Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

TV interattiva: misure necessarie ed opportune per un trattamento dei dati conforme alle disposizioni vigenti - 3 febbraio 2005 [1109503]

[doc. web n. 1109503]

[english version doc. web. n. 1116787]

[v. anche Comunicato stampa]

TV interattiva: misure necessarie ed opportune per un trattamento dei dati conforme alle disposizioni vigenti - 3 febbraio 2005

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminati i reclami e le segnalazioni pervenuti in ordine al trattamento di dati personali in relazione alla prestazione di servizi televisivi interattivi o ad accesso condizionato;

RITENUTA la necessità di prescrivere alcune misure necessarie ed opportune al fine di rendere il trattamento di tali dati conforme alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice in materia di tutela dei dati personali);

VISTA la documentazione acquisita a seguito degli accertamenti avviati e della consultazione pubblica effettuata;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO

1. Nuovi servizi televisivi
La crescente integrazione tra le più recenti tecnologie utilizzate nella televisione, nelle comunicazioni elettroniche e nell'informatica rende disponibili prodotti e servizi innovativi basati anche sullo sviluppo di tecnologie digitali. Utenti e abbonati possono usufruire di svariati prodotti anche interattivi, accessibili via etere (terrestre o satellitare) o via cavo, utilizzando soluzioni a pagamento (abbonamento, pay per view e video on demand, ecc.) o altre forme di accesso condizionato.

Per usufruire di servizi e prodotti ci si deve dotare di un decoder o set-top-box che rende visibili segnali anche criptati ed è collegabile a una linea comunicazione dati (c.d. "canale di ritorno"). Si può in tal modo comunicare con il fornitore del servizio attraverso un telecomando o un'apposita tastiera, inviando richieste o informazioni secondo diversi livelli di interazione. È così possibile visionare film ed eventi sportivi, partecipare a sondaggi, giochi o test, formare palinsesti personalizzati, accedere a servizi di telebanking, televendita, ecc. Abbonati e utenti assumono così un ruolo attivo nei rapporti con i fornitori, interagiscono con essi in un'ottica di crescente personalizzazione e sono talvolta identificati nominativamente.

Le prescrizioni del presente provvedimento riguardano in termini generali tutti i predetti ambiti, diversi dai tradizionali servizi di radiodiffusione che vengono offerti ad un pubblico indifferenziato senza identificare gli utenti. Si prescinde, quindi, dalla tecnologia impiegata per prestare il servizio, dalla tecnica di trasmissione (analogica o digitale), dalla modalità di pagamento prescelta (es., carte prepagate) o dai dispositivi utilizzati (digitazione di una tastiera o telecomando, ecc.). In presenza di un canale di ritorno sempre attivo, i servizi televisivi interattivi permettono maggiori opportunità di costante monitoraggio e profilazione (non richiedendo l'attivazione reiterata del canale di ritorno) e presuppongono, pertanto, maggiori cautele nell'attuazione delle prescrizioni di seguito indicate.

Richiedono, poi, ulteriore considerazione in altra sede le specifiche problematiche poste dal possibile coinvolgimento delle reti di telefonia mobile (anche per quanto riguarda l'identificazione della linea chiamante) o dall'offerta di altri tipi di servizi (come quelli sanitari, che comportano il trattamento di dati sensibili, o come quelli che permettono di accedere ad alcuni servizi di pubblica utilità attualmente in fase di sperimentazione, specie in sede locale: richiesta di certificati o documenti amministrativi o di svolgimento di pratiche, accesso a canali civici, ricerche in banche dati, ecc.). In questi casi, si pongono infatti problemi particolari specie per quanto riguarda i flussi di dati, l'informativa e l'eventuale richiesta di consenso.

Il Garante esamina qui i profili di competenza rilevanti per il trattamento dei dati personali, considerando che la necessità di assicurare agli utenti un livello elevato di tutela dei loro diritti e libertà fondamentali (nonché della dignità), affermata dal Codice in materia (d.lg. n. 196/2003), è stata ribadita da recenti norme sull'assetto del sistema radiotelevisivo (art. 4, comma 3, l. 3 maggio 2004, n. 112).

La possibilità che l'abbonato o l'utente trasmettano inconsapevolmente, mediante il canale di ritorno, svariate informazioni che li riguardano -e che possono essere inviate da differenti utenti anche in ambito familiare- rende necessario individuare specifiche garanzie volte a prevenire illecite operazioni di profilazione e forme invasive di controllo su gusti e abitudini di persone, le quali vanno poste in grado di effettuare le proprie scelte liberamente e in modo informato.

