Aggiornato al 03/03/2014
Nel periodo di riferimento considerato (Novembre 2013 – Marzo 2014), Il Garante per la protezione dei dati personali, oltre a intervenire con numerosi provvedimenti collegiali a carattere particolare rivolti a soggetti determinati (es.: decisioni su ricorsi, richieste di parere, verifiche preliminari, divieti di trattamento, etc.), ha adottato, altresì, diversi provvedimenti di carattere generale, fra cui due provvedimenti prescrittivi[1], nove autorizzazioni generali[2], due avvisi di consultazione pubblica su provvedimenti di carattere generale[3].
Data l’impostazione dell’«Osservatorio sulle fonti», il presente resoconto avrà a oggetto i soli provvedimenti prescrittivi generali, approvati ai sensi dell’art. 154, comma 1, lett. c, del d. lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, d’ora in poi “Codice privacy”). L’articolo, infatti, prevede fra i compiti del Garante per la protezione dei dati personali quello di «prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti»[4]. Si tratta di un potere di ampia portata con cui la predetta autorità indipendente «detta le regole per il trattamento dei dati, effettuando il bilanciamento tra il diritto alla riservatezza dei singoli e gli interessi contrastanti meritevoli di tutela»[5]. In tal modo, ci si avvale – laddove il provvedimento contenga prescrizioni destinate a titolari del trattamento indeterminati – di un potere sostanzialmente normativo[6] poiché si «riempie il vuoto normativo» o si «completa nel dettaglio la disciplina di settore, esercitando un potere assimilabile a quello regolamentare»[7].
In virtù di tale prerogativa, come già anticipato, il Garante ha deliberato nel trimestre di riferimento, i seguenti provvedimenti prescrittivi di carattere generale: 1) Provvedimento generale rivolto alle aziende sanitarie sulle modalità di consegna dei presìdi sanitari al domicilio dell’interessato del 21 novembre 2013, doc. web n. 2803050; 2) Provvedimento di «Aggiornamento delle prescrizioni dirette ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione» del 6 febbraio 2014, doc. web n. 2951718.
1) Con il provvedimento del 21 novembre 2013 si è inteso regolare la materia delle operazioni di consegna domiciliare dei presìdi sanitari da parte delle strutture pubbliche prescrivendo alle aziende sanitarie l’adozione di specifiche misure in assenza delle quali il trattamento dei dati è considerato illecito.
Si tratta evidentemente di un provvedimento che, sulla scia di precedenti orientamenti[8], è volto a tutelare la dignità e la riservatezza, in questo caso di soggetti deboli, come persone stomitizzate o incontinenti, che richiedono di ricevere i presìdi sanitari (es. cateteri, ausili per evacuazione e per stomia, raccoglitori e assorbenti per urina) presso il proprio domicilio.
Va detto che l’istruttoria curata dal Garante aveva avuto origine dalla superficiale modalità di invio del materiale sanitario da parte dei soggetti competenti, considerando la paradossale circostanza che in molti casi i pazienti avevano ricevuto i predetti presìdi in buste trasparenti o in pacchi che riportavano la tipologia del contenuto rendendo noto anche a terzi estranei la propria condizione di salute.
Tale situazione era resa ancora più imbarazzante dal fatto che le aziende sanitarie spesso si servono di ditte private esterne all’amministrazione (cd. affidamento in outsourcing) per la consegna dei pacchi, i cui dipendenti non hanno nulla a che vedere con il personale medico o paramedico delle strutture mittenti. Tale situazione risultava aggravata dal fatto che, come risulta dalle segnalazioni riportate nel provvedimento, i presidi venivano liberamente lasciati a vicini di casa, al portiere oppure sulla porta d’ingresso dell’abitazione.
Per tale motivo, il Garante ha prescritto, in primo luogo, che la consegna debba avvenire «nel luogo individuato dall’interessato rispettando gli orari scelti da quest’ultimo tra quelli indicati dal titolare o dal responsabile del trattamento» e «preferibilmente nelle mani dell’interessato»; oppure anche a terzi, ma «solo su espressa indicazione dell’interessato»[9]. In secondo luogo, è stato precisato che il presidio debba essere «imballato in un contenitore non trasparente che non de[bba] contenere nella parte esterna l’indicazione del contenuto». Inoltre, se l’interessato o il suo delegato non è presente al momento della consegna, è prescritto che «il personale a ciò deputato de[bba] lasciare esclusivamente un avviso che non contenga l’indicazione della tipologia del presidio» e i soggetti che sono incaricati di consegnare il presidio «non de[bbano] indossare divise recanti scritte da cui si possa evincere la specifica tipologia dei presìdi in consegna, né utilizzare automezzi recanti tali scritte»[10].
2) Il secondo provvedimento generale adottato ai sensi dell’art. 154, comma 1, lett. c, del Codice ha avuto a oggetto l’aggiornamento delle prescrizioni dirette ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione.
Con tale atto si è nuovamente intervenuto sulla possibilità, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, di profilare gli utenti, individuando – a integrazione dei paletti già precedentemente fissati in materia[11] – nuove misure in adozione delle quali il trattamento dei dati personali può essere considerato lecito.
L’intervento origina da un’intensa attività istruttoria, anche ispettiva, che si è svolta per un lungo arco di tempo e in cui è stato riscontrato, fra l’altro, «che i fornitori effettuano attività di profilazione utilizzando dati personali che vengono anche aggregati secondo parametri predefiniti individuati da ciascun titolare di volta in volta, a seconda delle esigenze aziendali» e che «tali dati possono comprendere informazioni personali di tipo variegato, tra cui dati di carattere contrattuale e dati relativi ai consumi effettuati, dai quali è possibile desumere indicazioni ulteriori riferibili a ciascun interessato (ad esempio, fascia di consumo, livello di spesa sostenuto ad intervalli regolari, servizi attivi su ciascuna utenza)»[12].
Per tale motivo, nel 2009 è già stato in generale prescritto a tutti i fornitori di servizi di comunicazione elettronica che, per un corretto uso dei dati personali a fini di profilazione nel settore considerato, è necessario raccogliere il consenso degli interessati e fornire un’adeguata informativa (cfr. artt. 23 e 13 del Codice privacy). In assenza di consenso, tuttavia, è stata comunque data la possibilità al fornitore di utilizzare dati personali aggregati a fini di profilazione[13], ma solo attraverso la sottoposizione al Garante di una «verifica preliminare» (cd. prior checking) ai sensi dell’art. 17 del Codice privacy[14] «elencando nel dettaglio quali trattamenti [si] intenda effettuare, specificando ciascuna finalità e indicando, altresì, le tipologie di dati che si intendono utilizzare»[15]; fermo restando l’obbligo di fornire l’informativa agli interessati e di notificare[16] al Garante tale trattamento prima del suo inizio[17].
In tal modo, l’Autorità di protezione dei dati si è riservata la possibilità di autorizzare la profilazione pur in assenza del consenso degli interessati, anche alla luce – come si legge nel provvedimento – della disposizione del Codice privacy che prevede la possibilità di derogare alla regola del consenso al trattamento, fra l’altro, in casi individuati dal Garante stesso «sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato» e sempre che non si tratti di una ipotesi di diffusione di dati personali (art. 24, comma 1, lett. g)[18].
Con il più recente provvedimento del febbraio 2014, sopra citato, sono state integrate, a distanza di cinque anni, le precedenti prescrizioni, soprattutto a fronte delle «numerose istanze di prior checking che hanno condotto all’emanazione di specifici provvedimenti nei confronti di ciascun titolare del trattamento, il cui legittimo interesse è stato individuato nella necessità per i fornitori di svolgere l’attività di profilazione in quanto elemento, non solo determinante della customer relationship management ma, anche, di un’efficace e corretta politica commerciale e di marketing nei confronti della clientela»[19].
Nelle motivazioni del provvedimento emerge, quindi, la necessità di doversi adeguare ai numerosi cambiamenti tecnologici, normativi e di mercato succedutisi nel tempo, come l’aumento della concorrenza nel settore delle Tlc derivante dall’ingresso di nuovi operatori nel mercato, la preferenza degli utenti per lo strumento della number portability in caso di cambiamento dell’operatore di telefonia, l’approvazione della delibera dell’Autorità per le garanzie nelle comunicazioni n. 147/11/CIR del 30 novembre 2011 recante «Revisione delle norme riguardanti la portabilità del numero mobile-approvazione del Regolamento», la preferenza degli utenti per i servizi VoIP e Internet rispetto alla telefonia tradizionale e agli sms.
Nello specifico, è stato ritenuto opportuno intervenire sul limite temporale all’interno del quale consentire l’attività di aggregazione dei dati e la relativa profilazione, che nei provvedimenti emessi a seguito delle predette verifiche preliminari era stato identificato in un periodo «non inferiore a trenta giorni»[20].
Con il provvedimento dello scorso febbraio è stato valutato necessario aggiornare il predetto limite temporale, limitatamente però a precise categorie di dati, ritenendo più congruo – in particolari casi e condizioni – ridurre «il tempo di osservazione dei dati personali aggregati per finalità di profilazione della clientela dal periodo minimo di un mese […] a quello minimo di due giorni». Il riferimento è ai soli dati relativi «al volume di minuti in traffico originato o terminato (in minuti o byte)», «al numero di eventi di ricarica, distinto per canale di ricarica» e «al totale delle ricariche», fatta comunque eccezione per «i periodi a cui corrisponda un solo evento di comunicazione elettronica riferibile ad un singolo utente»[21].
È, inoltre, prescritto che tutti i fornitori di servizi di comunicazione elettronica accessibili al pubblico debbano trasmettere al Garante entro il termine di 30 giorni dalla data dell’eventuale implementazione delle predette misure la «copia della documentazione che ne comprovi l’adozione»[22].
[1] Provv. del 21 novembre 2013, in G.U. n. 303 del 28 dicembre 2013 e in www.gpdp.it, doc. web n. 2803050; Provv. del 6 febbraio 2014, in corso di pubblicazione in G.U. e in www.gpdp.it , doc. web n. 2951718.
[2] Autorizzazione n. 1/2013, Autorizzazione al trattamento dei dati sensibili nei rapporti di lavoro, in www.gpdp.it, doc. web n. 2818394; Autorizzazione n. 2/2013, Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, ivi, doc. web n. 2818529; Autorizzazione n. 3/2013, Autorizzazione al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni, ivi, doc. web n. 2818553; Autorizzazione n. 4/2013, Autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti, ivi, doc. web n. 2818581; Autorizzazione n. 5/2013, Autorizzazione al trattamento dei dati sensibili da parte di diverse categorie di titolari, ivi, doc. web n. 2818611; Autorizzazione n. 6/2013, Autorizzazione al trattamento dei dati sensibili da parte degli investigatori privati, ivi, doc. web n. 2819019; Autorizzazione n. 7/2013, Autorizzazione al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, ivi, doc. web n. 2819064; Autorizzazione n. 8/2013, Autorizzazione generale al trattamento dei dati genetici, ivi, doc. web n. 2818993; Autorizzazione n. 9/2013, Autorizzazione generale al trattamento dei dati personali effettuato per scopi di ricerca scientifica, ivi, doc. web n. 2818670.
[3] Avviso pubblico di avvio della consultazione su “Schema di provvedimento generale in materia di chiamate ‘mute’”, 30 ottobre 2013, in www.gpdp.it, doc. web 2740497 e in G.U. n. 274 del 22 novembre 2013; Avviso pubblico di avvio della consultazione su “Schema di provvedimento generale in materia di trattamento di dati personali nell’ambito dei servizi di mobile remote payment”, 12 dicembre 2013, ivi, doc. web n. 2830145, in G.U. Serie Generale n. 2 del 3 gennaio 2014.
[4] A commento dei compiti affidati al Garante ai sensi dell’art. 154 del Codice privacy si rinvia, ex pluribus, a G. Busia, Art. 154. Compiti, in Codice della privacy. Commento al Decreto Legislativo 30 giugno 2003, n.196 aggiornato con le più recenti modifiche legislative, coordinato da V. Italia, Milano, 2004, 1978 ss.; C. Lacava - L. Cerroni, Art. 154. Compiti, in C.M. Bianca e F.D. Busnelli (a cura di), La protezione dei dati personali: commentario al D. lgs. 30 giugno 2003, n. 196, Codice della privacy, Padova, 2007, 1978 ss.; G. Votano, Art. 154. Compiti, in G.P. Cirillo (a cura di), La tutela della privacy nel sistema del nuovo Codice sulla protezione dei dati personali, Padova, 2004, 546 ss.; L. Giani, I compiti del Garante, in V. Cuffaro - V. Ricciuto (a cura di), La disciplina del trattamento dei dati personali, Torino, 1999, 429 ss.; A. Saturno, Art. 154. Compiti, in La nuova disciplina della privacy - d. lgs. 30 giugno 2003, n. 196, diretto da S. Sica - P. Stanzione, Bologna, 2006, 695 ss.
[5] A. Rubino, Nota alle linee guida del Garante per la protezione dei dati personali “in tema di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute, in Osservatoriosullefonti.it, fasc. 1/2012, www.osservatoriosullefonti.it e bibliografia ivi citata anche con riferimento al problema dell’attribuzione di potere regolatori in capo ad autorità indipendenti.
[6] Su punto, cfr. le più ampie considerazioni contenute in G. De Minico, Regole. Comando e consenso, Torino, 2005, 45.
[8] Cfr. provv. del 9 novembre 2005, Strutture sanitarie: rispetto della dignità, in www.gpdp.it, doc. web n. 1191411.
[11] Cfr. provv. del 25 giugno 2009, Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione, in G.U. n. 159 dell’11 luglio 2009, e in www.gpdp.it, doc. web n. 1629107.
[13] Cfr. provv. del 25 giugno 2009, cit., par. 4 dove è riportato come i «dati personali aggregati oggetto di profilazione derivano, infatti, da dati personali individuali dettagliati, contenuti in una pluralità di sistemi, e tali restano nella disponibilità del titolare del trattamento, il quale è tenuto a conservarli per esigenze gestionali, finalità operative e tempi diversi, tra cui anche quelli che la legge gli impone (ad esempio, per esigenze di fatturazione, art. 123 del Codice, o per finalità di accertamento e repressione di reati, art. 132 del Codice e d. lg. 109 del 2008)».
[14] Come noto, tale articolo disciplina i trattamenti di dati personali che presentano rischi specifici, prevedendo espressamente che il Garante possa prescrivere «misure» e «accorgimenti» nell’ambito di una verifica preliminare all’inizio del trattamento, «anche a seguito di un interpello del titolare», per il «trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare».
[16] Ai sensi del Codice privacy, infatti, devono essere notificati al Garante, fra gli altri, quei trattamenti che si vogliono effettuare su «dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti» (art. 37, comma 1, lett. d).
[18] Ivi, par. 2. Cfr. anche par. 4 dove il Garante, comunque, individua specificamente una serie di condizioni minime che orienteranno le proprie valutazioni in sede di verifica preliminare. In particolare, è stabilita la necessità, fra l’altro, che l’attività di profilazione sia fatta solo attraverso dati personali aggregati dai quali «non sia possibile risalire immediatamente a informazioni dettagliate relative a singoli interessati»; che i dati personali aggregati oggetto di profilazione siano conservati «in uno o più sistemi appositamente dedicati alla profilazione» separati da altri sistemi originari utilizzati per altre finalità come il marketing; che i dati personali aggregati oggetto dell’attività di profilazione non consentano l’immediata identificabilità dei singoli interessati; che i soggetti che materialmente trattano i dati (cd. «incaricati del trattamento» ai sensi dell’art. 30 del Codice privacy) per la profilazione abbiano un profilo di autenticazione «limitato e diverso da quello di coloro che svolgono eventuali ulteriori attività, anche successive alla profilazione»; che i dati personali oggetto dell’attività di profilazione siano conservati per un periodo di tempo limitato e poi cancellati alla scadenza del termine individuato.
[20] Ivi. Nel provvedimento si motiva la previsione di tale limite temporale sulla base della considerazione che «detto periodo costituiva una base temporale sufficientemente ampia per evitare una ricostruzione dettagliata delle comunicazioni elettroniche riferibili a singoli interessati e risultava al contempo idonea a rappresentare fenomeni e comportamenti dell’utenza».
[21] Ivi. I motivi che hanno spinto il Garante a ridurre il tempo di osservazione dei dati personali aggregati risiedono principalmente nella peculiarità di questo particolare settore. Nello specifico, è stato rappresentato di poter ridurre il predetto tempo di osservazione, in quanto l’attività di profilazione effettuata «si basa su dati aggregati come espressione di somma di tutti gli eventi di traffico (volumi di minuti generati o di byte trasmessi) i quali costituiscono una categoria sufficientemente robusta rispetto a tentativi di estrazione di singole informazioni che possono consentire l’identificazione anche indiretta dell’utente». Inoltre, «l’attività di profilazione attualmente consentita, non si può basare su singole numerazioni, ma esclusivamente su direttrici di traffico, con la conseguenza che non appare possibile risalire a dati di dettaglio del singolo evento di comunicazione elettronica riferibile ad un utente identificato o identificabile». Infine, «il processo di profilazione si configura come un’attività interna dell’operatore e non prevede il coinvolgimento di terze parti, peraltro il rischio di accessi indesiderati al dato aggregato di traffico per finalità di profilazione risulta mitigato da tutte le misure di carattere tecnico-organizzativo già individuate nei singoli provvedimenti emanati nei confronti dei fornitori».