[doc. web n. 9756688]

Provvedimento modificativo del provvedimento n. 523 dell'8 ottobre 2015, istitutivo del Sistema Informativo delle Morosità Intenzionali nel settore delle Telecomunicazioni (S.I.Mo.I.Tel) - 24 febbraio 2022
(Pubblicato sulla Gazzetta Ufficiale n. 74 del 29 marzo 2022)

Registro dei provvedimenti
n. 71 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento (UE) 2016/679 (d.lgs. 30 giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTO il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato sulla Gazzetta ufficiale n. 257 del 4 novembre 2015, doc web n. 4349760) con il quale il Garante ha autorizzato la costituzione di una banca dati inter-operatore, denominata S.I.Mo.I.Tel. e contenente informazioni relative alle morosità intenzionali nel settore della telefonia (di seguito, “Provvedimento Si.Mo.I.Tel.”);

VISTA l’istanza presentata dal Comitato di Gestione inter aziendale del Si.Mo.I.Tel. (di seguito “il Comitato”) costituito dagli stessi partecipanti al Sistema al fine di estendere i tempi di conservazione dei dati conferiti in quest’ultimo;

ESAMINATA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l’avv. Guido Scorza;

PREMESSO

1. Il provvedimento n. 523 dell’8 ottobre 2015

Il Garante si è pronunciato in ordine alla costituzione di una banca dati inter-operatore, denominata S.I.Mo.I.Tel., contenente informazioni relative alle morosità nel settore della telefonia, con il provvedimento n. 523 dell'8 ottobre 2015 (pubblicato sulla Gazzetta ufficiale n. 257 del 4 novembre 2015 e consultabile su https://www.gpdp.it doc web n. 4349760).

Il provvedimento, di natura generale, è stato adottato, su richiesta degli operatori del settore, al termine di una complessa attività istruttoria e di un intenso confronto effettuato mediante numerosi incontri svolti tra l’Autorità, Assotelecomunicazioni-ASSTEL, i rappresentanti di taluni operatori telefonici e un’ampia rappresentanza di associazioni di consumatori e ha previsto la possibilità di costituire un sistema operativo, denominato S.I.Mo.I.Tel., nel quale censire le sole morosità cc.dd. intenzionali della clientela del settore telefonico, cioè l’insolvenza di “chi agisce con la precisa volontà di usufruire dei servizi offerti dagli operatori telefonici, senza procedere ai relativi pagamenti” (v. punto 3, cpv. 5 del provvedimento cit.).

Con il provvedimento, il Garante ha prescritto ai titolari del trattamento, ai sensi dell’art. 154, comma 1, lett. c) del Codice in materia di protezione dei dati personale all’epoca vigente, l’adozione di specifiche misure necessarie a garanzia degli interessati e al fine di rendere il trattamento conforme alla normativa. In particolare, tali misure hanno riguardato: l’informativa da rendere agli interessati, i requisiti per l’iscrizione al sistema, le categorie di dati oggetto di trattamento, nonché i tempi di conservazione.

2. Contenuto dell’istanza

Con nota del 24 novembre 2021, il Comitato ha sottoposto all’attenzione di questa Autorità un’istanza al fine di allungare il periodo di conservazione dei soli dati relativi a inadempimenti non successivamente regolarizzati.

La richiesta, corredata da due report redatti da CRIF S.p.A. (società designata gestore della banca dati) e riferiti alle istanze di esercizio dei diritti degli interessati del 2020 e 2021, rappresenta che il sistema, operativo dal 2020, risulta affidabile e sicuro per gli interessati, nonché efficiente e idoneo a contenere il fenomeno delle morosità c.d. intenzionali degli utenti dei diversi operatori telefonici che vi hanno aderito.

L’unica criticità che è emersa in sede di utilizzo della banca dati e che, di riflesso, il Comitato ha segnalato all’Autorità, riguarda i tempi di conservazione dei dati negativi degli interessati iscritti nella banca dati e definiti “irreperibili”. Si tratta di soggetti che si sottraggono intenzionalmente al corretto adempimento delle obbligazioni contrattuali e a qualunque forma di contraddittorio con gli operatori, esponendo questi ultimi a pregiudizi che gli attuali tempi di conservazione dei dati relativi a inadempimenti non regolarizzati (pari a 36 mesi a far data dal recesso dal contratto; v. il punto 14.1 del provvedimento) non sono in grado di limitare adeguatamente.

Il Comitato ha, pertanto, chiesto all’Autorità di valutare la sussistenza del legittimo interesse dei titolari del trattamento, ai sensi dell’art. 6, comma 1, lett. f) del RGPD all’estensione dei tempi di conservazione dei suddetti dati a 60 mesi dal recesso dal contratto, disponendo le eventuali misure utili a mitigare gli ipotetici rischi per gli interessati.

3. Valutazione della richiesta

3.1. L’art. 5 del Regolamento, in linea con l’ordinamento previgente in materia di protezione dei dati personali, prevede, in primo luogo, il principio di “limitazione della conservazione”, secondo il quale i dati sono “conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, paragrafo 1, lettera e) del GDPR).

È, tuttavia, necessario inquadrare la richiesta avanzata nell’ambito del nuovo principio generale di accountability (artt. 5, par. 2; 24 e 25 del Regolamento), in base al quale spetta al titolare del trattamento individuare (ed essere in grado di dimostrare la fondatezza delle ragioni della sua scelta), tra l’altro, il termine di conservazione dei dati oggetto di trattamento.

I successivi articoli attribuiscono al titolare la responsabilità di mettere in atto misure adeguate a garantire che il trattamento sia conforme al Regolamento, prevedendo, ove necessario, il riesame e l’aggiornamento delle stesse misure (art. 24), e “che siano trattati, per impostazione predefinita, solo i dati personali necessari” anche con riferimento al loro periodo di conservazione (art. 25).

La base giuridica del trattamento dei dati contenuti nella banca dati -che nel Provvedimento adottato ai sensi del Codice previgente era già stata individuata nel legittimo interesse dei partecipanti al Si.Mo.I.Tel., in qualità di titolari del trattamento (art. 24, comma 1, lett. g)- deve ritenersi, alla luce del Regolamento, quella prevista dall’art. 6, par. 1, lett. f).

3.2. Nella valutazione si deve, altresì, tenere conto che già in passato il Garante, in relazione alla conservazione dello stesso tipo di dati (inadempimenti non successivamente regolarizzati) contenuti nei Sistemi di informazioni creditizie, ha ritenuto congruo, con il “Provvedimento interpretativo di alcune disposizioni del Codice SIC” adottato il 26 ottobre 2017 (doc. web n. 7221677), il termine massimo di 60 mesi dalla data di scadenza del contratto per la cancellazione delle segnalazioni relative a tale tipologia di inadempimenti.

Analogamente, costituiscono utili parametri di riferimento, i tempi massimi di conservazione dei dati "negativi" previsti anche in altre banche dati: si pensi all’archivio della Centrale di allarme interbancaria (CAI) nel quale rimangono iscritte per un massimo di cinque anni le generalità dei soggetti ai quali sono state applicate sanzioni amministrative pecuniarie e accessorie per aver emesso assegni bancari e postali senza autorizzazione o senza disporre dei fondi necessari (legge 386 del 5 dicembre 1990, e succ. mod., recante “Nuova disciplina sanzionatoria degli assegni bancari”); si consideri anche la banca dati protesti, che prevede la cancellazione automatica dopo 5 anni dalla pubblicazione del protesto (d.m. 9 agosto 2000, n. 316 recante le modalità di attuazione del registro informatico dei protesti, a norma dell'articolo 3-bis del decreto-legge 18 settembre 1995, n. 381, convertito, con modificazioni dalla legge 15 novembre 1995, n. 480).

Costituisce, inoltre, norma di sistema, che trova applicazione anche al caso oggetto dell’odierno provvedimento, l’art. 2948 c.c. che, nell’identificare le fattispecie cui applicare la prescrizione breve quinquennale, include anche i pagamenti periodici con scadenza annuale o fissata in termini più brevi, comprese il pagamento delle fatture.

Dalla valutazione della richiesta presentata emerge anche che l’applicazione di tale misura mira esclusivamente a limitare le criticità evidenziate dal Comitato in relazione ai mancati pagamenti non regolarizzati, mantenendo salvo il termine, già previsto dal Provvedimento, di cancellazione entro sette giorni in caso di regolarizzazione del debito o di un accordo tra le Parti che stabilisca un piano di rientro rateizzato.

4. La posizione del Garante

Tenuto conto che:

- il Provvedimento Si.Mo.I.Tel. è stato adottato nella vigenza del precedente quadro normativo in materia di protezione dei dati personali e, in particolare in attuazione dell’art. 154, comma 1, lett. c) che prevedeva: “il Garante […], ha il compito di: […] c) prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143”;

- tale disposizione non è stata riproposta nel Codice novellato dal d.lgs. n. 101/2018;

- l’art. 5, par. 2 del Regolamento, ha introdotto il principio di accountability -che permea l’intero quadro normativo vigente in materia di protezione dei dati personali- esplicitandolo nei successivi art. 24 e 25;

- tra i compiti riservati all’Autorità dall’art. 57, par. 1, vi è quello di svolgere “qualsiasi altro compito legato alla protezione dei dati personali” (lett. v);

- in attuazione della lett. v) dell’art. 57, l’art. 154, comma 1, del Codice prevede che “il Garante, anche di propria iniziativa […] e nei confronti di uno o più titolari del trattamento, ha il compito di: […] f) assicurare la tutela dei diritti e delle libertà fondamentali degli individui dando idonea attuazione al Regolamento e al presente codice”; g) provvedere altresì all’espletamento dei compiti ad esso attribuiti dal diritto dell’Unione europea o dello Stato e svolgere le ulteriori funzioni previste dall’ordinamento”;

PRESO ATTO

di quanto rappresentato dal Comitato di gestione con la nota del 24 novembre 2021 e con l’allegata documentazione e alla luce delle considerazioni sopra esposte, il Garante dichiara di condividere la valutazione -effettuata dai partecipanti al Si.Mo.I.Tel., in qualità di titolari del trattamento e nell’esercizio del principio di accountability agli stessi riconosciuto dal Regolamento- di conformità al Regolamento dell’estensione dei tempi di conservazione dei dati relativi a inadempimenti non regolarizzati fino a sessanta mesi dalla data di recesso dal contratto.

Restano in ogni caso fermi gli ulteriori elementi di garanzia a tutela degli interessi, dei diritti e delle libertà fondamentali degli interessati definiti con il Provvedimento Si.Mo.I.Tel., in quanto compatibili con il nuovo quadro normativo.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi degli artt. 57, par. 1, lett. v) del Regolamento e 154, comma 1, lett.re f) e g) del Codice, adotta il presente provvedimento con il quale dichiara che la valutazione -effettuata dai partecipanti al Si.Mo.I.Tel., in qualità di titolari del trattamento, circa l’estensione dei tempi di conservazione dei dati relativi a inadempimenti non regolarizzati, fino a sessanta mesi dalla data di recesso dal contratto, alla luce del complesso degli elementi di garanzia a tutela degli interessi, dei diritti e delle libertà fondamentali degli interessati definiti con il Provvedimento Si.Mo.I.Tel., può ritenersi conforme al quadro normativo in materia di protezione dati.

Si dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana ai sensi dell´art. 154 bis, comma 3, del Codice.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL VICE SEGRETARIO GENERALE
Filippi