[doc. web n. 4541143]

Profilazione degli utenti nell´ambito dei servizi di comunicazione elettronica - 15 ottobre 2015

Registro dei provvedimenti
n. 534 del 15 ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO  il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 159 del 11 luglio 2009 di seguito "provvedimento generale");

VISTO  il provvedimento adottato dal Garante il 22 dicembre 2009 nei confronti di Vodafone Omnitel B.V. (di seguito "Vodafone"), in materia di profilazione della clientela attraverso l´utilizzo di dati personali aggregati, in ragione dell´istanza di verifica preliminare presentata dalla società il 30 settembre 2009, a seguito della pubblicazione del provvedimento generale;

RILEVATO  che, sulla base di quanto prescritto nel provvedimento del 22 dicembre 2009, Vodafone è stata autorizzata al trattamento di dati aggregati della propria clientela per finalità di profilazione anche senza il consenso specifico degli interessati, purché nel rispetto di precise misure tecniche e organizzative dettate dall´Autorità;

VISTO  il provvedimento del 6 febbraio 2014  adottato dal Garante nei confronti di Vodafone a seguito della specifica istanza di riesame ed aggiornamento del provvedimento del 22 dicembre 2009 presentata dalla società, in particolare rispetto alla riduzione del livello di aggregazione dei dati dell´utenza per finalità di profilazione;

VISTO il coevo provvedimento generale dell´Autorità sull´"Aggiornamento delle prescrizioni dirette  ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 58 del 11 marzo 2014) con particolare riguardo alla previsione di una nuova base temporale di aggregazione dei dati personali  utilizzati per la misurazione dei fenomeni che rilevano per la profilazione dell´utenza da parte dei suddetti fornitori;

ESAMINATA la nuova istanza di verifica preliminare presentata da Vodafone in data 30 luglio 2015 con riguardo ad ulteriori trattamenti di dati personali della clientela nell´ambito di una più articolata attività di profilazione;

VISTI gli elementi acquisiti a seguito dei vari incontri tenutisi presso l´Autorità;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

Relatore: la dott.ssa Augusta Iannini.

PREMESSO

1. Trattamento di dati personali della clientela per finalità di profilazione da parte della società. Il nuovo contesto  di mercato. Il progetto XY

Vodafone ha presentato a questa Autorità una nuova istanza di verifica preliminare relativa al trattamento dei dati personali aggregati della propria clientela, per attività di profilazione rispetto a quanto previsto e disciplinato con i precedenti provvedimenti del 22 dicembre 2009 e del 6 febbraio 2014.

Ciò in ragione dei rilevanti mutamenti registrati negli ultimi tempi nel mercato della telefonia mobile ed in particolare della presenza di due fenomeni di rilievo: l´orientamento alla personalizzazione dei servizi telefonici e la convergenza delle offerte.

Da quanto evidenziato nell´istanza, la personalizzazione si delinea come un nuovo bisogno del consumatore di servizi di telefonia nell´ambito di un mercato già caratterizzato da offerte cd. bundle che prevedono, a fronte del pagamento di un canone fisso di importo solitamente moderato, un pacchetto comprensivo di minuti, sms e GB di navigazione. Ciò nell´ottica di soddisfare, oltre al bisogno di convenienza dell´utente, anche l´esigenza di certezza della spesa e di semplicità nel controllo dei consumi.

OMISSIS

Accanto alla necessità di personalizzazione, è poi emerso il bisogno degli utenti di offerte cd. convergenti, ovvero di offerte che implicano una combinazione fisso-mobile orientata alla convenienza, al controllo ed alla semplicità di gestione della spesa telefonica.

In questo contesto si sono venuti quindi a delineare bisogni che si affiancano a quelli individuali, risultando essenzialmente legati all´appartenenza del soggetto ad un  nucleo familiare che si articola in diverse tipologie. Ciò ha determinato l´opportunità di estendere il concetto di personalizzazione anche all´ambito familiare con la realizzazione di offerte tariffarie convergenti per famiglie e individui.

OMISSIS

In un panorama così articolato la società istante ha dunque evidenziato l´inadeguatezza di una offerta  telefonica unica ed indifferenziata [...] OMISSIS

Orbene, da quanto sopra esposto può in primo luogo evincersi che l´attività che la società intende effettuare è volta ad una profilazione per gruppi definiti in base all´appartenenza dell´individuo ed alla natura delle sue relazioni, estendendo la personalizzazione dell´offerta individuale all´ambito familiare.

In sostanza, il comportamento che Vodafone  intenderebbe analizzare non riguarda più il singolo individuo inserito in un cluster in cui sono presenti altri individui con il medesimo profilo di consumo, ma si inserisce in una rete di relazioni  che ne definiscono l´appartenenza ad un determinato nucleo familiare [...] OMISSIS

A tal fine il modello [...] OMISSIS elaborato da Vodafone consentirebbe [...] OMISSIS di individuare le diverse community familiari [...] OMISSIS.

Ciò comporta, ai fini della verifica preliminare richiesta all´Autorità, l´analisi del passaggio da un modello di profilazione che permette la classificazione degli utenti in cluster ad un modello in cui, parallelamente a tale passaggio, si opera anche una "tipizzazione" dell´individuo  in gruppi familiari di appartenenza.

Preliminarmente alla presentazione dell´istanza di verifica preliminare in esame,  la società ha anche realizzato una serie di test per misurare la fattibilità e l´efficacia del progetto [...] OMISSIS.

2. I dati trattati.

Nell´ambito del progetto XY descritto da Vodafone i dati [...] OMISSIS di cui la società intenderebbe avvalersi, riguardano diverse tipologie di informazioni.

[...] OMISSIS

Sulla base di quanto asserito nell´istanza tutte le informazioni trattate "saranno disponibili alle attività di analisi in ambito profilazione solo in maniera aggregata ed anonima e con l´aggregazione del dato secondo la normativa vigente".

Il modello utilizzato escluderebbe infatti la possibilità di "accedere e leggere i dati personali da cui si parte per procedere con l´anonimizzazione e l´aggregazione delle informazioni".

[...] OMISSIS

3. L´esame preliminare ex art. 17 del Codice.

Come emerge chiaramente, l´attività di profilazione prospettata dalla società integra un´ipotesi di trattamento di dati personali più articolato e complesso di quello precedentemente autorizzato nei citati provvedimenti del 2009 e del 2014.

Ciò, non solo perché i dati trattati si arricchiscono di nuovi indicatori, ma anche perché il dato aggregato su cui si incentra il trattamento deriva pur sempre da un´informazione personale che resta in forma completa e dettagliata nei sistemi originari della società e nella relativa disponibilità.

Inoltre, le stesse tecniche di hashing cui Vodafone intende ricorrere coinvolgono informazioni che presentano caratteristiche di persistenza nel tempo, risultando idonee a mantenere, anche dopo l´applicazione di meccanismi criptografici, come si dirà meglio in seguito, un´univocità di corrispondenza tra dato originario e dato cifrato.

In tale contesto, pertanto, il nuovo modello di profilazione che la società intende realizzare può presentare rischi specifici per i diritti e le libertà degli utenti e necessita, come correttamente richiesto attraverso l´istanza presentata ai sensi del menzionato art. 17 del Codice, di una preliminare valutazione da parte del Garante con riguardo ai presupposti giuridici e alle misure di sicurezza che sono poste, dalla normativa sulla protezione dei dati personali, a presidio di tali diritti e libertà.

L´Autorità ha quindi acquisito, anche a seguito degli incontri avutisi con la società, tutti gli elementi di analisi necessari all´odierna verifica, tenuto conto che al modello di profilazione prospettato da Vodafone sono state naturalmente estese tutte le misure prescritte nel citato provvedimento del 2009, avuto riguardo all´individuazione dei campi utilizzati per l´attività di profilazione, al livello di aggregazione ed ai meccanismi di mascheramento, oltre a tutte le altre misure tecnico-organizzative individuate.

4. L´anonimizzazione.

La società ha rappresentato che il descritto modello di analisi  prevede il ricorso ad una tecnica di cifratura [...] OMISSIS

Tanto premesso, alla luce delle più recenti valutazioni, effettuate anche in considerazione di quanto espresso dal Gruppo ex art. 29  con riguardo all´identificabilità di un´informazione sottoposta a tecniche di cifratura, si impongono alcune considerazioni.

Il processo di  cifratura (hashing) [...] OMISSIS coinvolge informazioni che presentano caratteristiche tali da consentire, anche successivamente all´applicazione di meccanismi criptografici, di mantenere un collegamento tra l´informazione originaria e quella ottenuta a seguito della suddetta applicazione.

Come è noto, la direttiva 95/46/CE (art. 2, lett. a) ed il Codice (art. 4, comma 1, lett. b), nel delineare il concetto di dato personale definiscono un´informazione riferibile ad una persona fisica identificata o identificabile sia direttamente che indirettamente.

Con riguardo a tale ultimo aspetto la possibilità di identificare indirettamente un soggetto può sostanzialmente declinarsi, così come emerge anche dai pareri resi dal Gruppo ex art. 29,  sulla base di due direttrici interpretative.

La prima delinea tale possibilità qualora i dati trattati, anche combinati con altre informazioni contestuali nella disponibilità del titolare del trattamento, consentano di pervenire ad un dato intellegibile e, quindi, di distinguere la persona da tutte le altre (Opinion del WP 29 n.4 /2007).

La seconda prospetta la possibilità di identificare la persona anche nel caso in cui il dato, pur se non intellegibile, consenta comunque al titolare o ad una terza parte di assumere decisioni che producono effetti sulla persona stessa, persino a sua insaputa.

Pertanto, una procedura di anonimizzazione non può dirsi compiuta qualora mantenga la possibilità di isolare un soggetto all´interno di un gruppo e ciò anche quando l´identificativo che viene usato per consentire al titolare di assumere decisioni che riguardano tale soggetto sia non immediatamente intellegibile per effetto dell´applicazione di una tecnica crittografica (Opinion del WP 29 n. 05/2014).

Del resto, già il Considerando 26 della citata direttiva 95/46/CE offre una serie di elementi che consentono di valutare l´efficacia di una tecnica di anonimizzazione, prevedendo espressamente che per determinare se una persona è identificabile è opportuno prendere in considerazione l´insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare detta persona.

Peraltro, anche laddove il titolare del trattamento non disponga o non disponga più di strumenti tecnici (come ad es.  una chiave o tabella di de-codifica) che consentano di "risalire a ritroso" all´identità dell´utente, deve sempre valutarsi la possibilità di assumere comunque nei confronti dello stesso  decisioni che lo riguardano.

Del resto, sempre nel citato parere del Gruppo di lavoro  n. 05/2014, è evidenziato come la pseudonimizzazione che costituisce una misura di sicurezza utile e non un metodo di anonimizzazione implichi frequentemente il ricorso alla crittografia spesso con chiave segreta, ovvero alla funzione di hash.

Da ciò discende che, sulla base di quanto chiarito con riguardo sia alla natura del dato aggregato sia alle tecniche di cifratura, il trattamento di profilazione che la società intende effettuare coinvolge informazioni personali degli utenti che possono essere trattate solo sulla base dei presupposti giuridici previsti dal Codice, in particolare il consenso degli interessati.

Ciò nondimeno, nell´ambito prospettato dalla società,  può operare anche il ricorso ad uno dei presupposti che, sulla base dell´art. 24 del Codice (specificamente al comma 1, lett g) della norma) delineano la possibilità di effettuare il trattamento senza il suddetto consenso, specificamente laddove il Garante individui, sulla base dei principi sanciti dalla legge e nel rispetto di tutte le misure necessarie alla salvaguardia degli interessati stessi, la necessità di  perseguire un legittimo interesse del titolare.

Su tali premesse l´Autorità può condurre un bilanciamento tra gli interessi in gioco che, nel caso di specie, come si dirà meglio in seguito, può operarsi tenendo conto, da un lato proprio dell´interesse legittimo della società ad operare nuove forme di profilazione, dall´altro dei benefici che il trattamento descritto può comportare anche per i clienti Vodafone, in particolare con riguardo alla possibilità di ricevere servizi più idonei ed utili rispetto alle loro specifiche esigenze

5. Il bilanciamento di interessi: il legittimo interesse del titolare.

Nel contesto sopra descritto, il legittimo interesse rappresentato dal titolare, come richiamato dal suddetto art. 24 del Codice, emerge dalla circostanza che la nuova attività di profilazione che Vodafone intenderebbe svolgere rappresenta un´esigenza importante della società in un ambito sensibilmente cambiato, come rilevato in premessa, in ragione della sempre crescente richiesta della clientela di servizi personalizzati sotto il profilo dei contenuti e del piano tariffario, [...] OMISSIS

Ciò con la conseguenza che un´offerta unica ed indifferenziata nel lungo periodo non soddisfa i bisogni della clientela e finisce per incidere negativamente sulla performance societaria, le strategie aziendali e l´implementazione di strutture ed investimenti, soprattutto in un mercato caratterizzato da un alto tasso di competitività.

La profilazione, che permane essere una delle attività prevalenti di Vodafone, così come articolata comporterebbe invece una maggiore comprensione dei bisogni della clientela per definire nuovi prodotti ed un miglioramento del grado di soddisfazione della stessa grazie ad offerte ritagliate su misura, permettendo alla società di svolgere il ruolo di fornitore di un servizio pubblicamente accessibile  con un accresciuto grado di qualità.

Il perseguimento del legittimo interesse della società allo svolgimento della suddetta attività deve, tuttavia, coniugarsi con il necessario rispetto, da parte della stessa, delle misure e degli accorgimenti prescritti dall´Autorità nel presente provvedimento a garanzia dei diritti e delle libertà fondamentali delle persone interessate.

Resta comunque inteso che la successiva attività di marketing, rivolta agli utenti, può svolgersi solo in presenza del loro specifico consenso ai sensi dell´art. 23 del Codice.

6. I possibili benefici per la clientela.

I benefici che possono derivare al cliente Vodafone dal trattamento che la società intenderebbe svolgere si incentrano soprattutto sull´opportunità di ricevere offerte sempre più vicine a propri effettivi bisogni, sull´ottimizzazione della spesa attraverso tariffe mirate, sull´efficienza della customer care, nonché sulla riduzione del rischio di ricevere comunicazioni indesiderate (minore spamming).

A ciò si aggiungerebbe una forte riduzione del rapporto falsi positivi/falsi negativi  [...] OMISSIS

Tali risultati sono peraltro chiaramente emersi anche durante la fase di test, pure rappresentata all´Autorità, che ha preceduto l´istanza di verifica preliminare di Vodafone.

7. Gli accorgimenti da adottare.

Alla luce di quanto specificamente richiesto da Vodafone nella propria istanza, ovvero agli attributi [...] OMISSIS

8. Le  ulteriori misure. L´informativa agli utenti.

Sulla base di quanto sopra evidenziato, il modello di informativa predisposto dalla società dovrà essere modificato ed integrato con la specifica indicazione delle nuove modalità di profilazione che Vodafone intende adottare e delle relative finalità, particolarmente volte a migliorare i servizi forniti ed a soddisfare specifiche esigenze della propria clientela, evidenziando che il trattamento dei dati personali degli utenti potrà essere effettuato dalla società avvalendosi dell´esonero al consenso sulla base di quanto previsto nel presente provvedimento, posta l´adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall´Autorità.

Anche l´esercizio dei diritti di cui all´art. 7 del Codice con riguardo alle nuove forme di profilazione dovrà essere oggetto di richiamo nella suddetta informativa.

9. Il diritto di opposizione al trattamento da parte dell´interessato.

Posto che il trattamento sopra descritto può svolgersi senza la previa acquisizione del consenso degli interessati in forza del bilanciamento effettuato dall´Autorità e del rispetto da parte della società delle misure prescritte, Vodafone dovrà prevedere un apposito meccanismo che consenta all´utente di esercitare in maniera agevole e celere i diritti di cui al citato art. 7 del Codice ed in particolare quelli di cui al comma 4 della norma.

Nello specifico, Vodafone dovrà prevedere per l´utente la possibilità di opporsi in tutto o in parte al trattamento dei propri dati personali.

Ciò potrà realizzarsi mediante la predisposizione di un form all´interno della pagina web dedicata agli utenti per la gestione della fruizione dei servizi abilitati, in cui l´interessato potrà inserire il proprio numero di telefonia fissa o mobile ovvero un altro elemento identificativo e manifestare la propria volontà di opposizione, nonché  mediante la predisposizione di un indirizzo di posta elettronica, appositamente dedicato e facilmente reperibile nell´informativa, attraverso cui lo stesso potrà esprimere la suddetta volontà.

Inoltre, al fine di dare contezza al cliente della tempistica con la quale il titolare registra la richiesta ed interviene, una soluzione idonea può individuarsi nella previsione, da parte di Vodafone, di un meccanismo di notifica che in funzione del canale di comunicazione prescelto dall´utente (pagina web, nonché posta elettronica) gli consenta  di avere, non solo in un primo tempo conferma dell´avvenuta ricezione della relativa richiesta da parte del titolare, ma anche in un secondo momento conferma dell´avvenuta adozione della specifica misura invocata.

10. La conservazione. Misure ed accorgimenti prescrittivi.

Come è noto, i dati personali oggetto dell´attività di profilazione devono essere conservati per un limitato periodo di tempo, proporzionato alle finalità realizzate con il trattamento.

Come già previsto nei precedenti provvedimenti rivolti alla società e sulla base delle medesime considerazioni svolte a suo tempo il periodo massimo di conservazione dei dati può, individuarsi in 12 mesi. A tale periodo potrà aggiungersi un´ulteriore finestra di tre mesi allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei servizi offerti.

Alla scadenza del periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Vodafone, dovranno essere cancellati definitivamente.

Un´alternativa alla cancellazione potrà essere rappresentata dall´anonimizzazione dei dati.

Posto che non è possibile dare indicazioni minime sui parametri da utilizzare in quanto ogni insieme di dati deve essere studiato caso per caso, la tecnica di anonimizzazione potrà ritagliarsi sulle raccomandazioni pratiche fornite dal Gruppo ex art. 29 nel citato parere 05/2014, con  comunicazione al Garante di quella prescelta e della valutazione della relativa efficacia sulla base del rischio residuo di reidentificazione dell´utente.

A tal fine si ricorda infatti che il Gruppo di lavoro ha fornito una serie di indicazioni rispetto alle tecniche di anonimizzazione stesse ed alla relativa affidabilità, evidenziando come per raggiungere un alto grado di anonimizzazione il titolare debba valutare diversi elementi, tenendo conto proprio dell´insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare stesso o da terzi, nonché della probabilità di reindetificazione dell´interessato sulla base dei dati anonimizzati.

Giova infine ribadire che, secondo quanto espresso nel citato parere, la cd. pseudonimizzazione deve intendersi alla stregua di una utile misura di sicurezza e non come un metodo di anonimizzazione.

11.  Altre misure ed accorgimenti.

Permane l´obbligo della società di notifica al Garante del trattamento ai sensi degli artt. 37 e 38 del Codice.

Resta altresì inteso che, laddove l´attività descritta dalla società venga svolta da un soggetto terzo, esso dovrà essere nominato responsabile del trattamento nel rispetto di tutte le prescrizioni di cui all´art. 29 del Codice.

10. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis del Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

A) individua, ai sensi dell´art. 24, comma 1, lett.g) del Codice, nella situazione delineata da Vodafone Omnitel B.V., con sede amministrativa e gestionale ad Ivrea (TO), Via Jervis, 13, un´ipotesi di bilanciamento degli interessi, in cui il trattamento dei dati personali per attività di profilazione della clientela può essere effettuato, così come specificamente emerso, per perseguire un legittimo interesse del titolare e per realizzare specifici benefici per la clientela stessa anche senza richiederne il consenso, prevedendo, in aggiunta alle prescrizioni già dettate nei precedenti provvedimenti, anche quelle successivamente indicate.

B) prescrive pertanto a Vodafone Omnitel B.V., ai sensi dell´art. 17 del Codice, di adottare, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione e, in particolare:

1. con riguardo agli attributi [...] OMISSIS

2. con riguardo all´informativa da rendere agli utenti, che:

a) il modello predisposto dalla società venga modificato ed in particolare integrato con la specifica indicazione delle nuove modalità e finalità di profilazione che Vodafone intende adottare, evidenziando che il trattamento dei dati personali degli utenti, potrà essere effettuato avvalendosi dell´esonero al consenso, previsto in base al presente provvedimento, posta l´adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall´Autorità;

b) il nuovo modello di informativa contenga il richiamo all´esercizio dei diritti di cui all´art. 7 del Codice ed in particolare al diritto di opposizione nei termini previsti nel presente provvedimento, anche con riguardo alle nuove forme di profilazione dell´utenza.

3. con riguardo all´esercizio del diritto di opposizione al trattamento che sia previsto un apposito meccanismo che consenta all´utente di esercitare in maniera agevole e celere tale diritto, secondo le modalità indicate nel presente provvedimento;

4. con riguardo al periodo di conservazione dei dati, che:

a) i dati personali oggetto dell´attività di profilazione siamo conservati per un limitato periodo di tempo, proporzionato alle finalità realizzate con il trattamento, prevedendo il periodo massimo di conservazione in 12 mesi, cui può aggiungersi un ulteriore periodo di 3 mesi allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei servizi offerti;

b) alla scadenza del periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta dalla società, vengano definitivamente cancellati, ovvero anonimizzati sulla base di quanto espressamente indicato in motivazione e previa comunicazione al Garante.

C) prescrive ai sensi dell´art. 17 del Codice a Vodafone Omnitel B.V., considerata la natura e le caratteristiche tecniche degli adempimenti prescritti di trasmettere al Garante entro il termine di 30 giorni dalla data dell´eventuale implementazione delle misure indicate ai precedenti punti, copia  della documentazione che ne comprovi l´adozione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 15 ottobre 2015

IL PRESIDENTE
Iannini

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia