Nel periodo di riferimento considerato (Ottobre 2015-Dicembre 2015), si segnala il provvedimento prescrittivo di carattere generale[1] del Garante per la protezione dei dati personali (di seguito «Garante») relativo alla «Costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (S.I.Mo.I.Tel)» dell’8 ottobre 2015 n. 523[2].
Con il predetto provvedimento il Garante è intervenuto in materia di «costituzione di banche dati settoriali contenenti dati relativi a inadempimenti o ritardati pagamenti»[3], in relazione alle «morosità intenzionali della clientela nel settore della telefonia», muovendo – come si legge nel provvedimento – dalla considerazione riconosciuta dal legislatore che definisce questo settore “di preminente interesse generale” (art. 3, comma 2, Codice delle comunicazioni elettroniche) e di “pubblica utilità” (legge 14 novembre 1995, n. 481 recante Norme per la concorrenza e la regolazione dei servizi di pubblica utilità. Istituzione delle Autorità di regolazione dei servizi di pubblica utilità); dalla peculiare tipologia dei servizi offerti in tale ambito; dalla natura regolamentata di questo mercato – soprattutto a seguito del […] processo di liberalizzazione – per il quale è prevista una specifica e rigida normativa comunitaria e nazionale all’interno della quale gli operatori sono tenuti ad operare; dall’attività di controllo e di regolazione effettuata in tali mercati dalle Autorità di settore».
Per tale motivo, ai sensi dell’art. 24, comma 1, lett. g), del d. lgs. 30 giugno 2003, n. 196 recante il «Codice in materia di protezione dei dati personali» è stata ritenuta legittima la costituzione della predetta banca dati, anche in assenza di una base legislativa e senza chiedere il consenso ai soggetti interessati (i.e. i soggetti morosi), poiché è stato considerato «prevalente l’interesse – non solo degli operatori, ma anche degli interessati regolarmente adempienti – al corretto funzionamento di un sistema volto a favorire l’esatta gestione dei rapporti contrattuali alle migliori condizioni praticabili sul mercato»[4].
Gli operatori di telefonia fissa e mobile, “partecipanti” al S.I.Mo.I.Tel., devono però, in ogni caso, rendere ai propri clienti l’informativa di cui all’art. 13 del d. lgs. n. 196/2003 al momento della stipula del contratto con riferimento al trattamento dei dati personali effettuato nell’ambito del S.I.Mo.I.Tel.
Per l’iscrizione di un soggetto nella banca dati dei morosi è necessario che si realizzino tutte le seguenti condizioni: 1) l’esistenza di un «recesso dal contratto ad iniziativa di una delle parti esercitato da non meno di tre mesi»; 2) l’esistenza di un «importo insoluto per ogni singolo operatore di non meno di 150 (centocinquanta) euro»; 3) la «presenza di fatture non pagate nei primi sei mesi successivi alla stipula del contratto»; 4) l’«assenza di altri rapporti contrattuali post-pagati, attivi e regolari nei pagamenti con lo stesso operatore»; 5) l’«assenza di formali reclami/contestazioni, istanze di conciliazioni o comunque istanze di definizione di controversie dinanzi agli organi competenti inoltrate dal cliente»; 6) l’«invio a cura del partecipante all’interessato, almeno trenta giorni solari antecedenti all’iscrizione nel S.I.Mo.I.Tel., della comunicazione di preavviso di imminente iscrizione».
Nella banca dati dei soggetti morosi nel settore della telefonia possono confluire solamente dati connessi all’inadempimento “intenzionale” dell’interessato verso i gestori telefonici e i partecipanti. Le relative informazioni non possono in ogni caso essere utilizzate per valutare, attraverso tecniche o sistemi automatizzati, la solvibilità del cliente (cd. «credit scoring»).
I dati contenuti nel S.I.Mo.I.Tel. sono conservati per trentasei mesi «dalla data di recesso dal contratto in caso di inadempimenti non regolarizzati», al termine dei quali le informazioni devono essere cancellate.
Il Garante ha, inoltre, prescritto, specifiche misure di sicurezza ai gestore e i partecipanti in ambito S.I.Mo.I.Tel. in conformità agli artt. 31 ss. del d. lgs. n. 196/2003, fra cui, ad esempio, l’obbligo di prevedere la separazione, logica e fisica, della banca dati dei morosi rispetto ad altre banche dati del gestore; il controllo degli accessi al sistema che dovranno essere «registrati e memorizzati per verificarne la legittimità»; il divieto di interrogazioni massive, di usi successivi delle informazioni e di duplicazione anche parziale della banca dati.
[1] Sulla portata giuridica di tale tipologia di provvedimenti si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, nel precedente Osservatorio M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche, Autorità indipendenti: AGCM - AGCOM - AVCP - Garante Privacy.
[3] Sul punto cfr. anche il «Documento di lavoro sulle liste nere» del Gruppo Art. 29 del 3 ottobre 2002, 11118/02/IT/def. WP 65, in http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp65_it.pdf.
[4] Ai sensi dell’articolo citato, infatti, fra i casi per i quali il trattamento dei dati personali può essere effettuato senza consenso dell’interessato c’è quello in cui il trattamento, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, è necessario «per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato» (art. 24, comma 1, lett. g, del d lgs. n. 196/2003).