TLC e profilazione: nuove regole per le società telefoniche
di Avv. Graziano Garrisi
Digital&Law Department – Studio Legale Lisi – www.studiolegalelisi.it
^^^
Di recente, anche nel settore delle telecomunicazioni, il Garante Privacy ha emanato un provvedimento a carattere generale, datato 26 giugno 2009, che detta le nuove regole per i fornitori di servizi di telecomunicazione che intendono utilizzare i dati dei clienti per attività di profilazione (è bene ricordare sin da subito come per tale attività sia sempre necessario effettuare una notificazione al Garante ex art. 37 del Codice Privacy).
Visto il notevole patrimonio informativo che tali società possiedono e la prassi invalsa di molti soggetti che effettuano campagne di marketing sempre più aggressive, infatti, con tale provvedimento si intendono contrastare i rischi che possono derivare per tutti i clienti e consumatori.
Viene specificato, inoltre, che nell’attività di profilazione da parte dei fornitori di servizi di comunicazione elettronica vengono utilizzati sia i dati personali “individuali” sia i “dati personali aggregati” dei clienti, anche attraverso la catalogazione degli interessati in classi omogenee c.d. “cluster”.
Questi, in estrema sintesi, i principali adempimenti:
– attività di profilazione consentita solo se il titolare (art. 23 del Codice) è in grado di documentare per iscritto un consenso al trattamento dei dati, che sia informato, libero e specifico, manifestato all’interessato per tale finalità e relativo all’utilizzo dei dati personali individuali ed aggregati;
– effettuare solo i trattamenti di dati strettamente necessari al perseguimento della finalità di profilazione e rendere un’idonea informativa agli interessati in relazione alle finalità perseguite e ai diritti riconosciuti agli interessati dall’art. 7 del codice;
– se si vogliono utilizzare per la profilazione i dati personali “aggregati”, ma non è stato acquisito il consenso degli interessati, occorre formulare al Garante una richiesta di verifica preliminare ai sensi dell’art. 17 del Codice Privacy (in tale richiesta il titolare dovrà specificare in maniera dettagliata i trattamenti che si intendono effettuare e dovrà indicare le finalità e le tipologie di dati che si intendono utilizzare), perché il Garante possa verificare la sussistenza dei parametri e delle condizioni minime individuate dal provvedimento generale o, in difetto, prescrivere eventuali altre misure specifiche necessarie al fine di rendere il trattamento conforme alle disposizioni privacy (vi è anche la possibilità che il Garante possa autorizzare i fornitori ad effettuare l’attività di profilazione, anche in assenza del consenso degli interessati).
Termine ultimo per i fornitori di servizi di telecomunicazione per inviare la richiesta di verifica preliminare è il prossimo 30 settembre 2009.
In conclusione al suo provvedimento, il Garante richiama l’attenzione su tutta una serie di sanzioni che vanno dall’omessa o inidonea informativa (art.161) all’omessa o incompleta notificazione (art. 162-comma 2 bis), oppure dalla mancata formulazione della richiesta di verifica preliminare ex art. 17 per la quale è prevista una sanzione del pagamento di una somma da 20.000 euro a 120.000 euro (art. 162-bis e art.167) alla violazione delle prescrizioni del provvedimento generale che comporta l’applicazione in sede amministrativa di una sanzione al pagamento di una somma da 30.000 a 180.000 (art. 162 ter).
Nel caso di violazioni di più disposizioni commesse in relazione a banche dati di particolare rilevanza o dimensioni, il Garante ricorda, inoltre, che si applica la sanzione amministrativa del pagamento di una somma da 50.000 a 300.000, che può essere addirittura essere aumentata nei casi di maggiore gravità o considerando le condizioni economiche del contravventore (art. 164 bis).