A garanzia degli interessati, il Garante prescrive quindi ai titolari del trattamento di adottare alcune misure necessarie od opportune al fine di conformare i trattamenti alle vigenti disposizioni in materia di protezione dei dati personali (art. 154, comma 1, lett. c), del Codice), che sono applicabili anche nella parte riguardante le comunicazioni elettroniche (Titolo X, artt. 121 ss.), quando vengono in considerazione abbonati o utenti riceventi identificati o identificabili (cfr. art. 4, comma 2, lett. a)).

 

2. Necessità e proporzionalità
Il trattamento dei dati deve rispettare i principi di necessità, liceità, correttezza, qualità dei dati e proporzionalità (artt. 3 e 11 del Codice).

In particolare:

  • applicando il principio di necessità (art. 3 del Codice), i sistemi informativi e i programmi informatici devono essere configurati, già dall'origine, in modo da ridurre al minimo l'utilizzo delle informazioni relative ad abbonati ed utenti identificabili. Il trattamento di tali informazioni non è lecito se le finalità possono essere perseguite utilizzando solo dati realmente anonimi o indirettamente identificativi;
  • nel rispetto del principio di proporzionalità nel trattamento (art. 11, comma 1, lett. d), del Codice), tutti i dati personali e le varie modalità del loro trattamento nelle singole fasi ed occasioni di utilizzazione devono essere pertinenti e non eccedenti rispetto alle finalità perseguite.

All'atto dell'eventuale acquisto di un decoder o di un set top box va distinto il caso in cui si debba contestualmente instaurare necessariamente un rapporto contrattuale con un abbonato identificato, dalle ipotesi nelle quali tale identificazione (e la possibile associazione tra nominativo e numero seriale dell'apparecchio) non è lecita, essendo ad esempio il decoder utilizzato solo con schede prepagate non identificative.

Anche nel caso in cui eventuali e specifici obblighi di legge prescrivano puntualmente di identificare l'acquirente, occorre valutare le finalità di tale identificazione, che potrebbe essere eventualmente prescritta solo a fini fiscali di documentazione giustificativa per eventuali contributi statali. Dal punto di vista della protezione dei dati personali devono ritenersi parimenti illecite eventuali banche dati di possessori di antenne televisive o satellitari, a prescindere dall'eventuale, e più problematica, associazione di tali dati ad altre informazioni personali.

Rispetto alle garanzie previste dal Codice è più indicata l'utilizzazione di carte prepagate impersonali, in luogo di abbonamenti nominativi.

Se ricorrono necessità di fatturazione non è poi lecito trattare eventuali dati personali relativi a tempi di connessione, visioni di programmi ed eventi, fasce orarie di utilizzazione del mezzo televisivo, interruzioni di ascolto, cambi di canale ed analisi del comportamento in presenza di spazi pubblicitari, se non nella misura, modalità e tempi effettivamente necessari.

L'eventuale richiesta -rivolta dal fornitore ai singoli utenti- di identificarsi nominativamente al momento in cui essi inviano informazioni attraverso il canale di ritorno è lecita solo se sottoposta all'esame preliminare di questa Autorità (art. 17 del Codice).

In occasione di altri eventi di c.d. televoto deve essere evitata, fin dal momento della ricezione delle informazioni trasmesse dall'utente, la raccolta e/o la registrazione di dati associabili a persone identificabili, anche quando le domande riguardino solo gradimenti, gusti o preferenze e non siano richieste anche opinioni di natura sensibile su persone, fenomeni sociali o profili politico-religiosi o sindacali. Ricerche di mercato, altre ricerche campionarie e sondaggi devono essere effettuati in forma anonima, evitando l'afflusso di risposte relative a soggetti identificabili, oppure (se ciò è tecnicamente inevitabile) rendendo tali risposte realmente anonime subito dopo la loro raccolta, escludendo a maggior ragione ogni eventuale comunicazione a terzi o diffusione dei dati personali.

Infine, non ogni richiesta degli utenti o acquisto di determinati prodotti o partecipazione a sondaggi determinano, di per sé stessi, il trattamento di dati sensibili. Nel caso in cui, per le specifiche informazioni trasmesse dagli utenti o per le modalità della loro utilizzazione si intenda raccogliere dati sensibili (art. 4, comma 1, lett. d), del Codice), deve tenersi presente che il loro trattamento non è di regola ammesso né per l'ordinaria prestazione di servizi televisivi, né per eventuali finalità di profilazione o fidelizzazione della clientela, fatta salva l'ipotesi eccezionale nella quale il medesimo trattamento sia realmente indispensabile in rapporto ad uno specifico bene o servizio richiesto e sia altresì autorizzato dal Garante, oltre che acconsentito dall'interessato in forma scritta o telematica equiparabile allo scritto. Ciò, vale anche per eventuali ricerche di mercato, sondaggi ed altre ricerche campionarie (cfr. aut. gen. del Garante n. 5/2004, in G.U. 14 agosto 2004, n. 190).

 

3. Informativa
L'informativa ora fornita all'atto della richiesta della smart card non è idonea in rapporto alla delicatezza e complessità dei flussi di informazioni, i quali possono peraltro riguardare più utenti facenti capo ad un medesimo abbonato e permettere a posteriori una ricostruzione dei loro comportamenti anche in ambito domestico, non solo, quindi, dal fornitore in occasione della fatturazione. Finalità e modalità del trattamento dei dati potrebbero inoltre differire da caso a caso, oltre che nel tempo.

Prima della costituzione del rapporto contrattuale, l'abbonato deve ricevere un'informativa chiara e completa, al fine di aderire in modo pienamente consapevole alle iniziative proposte.

Nel rispetto del principio di correttezza (art. 11, comma 1, lett. a), del Codice), al pari di quanto già prescritto da questa Autorità a proposito delle iniziative di fidelizzazione (Provv. 24 febbraio 2005, in www.garanteprivacy.it), deve ritenersi non consentito al fornitore di adottare comportamenti suscettibili di incidere sulle scelte libere e consapevoli degli abbonati rispetto ad eventuali iniziative di profilazione che portino, anche attraverso codici numerici, a monitorare le scelte degli interessati e la loro sfera personale (gusti, preferenze, abitudini, bisogni e scelte di consumo).

L'informativa fornita sia al momento della costituzione del rapporto contrattuale, sia successivamente, riveste particolare importanza, considerati i rischi di sottovalutazione o di errore da parte dell'interessato.

Non è corretto indurre l'abbonato o l'utente a fornire informazioni personali senza aver avuto le spiegazioni e il tempo necessari per essere adeguatamente informati e maturare -allorché ciò è necessario- un consenso consapevole.

Si possono utilizzare formule sintetiche e colloquiali, purché chiare e inequivoche. L'informativa deve contenere tutti gli elementi richiesti dal Codice (art. 13, comma 1), evitando rinvii generici a regolamenti di servizio non acclusi per le parti di riferimento; deve specificare, altresì, la natura dei dati di traffico trattati e la durata del loro trattamento (art. 123, comma 4, del Codice).

L'informativa inserita all'interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, e risultare altresì agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine.

La persona fisica che accede ai servizi interattivi, o che viene abilitata caso per caso all'accesso condizionato (sia essa l'abbonato o meno), deve essere informata nuovamente in modo rapido e con brevi frasi efficaci circa l'eventuale utilizzo di dati personali, con una schermata di primo avviso (del tipo: "Ecco come sono utilizzati i tuoi dati personali") che permetta, premendo un tasto, di accedere ad un'idonea informativa leggibile anche a distanza.

 

4. Consenso
Il trattamento di eventuali dati personali preordinato strettamente alla prestazione di servizi richiesti è "necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato". In questi casi, non è corretto che il fornitore del servizio solleciti il consenso al trattamento, tantomeno in termini generali (art. 24, comma 1, lett. b), del Codice).

Se si pone in essere un'eventuale monitoraggio o profilazione, o si intende cedere dati personali a terzi specificamente individuati, queste circostanze e le relative finalità devono essere indicate puntualmente e con evidenza sia all'atto della costituzione del rapporto, sia prima di evadere le singole richieste di servizio o sollecitare le risposte degli utenti. Deve risultare chiara la circostanza che per questi scopi (come pure per la partecipazione a sondaggi che devono avere fini chiaramente determinati e legittimi), il conferimento dei dati e il consenso sono liberi e facoltativi rispetto all'ordinaria prestazione dei servizi, e non possono ottenersi sulla base di pressioni o condizionamenti.

Nell'interfaccia grafica contenente il menzionato supplemento di informativa all'utente deve apparire l'indicazione su come acconsentire allo specifico trattamento, premendo ad esempio un tasto.

La comunicazione in modalità interattiva di dati sensibili da parte dell'utente al fornitore deve essere possibile solo mediante credenziali di autenticazione associate ad una parola chiave riservata.

 

5. Pagamenti e fatturazione
L'accesso ai servizi televisivi interattivi e ad accesso condizionato può essere gratuito o comportare specifici pagamenti aggiuntivi, attraverso carte pre-pagate o addebiti periodici (abbonamento o pay per view).

Mentre utilizzando carte prepagate il credito viene scalato in automatico, in caso di abbonamento la fattura può indicare gli eventuali "eventi" pay per view da pagare.

Essendo possibile che soggetti diversi accedano al medesimo apparecchio televisivo e, dunque, ai servizi televisivi, il fornitore deve porre in essere adeguate misure ed operare un corretto bilanciamento fra la tutela della riservatezza degli effettivi fruitori dei servizi e l'esigenza dell'abbonato di verificare la correttezza degli addebiti.

In applicazione dei menzionati principi di proporzionalità e necessità, i dati che compaiono nelle fatture non devono risultare eccedenti rispetto alla finalità perseguita. Deve essere offerta all'abbonato la possibilità di non ricevere una fatturazione dettagliata. I servizi pay-per-view devono essere menzionati per importo totale, data e costo di fruizione, indicando solo su successiva richiesta i "titoli" specifici dei singoli "eventi" acquistati.

 

6. Conservazione dei dati
Nella prestazione di servizi televisivi interattivi o ad accesso condizionato sono trattate tipologie diverse di dati, per differenti finalità.

Accanto a dati "amministrativi" di carattere generale, sono a volte trattati dati inerenti alla fatturazione di singoli consumi televisivi, i quali rilevano in determinati casi come "dati di traffico" (cfr. art. 4, comma 2, lett. h) del Codice), anche quando siano trattati dal fornitore del servizio, oltre che dal gestore telefonico (ad esempio, il numero telefonico o il numero della smart card; ora di inizio e durata della comunicazione elettronica relativa al servizio richiesto). Talvolta, come si è visto, possono venire in rilievo anche dati sensibili.

In applicazione del menzionato principio di proporzionalità, va prescritta ai titolari del trattamento l'identificazione di termini massimi di conservazione dei dati, anche nel corso del rapporto.

Tale identificazione va effettuata dopo aver esaminato la possibilità di raccogliere lecitamente e conservare dati nei termini consentiti per ciascuna delle finalità del trattamento che si intende effettuare, tenendo conto di eventuali scelte degli interessati sopravvenute.

Il principio da osservare è quello secondo cui i dati personali dei quali non è necessaria la conservazione in relazione agli scopi per i quali essi sono stati raccolti o successivamente trattati devono essere cancellati o trasformati in forma anonima (art. 11, comma 1, lett. e), del Codice).

Se non ricorrono esigenze di specifica fatturazione dei singoli prodotti, e non vi è un distinto e specifico consenso alla profilazione, i dati personali desumibili dal voto televisivo, da sondaggi, acquisti, ecc. non possono essere registrati ed utilizzati per l'una o l'altra di queste finalità.

Decorso il termine per le singole fatturazioni e le relative contestazioni, i dati personali relativi ai singoli servizi o programmi acquistati devono essere cancellati. La cancellazione deve riguardare anche la memorizzazione del consenso -acquisito nei soli casi in cui esso è, come si è detto, necessario- manifestato in forma scritta o telematica equiparabile allo scritto.

Anche laddove sia stato acquisito uno specifico consenso, i dati di dettaglio su acquisti e servizi possono essere eventualmente conservati per un periodo comunque non superiore a dodici mesi dalla loro registrazione, in riferimento a finalità commerciali, pubblicitarie o di profilazione, perseguite anche da parte di terzi, salva la loro trasformazione in forma anonima che non permetta di identificare gli interessati, anche indirettamente o collegando banche di dati. Eventuali intenzioni di trattare i dati oltre tali termini potranno essere attuate solo previa valutazione di questa Autorità ai sensi dell'art. 17 del Codice. In caso di cessazione del rapporto deve cessare ogni loro utilizzazione per le predette finalità.

Deve essere individuato un termine di conservazione dei dati personali una volta cessato il rapporto anche in relazione ad eventuali finalità amministrative, non superiore ad un trimestre (fatti salvi eventuali specifici obblighi di legge sulla conservazione di documentazione contabile, evitando una loro applicazione impropria). Occorre specificare questi aspetti nell'informativa e predisporre idonei meccanismi di cancellazione automatica dei dati anche da parte di terzi ai quali gli stessi siano stati eventualmente comunicati (specie a fini di profilazione o di marketing).

I dati personali che rientrano nella nozione di "dati di traffico" possono essere trattati nei soli limiti di legge (artt. 123 e 132 del Codice). Non è consentito accedere ad informazioni archiviate nell'apparecchio terminale dell'abbonato o utente al fine di archiviare informazioni o monitorare le operazioni effettuate (art. 122, comma 1, del Codice).

Infine, laddove uno stesso soggetto (ad esempio, un centro servizi) svolga la propria attività per conto di più fornitori deve essere garantita una separazione nella gestione dei dati personali. In particolare, le eventuali banche di dati costituite non possono essere interconnesse.

 

7. Ulteriori prescrizioni
Restano fermi, in aggiunta alle prescrizioni del presente provvedimento, gli obblighi che il Codice detta ai titolari del trattamento, obblighi che potranno essere sviluppati attraverso il previsto codice di deontologia e di buona condotta per i servizi di comunicazione elettronica (artt. 122 e 133 del Codice), e la cui inosservanza espone all'inutilizzabilità dei dati trattati (art. 11 del Codice) oltre che alle pertinenti sanzioni amministrative e penali (artt. 161 ss. del Codice).

Ci si riferisce, in particolare:

a) all'obbligo di notificazione al Garante dei trattamenti effettuati

  • con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica, con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti (art. 37, comma 1, lett. d), del Codice);
  • con dati sensibili per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie (art. 37, comma 1, lett. e), del Codice);
  • con dati idonei a rivelare lo stato di salute e la vita sessuale ai fini di "…prestazione di servizi sanitari per via telematica …" (art. 37, comma 1, lett. b), del Codice);

b) agli obblighi relativi all'adozione delle misure di sicurezza rapportate alle conoscenze acquisite in base al progresso tecnico (artt. 31 – 35 e Allegato B) del Codice), anche di tipo "minimo", in particolare per ciò che riguarda la verifica dei profili di autenticazione e autorizzazione, anche al fine di prevenire la fatturazione di servizi non richiesti;

c) alla selezione dei soggetti che, in qualità di incaricati e responsabili del trattamento, sono autorizzati a compiere le operazioni di trattamento sulla base dei compiti assegnati e delle istruzioni impartite, sotto la diretta autorità del fornitore (artt. 29 e 30 del Codice). L'eventuale preposizione di eventuali responsabili ed incaricati "esterni" incontra, nel settore in esame, precisi limiti di legge (art. 123, comma 5, del Codice) e non può portare ad eludere le garanzie di abbonati ed utenti in tema di comunicazione dei dati a terzi, di trasparenza nell'informativa e di rispetto delle finalità dichiarate;

d) all'obbligo di adottare le misure necessarie per agevolare l'esercizio dei diritti degli interessati e il relativo riscontro tempestivo, anche per il tramite degli stessi strumenti interattivi utilizzati per la prestazione dei servizi richiesti (artt. 9, comma 1 e 10, comma 1, del Codice).

 

8. Informazioni al Garante
Ai sensi e per gli effetti di cui agli artt. 157, 164 e 168 del Codice, i titolari del trattamento indicati negli atti di procedimenti pendenti presso l'Ufficio sono invitati a confermare al Garante, entro e non oltre il 15 maggio 2005, che i trattamenti di dati da essi effettuati sono conformi alle prescrizioni del presente provvedimento, indicando ogni informazione utile al riguardo ed allegando la pertinente documentazione.

 

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive, ai sensi dell'art. 154, comma 1, lett. c), del Codice, ai titolari del trattamento dei dati relativi ai servizi televisivi interattivi, le misure necessarie ed opportune indicate nel presente provvedimento al fine di rendere il trattamento conforme alle disposizioni vigenti.

Roma, 3 febbraio 2005

IL PRESIDENTE
Rodotà

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Buttarelli