Diritti interna

Doveri interna

ricerca avanzata

Registro pubblico delle opposizioni e tutela della riservatezza - 13 maggio 2010 [1734800]

[doc. web n. 1734800]

Registro pubblico delle opposizioni e tutela della riservatezza - 13 maggio 2010

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero dello Sviluppo economico;

Visto l´art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Con nota dell´Ufficio legislativo del Ministero dello sviluppo economico, è stato richiesto il parere del Garante in ordine a uno schema di regolamento recante l´istituzione e la gestione del registro pubblico delle opposizioni (infra: registro), adottato ai sensi del comma 3-ter dell´articolo 130 del Codice, inserito dall´articolo 20-bis del decreto-legge  25 settembre 2009, n. 135, convertito, con modificazioni, dalla legge 20 novembre 2009, n. 166.

Il testo in esame tiene conto di gran parte delle osservazioni espresse dall´Autorità nell´ambito di riunioni tenutesi sia presso il Ministero dello Sviluppo Economico, sia presso la stessa Autorità. Tali osservazioni riguardavano in particolare:

- una più precisa definizione della figura dell´operatore in relazione alla qualifica di titolare ai sensi dell´articolo 4, comma 1, lett. f) del Codice;

- l´esclusione dalla sfera di applicazione del regolamento dei trattamenti per finalità di "marketing" (indicate all´articolo 7, comma 4, lett. b) del Codice) di dati aventi origine diversa dagli elenchi di abbonati a disposizione del pubblico legittimamente raccolti dai titolari presso gli interessati o presso terzi nel rispetto dei presupposti di legge (artt. 13, 23 e 24 del Codice);

- l´espressa salvaguardia del diritto di opporsi a trattamenti effettuati da singoli soggetti per finalità di marketing, ai sensi dell´articolo 7, comma 4, lettera b) del Codice, diritto su cui la disciplina prevista dal regolamento non incide in alcun modo;

- la necessità di prevedere il parere del Garante in ordine alle previsioni dell´eventuale contratto di servizio inerenti le sue competenze, anche in riferimento ai compiti di vigilanza e controllo attribuiti dalla legge all´Autorità;

- le modalità di iscrizione (e della relativa revoca) degli abbonati al registro;

- l´efficacia temporale e le modalità di consultazione del registro da parte di ciascun operatore;

- il controllo da parte del Garante e le sanzioni in caso di violazione del diritto di opposizione.

RILEVATO

Lo schema di regolamento prevede che il Ministero dello Sviluppo Economico-Dipartimento per le Comunicazioni - quale organismo pubblico titolare di competenze concernenti la materia in esame - istituisca il registro, potendo provvedere alla sua realizzazione e gestione anche mediante l´affidamento a terzi, sulla base di un contratto di servizio sul cui contenuto sarà acquisito il parere del Garante, per quanto di sua competenza anche in relazione alle funzioni di vigilanza e controllo attribuite a questa Autorità ai sensi dell´articolo 12, comma 1, del medesimo regolamento (che recepisce essenzialmente il disposto di cui al comma 3-quater dell´articolo 130 del Codice).

Lo schema precisa che la concreta realizzazione e il funzionamento del registro devono essere garantiti entro 90 giorni dalla pubblicazione del regolamento e che comunque esso si intende istituito unicamente con il completamento della procedura prevista dall´articolo 4, cioè nel momento in cui ciascuna persona abbia la possibilità di esercitare, in concreto, il diritto all´opposizione al trattamento dei propri dati secondo le modalità previste dal medesimo regolamento.

Dal combinato disposto dell´articolo 4 del regolamento e del comma 2 del citato articolo 20-bis del decreto-legge n. 135/2009, deriva pertanto che, fino al completamento della suddetta procedura, in relazione all´utilizzo dei dati estratti dagli elenchi telefonici disponibili al pubblico per finalità di telemarketing continueranno ad applicarsi, senza alcuna deroga, le disposizioni dell´articolo 129 del Codice e il relativo regime di opt-in. Inoltre, come espressamente sancito dal comma 3 dell´articolo 20-bis, la disciplina derogatoria concernente l´utilizzo di banche dati formate prima del 1° agosto 2005 (di cui all´articolo 44, comma 1-bis del decreto-legge 30 dicembre 2008, n. 207, convertito, con modificazioni, dalla legge 27 febbraio 2009, n. 14), potrà applicarsi unicamente fino al termine di sei mesi successivi alla data di entrata in vigore della legge n. 166 del 2009 di conversione del decreto-legge n. 135 (e dunque non oltre il 24 maggio 2010).

Il regolamento disciplina inoltre le modalità di adesione al servizio per gli operatori (ai quali sono assegnati un codice di identificazione e un profilo di autorizzazione); la procedura per la consultazione del registro da parte dei soggetti legittimati, mediante un sistema di interrogazione selettiva che non consenta il trasferimento dei dati ivi presenti; le modalità di iscrizione al registro da parte degli abbonati; la registrazione degli eventi di iscrizione e revoca dell´opposizione da parte degli abbonati e di accesso al sistema da parte degli operatori; le procedure per l´aggiornamento automatico del registro. Inoltre sancisce in capo all´operatore l´obbligo di fornire all´utente contattato idonee informative, in ordine alla possibilità e alle modalità di iscrizione al registro e, segnatamente, in relazione al trattamento dei dati personali ai sensi dell´articolo 13 del Codice.

Si sancisce inoltre, in capo al gestore, l´obbligo di consentire l´accesso al registro da parte del Garante, ai fini dell´esercizio delle sue funzioni di vigilanza e controllo sancite dalla legge e si precisa che, in caso di violazione del diritto di opposizione nelle forme previste dal regolamento, si applichi la sanzione di cui all´articolo 162, comma 2-quater del Codice, introdotto dal citato articolo 20-bis. Si prevede peraltro che, a fronte di eventuali violazioni delle norme sancite dal regolamento, l´interessato possa avvalersi delle forme di tutela di cui alla Parte III del Codice.

Infine si dispone che, decorso inutilmente il termine di novanta giorni previsto per l´istituzione del registro e, comunque, fino alla sua attivazione, i soggetti le cui numerazioni siano riportate negli elenchi di abbonati di cui all´articolo 129 del Codice possono esercitare il diritto di opposizione ai trattamenti per i fini di cui all´articolo 7, comma 4, lett. b) del Codice mediante iscrizione in apposito campo di testo collegato alla relativa numerazione, nella Base Dati Unica vigente (cfr. delibere AGCOM n. 36/02/CONS e 180/02/CONS), cui si estendono le disposizioni in materia di misure di sicurezza, accesso, iscrizione, consultazione, conservazione della documentazione e della registrazione degli eventi di accesso, sanciti dal regolamento in relazione al registro. E´ anche assicurato l´accesso alla Base Dati Unica vigente da parte del Garante, ai fini dell´esercizio dei suoi poteri di vigilanza e controllo.

CONSIDERATO

Come già rilevato, lo schema di regolamento in esame recepisce gran parte delle osservazioni formulate dall´Autorità in relazione alla sua formulazione originaria. Nondimeno, si ritiene necessario fornire di seguito talune proposte di modifica del provvedimento, al fine di perfezionarne il contenuto e di elevare ulteriormente le garanzie del diritto alla protezione dei dati personali rispetto al trattamento effettuato per finalità di marketing in relazione al quadro normativo vigente, anche europeo.

1. Il comma 2 dell´articolo 3 opportunamente fa salvo il diritto dell´interessato di opporsi a trattamenti di dati effettuati per finalità di marketing da parte di singoli soggetti ai sensi dell´articolo 7, comma 4, lettera b) del Codice, (c.d. opposizione one-to-one) secondo cioè una disposizione generale del Codice che ovviamente conserva la sua efficacia anche dopo l´introduzione del nuovo regime di esercizio del diritto di opposizione mediante iscrizione nel registro pubblico. Ciò al fine si consentire all´abbonato di esercitare il suo diritto di opposizione selettivamente, cioè nei confronti solo di alcuni titolari del trattamento o addirittura di specifiche campagne pubblicitarie. Tale diritto è esercitabile nei confronti di ogni trattamento di dati effettuato per finalità di marketing, a prescindere da quale sia la fonte di estrazione dei dati stessi, purché, ovviamente, si tratti di una fonte legittima (elenchi disponibili al pubblico, banche dati legittimamente formate, ecc.). In conseguenza di ciò, è pertanto necessario modificare il comma 2 dell´articolo 3 dello schema di regolamento, sopprimendo le seguenti parole: ", nei casi in cui i dati non siano raccolti dagli elenchi di abbonati di cui all´articolo 2, comma 2,".

