g-docweb-display Portlet

Trattamento di dati aggregati dei clienti per finalità di profilazione. Verifica preliminare richiesta da Tiscali Italia S.p.A. - 24 ottobre 2013 [2797824]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2797824]

Trattamento di dati aggregati dei clienti per finalità di profilazione. Verifica preliminare richiesta da Tiscali Italia S.p.A. - 24 ottobre 2013

Registro dei provvedimenti
n. 468 del 24 ottobre 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott Antonello Soro, presidente, della dott. ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico  che svolgono attività di profilazione" (doc. web n. 1629107, pubblicato nella G.U. n. 159 dell´11 luglio 2009);

VISTO il provvedimento del 2 febbraio 2012 adottato dall´Autorità nei confronti di Tiscali Italia S.p.A. (di seguito "Tiscali") a conclusione del procedimento di prior checking avviato dalla società con la richiesta dell´8 ottobre 2011;                      

VISTO che con il suddetto provvedimento che autorizzava la società, ai sensi degli artt. 17 e 24, comma 1, lett.g) del Codice, ad effettuare il trattamento di dati aggregati dei propri clienti per finalità di profilazione, anche senza un consenso specifico degli interessati, sono state prescritte apposite misure tecniche e organizzative ed indicato un termine di 90 giorni dalla data della relativa notificazione per l´adozione delle stesse e la conseguente trasmissione all´Autorità della relativa documentazione;

CONSIDERATO che, prima della scadenza del termine, con comunicazione del 3 maggio 2012 la società, pur rappresentando al Garante l´avvenuta adozione di gran parte delle misure prescritte con riguardo alla profilazione della propria utenza telefonica, richiedeva, in attesa di dare avvio allo svolgimento di tale attività, un nuovo esame dell´Autorità rispetto ad alcune di esse sulla base di una diversa prospettazione dei presupposti che ne avevano giustificato la prescrizione;

RILEVATO, in particolare, che le richieste di tale valutazione da parte della società vertevano sulle misure prescrittive di cui ai punti 1 e 5 della lett. B) del provvedimento del 2 febbraio 2012, ovvero sull´estensione del periodo storico di riferimento utilizzato da Tiscali per l´analisi di alcuni degli indicatori adottati ai fini dell´attività di profilazione della propria utenza (classe-insolvenza e classe-fatturato) e sull´estensione del periodo di conservazione dei dati;

CONSIDERATO che, in data 26 febbraio 2013, a seguito dei contatti intercorsi con il Garante e della rappresentata necessità di investire il Collegio dell´opportunità di un´ulteriore verifica rispetto all´adozione di misure differenti da quelle oggetto delle specifiche prescrizioni indicate nel provvedimento del 2 febbraio 2012, la società provvedeva a proporre una nuova istanza di verifica preliminare, corredata da un´articolata relazione tecnica;

CONSIDERATO che, a seguito della suddetta istanza e degli specifici confronti avutisi con l´Autorità successivamente alla stessa, in data 13 settembre 2013, la società provvedeva formalmente ad integrare la medesima dei nuovi elementi emersi, avuto riguardo in particolare alle modalità ed agli ulteriori parametri utilizzati per l´attività di profilazione, allegando, altresì, tutta la necessaria documentazione anche di natura tecnica;

VISTO altresì il provvedimento sulle "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" (doc. web n. 1577499, pubblicato nella  G.U. n. 300 del 24 dicembre 2008), successivamente modificato dal provvedimento del 25 giugno 2009 "Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento"(doc. web n. 1626595, pubblicato nella G.U. n. 149 del 30 giugno 2009);

ESAMINATA, pertanto, la richiesta di verifica preliminare, presentata da Tiscali con le richieste integrazioni, in data 13 settembre 2013;

VISTI gli elementi acquisiti a seguito dell´analisi della documentazione prodotta dalla società, a supporto della nuova istanza di verifica preliminare;

VISTE  le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

PREMESSO

1. Architettura dei sistemi dedicati all´attività di profilazione.

Dall´analisi della documentazione prodotta dalla società in data 13 settembre 2013, ad integrazione dell´istanza di verifica preliminare del 26 febbraio 2013, non sono emerse significative modifiche all´architettura generale dei sistemi dedicati alla profilazione dei clienti Tiscali, già analizzati preliminarmente all´adozione del provvedimento del 2 febbraio 2012.

L´attuale soluzione implementata dalla società, in particolare attraverso una evoluzione del sistema TEDW (Tiscali Enterprise Data Warehouse), deputato alla generazione delle liste di contatti e-mail, utilizzate per le campagne commerciali, e la recente integrazione di tale sistema con quello Kiwari, deputato alla pianificazione ed all´invio delle stesse e-mail non ha, infatti, inciso sull´assetto della suddetta architettura, ma ne ha piuttosto comportato un miglioramento sotto il profilo della funzionalità tra applicazioni.

In particolare, gli interventi realizzati da Tiscali hanno comportato l´esclusione del sistema TEDW nella costruzione delle liste clienti da destinare alle singole campagne marketing, attribuendo l´individuazione del bacino di utenza esclusivamente alla competenza del sistema Kiwari affiancato, peraltro, da un nuovo sistema denominato Contact-Lab che nel tempo andrà gradualmente a sostituirlo.

Come emerge dal suddetto documento descrittivo e da quanto asserito dalla stessa società, con riguardo ad entrambe le piattaforme risultano essere state adottate tutte le misure di sicurezza precedentemente prescritte dall´Autorità con il provvedimento del 2 febbraio 2012, per cui né durante la selezione del target di utenza cui indirizzare le campagne marketing, né durante le successive pianificazioni e l´invio della posta elettronica, risultano essere "mostrati sull´interfaccia Kiwari i dati personali della clientela contenuta nel target", con la conseguenza che "nessuno degli incaricati che operano su Kiwari accede ai dati personali della clientela". Analoghe misure saranno in seguito estese agli incaricati che opereranno sul sistema Contact-Lab.

Le menzionate misure risultano, come evidenziato da Tiscali, essere state previste anche con riguardo alla prevista implementazione della funzionalità di profilazione della clientela Tiscali attraverso l´introduzione, nel sistema TEDW, di una nuova base dati denominata TiscCBprofiling fisicamente separata da tutte le altre che compongono tale sistema.

Oltre alla prescritta separazione fisica e logica dei sistemi che svolgono attività di profilazione rispetto agli altri sistemi aziendali, la società ha poi dato atto di aver adottato  tutte le prescrizioni relative al mascheramento dei dati personali  aggregati oggetto dell´attività di profilazione, nel senso che i codici utilizzati per sostituire  i dati personali  relativi ai clienti sono diversi da sistema a sistema e che gli addetti alle tabelle di trasformazione, che consentono l´associazione tra codice e dato, sono diversi da quelli che effettuano attività di profilazione.

In tal senso risulta altresì documentata l´adozione, da parte della società, delle procedure di autenticazione ed autorizzazione dettate dal Garante con riguardo agli incaricati al trattamento dei dati personali nell´ambito dell´attività di profilazione, nonché delle ulteriori attività, successive alla stessa.

2. Sistema centralizzato per la gestione dei log prodotti  dagli amministratori di sistema. Misure ed accorgimenti prescrittivi.

Nella documentazione integrativa inviata il 13 settembre 2013 da Tiscali, a corredo e completamento della nuova istanza di verifica preliminare presentata al Garante, la società ha rappresentato la realizzazione  di un sistema centralizzato per la gestione dei log prodotti dagli amministratori di sistema.

L´architettura di questo nuovo sistema prevede la registrazione di eventi generati a livello applicativo e sistemistico. In particolare, vengono registrati e archiviati su un server centralizzato i metadati (nello specifico i log che memorizzano gli eventi significativi tra il sistema che fornisce i servizi ed i clienti dei servizi stessi, cd. "log di sistema") relativi sia ad accessi applicativi (tra i quali CRM, Billing, Database Management System), sia ad apparati di rete che generano tutti i dati successivamente impiegati per l´attività di profilazione (tra i quali router, firewall, IDS/IPS), nonchè i log generati dai sistemi operativi che abilitano le funzionalità dei diversi applicativi.

I log relativi alle attività degli amministratori di sistema riguardano l´istante di tempo in cui un evento è stato generato, l´identificativo dell´account che lo ha generato, l´identificativo delle risorse coinvolte, nonché la tipologia di operazione effettuata. L´archiviazione dei log è sottoposta a procedure di sicurezza volte ad assicurarne l´integrità, mediante l´applicazione di un meccanismo crittografico (c.d. hash) che ne garantisce appunto l´inalterabilità nel tempo.

Orbene, con riguardo a tale specifico aspetto, occorre rilevare come dall´analisi della documentazione prodotta, la quale si riferisce  unicamente alle funzionalità rese disponibili dal sistema di log management, non risulti essere stato ancora predisposto, da parte di  Tiscali, il documento sulle policy che riguardano l´archiviazione dei log, che costituisce presupposto necessario al relativo trattamento.

In tal senso giova ricordare che l´Autorità, nel citato provvedimento del 27 novembre 2008 sulle misure e gli accorgimenti prescritti con riguardo alle attribuzioni delle funzioni di amministratore di sistema ed in quello successivo di modifica del 25 giugno 2009 ha chiaramente evidenziato che, per la conservazione dei log di accesso, debbano essere preliminarmente individuate e codificate le finalità di verifica delle attività degli amministratori di sistema  e che i tempi di conservazione dei log (non inferiori a 6 mesi) debbano essere scelti conformemente a tali finalità.

In ragione di quanto rilevato, Tiscali dovrà pertanto predisporre preliminarmente un documento di analisi e codificazione delle suddette finalità, nonché dei menzionati tempi di conservazione.

3. Tipologia e livello di aggregazione dei dati utilizzati. Misure ed accorgimenti prescrittivi:

a. Profondità storica del dato utilizzato per attività di profilazione.

Come già evidenziato, l´Autorità è stata investita delle richieste formulate dalla società sulla base di una differente tempistica.

In un primo tempo, nel dare atto del parziale adempimento delle prescrizioni di cui al provvedimento del 2 febbraio 2012, Tiscali ha rappresentato al Garante la necessità di una nuova valutazione delle misure indicate alla  lett. B punti 1) e 5) del provvedimento stesso, in considerazione di una più puntuale ed articolata rappresentazione del proprio assetto aziendale sotto il profilo organizzativo e commerciale.

Dette prescrizioni si riferiscono in particolare, la prima alla misura che prevede che il periodo storico di riferimento, previsto per il calcolo degli indicatori classe-insolvenza e classe-fatturato, utilizzati da Tiscali per l´elaborazione  del criterio di ripartizione  della clientela ai fini della relativa profilazione, non possa superare i 3 mesi dalla data in cui la profilazione stessa viene effettuata, la seconda alla misura che stabilisce che il periodo di conservazione dei dati, utilizzati per attività di profilazione, non possa essere superiore ai 6 mesi.

In un secondo tempo, nell´ambito della nuova istanza di verifica preliminare sottoposta all´Autorità, la società ha anche evidenziato la necessità di una maggiore individuazione dei parametri utilizzati per la definizione della propria base clienti, in particolare attraverso una più precisa "clusterizzazione" della stessa, e, quindi, un ampliamento della gamma di indicatori sui quali articolare l´attività di profilazione.

Ciò posto, con riguardo alla  misura di cui alla citata lett. B) punto 1 del provvedimento del 2 febbraio 2012 relativamente al periodo storico di riferimento previsto per gli indicatori classe-insolvenza e classe-fatturato, la società ha richiesto un´estensione sino a 12 mesi per i prodotti a fatturazione mensile/ bimestrale e sino a 24 mesi per quelli a fatturazione annuale, fornendo una serie di nuovi elementi che possono giustificare una rimodulazione delle misure prescritte dall´Autorità.

In particolare, a fronte della rappresentata circostanza per cui il ciclo di fatturazione adottato da Tiscali è di tipo bimestrale, è possibile ritenere che  l´adozione di un periodo storico di riferimento di 3 mesi come precedentemente indicato dall´Autorità, implicando l´utilizzo di una singola osservazione  per la creazione dei cluster di utenza, potrebbe determinare il fenomeno dei cosiddetti "falsi positivi", ossia comportare la scelta erronea della società di attribuire ai propri clienti lo "stato di insolvenza", che costituisce appunto uno degli indicatori di ripartizione dell´utenza, solo sulla base di una singola osservazione, ovvero dell´ultima che, in ordine temporale, ricade nel suddetto trimestre.

Peraltro, sulla base di quanto rappresentato dalla società, le modalità richieste da quest´ultima per il pagamento delle relative fatture, prevedono anche il ricorso all´uso di bollettini postali e tale canale di pagamento si rivela spesso scarsamente efficace per l´individuazione degli effettivi casi di insolvenza, posto che l´incasso dell´importo fatturato si realizza solo successivamente e, a volte, anche molto tempo dopo la data di emissione della fattura stessa.

In cospetto di siffatta realtà è plausibile quindi ritenere che, adottando un  periodo di osservazione trimestrale, si incorra nel rischio che il ritardo dei circuiti postali possa determinare, proprio con riguardo ai tempi di registrazione degli accrediti, ancora una volta, casi di "falsi positivi" con l´erronea attribuzione da parte della società dello stato di insolvenza a quei clienti che si siano limitati ad utilizzare bollettini postali di pagamento.

Pertanto, alla luce delle richiamate considerazioni, la classificazione dell´utenza Tiscali sulla base dell´indicatore classe-insolvenza non può basarsi su una singola osservazione e rende congrua la richiesta estensione del periodo storico di riferimento oltre il prescritto trimestre, anche e soprattutto a beneficio del soggetto interessato.

Inoltre l´uso di tre dati successivi di fatturazione, oltre a limitare  l´incidenza di falsi positivi, può contenere anche il rischio di indebite creazioni di liste di utenti ritenuti insolventi sulla base di meri elementi occasionali, quali ritardi nei pagamenti determinati da cause diverse da un´effettiva condizione di insolvenza.

Analoghe considerazioni possono valere sia con riguardo all´indicatore definito  classe-fatturato, sia con riguardo al nuovo parametro individuato dalla società come la classe-pagamenti.

Ciò posto, considerato altresì che la società ha rappresentato la presenza di cicli di fatturazione bimestrale, può ritenersi opportuna, rispetto ai parametri classe-insolvenza e classe-fatturato, l´estensione del periodo di osservazione dai 3 mesi inizialmente prescritti ad un periodo massimo di 6 mesi, proprio al fine di consentire a Tiscali l´osservazione di tre cicli completi di fatturazione, ai quali potranno aggiungersi 3 ulteriori mesi di osservazione, in considerazione dei possibili ritardi, non imputabili alla società, nella gestione dei casi di accredito da bollettino postale.

Sulla base delle menzionate considerazioni un analogo periodo di 6 mesi, cui potrà aggiungersi una finestra di osservazione di altri 3 mesi, dovrà poi essere adottato per il parametro costituito dalla classe-pagamenti.

Rispetto, invece, ai soli servizi che prevedono una fatturazione annuale e limitatamente ai parametri che attengono ai dati di fatturazione e relativo pagamento, il periodo di osservazione potrà considerarsi di  24 mesi (12 mesi più 12 mesi), così da consentire l´osservazione di  due cicli di fatturazione, cui potrà aggiungersi una finestra di osservazione di altri 3 mesi, ai fini della gestione degli accrediti effettuati con bollettino postale.

Con riguardo poi alla profondità storica dei dati impiegati per l´attività di profilazione nell´ambito degli altri, ulteriori,  parametri che la società intende adottare, occorre distinguere gli indicatori per i quali Tiscali ha individuato tale profondità da quelli per i quali non emerge alcuna indicazione in tal senso.

Pertanto con riguardo alle classi traffico-entrante, traffico-uscente, ed alle classi reclami e guasti  il periodo storico di  6 mesi, richiamato da Tiscali nella propria istanza, può ritenersi congruo e al medesimo, conformemente a quanto sopra evidenziato, potrà ulteriormente aggiungersi una finestra di osservazione di ulteriori 3 mesi.

Con riguardo, invece, a quei parametri (classe-anagrafica cliente, classe-contratto e classe-promozione) per i quali la società non ha individuato la profondità storica dei dati impiegati per l´attività di profilazione giova ricordare che l´Autorità, nei propri pronunciamenti, ha sempre ritenuto congrua per l´analisi volta alla creazione di cluster omogenei di utenza una profondità temporale di 12 mesi.
A tale periodo può poi aggiungersi un´ulteriore finestra di 3 mesi per consentire sia lo svolgimento delle funzionalità operative di caricamento e cancellazione dei dati (c.d. rolling), sia l´osservazione di fenomeni stagionali, quali gli incrementi di consumo, associati a specifici periodi dell´anno (vacanze estive, periodi festivi, ricorrenze). Tale intervallo temporale appare infatti sufficiente a fornire evidenza degli effetti di stagionalità propri del consumo e/o delle modalità pagamento di servizi di comunicazione elettronica, nonché a garantire stime accurate sull´andamento dei consumi dei clienti e sugli indicatori economici della società.
L´indicazione del periodo storico di riferimento nei termini di 12 mesi, cui può aggiungersi un´ulteriore finestra di osservazione di 3 mesi, dovrà valere anche per la classe-prodotto, rispetto alla quale, peraltro, la società ha già individuato una profondità storica di un anno.

b. Ampliamento della gamma di parametri utilizzati per effettuare l´attività di profilazione della clientela. Utilizzo di dati anonimizzati.

La previsione da parte di Tiscali di nuovi parametri ai fini dell´individuazione della propria base utenza per finalità di profilazione e  le varianti rilevate nel processo stesso di profilazione, impongono  l´individuazione di specifiche cautele al fine di mitigare i rischi che potrebbero derivare dal trattamento dei dati personali dei clienti.

La società, come già evidenziato, ha introdotto nuove tipologie di cluster, denominate classi (come, ad esempio, le classi prodotto, promozione, traffico entrante/uscente), le quali vengono popolate sulla base dell´attribuzione di specifici valori ad un insieme predefinito di parametri con cadenza periodica (tipicamente mensile).

Sotto il profilo tecnico, il sistema adottato dalla società rende possibili differenti modalità di ripartizione dell´utenza, ossia di redistribuzione della stessa in insiemi disgiunti, in modo che ogni cliente sia associato ad una classe e che nessun cliente possa appartenere a cluster diversi.

Tale metodologia impone due ordini di considerazioni: uno di carattere generale, che rileva trasversalmente su tutte le classi individuate dalla società, e uno di carattere specifico che riguarda in particolare due nuovi parametri  introdotti da Tiscali, ovvero le classi "traffico-uscente" e "traffico-entrante".

Il profilo più generale investe il presupposto su cui Tiscali, così come evidenziato nel documento che descrive l´architettura del sistema, basa l´attività di profilazione della propria clientela, ovvero il ricorso a dati anonimizzati a partire dai quali non sarebbe possibile risalire all´identità dell´utente.

Orbene, occorre rilevare che l´accresciuta disponibilità di parametri su cui la società intende articolare la creazione di cluster di utenza contrasta significativamente con tale affermazione.

Con specifico riferimento agli algoritmi di profilazione sviluppati da Tiscali si evidenzia, infatti, come l´applicazione contemporanea di più criteri di selezione (quali il genere, l´età, la tipologia di servizi sottoscritti, la data di attivazione, per citare alcuni dei parametri indicati dalla società) possa ridurre sensibilmente la numerosità del cluster, facendo emergere elementi contestuali associati al cliente (quali, ad esempio, la zona geografica di appartenenza, la tipologia di servizi sottoscritti) tali da rendere il dato indirettamente identificativo e dunque personale ai sensi del Codice (art. 4, comma1, lett. b). Pertanto, al fine di mitigare tale rischio, risulta necessaria l´adozione di due misure.

Da un lato, la scelta di fasce di valori piuttosto che di valori puntuali per i parametri impiegati per la costruzione del cluster (ad es. attraverso l´utilizzo di intervalli di età del tipo 20-30 ovvero 30-40 anni, o l´impiego di aree geografiche di ampiezza superiore al Comune di appartenenza), ovvero di ogni altro accorgimento equivalente volto a ridurre il rischio di pervenire ad un livello di dettaglio tale da consentire di identificare, seppure indirettamente,  gli utenti.

Dall´altro la realizzazione di un controllo ex-post su ogni cluster estratto, in modo da escludere la creazione di cluster con un numero di clienti inferiore alle 100 unità, così da ridurre significativamente il potere identificativo associato al dato a seguito del trattamento.

Appositi accorgimenti devono invece essere previsti per le classi "traffico-entrante"  e  "traffico- uscente" al fine di limitare sia il rischio di re-identificazione anche indiretta degli utenti, sia la conoscibilità di dati di dettaglio relativamente alle singole comunicazioni elettroniche effettuate dagli interessati.

In particolare, con riferimento alle direttrici di traffico uscente ed entrante, si specifica che tali direttrici devono essere classificate all´interno dei sistemi di profilazione esclusivamente per tipologia di arco decadico di numerazione fissa (ad es. indicatore geografico 0xy, indicatore di servizio di rete 4xy, indicatore di servizio ad addebito ripartito 8xy, ecc.) o per indicatore di operatore radiomobile (3xy) e non possono riportare il numero chiamante o chiamato in chiaro.

La società dovrà inoltre adottare un unico periodo di riferimento minimo di 30 giorni per l´aggregazione di tutti gli indicatori di traffico (minuti di traffico originato/terminato, volumi in Byte di traffico dati, numero complessivo di SMS) e di spesa (totale ricariche se applicabili, eventualmente distinte per canale di ricarica, spesa complessiva, eventualmente distinta per canale di pagamento).

4. Conservazione.

Con riguardo al periodo di conservazione dei dati utilizzati per l´attività di profilazione la richiesta di estensione dal periodo di 6 mesi prescritto dall´Autorità nel precedente provvedimento a quello di 12 mesi evidenziato da Tiscali nella nuova istanza di verifica preliminare, può ritenersi congrua, in virtù di vari elementi.

Innanzitutto la circostanza che l´indicazione di un arco temporale di 6 mesi era stata evidenziata dalla stessa società nella precedente istanza di prior checking.  
 In secondo luogo la circostanza che l´estensione del periodo di conservazione sino ai richiesti 12 mesi risulta in linea con le prescrizioni di cui sono stati destinatari altri fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione. A tale arco temporale potrà poi aggiungersi un ulteriore periodo di 3 mesi, tenuto conto che tale arco di tempo si rivela, come già evidenziato, sufficiente sia a fornire evidenza degli effetti di stagionalità propri del consumo e/o delle modalità di pagamento dei suddetti servizi, sia a fornire al pubblico accurati elementi di valutazione sull´andamento dei consumi della clientela Tiscali e sugli indicatori economici della società.

Alla scadenza del suddetto periodo di conservazione i dati personali  oggetto dell´attività di profilazione svolta da Tiscali devono essere cancellati o resi anonimi in modo irreversibile e permanente.

5. Informativa e consenso.

L´informativa da rendere con riguardo al trattamento dei dati personali che la società intende effettuare per finalità di profilazione, oltre a dover specificare che rispetto a tali finalità il trattamento avviene attraverso l´utilizzo di dati personali aggregati, avvalendosi dell´esonero dalla previa acquisizione del consenso specifico dell´interessato sulla base del provvedimento generale del Garante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione", (pubblicato nella Gazzetta Ufficiale n. 159 dell´11 luglio 2009 e sul sito dell´Autorità doc. web n. 1629107), nonché delle successive garanzie e misure specificamente prescritte alla società, dovrà contenere, non solo tutte le indicazioni e precisazioni già individuate nel precedente provvedimento del  2 febbraio 2012, ma anche alcune ulteriori specificazioni.

In particolare con riguardo al periodo di conservazione dei "dati di profilazione" la società dovrà specificare che gli stessi saranno conservati per un periodo massimo di 12 mesi, cui potrà aggiungersi un ulteriore periodo di 3 mesi come sopra evidenziato e che, alla relativa scadenza, tali dati saranno cancellati ovvero resi anonimi in maniera irreversibile.

Laddove poi la società intenda svolgere attività di profilazione attraverso l´utilizzo dei dati personali individuali dei propri clienti, l´informativa dovrà chiaramente specificare che tale attività può svolgersi solo in presenza del consenso preventivo e specifico dell´interessato da rilasciarsi facoltativamente da parte di quest´ultimo.

La necessità del rilascio di un apposito consenso da parte dell´interessato dovrà essere evidenziata anche con riguardo al trattamento dei dati personali per finalità di "marketing" e per la comunicazione dei dati a soggetti terzi, nonché nel caso di trasferimento degli stessi al di fuori del territorio dell´Unione Europea, salvo che non ricorrano gli altri presupposti sanciti dagli artt. 43 e 44 del Codice.

6. Notificazione del trattamento.

Anche a seguito della nuova istanza di verifica preliminare presentata da Tiscali sussiste l´obbligo della società di notifica all´Autorità del trattamento di dati personali aggregati della propria utenza per finalità di profilazione  come previsto dagli artt. 37, comma 1, lett. d) e 38 del Codice, il cui mancato rispetto implica l´applicazione dell´art. 163  e 164 bis  del Codice.

7. Sanzioni.

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 161, 162, comma 2-bis del Codice.

8. Considerazioni conclusive.

Alla luce delle considerazioni sopra evidenziate nell´ambito di quanto richiesto da Tiscali sulla base della nuova istanza di verifica preliminare ex art. 17 del Codice sottoposta all´Autorità e della documentazione posta a corredo della stessa, può pervenirsi alla conclusione che, anche nella più recente situazione delineata dalla società e nel nuovo assetto della stessa, è possibile effettuare un corretto bilanciamento tra gli interessi di quest´ultima in veste di titolare del trattamento e quelli dei soggetti interessati e, pertanto, prevedersi che l´attività di profilazione, attraverso l´utilizzo di dati personali aggregati della clientela possa essere realizzato per perseguire il legittimo interesse di Tiscali anche senza richiedere un preventivo e specifico consenso degli interessati.

Un siffatto trattamento è tuttavia possibile solo a condizione che vengano rispettate tutte le prescrizioni precedentemente dettate alla società con il provvedimento del 2 febbraio 2012 e quelle espressamente indicate nel presente provvedimento a seguito della nuova istanza di prior checking presentata da Tiscali.

TUTTO CIÒ PREMESSO IL GARANTE:

A) individua, nei termini di cui in motivazione, ai sensi dell´art. 24, comma 1, lett. g) del Codice, bilanciati gli interessi, nella situazione delineata da Tiscali Italia S.p.A, con sede legale in Cagliari, località Sa Illetta S.S. 195, km 2,3, un´ipotesi in cui il trattamento dei dati personali aggregati per attività di profilazione della clientela può essere effettuato per perseguire un legittimo interesse del titolare, anche senza richiedere il consenso degli interessati, nel rispetto delle prescrizioni indicate alle successive lettere B) e C);

B) prescrive a Tiscali Italia S.p.A., ai sensi dell´art. 17 del Codice, di adottare, a garanzia degli interessati, in conformità alle disposizioni in materia di protezione dei dati personali, preliminarmente all´avvio dell´attività di profilazione con i dati aggregati della clientela, le misure e gli accorgimenti necessari nei termini di cui in motivazione, unitamente a quelle già prescritte con il precedente provvedimento del 2 febbraio 2012 e con particolare riguardo:

1. al sistema centralizzato per la gestione dei log prodotti dagli amministratori di sistema:

a) predisporre un documento relativo all´analisi preliminare ed alla codificazione delle finalità di verifica delle attività degli amministratori di sistema;

b) individuare tempi di conservazione dei log di accesso conformi a tali finalità e comunque non inferiori a 6 mesi;

2. alla tipologia ed al livello di aggregazione dei dati utilizzati:

a) delimitare il periodo storico massimo di riferimento previsto per il calcolo degli indicatori classe-insolvenza, classe-fatturato e classe-pagamenti, utilizzati dalla società per l´elaborazione del criterio di ripartizione della clientela in cluster ai fini dell´attività di profilazione, a 6 mesi, cui potrà aggiungersi un´ulteriore finestra di osservazione di 3 mesi;

b) per i soli servizi che prevedono una fatturazione annuale e limitatamente ai parametri che attengono ai dati di fatturazione e relativo pagamento, circoscrivere il periodo di osservazione a  24 mesi (12 mesi più 12 mesi), cui potrà aggiungersi una finestra di osservazione di altri 3 mesi, ai fini della gestione degli accrediti effettuati con bollettino postale;

c) con riguardo alle classi traffico-entrante, traffico-uscente, alla classe- guasti ed alla classe-reclami prevedere un periodo storico di 6 mesi al quale può aggiungersi una finestra di osservazione di 3 mesi;

d) rispetto ai parametri classe-anagrafica cliente, classe-contratto, classe-promozione e classe-prodotto, individuare una profondità di 12 mesi cui può aggiungersi un´ulteriore finestra temporale di 3 mesi per le finalità richiamate in premessa;

e)  definire il parametro di costituzione del cluster di utenza sulla base di fasce di valori piuttosto che sulla base di valori puntuali, ovvero attraverso ogni altro accorgimento equivalente volto a ridurne il rischio di pervenire ad un livello di dettaglio tale da consentire l´identificazione, seppure indiretta, degli utenti;

f) effettuare un controllo ex-post su ogni cluster estratto, in modo da escludere la creazione di cluster con un numero di clienti inferiore alle 100 unità, al fine di ridurre significativamente il potere identificativo associato al dato a seguito del trattamento;

g) con riguardo alle specifiche classi "traffico-entrante"  e "traffico-uscente" classificare le rispettive direttrici, all´interno dei sistemi di profilazione, esclusivamente per tipologia di arco decadico di numerazione fissa, ovvero per indicatore di operatore radiomobile;

h) evitare che le direttrici "traffico-uscente" e "traffico-entrante" riportino il numero chiamante o chiamato in chiaro;

i) adottare per l´aggregazione di tutti gli indicatori di traffico e di spesa un unico periodo di riferimento minimo di 30 giorni;

3. al periodo di conservazione dei dati:

a) conservare i dati utilizzati per l´attività di profilazione per un periodo massimo di 12 mesi, cui potrà aggiungersi un ulteriore periodo di 3 mesi;

b) alla scadenza del periodo sopra indicato cancellare tali dati, ovvero trasformare gli stessi in forma anonima ed in modo irreversibile e permanente;

4. all´informativa da rendere agli interessati:

a) specificare che il trattamento di profilazione della clientela, effettuato attraverso dati personali aggregati, viene realizzato, avvalendosi dell´esonero dalla previa acquisizione del consenso, sulla base di quanto previsto dal provvedimento generale del Garante del 25 giugno 2009, nonché delle successive garanzie e misure specificamente prescritte alla società;

b)  specificare che il periodo di conservazione dei "dati di profilazione" è  di 12 mesi, cui può aggiungersi un ulteriore periodo di 3 mesi e che, alla relativa scadenza, tali dati saranno cancellati ovvero resi anonimi in maniera irreversibile;

c) evidenziare che, nel caso in cui l´attività di profilazione venga effettuata attraverso l´utilizzo dei dati personali individuali dei clienti, tale attività si svolge solo in presenza  del consenso preventivo e specifico dell´interessato da rilasciarsi facoltativamente da parte di quest´ultimo;

d) evidenziare che il rilascio di un apposito consenso da parte dell´interessato è necessario anche con riguardo al trattamento dei dati personali per finalità di "marketing" e per la comunicazione dei dati a soggetti terzi, nonché nel caso di trasferimento degli stessi al di fuori del territorio dell´Unione Europea, salvo che non ricorrano gli altri presupposti sanciti dagli artt. 43 e 44 del Codice.

C) richiede, ai sensi dell´art. 157 del Codice, di comunicare a questa Autorità, preliminarmente all´avvio dell´attività di profilazione, l´avvenuta adozione delle suddette misure, trasmettendo copia della relativa documentazione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 24 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia