Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (S.I.Mo.I.Tel) - 8 ottobre 2015 [4349760]

Pubblicato sulla Gazzetta Ufficiale n. 257 del 4 novembre 2015

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
4349760
Data:
08/10/15
Argomenti:
Telecomunicazioni , Banche dati
Tipologia:
Provvedimenti a carattere generale

 

VEDI ANCHE

Newsletter del 26 ottobre 2015

CONSULTAZIONE PUBBLICA: Deliberazione n. 154 del 27 marzo 2014

comunicato stampa del 16 aprile 2014

 

[doc. web n. 4349760]

Costituzione di una banca dati relativa a morosità intenzionali della clientela del settore telefonico (S.I.Mo.I.Tel) - 8 ottobre 2015
(Pubblicato sulla Gazzetta Ufficiale n. 257 del 4 novembre 2015)

Registro dei provvedimenti
n. 523 dell'8 ottobre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito "Codice");

ESAMINATA la richiesta presentata da Assotelecomunicazioni (di seguito, ASSTEL) relativa all'istituzione di una banca dati interoperatore contenente informazioni relative alle morosità nel settore della telefonia;

VISTI gli esiti della consultazione pubblica indetta con delibera n. 154 del 27 marzo 2014 (reperibile sul sito istituzionale del Garante http://www.garanteprivacy.it, doc. web n. 3041680) sullo schema di provvedimento recante "Costituzione di una banca dati dei clienti morosi nell'ambito dei servizi di comunicazione elettronica";

VISTE in particolare le osservazioni pervenute da alcune associazioni di consumatori rappresentative degli interessi degli utenti dei servizi telefonici;

CONSIDERATI gli esiti dei successivi incontri, anche di carattere tecnico, intercorsi tra questa Autorità e i rappresentanti delle associazioni dei consumatori, ASSTEL e gli operatori di telefonia che hanno inteso partecipare;

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Richiesta di ASSTEL.

ASSTEL, quale associazione di categoria che rappresenta le imprese della tecnologia dell'informazione esercenti servizi di telecomunicazione fissa e mobile, ha rappresentato l'intenzione degli operatori di comunicazione elettronica di "procedere (…) alla sottoscrizione di un accordo interoperatore per l'istituzione di una Banca dati finalizzata alla verifica dell'affidabilità e della puntualità nei pagamenti nel settore dei servizi di comunicazione elettronica" (c.d. SIT- Sistema Informatico Integrato). Tale banca dati, secondo quanto sostenuto da ASSTEL, permetterebbe agli operatori di settore di condividere le informazioni sui comportamenti debitori, in particolare dei clienti degli operatori telefonici, consentendo all'operatore ricevente di conoscere, in occasione della presentazione di una richiesta di instaurazione di un rapporto contrattuale da parte di un nuovo cliente, eventuali posizioni di indebitamento nei confronti di altri operatori.

Secondo ASSTEL, la costituzione del SIT, resa ancora più urgente dall'intervenuto processo di liberalizzazione avviato in Italia anche nel settore della telefonia, si renderebbe necessaria per assicurare l'ordinato sviluppo del mercato telefonico, attesa l'impossibilità di effettuare verifiche sulle eventuali morosità pregresse. Il perdurare di tale situazione -secondo i dati forniti da ASSTEL- produrrebbe un forte incremento delle perdite registrate dagli operatori, anche in conseguenza delle nuove offerte contrattuali, che propongono forme di contratto "post pagato" associate alla vendita a rate di terminali telefonici e di prodotti "ad alto valore tecnologico e ad alti costi, messi a disposizione della clientela con schemi di pagamento dilazionato"; l'aumento dei comportamenti insolventi, secondo quanto asserito da ASSTEL, rischierebbe di incidere negativamente non solo sugli operatori, ma anche sugli altri utenti che, pur adempiendo regolarmente alle obbligazioni, vedrebbero ridotta o resa meno conveniente la possibilità di accedere a forme di contratto "post pagato".

2. L'istruttoria svolta.

All'esito dell'attività istruttoria relativa alla suddetta istanza, l'Autorità aveva predisposto uno schema di provvedimento che delineava i contorni di un'ipotetica banca dati. Tale provvedimento, con delibera n. 154 del 27 marzo 2014, è stato posto in consultazione pubblica sul sito dell'Autorità. Preso atto della rilevanza e della complessità delle osservazioni ricevute, l'Ufficio ha ritenuto di doversi incontrare con le Parti coinvolte dalle misure prescritte nel provvedimento (associazioni a tutela dei consumatori e operatori telefonici, inclusa ASSTEL quale associazione di categoria), per valutare le eventuali modifiche ed integrazioni da apportare allo schema proposto.

Nel corso degli incontri, che hanno avuto luogo tra dicembre 2014 e giugno 2015, è emersa la necessità di una rilevante rivisitazione della natura e delle caratteristiche della banca dati rispetto a quella proposta nello schema di provvedimento oggetto di consultazione. In particolare, le Parti, condividendo l'orientamento espresso negli anni dal Garante circa il pericolo insito nella proliferazione delle cd. black list (sul punto v. paragrafo 3 del presente provvedimento), hanno convenuto di definire diversamente l'ambito soggettivo e oggettivo della banca dati stessa.

3. Quadro normativo ed orientamenti del Garante in materia di "black list".

Nel corso degli anni, il tema della costituzione di banche dati settoriali contenenti dati relativi a inadempimenti o ritardati pagamenti degli utenti ha formato oggetto di valutazione da parte del Garante italiano e del Gruppo di lavoro dei Garanti europei previsto dall'art. 29 della direttiva 95/46/CE. In particolare, quest'ultimo ha adottato un parere il 3 ottobre 2002 "Documento di lavoro sulle liste nere" (WP65), con il quale, nel rappresentare la necessità di stabilire in questo ambito criteri, indirizzi o direttrici d'intervento comuni tra gli Stati membri, ha evidenziato che per la creazione di tali archivi in specifici settori economici occorre mantenere un equilibrio tra "l'interesse legittimo del responsabile del trattamento di sapere se chi richiede un credito sia registrato per mancati pagamenti" e le conseguenze negative che tale trattamento può comportare per l'interessato (v. cit. Parere WP65, p. 4).

Il processo di liberalizzazione introdotto in Italia con il recepimento di alcune direttive europee ha mutato il quadro in particolare nei settori delle telecomunicazioni e dell'energia elettrica e del gas (c.d. utilities), che hanno dovuto adattarsi alla nascita di un mercato concorrenziale, che ha reso indispensabile aumentare l'offerta di servizi (specie quelli tecnologicamente più avanzati) e, al contempo, ridurre i prezzi al dettaglio.

Con specifico riferimento al settore delle comunicazioni elettroniche, il processo di liberalizzazione è stato avviato a livello europeo con  il c.d. "pacchetto delle direttive comunitarie del 2002", modificato e integrato a più riprese dal legislatore comunitario (Direttive 2002/19/CE, 2002/20/CE e 2002/21/CE, modificate e integrate dalla Direttiva 2009/140/CE del Parlamento europeo e del Consiglio; Direttive 2002/22/CE, 2002/58/CE, modificate dalla Direttiva 2009/136/CE del Parlamento europeo e del Consiglio del 25 novembre 2009 e dalla Direttiva 2009/140/CE del 25 novembre 2009 del Parlamento europeo e del Consiglio) e recepito nell'ordinamento italiano con il d.lg. 1° agosto 2003, n. 259 (Codice delle comunicazioni elettroniche), da ultimo modificato dal d.lg. 28 maggio 2012, n. 70.

Il nuovo quadro normativo ha profondamente mutato il settore delle comunicazioni elettroniche, il ruolo rivestito dai relativi operatori ed il rapporto contrattuale che li lega ai propri clienti.

Il descritto processo di liberalizzazione, ha comportato, tuttavia, anche un aumento di morosità intenzionali da parte di chi agisce con la precisa volontà di usufruire dei servizi offerti dagli operatori telefonici, senza procedere ai relativi pagamenti.

In considerazione di ciò, il legislatore ha iniziato ad ammettere la possibilità di costituire banche dati di clienti inadempienti nei settori sopra descritti, ad iniziare da quello del gas e dell'energia elettrica (legge 13 agosto 2010, n. 129, art. 1-bis –di conversione in legge, con modificazioni, del d.l. 8 luglio 2010, n. 105, recante Misure urgenti in materia di energia).

Successivamente, lo stesso legislatore è intervenuto anche nel settore della telefonia stabilendo che "possono avere accesso" ai Sistemi di informazione creditizia (Sic) anche soggetti diversi da quelli specificamente menzionati dal codice deontologico di settore, tra cui i fornitori di servizi di comunicazione elettronica e di servizi interattivi associati, "di cui al comma 5 dell'art. 30-ter del decreto legislativo 13 agosto 2010, n. 141 (art. 6-bis del d.l. 13 agosto 2011, n. 138; convertito con modificazioni dalla legge 14 settembre 2011, n. 148)".

Al riguardo, l'Autorità pur ribadendo che, in linea di principio, sia opportuno evitare una proliferazione indiscriminata di archivi settoriali nei più diversi ambiti economici, che causerebbe un diffuso e potenzialmente pericoloso trattamento di dati degli interessati, ritiene che, con specifico riferimento alle morosità intenzionali della clientela nel settore della telefonia, possa prevedersi la costituzione di una banca dati. Ciò muovendo dalla considerazione riconosciuta dal legislatore che definisce questo settore "di preminente interesse generale" (art. 3, comma 2, Codice delle comunicazioni elettroniche) e di "pubblica utilità" (legge 14 novembre 1995, n. 481 recante Norme per la concorrenza e la regolazione dei servizi di pubblica utilità. Istituzione delle Autorità di regolazione dei servizi di pubblica utilità); dalla peculiare tipologia dei servizi offerti in tale ambito; dalla natura regolamentata di questo mercato -soprattutto a seguito del descritto processo di liberalizzazione- per il quale è prevista una specifica e rigida normativa comunitaria e nazionale all'interno della quale gli operatori sono tenuti ad operare; dall'attività di controllo e di regolazione effettuata in tali mercati dalle Autorità di settore.

4. Denominazione della banca dati relativa a morosità intenzionali della clientela nel settore telefonico; partecipanti e gestore della banca dati.

Considerato quanto sopra esposto, la banca dati finalizzata alla prevenzione delle morosità intenzionali della clientela titolare di contratti per la fornitura di servizi di telefonia fissa e mobile post-pagata, acquisterà la denominazione di "Sistema informativo sulle morosità intenzionali nel settore della telefonia" (di seguito, S.I.Mo.I.Tel.).

Il "gestore" del S.I.Mo.I.Tel. è il soggetto privato titolare del trattamento dei dati personali registrati nel sistema e che lo gestisce stabilendone anche le modalità di funzionamento e di utilizzazione nel rispetto delle misure prescritte dal presente provvedimento.

I "partecipanti" al S.I.Mo.I.Tel. sono esclusivamente operatori di telefonia fissa o mobile, titolari del trattamento dei dati personali degli interessati, raccolti in relazione a rapporti di fornitura dei servizi di telefonia fissa e mobile che, in virtù di un accordo con il gestore della banca dati, partecipano al relativo sistema e possono utilizzare i dati in esso contenuti, obbligandosi a comunicare al gestore i predetti dati in un quadro di reciprocità con gli altri partecipanti.

5. Ambito soggettivo: interessati del trattamento.

Come noto, l'art. 40 del d.l. 6 dicembre 2011, n. 201 (convertito, con modificazioni, in legge 22 dicembre 2011, n. 214) ha apportato significative modifiche alla disciplina del Codice, espungendo dalla nozione di "dato personale" e di "interessato" le persone giuridiche, gli enti e le associazioni (v. art. 4, comma 1, lett. b) e i) dello stesso Codice). Peraltro, le disposizioni contenute nel capo 1 del titolo X del Codice che riguardano i "contraenti", continuano a trovare applicazione anche alle persone giuridiche, enti ed associazioni (in senso conforme v. anche: provv. 20 settembre, doc. web n. 2094932). Poiché il trattamento dei dati oggetto del presente provvedimento verte sulla medesima platea di soggetti previsti dal citato titolo X, ne consegue che il medesimo provvedimento troverà applicazione anche alle persone giuridiche, enti, associazioni. Si conferma l'applicabilità delle disposizioni in materia di protezione dei dati personali anche alle ditte individuali e ai liberi professionisti, in qualità di interessati (v. parere 25 giugno 2015, doc. web n. 4169267; provv. 23 ottobre 2014, doc. web n. 3676822; parere 9 febbraio 2012, doc. web n. 1876517).

6. Finalità, necessita e proporzionalità.

Il trattamento dei dati personali contenuti nel S.I.Mo.I.Tel. sarà effettuato dal gestore e dai partecipanti esclusivamente per verificare l'eventuale presenza di morosità intenzionali, dovendosi intendere per tali i mancati pagamenti non dovuti a circostanze impreviste e contingenti, ma ad una precisa volontà del soggetto.

L'accesso al S.I.Mo.I.Tel. sarà consentito al partecipante esclusivamente in caso di formale richiesta di instaurazione di un rapporto contrattuale o di un contratto già in essere per la fornitura di servizi di telefonia. Il trattamento dei dati dovrà avvenire nel rispetto dei principi di necessità, liceità, correttezza, qualità dei dati e proporzionalità (artt. 3 e 11 del Codice). In particolare, i sistemi informativi e i programmi informatici dovranno essere configurati, sin dall'origine, in modo da ridurre al minimo l'utilizzo delle informazioni relative agli interessati (art. 3 del Codice); inoltre, i dati personali raccolti dovranno essere pertinenti e non eccedenti rispetto alle finalità perseguite (art. 11, comma 1, lett. d), del Codice).

7. Informativa.

Al momento della stipula del contratto, il partecipante fornirà all'interessato l'informativa ai sensi dell'art. 13 del Codice, anche con riguardo al trattamento dei dati personali effettuato nell'ambito del S.I.Mo.I.Tel. L'informativa, nel descrivere le finalità e modalità del trattamento, dovrà recare, in modo chiaro e preciso, anche le seguenti indicazioni:

− estremi identificativi e caratteristiche del S.I.Mo.I.Tel., quale soggetto cui sono comunicati i dati, denominazione e sede del gestore;

− soggetti partecipanti eventualmente indicati per categoria;

− i tempi di conservazione dei dati.

L'informativa sarà fornita agli interessati individualmente e per iscritto e, se inserita in un modulo utilizzato dal partecipante, sarà evidenziata e collocata in modo autonomo e unitario in parti distinte da quelle relative ad altre finalità del trattamento effettuato dal medesimo partecipante.

In caso di contratti stipulati telefonicamente o telematicamente, la stessa sarà resa avvalendosi di modalità in grado di consentire la dimostrazione dell'avvenuto adempimento dell'obbligo di informativa (ad es. registrazione della telefonata).

In ogni caso il testo dell'informativa dovrà essere pubblicato da ciascun partecipante sul proprio sito web.

Il partecipante, inoltre, fornirà l'informativa anche sul trattamento dei dati effettuato dal gestore il quale, a sua volta, renderà una più dettagliata informativa sui medesimi trattamenti attraverso il proprio sito web.

8. Bilanciamento di interessi.

Poiché il sistema che si intende realizzare avrà ad oggetto esclusivamente informazioni negative, si tratta di verificare -per garantirne l'effettiva utilità- se il trattamento dei dati personali degli interessati, ai sensi dell'art. 24 del Codice, possa basarsi su un presupposto equipollente al consenso.

Nonostante i rischi a cui possono essere esposti i diritti degli interessati in ragione della costituzione del S.I.Mo.I.Tel., deve comunque essere considerato che la normativa sulle liberalizzazioni nel settore dei servizi di comunicazione elettronica garantisce ai consumatori la possibilità di transitare con facilità da un operatore all'altro per ottenere servizi migliori a costi più contenuti, sicché lo scambio di informazioni riguardanti gli inadempimenti può risultare assai rilevante per la corretta gestione del rapporto contrattuale, in quanto necessario per valutare e contenere situazioni di morosità intenzionali che, ove non circoscritte, nel lungo periodo, andrebbero ad incidere non solo sugli stessi operatori, ma anche sugli altri interessati, i quali potrebbero essere costretti a sopportare costi ulteriori, altrimenti non dovuti.

Ciò premesso, nel fare applicazione dell'istituto del bilanciamento di interessi di cui all'art. 24, comma 1, lett. g), del Codice, si deve ritenere che il trattamento delle informazioni relative alle morosità intenzionali effettuato nell'ambito del sistema che si intende realizzare, possa essere effettuato anche in assenza del consenso degli interessati, potendosi valutare come prevalente l'interesse -non solo degli operatori, ma anche degli interessati regolarmente adempienti- al corretto funzionamento di un sistema volto a favorire l'esatta gestione dei rapporti contrattuali alle migliori condizioni praticabili sul mercato.

9. Requisiti per l'iscrizione nel S.I.Mo.I.Tel.

L'interessato sarà iscritto nel S.I.Mo.I.Tel. al contemporaneo verificarsi dei seguenti presupposti:

− recesso dal contratto ad iniziativa di una delle parti esercitato da non meno di tre mesi;

− importo insoluto per ogni singolo operatore di non meno di 150 (centocinquanta) euro;

− presenza di fatture non pagate nei primi sei mesi successivi alla stipula del contratto;

− assenza di altri rapporti contrattuali post-pagati, attivi e regolari nei pagamenti con lo stesso operatore;

− assenza di formali reclami/contestazioni, istanze di conciliazioni o comunque istanze di definizione di controversie dinanzi agli organi competenti inoltrate dal cliente;

− invio a cura del partecipante all'interessato, almeno trenta giorni solari antecedenti all'iscrizione nel S.I.Mo.I.Tel., della comunicazione di preavviso di imminente iscrizione.

Il preavviso sarà inviato con comunicazione scritta tracciabile (a titolo esemplificativo, raccomandata A/R con avviso di ricevimento, posta elettronica certificata) e comprovante la data e le modalità utilizzate per l'invio.

10. Requisiti e categorie di dati.

Il trattamento effettuato nell'ambito del S.I.Mo.I.Tel. avrà ad oggetto solo le informazioni di carattere negativo connesse all'inadempimento intenzionale dell'interessato verso i partecipanti.

Il trattamento non potrà riguardare dati sensibili e giudiziari, né comportare l'uso di tecniche o di sistemi automatizzati di credit scoring.

Nel S.I.Mo.I.Tel. potranno essere trattate le seguenti categorie di dati, che il gestore indicherà in un elenco reso agevolmente disponibile sul proprio sito, da comunicare anche agli interessati su eventuale loro richiesta:

− dati anagrafici, codice fiscale o partita Iva;

− importo totale della morosità per ogni singolo operatore telefonico;

− data di inizio del contratto;

− data di recesso dal contratto;

− data di inserimento nel S.I.Mo.I.Tel.;

−  numero di fatture non pagate;

− partecipante che ha comunicato al S.I.Mo.I.Tel. i dati personali relativi alla morosità intenzionale;

− data e modalità di inoltro del preavviso;

− indicazione esplicita (ad es. con flag su check box) alla data di inserimento dei dati dell'interessato nel S.I.Mo.I.Tel., di assenza di reclami/contestazioni, istanze di conciliazioni e di definizione di controversie dinanzi agli organi competenti inoltrate dal cliente.

11. Modalità di raccolta, registrazione dei dati ed esito dell'accesso al S.I.Mo.I.Tel. a cura dei partecipanti.

Il partecipante dovrà adottare idonee procedure di verifica per garantire la correttezza e l'esattezza dei dati comunicati al gestore e risponderà tempestivamente alle richieste di verifica di quest'ultimo, anche a seguito dell'esercizio dei diritti da parte dell'interessato ai sensi dell'art. 7 del Codice, così da garantire, in tale ultimo caso, il rispetto dei termini previsti dall'art. 146, comma 2, del Codice.

Eventuali operazioni di cancellazione, integrazione, aggiornamento o modificazione dei dati registrati nel S.I.Mo.I.Tel. dovranno essere effettuate direttamente dal partecipante che li ha comunicati, se tecnicamente possibile, ovvero dal gestore, su richiesta del medesimo partecipante o d'intesa con esso, anche a seguito dell'esercizio dei diritti da parte dell'interessato o in attuazione di un provvedimento emesso dall'autorità giudiziaria o dal Garante.

In caso di rifiuto di una richiesta volta ad instaurare un rapporto contrattuale, il partecipante, ove abbia consultato il S.I.Mo.I.Tel., sarà tenuto a comunicare all'interessato tale circostanza.

L'esito dell'interrogazione al S.I.Mo.I.Tel. da parte dei partecipanti avverrà con modalità a "semaforo":

− verde: soggetto non presente nel S.I.Mo.I.Tel.;

− rosso: soggetto presente per segnalazioni di morosità intenzionali effettuate da uno o più operatori.

12. Utilizzazione dei dati.

Il S.I.Mo.I.Tel. sarà accessibile solo da un numero limitato di responsabili e di incaricati del trattamento designati per iscritto dai partecipanti e/o dal gestore del sistema (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice).

Non sarà consentito l'accesso al S.I.Mo.I.Tel. da parte di terzi, fatte salve le richieste provenienti da organi giudiziari e dalle Forze dell'ordine.

13. Esercizio dei diritti da parte degli interessati.

In relazione ai dati personali registrati nel S.I.Mo.I.Tel., gli interessati potranno esercitare i loro diritti secondo le modalità stabilite dagli artt. 7 e ss. del Codice, sia presso i partecipanti che li hanno comunicati, sia presso il gestore.

Nella richiesta con la quale eserciterà i propri diritti, l'interessato dovrà indicare il proprio codice fiscale e/o la partita Iva, al fine di agevolare la ricerca dei dati che lo riguardano.

Il partecipante che risulti destinatario di una richiesta ai sensi dell'art. 7 del Codice riguardo alle informazioni registrate nel S.I.Mo.I.Tel. dovrà fornire riscontro all'interessato nei termini previsti dall'art. 146, commi 2 e 3, del Codice. Ove la richiesta sia rivolta al gestore, anch'esso provvederà nei medesimi termini, consultando, se necessario, il partecipante.

Qualora si rendesse necessario svolgere ulteriori verifiche con il partecipante, il gestore informerà l'interessato di tale circostanza entro quindici giorni, indicando, per la risposta, un nuovo termine, che comunque non sarà superiore a quindici giorni.

14. Tempi di conservazione.

I dati contenuti nel S.I.Mo.I.Tel. saranno conservati per 36 (trentasei mesi) dalla data di recesso dal contratto in caso di inadempimenti non regolarizzati.

Al termine del periodo deve essere prevista la cancellazione automatica dell' informazione.

Diversamente, la cancellazione del nominativo dell'interessato dal S.I.Mo.I.Tel. avverrà entro 7 (sette) giorni lavorativi nei casi di seguito indicati:

− ricezione da parte del partecipante di una comunicazione inviata dal cliente di regolarizzazione del debito accompagnata dalla prova dell'avvenuto pagamento;

− avvenuto pagamento del debito −comprovato dalla registrazione dell'incasso sui sistemi dell'operatore unitamente al successivo abbinamento dell'incasso al nominativo dell'interessato− in mancanza di invio di una comunicazione di regolarizzazione del debito da parte del cliente;

− definizione di un accordo tra le Parti che stabilisca un piano di rientro rateizzato.

15. Misure di sicurezza.

Il gestore e i partecipanti adottano le misure tecniche, logiche, informatiche, procedurali, fisiche ed organizzative idonee a garantire la sicurezza, l'integrità e la riservatezza dei dati personali contenuti nel S.I.Mo.I.Tel. in conformità alla disciplina in materia di protezione dei dati personali (artt. 31 e ss. del Codice).

La banca dati dovrà essere separata, logicamente e fisicamente, da eventuali altre banche dati del gestore.

Il gestore adotterà adeguate misure di sicurezza al fine di garantire il corretto e regolare funzionamento del sistema, nonché il controllo degli accessi, secondo le modalità previste dall'Allegato B. al Codice (Disciplinare tecnico in materia di misure minime di sicurezza).

Tutti gli accessi al sistema, da parte del gestore e dei partecipanti, saranno registrati e memorizzati per verificarne la legittimità.

Le interrogazioni dovranno sempre riferirsi a singoli interessati e non saranno in nessun caso consentite interrogazioni massive della banca dati da parte dei partecipanti.

Le informazioni così ottenute non potranno essere in alcun modo conservate o memorizzate dai partecipanti per usi successivi.

I partecipanti non potranno creare una propria copia, nemmeno parziale, della banca dati.

16. Notificazione del trattamento.

Resta fermo l'obbligo per il gestore di notificare al Garante il trattamento dei dati secondo le modalità previste dall'art. 37, comma 1, lett. f), del Codice.

17. Comunicazioni al Garante.

17.1. Una volta che gli operatori telefonici avranno individuato il soggetto cui affidare -in qualità di autonomo titolare del trattamento- la gestione del S.I.Mo.I.Tel.:

a) comunicheranno all'Autorità gli estremi identificativi e l'ubicazione della banca dati;

b) invieranno all'Autorità, almeno tre mesi prima dell'effettiva messa in opera del sistema, copia dell'accordo che verrà sottoscritto dalle parti per la costituzione della banca dati, al fine di valutarne la conformità alle prescrizioni contenute nel presente provvedimento.

17.2. Entro 15 giorni dalla data di sottoscrizione dell'accordo di cui alla precedente lett. b), il gestore provvederà ad inviare al Garante l'elenco dei partecipanti che hanno formalizzato la sottoscrizione; parimenti provvederà all'invio al Garante dei nominativi dei successivi eventuali partecipanti.

17.3. Il gestore comunicherà a questa Autorità la messa in opera del S.I.Mo.I.Tel. almeno 15 giorni prima del relativo avvio.

18. Fase di prima applicazione.

18.1. In relazione ai rapporti già pendenti alla data di pubblicazione del presente provvedimento in Gazzetta Ufficiale ed entro 60 giorni da tale pubblicazione, ciascun partecipante informerà gli interessati, ai sensi dell'art. 13 del Codice, attraverso un messaggio breve e in stile colloquiale (inserito sul proprio sito web ed agevolmente accessibile, nonché in luoghi dove i partecipanti esercitano la loro attività, in particolare, con affissioni in bacheche o locali, avvisi e cartelli agli sportelli dedicati alla clientela), in ordine al trattamento dei dati personali effettuato nell'ambito del S.I.Mo.I.Tel. L'informativa, avrà ad oggetto:

− gli estremi identificativi e le caratteristiche generali del S.I.Mo.I.Tel., quale soggetto cui sono comunicati i dati ed indicazioni della denominazione e della sede del gestore, ove già individuato. Qualora alla data sopra indicata (60 giorni dalla pubblicazione in G.U.) il gestore non fosse stato ancora individuato, i partecipanti integreranno l'informativa resa con tale indicazione appena possibile;

− i soggetti partecipanti eventualmente indicati per categoria;

− i tempi di conservazione dei dati;

Il completamento dell'informativa, con tutti gli elementi previsti dall'art. 13 del Codice e da rendere mediante elaborazione di un testo articolato, sarà effettuato, senza oneri per gli interessati, sul sito web di ciascun partecipante.

In relazione ai rapporti contrattuali stipulati successivamente alla data di pubblicazione in Gazzetta Ufficiale, l'informativa sarà fornita agli interessati secondo le modalità individuate al paragrafo 7. del presente provvedimento.

18.2. Decorsi 120 giorni dalla data di pubblicazione in Gazzetta Ufficiale del presente provvedimento, i partecipanti potranno iniziare ad inserire nel S.I.Mo.I.Tel. i dati relativi ai clienti i cui contratti sono stati oggetto del recesso di cui al paragrafo 9.

TUTTO CIÒ PREMESSO, IL GARANTE:

1. ai sensi dell'art. 154, comma 1, lett. c), del Codice prescrive ai titolari del trattamento (partecipanti e gestore del S.I.Mo.I.Tel.), quali misure necessarie, quelle indicate in motivazione ai paragrafi 7.; da 9. a 12.; 14; 17. e 18.;

2. ai sensi dell'art. 24, comma 1, lett. g) del Codice, ritiene che il trattamento dei dati personali nell'ambito del S.I.Mo.I.Tel. possa essere effettuato dai partecipanti e dal gestore della banca dati anche senza il consenso degli interessati, purché nei limiti e alle condizioni indicate in motivazione;

3. ai sensi dell'art. 143, comma 2, del Codice, dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia–Ufficio pubblicazione leggi e decreti, affinché venga pubblicato nella Gazzetta Ufficiale della Repubblica Italiana.

La violazione delle misure prescritte nel presente provvedimento, ferme restando le sanzioni amministrative, civili e penali previste dalla normativa vigente, sarà sanzionata nei termini previsti dall'art. 162, comma 2-ter, del Codice.

Roma, 8 ottobre 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia