Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali riguardanti l'intestazione di utenze telefoniche - 26 luglio 2017 [6821640]

VEDI ANCHE Provvedimento del 6 aprile 2017

 

[doc. web n. 6821640]

Trattamento di dati personali riguardanti l'intestazione di utenze telefoniche - 26 luglio 2017

Registro dei provvedimenti
n. 344 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il "Codice");

VISTO il provvedimento n. 176 del 6 aprile 2017, doc. web n. 6376175,  notificato il successivo 20 aprile, concernente l'avvenuta violazione di dati personali presso Telecom Italia s.p.a., adottato a seguito delle verifiche effettuate dall'Autorità che hanno interessato, in particolare, alcuni sistemi informativi della Società, in particolare quello concernente la gestione della clientela residenziale (Crm), quello correlato alla gestione delle fatture nonché il sistema denominato Richieste anagrafica clienti (RAC);

VISTE le prescrizioni impartite alla Società con il menzionato provvedimento, da attuare con tempistica differenziata, al fine di assicurare il rispetto dei princìpi sanciti dal Codice in relazione al trattamento dei dati personali che si riferiscono al reclamante e, più in generale, agli utenti, attivi e cessati, interessati dalla violazione;

VISTA la comunicazione della Società del 19 maggio 2017, nella quale è stata fornita una rappresentazione delle attività svolte alla data nonché delle ragioni che richiederebbero il differimento di alcuni dei termini fissati dal Garante per dare compiuta attuazione alle prescrizioni impartite, nonché le ulteriori comunicazioni della Società del 1° giugno, 19 giugno, 30 giugno e 12 luglio 2017;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Con comunicazione del 19 maggio 2017, Telecom Italia ha rappresentato all'Autorità le attività poste in essere al fine di dare attuazione alle prescrizioni impartite nel provvedimento n. 176 del 6 aprile 2017.

Con successiva comunicazione del 19 giugno la Società ha comunicato al Garante le modalità attraverso le quali ha dato attuazione alla prescrizione 5 del provvedimento, allegando pertinente documentazione relativa ai destinatari dei dati riferibili al reclamante, raggruppati in dieci tipologie, e il modello della comunicazione agli stessi inviata, rappresentando altresì di aver inviato comunicazione al reclamante in merito all'esito delle verifiche ed attività svolte nonché delle successive comunicazioni poste in essere.

La Società ha altresì provveduto a comunicare all'Autorità lo stato di attuazione delle prescrizioni con le menzionate comunicazioni del 1° e 30 giugno nonché del 12 luglio 2017 (recanti anche documentazione volta a rappresentare e comprovare lo stato di attuazione del provvedimento).

2.1. Entro tale cornice, nella menzionata comunicazione del 19 maggio, la Società ha descritto gli interventi effettuati e la portata di quelli da porre in essere, illustrando le ragioni che rappresentano un ostacolo all'adempimento di parte delle misure impartite entro i termini prescritti e i motivi che determinano la necessità di un più ampio arco temporale per dare compiuto adempimento a talune delle prescrizioni. In particolare, la Società ha evidenziato che gli interventi da porre in essere, consistenti, ove possibile, in operazioni di aggiornamento dei dati ovvero nell'apposizione di una gamma di opportune annotazioni sulla base degli esiti delle verifiche condotte (ad es. laddove non sia ammissibile la modifica dei dati dell'interessato poiché trattasi di "dati contabili" e/o "documenti fiscali"):

a. interessano un numero elevato di sistemi, superiore a quelli oggetto di verifica in occasione degli accertamenti; infatti, in sede di prima analisi, 93 sistemi applicativi potrebbero dover formare oggetto di azioni di adeguamento e bonifica (cfr. p. 6) e ulteriori verifiche su alcuni sistemi cd. dipartimentali richiedono di essere effettuate. Nelle successive comunicazioni, la Società ha precisato che «il perimetro dei sistemi interessati è costituito da 92 applicazioni e da 104 sistemi "dipartimentali"» (cfr., da ultimo, p. 3 del Master plan allegato alla nota del 12 luglio 2017);

b. riguardano un'ampia platea di interessati ‒ composta da clienti attivi e cessati, ripartiti per gruppi (in prima approssimazione) omogenei  (p. 9) ‒, rispetto alla quale, all'esito della ricognizione effettuata sulla base delle prescrizioni del Garante, sono state fornite all'Autorità stime circa l'entità numerica dei clienti attivi e cessati dalla Società che potrebbero essere interessati dai disallineamenti rilevati nel provvedimento (cfr., da ultimo, p. 6 del Master plan allegato alla nota del 12 luglio 2017);

c. richiedono, con riguardo ai clienti attivi potenzialmente interessati dai disallineamenti, alcune azioni di contatto già avviate dalla Società finalizzate all'esecuzione di verifiche individuali; azioni di contatto che dovrebbero esaurirsi, in base alle modalità individuate (contatto telefonico o comunicazioni in fattura), entro il 31 luglio 2017 ed entro il 31 dicembre 2017 (cfr. comunicazione 10 luglio 2017, p. 10). Ciò in quanto, in base a quanto rappresentato, le difformità tra intestatario fattura e intestatario linea, rilevate sulla base delle informazioni presenti nel sistema CRM-Residenziale, non sono di per sé sufficienti per asserire l'occorrenza di errate associazioni; peraltro l'esecuzione delle "bonifiche" si configura come un processo la cui durata dipende dall'interazione con i clienti contattati dalla Società al fine di acclarare l'effettiva sussistenza di disallineamenti circa le linee che li riguardano e dai tempi di risposta di questi ultimi (cfr. anche Documento sulle iniziative intraprese per l'attuazione del Provvedimento del Garante per la protezione dei dati personali n. 176 del 06/04/17, p. 8, allegato alla nota 30 giugno 2017);

d. richiedono, con riguardo al considerevole numero di linee cessate potenzialmente interessate dai disallineamenti, «ulteriori raffinamenti sulla base dell'analisi delle volture e delle informazioni associate» (p. 10);

e. richiedono alcune modifiche da apportare all'infrastruttura informativa, con particolare riguardo ai software dei sistemi applicativi impattati, per gestire le opportune modifiche/annotazioni relative a tutti i soggetti interessati dai rilevati disallineamenti, ivi compreso il ricorrente, nonché interventi puntuali «per ciascun sistema, a cura degli amministratori IT e con operazioni anche manuali e solo parzialmente automatizzabili» (p. 7 s.; cfr. anche Documento sulle iniziative intraprese per l'attuazione del Provvedimento del Garante per la protezione dei dati personali n. 176 del 06/04/17, p. 18 ss., allegato alla nota 30 giugno 2017).

2.2. In relazione alla identificazione dei soggetti terzi cui sono stati inviati dati erroneamente associati agli interessati, la Società ha dichiarato di aver condotto «l'analisi delle possibili comunicazioni» verso tali soggetti (individuando tre macro categorie), e di aver concluso la ricognizione in relazione ai dati del reclamante, ma non ancora in relazione ai dati degli altri soggetti interessati dai disallineamenti (p. 11; vedi anche Master plan allegato alla nota del 12 luglio 2017, p. 18).

Rispetto alle attività finalizzate a dare comunicazione a tali soggetti terzi destinatari dei dati, la Società ha altresì dichiarato di aver provveduto in relazione al reclamante (cfr. nota 19 giugno e allegata documentazione) e che le stesse sono ancora in corso rispetto agli altri interessati.

2.3. La Società ha inoltre rappresentato di aver provveduto a redigere e diffondere un documento contenente indicazioni operative atte ad evitare contatti non giustificati in sede di recupero crediti e di aver comunque impartito disposizioni volte ad interrompere, in via cautelativa, eventuali azioni già avviate con riguardo alle linee potenzialmente a rischio in quanto recanti difformità tra l'intestatario della fattura e l'intestatario della linea; ciò rispetto a un numero di soggetti «ragionevolmente ben più ampio dei titolari effettivamente associati a dati errati» suscettibile di essere aggiornato a fronte dei risultati delle attività di bonifica (p. 17; v. anche nel dettaglio documento allegato alla comunicazione 1.6.2017).

La Società ha pure dichiarato di aver predisposto opportune modifiche al sistema Crm residenziale di supporto alle attività di customer care, di aver diffuso istruzioni per gli operatori di customer care (sia interni che esterni) funzionali all'identificazione e tempestiva segnalazione di eventuali disallineamenti e di aver avviato (e concluso il 31 maggio 2017) un'attività formativa rispetto a detto personale (p. 18; v. anche, nel dettaglio, il documento allegato alla comunicazione 1.6.2017).

3. Per tali ragioni, preso atto delle misure intraprese e delle ragioni obiettive sopra sintetizzate che richiedono un più ampio spazio temporale per dare integrale attuazione alle prescrizioni impartite dal Garante, si ritiene congruo fissare al 31 dicembre 2017 il termine per completare le verifiche necessarie al fine di dare complessivo adempimento alle prescrizioni riportate ai punti 2, 3, 6.a e 6.b del provvedimento n. 176 del 6 aprile 2017 provvedendo, sulla base del completamento di dette verifiche e delle risultanze delle stesse, alla tempestiva esecuzione, in relazione ai soggetti interessati dai disallineamenti via via individuati, degli aggiornamenti e/o annotazioni nei sistemi della società nonché delle conseguenti comunicazioni ai destinatari dei dati riferiti ai medesimi

In luogo della prescrizione di cui al punto 6.c del provvedimento n. 176 del 6 aprile 2017, si dispone che la Società comunichi a ciascuno dei soggetti interessati dai disallineamenti, ove contattabili, e al Garante, con cadenza mensile rispetto ai soggetti via via individuati, l'esito delle verifiche effettuate e delle successive comunicazioni poste in essere.

TANTO PREMESSO, IL GARANTE

riservata ogni verifica e valutazione in ordine all'adempimento delle prescrizioni del provvedimento n. 176 del 6 aprile 2017, ai sensi dell'art. 154, comma 1, lett. c), del Codice, a parziale modifica dello stesso:

1.  fissa al 31 dicembre 2017 il termine per completare le verifiche necessarie al fine di dare complessivo adempimento alle prescrizioni riportate ai punti 2, 3, 6.a e 6.b del provvedimento n. 176 del 6 aprile 2017 provvedendo, sulla base del completamento di dette verifiche e delle risultanze delle stesse, alla tempestiva esecuzione, in relazione ai soggetti interessati dai disallineamenti via via individuati, degli aggiornamenti e/o annotazioni nei sistemi della società nonché delle conseguenti comunicazioni ai destinatari dei dati riferiti ai medesimi;

2. In luogo della prescrizione di cui al punto 6.c del provvedimento n. 176 del 6 aprile 2017, dispone che la Società comunichi a ciascuno dei soggetti interessati dai disallineamenti, ove contattabili, e al Garante, con cadenza mensile rispetto ai soggetti via via individuati, l'esito delle verifiche effettuate e delle successive comunicazioni poste in essere.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia