e per conto dei titolari e, in tale eventualità, provvedendo (se del caso) a designarli quali responsabili del trattamento e ad identificarli, e fornendo agli interessati l´indirizzo dove reperire l´elenco completo, ovvero consentendo l´accesso a tale elenco mediante un link ipertestuale nel sito del Ministero del lavoro e degli altri titolari del trattamento;
• la necessità di esplicitare i diritti degli interessati previsti dall´art. 7 del Codice inserendo opportuni riferimenti (indirizzi di posta elettronica o numeri di telefax o di call center), utilizzabili per l´esercizio di tali diritti;
• l´esigenza di chiarire, ferma restando la facoltatività dell´iscrizione alla Borsa, quali dati debbano essere conferiti necessariamente e quali, invece, facoltativamente, ai fini dell´iscrizione, esplicitando anche le conseguenze derivanti dal rifiuto al conferimento di tali dati (ai sensi dell´art. 13, comma1, lett. b) e c), del Codice).

L´Autorità ha formulato una riserva in ordine alla possibile espressione, anche ai sensi dell´art. 154, comma 1, lett. g), del Codice, di pareri eventualmente chiesti sui profili di protezione dei dati personali emersi in tema di trattamenti effettuati mediante la Borsa, rispetto ai quali si è manifestata la necessità di valutazioni più approfondite con tutti i soggetti interessati al suo funzionamento.

Sono state inoltre fornite indicazioni in materia di notificazione al Garante dei trattamenti che le società rappresentate da Assores potrebbero essere tenute ad effettuare a norma dell´art. 37, comma 1, lett. d) ed e), del Codice e alla luce del provvedimento a carattere generale del Garante del 31 marzo 2004 relativo ai casi sottratti all´obbligo di notificazione [doc. web n. 852561].

Il datore di lavoro aveva contestato al dipendente, in seguito licenziato, di aver consultato siti a contenuto religioso, politico e pornografico, fornendone l´elenco dettagliato ed allegando alla contestazione disciplinare notificata al lavoratore numerose pagine dei file temporanei e dei cookie originati sul suo computer dalla navigazione in rete avvenuta durante sessioni di lavoro avviate con la password del dipendente. Si trattava di informazioni ricavate da pagine web, copiate direttamente dalla directory intestata al lavoratore, che la società non avrebbe potuto trattare senza averlo informato preventivamente. In secondo luogo, sebbene i dati fossero stati raccolti nel corso di controlli informatici volti a verificare l´esistenza di un comportamento illecito, le informazioni di natura sensibile, in grado di rivelare ad esempio convinzioni religiose e opinioni sindacali o politiche, potevano essere trattate dal datore di lavoro senza il consenso dell´interessato solo se indispensabili per far valere o difendere un diritto in sede giudiziaria. Tale indispensabilità non è emersa dagli elementi in atti.

È emerso, altresì, un trattamento dei dati relativi allo stato di salute e alla vita sessuale che, a norma del Codice, può essere effettuato senza il consenso dell´interessato solo se necessario per difendere in giudizio un diritto di rango pari a quello dell´interessato della personalità o un altro diritto fondamentale. Anche tale circostanza non è risultata comprovata in atti, dal momento che la società intendeva far valere, invece, diritti legati allo svolgimento del rapporto di lavoro.

L´Autorità ha pertanto vietato alla società l´uso dei dati relativi alla navigazione in Internet del lavoratore, sul presupposto che per contestare l´indebito utilizzo di beni aziendali sarebbe stato proporzionato, nel caso di specie, verificare gli avvenuti accessi a Internet e i tempi di connessione, senza indagare sui contenuti dei siti.

Un primo caso ha riguardato un´industria di coperture in fibrocemento e metalliche che intendeva implementare un sistema di rilevazione biometrica basato sull´impiego delle impronte digitali dei lavoratori al fine di accertarne la presenza sul luogo di lavoro e di commisurare la retribuzione da corrispondere.

L´impresa intendeva in tal senso prevenire alcune condotte abusive e ovviare allo smarrimento delle tessere magnetiche in uso. Il sistema prevedeva la raccolta dell´impronta di ciascun dipendente e la sua trasformazione in un codice numerico (template) poi memorizzato, senza cifratura, nella banca dati aziendale. A ciascun ingresso in azienda i lettori elettronici avrebbero rilevato l´impronta e confrontato il codice da questa ricavato con il template previamente memorizzato.

Dall´istruttoria non sono emersi elementi che potessero giustificare la richiesta di introdurre la rilevazione di dati biometrici (come, ad esempio, la necessità di limitare accessi ad aree dell´azienda che richiedono standard di sicurezza particolarmente elevati in ragione di specifiche circostanze o attività svolte). Il trattamento è stato pertanto vietato in quanto sproporzionato e non necessario rispetto allo scopo perseguito (Provv. 21 luglio 2005 [doc. web n. 1150679]). Rispetto alla finalità specifica il Garante ha infatti ritenuto l´uso di dati biometrici eccessivamente invasivo della sfera personale e della libertà individuale dei lavoratori in quanto, pur rientrando il controllo sull´esecuzione della prestazione lavorativa tra le legittime facoltà del datore di lavoro (art. 2094 c.c.), anche attraverso la predisposizione di strumenti di controllo del rispetto dell´orario di lavoro da parte dei lavoratori, per il raggiungimento di tale scopo possono essere adottate altre tecniche più rispettose del principio di proporzionalità ed ugualmente rigorose.

Il trattamento è risultato sproporzionato anche sul piano delle modalità tecniche prefigurate. In luogo della proposta centralizzazione in una banca dati aziendale dei codici identificativi generati dall´esame dell´impronta, il Garante ha osservato che sarebbe stato preferibile una memorizzazione del template su un supporto digitale da assegnare al lavoratore e tale da rimanere nella sua esclusiva disponibilità, in modo da prevenire maggiori ripercussioni per i diritti individuali in caso di violazione delle misure di sicurezza, di accesso di persone non autorizzate o comunque di abuso delle informazioni memorizzate.

La stessa informativa predisposta ai sensi dell´art. 13 del Codice è apparsa incompleta rispetto al trattamento ipotizzato: le dichiarazioni rese dalla società circa la libertà accordata ai lavoratori di aderire o meno al sistema di controllo delle presenze basato sull´utilizzo di dati biometrici e all´adozione di strumenti alternativi di rilevazione per i lavoratori impossibilitati, per ragioni fisiche, a registrare le presenze mediante l´impiego del sistema biometrico, non hanno trovato conferma nell´informativa predisposta, secondo la quale il conferimento dei dati, ivi compresi i dati biometrici, avrebbe avuto natura obbligatoria.

Un diverso caso ha riguardato una società fornitrice di tecnologie per la difesa nel settore avionico ed elettronico, che ha presentato all´Autorità una richiesta di verifica preliminare relativa al trattamento di dati biometrici di un numero ristretto di dipendenti al fine di controllarne gli accessi ad un´area aziendale circoscritta. L´impiego delle impronte digitali dei lavoratori interessati era reputato dalla società necessario per identificare in modo certo i soggetti abilitati all´accesso in un´area riservata, nella quale veniva sviluppato un particolare programma avionico rilevante nel settore della difesa, per la cui realizzazione è richiesto un ambiente conforme a standard di sicurezza specifici ed elevati richiesti dalla Nato.Il sistema proposto, basato sulla raccolta di impronte digitali mediante apparecchiature dotate di lettore di impronte digitali e di un apposito software, prevedeva che i dati venissero trasformati in un codice numerico (template) utilizzato esclusivamente per la raccolta e il successivo trattamento ai fini predetti.

Il trattamento di dati oggetto di verifica preliminare è stato ritenuto lecito alla luce delle specifiche finalità perseguite nel contesto esaminato, degli accorgimenti già adottati dalla società e di talune misure prescritte dal Garante in relazione alle concrete modalità di identificazione biometrica (Provv. 23 novembre 2005 [doc. web n. 1202254]). I dati trattati sono risultati pertinenti e non eccedenti rispetto alla finalità perseguita in quanto riferiti (non alla generalità dei dipendenti, ma soltanto) ad un numero ridotto di lavoratori (in possesso di nulla osta di sicurezza ed impiegati in attività che comportano la necessità di trattare informazioni rigorosamente riservate).

L´Autorità ha però prescritto alla società di predisporre un sistema di verifica basato sul confronto tra le impronte rilevate ad ogni accesso all´area riservata e il template memorizzato e cifrato su un supporto che resti nell´esclusiva disponibilità dei lavoratori interessati, senza creare un archivio centralizzato; ciò dotandosi, ove ritenuto opportuno al fine di identificare con maggiore certezza gli interessati, di un dispositivo idoneo a registrare nel sistema informativo aziendale dedicato all´archiviazione degli accessi all´area riservata altre informazioni personali (anche in forma di codice) necessarie ad identificare univocamente i lavoratori che vi accedono.

Ulteriori casi di impiego di tecniche di rilevazione biometriche nei luoghi di lavoro (attualmente al vaglio dell´Autorità) riguardano, da un lato, la verifica preliminare richiesta da tre società svolgenti attività industriale di carattere molitorio e che intendono porre in essere trattamenti finalizzati alla rilevazione delle presenze e al controllo accessi dei propri dipendenti basato sull´impiego delle loro impronte digitali; dall´altro, la sperimentazione di un sistema di riconoscimento facciale presso l´Aeroporto di Fiumicino "Leonardo da Vinci". A tale proposito, a seguito di segnalazioni provenienti da alcuni interessati, sono stati svolti accertamenti ispettivi che hanno evidenziato come il sistema sia stato installato in via sperimentale per soli 4 mesi presso un varco del terminal adibito al transito del personale di staff, utilizzato per accedere all´interno di aree sterili dell´aeroporto. I soggetti coinvolti nella sperimentazione (oltre 3.000 operatori aeroportuali) sono stati iscritti al programma su indicazione delle compagnie aeree e delle altre società interessate dalle quali dipendevano. Al fine di consentire la sperimentazione, la società di gestione dell´aeroporto ha messo a disposizione proprio personale addetto alle fasi di registrazione (enrollment) dei dati biometrici (avvenuta su smart-card, utilizzate come supporto per la memorizzazione della geometria del volto) e di controllo al varco di riconoscimento biometrico.

9.7. Condomini

Sono pervenute all´Autorità 75 comunicazioni di contenuto eterogeneo (richieste di chiarimenti, segnalazioni, quesiti, osservazioni), unitamente a quelle inviate dalle associazioni di categoria.

Tali comunicazioni hanno preso prevalentemente in considerazione i seguenti profili:

• la questione della titolarità del trattamento nell´ambito della gestione condominiale;
• la tipologia dei dati trattati (in particolare, dall´amministratore nello svolgimento del proprio ufficio), tra i quali vengono indicati:
  • i dati inerenti al condominio complessivamente inteso quale ente di gestione (ad esempio, rispetto al conto corrente condominiale, ai contratti per la fornitura di beni e somministrazione di servizi; dati sul consumo ed importi di utenze complessivamente intestate al condominio);
  • i dati personali dei singoli partecipanti al condominio, nei limiti delle informazioni personali raccolte ed utilizzate per le finalità riconducibili alla disciplina civilistica (informazioni relative ai dati anagrafici e ai recapiti degli altri condomini, quote millesimali attribuite a ciascuno di essi, altre informazioni utili a determinare i diritti o gli oneri dei singoli condomini in relazione alle aree comuni);
• il trattamento dei dati relativi a soggetti diversi dai partecipanti al condominio (inquilini, coabitanti e conduttori);
• la circolazione in varie forme, verso terzi, di dati relativi alla gestione condominiale: a) partecipazione all´assemblea da parte di tecnici e professionisti; b) deleghe di voto in assemblea; c) dati conoscibili dal conduttore (anche mediante invio del verbale di assemblea); d) diffusione dei dati (affissione dati personali in bacheche condominiali);
• le problematiche afferenti alle misure di sicurezza;
• trattamento dati personali, sensibili e giudiziari, relativi al rapporto di lavoro con dipendenti e alla disciplina sull´abbattimento delle barriere architettoniche (l. n. 13/1989);
• la gestione della documentazione sanitaria per infortuni in aree condominiali.