2. L´articolo 5, comma 2, rinvia all´articolo 8 (nel suo complesso) per la disciplina dell´assegnazione a ciascun operatore, da parte del gestore del registro, delle credenziali di autenticazione e dei profili di autorizzazione. Per la sua formulazione, la norma sembra riferirsi a una forma di registrazione "una tantum" di ciascun operatore, che in seguito all´assegnazione delle credenziali e dei profili di autorizzazione, dovrebbe essere abilitato a effettuare più volte la consultazione del registro. Tuttavia, in senso contrario sembrerebbe deporre il disposto dell´articolo 8, comma 5, alla cui stregua "a ciascun operatore sono consegnate credenziali di autenticazione per l´accesso ai sistemi di aggiornamento degli elenchi", così suggerendo quindi l´idea della necessità di una registrazione apposita per ciascuna consultazione successiva alla prima. Le suddette norme vanno pertanto coordinate.

3. L´articolo 8, comma 1, secondo periodo, prescrive che la consultazione, da parte degli operatori, del registro "e dei dati in esso contenuti, in qualunque modo formati", sia finalizzata unicamente alla corretta esecuzione degli obblighi derivanti dai commi 3-bis, 3-ter e 3-quater dell´articolo 130 del Codice. La formulazione della norma in esame appare suscettibile di ingenerare dubbi interpretativi in relazione alle modalità di consultazione del registro da parte degli operatori, disciplinate al successivo comma 3, che non devono consentire "il trasferimento di dati personali contenuti nel registro stesso". Appare pertanto necessario modificare la disposizione, sopprimendo le parole: "e dei dati in esso contenuti, in qualunque modo formati".

4. Fermo restando quanto già considerato al punto 2), il comma 5 dell´articolo 8 dispone che a ciascun operatore siano consegnate "credenziali di  autenticazione per l´accesso ai sistemi di aggiornamento degli elenchi". Con tale formulazione – peraltro non del tutto chiara – la norma sembra introdurre un concetto, quale quello di "sistemi di aggiornamento degli elenchi", di cui non vi è menzione nelle altre disposizioni del regolamento e che rischia di ingenerare dubbi interpretativi in ordine alle modalità di funzionamento e di accesso al registro da parte degli operatori. Non è chiaro, infatti, se l´accesso a cui sono abilitati gli operatori riguardi il registro (come progressivamente aggiornato) ovvero altri sistemi di aggiornamento, di cui tuttavia non sono espressamente disciplinate la natura, le finalità, le modalità di funzionamento. Sul punto, appare pertanto opportuno riformulare la norma, al fine di chiarirne con maggiore precisione il significato, in coerenza con la disciplina delle modalità di accesso e funzionamento del registro previste dalle altre disposizioni del regolamento, nonché dall´articolo 20-bis del citato decreto-legge  25 settembre 2009, n. 135.

5. Il comma 6 dell´articolo 8 prevede che, di ogni operazione di accesso al sistema e di "aggiornamento degli elenchi sulla base dei dati contenuti nel registro", realizzata dagli operatori, siano conservate, per ventiquattro mesi dal momento della generazione, le registrazioni degli eventi di accesso,  di aggiornamento degli elenchi e di disconnessione dell´operatore. La norma non specifica di quali elenchi si tratti, né individua in maniera univoca il soggetto destinatario dell´obbligo di conservazione delle registrazioni, non chiarendo del tutto se questi sia ciascun operatore ovvero il gestore del registro.

6. Il comma 2 dell´articolo 14, all´ultimo periodo, dispone - in relazione alla disciplina fondata sull´iscrizione dell´opposizione nella Base Dati Unica - che la consultazione "delle opposizioni manifestate dall´interessato è resa disponibile agli operatori, a condizioni non discriminatorie, anche tramite l´aggiornamento degli elenchi telefonici pubblici on line, o tramite apposita modalità di consultazione di una sezione dei suddetti elenchi on line, riservata alle opposizioni". Nella sua formulazione, la norma solleva perplessità in punto di compatibilità con il disposto di cui all´articolo 12, comma 3, della direttiva 2002/58/CE, nella misura in cui sembra ammettere l´espressione dell´opposizione (opt-out) piuttosto che del consenso dell´interessato (opt-in) al trattamento di dati per finalità di telemarketing (e perciò per finalità diverse da quella di ricerca di dati su persone sulla base del loro nome, che è la finalità principale degli elenchi telefonici) negli elenchi telefonici disponibili al pubblico. È pertanto necessario riformulare tale disposizione, chiarendo che in tali elenchi è riportata solo la notizia dell´iscrizione dell´opposizione nella Base Dati Unica. A quest´ultimo scopo, le parole da ", o tramite" fino alla fine del periodo, dovrebbero essere sostituite dalle seguenti: ", mediante inserzione, in questi ultimi o in una loro sezione, di una specifica annotazione dell´iscrizione della medesima opposizione".

RITENUTO

7. Al fine di promuovere la più ampia conoscibilità dell´avvenuto esercizio del diritto di opposizione da parte degli interessati, è fortemente auspicabile estendere alla fase di messa a regime del registro la previsione di una specifica annotazione dell´iscrizione dell´opposizione negli elenchi telefonici pubblici, alla stregua di quanto previsto all´articolo 14, comma 2, come riformulato in base alle indicazioni contenute al precedente punto 6).

8. Al fine di agevolare il più possibile l´esercizio, da parte di ciascun abbonato, del diritto di opposizione, all´articolo 7, comma 1, è fortemente auspicabile prevedere – come peraltro già richiesto informalmente dall´Autorità – la possibilità di inviare una pluralità di richieste di iscrizione al registro mediante un unico plico postale, comprensivo delle copie dei documenti d´identità di ciascun richiedente.

IL GARANTE

esprime parere favorevole sullo schema di regolamento recante  l´istituzione e la gestione del registro pubblico delle opposizioni, con le seguenti condizioni:

a) al comma 2 dell´articolo 3, siano soppresse le seguenti parole: ", nei casi in cui i dati non siano raccolti dagli elenchi di abbonati di cui all´articolo 2, comma 2," (punto 1);

b) all´articolo 5, comma 2, in relazione al rinvio – ivi contenuto – all´articolo 8, si chiarisca se si intenda richiedere, in capo a ciascun operatore, un obbligo di registrazione "una tantum", ovvero il rinnovo di tale obbligo a fronte di ciascuna consultazione (punto 2);

c) all´articolo 8, comma 1, secondo periodo, siano soppresse le parole: "e dei dati in esso contenuti, in qualunque modo formati" (punto 3);

d) ferma restando la condizione di cui alla precedente lettera b), l´articolo 8, comma 5,  sia riformulato al fine di chiarirne con maggiore precisione il significato, in coerenza con la disciplina delle modalità di accesso e funzionamento del registro previste dalle altre disposizioni del regolamento, nonché dall´articolo 20-bis del citato decreto-legge  25 settembre 2009, n. 135  (punto 4);

e) l´articolo 8, comma 6, sia riformulato al fine di individuare in maniera univoca di quali elenchi si tratti e quale sia il soggetto destinatario dell´obbligo ivi previsto, chiarendo se questi sia ciascun operatore ovvero il gestore del registro (punto 5);

f) all´articolo 14, comma 2, nell´ambito della disciplina fondata sull´iscrizione delle opposizioni nella Base Dati Unica, sia chiarito che negli elenchi telefonici pubblici è riportata solo la notizia dell´iscrizione dell´opposizione nella Base Dati Unica nei termini di cui al punto 6);

e con le seguenti raccomandazioni:

g) si auspica vivamente che l´Amministrazione estenda anche alla fase di messa a regime del registro pubblico la previsione di una specifica annotazione dell´iscrizione dell´opposizione negli elenchi telefonici pubblici, alla stregua di quanto previsto all´articolo 14, comma 2, come riformulato in base alla condizione sub h); ciò perché tale estensione consentirebbe al cittadino di verificare che la sua volontà di opporsi al trattamento è stata inserita nel registro (punto 7). In alternativa, si raccomanda all´Amministrazione di prevedere nel regolamento altra modalità parimenti efficace per consentire agli interessati e al pubblico di conoscere la volontà espressa e la conseguente iscrizione nel registro;

h) si auspica vivamente che nel regolamento sia prevista, all´articolo 7, comma 1, la possibilità di inviare una pluralità di richieste di iscrizione mediante un unico plico postale, comprensivo delle copie dei documenti d´identità di ciascun richiedente (punto 8).

Roma, 13 maggio 2010

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli