Diritti interna

Doveri interna

ricerca avanzata

Reti telematiche e Internet - Consenso consapevole e libero per il trattamento dati per l'erogazione del servizio Internet gratuito 'Libero' di In...

 [doc. web n. 30911]

Reti telematiche e Internet - Consenso consapevole e libero per il trattamento dati per l´erogazione del servizio Internet gratuito ´Libero´ di Infostrada S.p.A. - 13 gennaio 2000

Il Garante ha chiarito, fermo restando il rispetto della volontà dei cittadini e dei consumatori di accettare la cessione di dati identificativi o attinenti a gusti, preferenze ed interessi, per ottenere gratuitamente determinati servizi, gli interessati devono, però, essere messi in grado di esprimere le proprie scelte sull´uso dei dati che li riguardano in maniera consapevole e libera.


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De Siervo e dell´ing. Claudio Manganelli, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal Segretario generale ai sensi dell´art. 7, comma 2, lettera a) del d.P.R. 31 marzo 1998, n. 501;

RELATORE il Prof. Giuseppe Santaniello;

PREMESSO:

1. Gli accertamenti sul trattamento di dati personali relativo al servizio "Libero" di accesso gratuito ad Internet sono stati disposti da questa Autorità nei confronti di Infostrada S.p.a., ai sensi degli artt. 31 e 32, comma 1, della legge n. 675/1996, a seguito di alcune segnalazioni pervenute dopo il relativo avvio avvenuto il 13 luglio 1999.

È stato inizialmente segnalato al Garante che il servizio può essere attivato da chiunque per via telematica (collegandosi al sito Internet di "Libero" e consultando le relative pagine Web), mediante la compilazione di un modulo e l´accettazione di alcune condizioni generali di contratto, manifestata selezionando talune caselle.

Si è fatto presente che nel modulo sono richieste diverse informazioni relative a dati anagrafici, codice fiscale, domicilio o residenza, professione e titolo di studio, numero dei componenti, responsabile degli acquisti del nucleo familiare, precedenti provider utilizzati, gusti ed interessi. In proposito, le segnalazioni hanno lamentato imprecisioni e carenze riguardo alle condizioni generali di contratto, all´informativa agli interessati e alla raccolta del consenso.

(Omissis).

2. Il 2 agosto 1999, il Garante ha chiesto a Infostrada S.p.A. di fornire dettagliati elementi per valutare le segnalazioni pervenute, con particolare riferimento alle tipologie dei dati raccolti, alle finalità, alle modalità e alle logiche del loro trattamento, all´ambito soggettivo della loro divulgazione, nonché agli accorgimenti adottati per tutelare i diritti degli interessati (informativa, consenso, misure di sicurezza, ecc.).

La società, dopo aver chiesto un breve differimento del termine del 25 agosto, ha inviato alcune informazioni il 7 settembre 1999, affermando di aver apportato già alcune modifiche al servizio e alla modulistica (di cui ha allegato copia).

(Omissis).

I primi elementi inviati dalla società hanno reso necessari alcuni approfondimenti. In particolare, Infostrada S.p.a. ha aderito all´invito dell´Autorità fornendo altre notizie ed informazioni nell´audizione tenutasi il 29 settembre 1999, durante la quale la società è stata invitata ad approfondire taluni aspetti in una relazione che è stata inviata il 22 ottobre u.s., unitamente alle versioni "definitive" delle condizioni di contratto e del modulo di iscrizione.

3. Nel riepilogare i profili oggetto del complesso approfondimento svolto, occorre muovere dalla seguente descrizione del servizio, la quale si basa peraltro (punti 3-10 del presente provvedimento) sulle informazioni e sulle notizie fornite dalla società.

Dal materiale acquisito è emerso anzitutto che ciascun utente, collegandosi al predetto sito Web per abbonarsi a "Libero", può consultare dapprima una home page che riporta varie indicazioni e, poi, un´altra pagina contenente:

a) il "modulo di iscrizione facilitato", recante alcuni campi da compilare (attraverso un´ulteriore selezione si può visionare il "modulo di iscrizione esteso" che prevede un maggiore numero di riquadri);

b) le "condizioni generali di contratto", riportate in un riquadro nel quale l´utente può scorrere i singoli articoli; un riquadro per l´approvazione specifica di alcuni articoli (ai sensi degli artt. 1341 e 1342 del codice civile) reca poi alcune caselle (funzionali ad una duplice opzione positiva/negativa) che l´interessato può selezionare per l´accettazione;

c) un riquadro contenente l´informativa ai sensi della legge n. 675, collegato a due caselle utilizzabili per la manifestazione del consenso;

d) infine, un richiamo che l´interessato può selezionare per esaminare e stampare i testi delle condizioni contrattuali, delle clausole di approvazione specifica e dell´informativa.

4. La società ha dichiarato di aver apportato il 7 settembre u.s. la maggior parte delle modifiche ai documenti e alle clausole contrattuali descritte in questo e nei successivi paragrafi, mentre le restanti correzioni sarebbero state effettuate nel mese di luglio nei giorni successivi al lancio del servizio.

Le informazioni sulle nuove clausole sarebbero state fornite agli abbonati mediante il temporaneo inserimento nella home page relativa a "Libero" di "un avviso di particolare evidenza" collegato, attraverso un link, alle condizioni generali di contratto (avviso che non risultava più visibile in un controllo effettuato dall´Ufficio il 19 novembre u.s.).

Secondo la società tale avviso si configurerebbe come promessa al pubblico (art. 1989 cod. civ.) che renderebbe applicabile agli abbonati le clausole più favorevoli. Sempre secondo la società, l´acquisizione di un loro ulteriore consenso sarebbe superflua, in quanto le modifiche avrebbero comportato la sola risistemazione di aspetti già regolati contrattualmente, nonché l´eliminazione di alcuni diritti spettanti in via esclusiva alla società.

5. Infostrada S.p.a. ha, poi, fatto presente che:

a) l´inserimento nel modulo di iscrizione dei dati anagrafici e relativi all´indirizzo dell´abbonato sarebbe necessario per "ragioni di sicurezza" e, in particolare, per ottemperare a richieste dell´autorità giudiziaria volte ad ottenere, per indagini penali in corso, "la comunicazione dei dati associabili ad un certo User Id attraverso il quale in data e ora definiti si è realizzata una navigazione" (v. anche l´art. 3 delle condizioni generali di contratto);

b) la richiesta del codice fiscale consentirebbe una "verifica di primo livello sulla veridicità dei dati forniti";

c) sarebbe invece facoltativo il conferimento delle altre informazioni utilizzabili per finalità statistiche e di marketing sulla base del consenso e dell´informativa posta alla fine del modulo di iscrizione. Le formule per l´informativa e il consenso che non sarebbero stati presenti per un disguido tecnico al momento del lancio del servizio, sarebbero state inserite nel modulo il 16 luglio u.s., assieme all´eliminazione del riferimento alla finalità di tutela del credito;

d) nel modulo "definitivo" di iscrizione sono stati indicati (mediante sottolineatura del testo) i campi la cui compilazione sarebbe obbligatoria per l´attivazione del servizio. Come sopra accennato, sono state inoltre previste più modalità di iscrizione: "estesa" (per usufruire delle funzioni di cambio di password) e "semplificata" (con la quale sono richiesti solo i dati strettamente necessari alla registrazione dell´utente);

e) le richieste di informazioni relative a persone diverse dal titolare dell´abbonamento sarebbero state eliminate lo scorso 20 luglio, e i dati raccolti con i precedenti moduli sarebbero stati cancellati.


6. (Omissis).

7. (Omissis).

8. (Omissis).

9. (Omissis).

10. (Omissis).

TUTTO CIÒ PREMESSO IL GARANTE OSSERVA:

11. Le modalità inizialmente previste da Infostrada S.p.A. per il trattamento dei dati degli abbonati al servizio di accesso gratuito ad Internet denominato "Libero", come evidenziato dalle segnalazioni pervenute, non erano pienamente conformi alla legge n. 675/1996 . Esse potevano infatti ingenerare confusione su vari aspetti, in particolare per ciò che riguarda i dati richiesti all´atto della registrazione, la raccolta di informazioni sui siti frequentati, i controlli sulla visualizzazione dei messaggi pubblicitari e il rispetto dei princìpi di correttezza e lealtà nel trattamento dei dati.

Varie anomalie ed incongruenze dei modelli di iscrizione, delle condizioni generali di contratto e dei modelli di informativa e consenso sono state però chiarite od eliminate nel corso del procedimento.

Tuttavia, gli ultimi documenti sottoposti al Garante (oggetto di raffronto con quelli presenti sul sito Web relativo al servizio), se appaiono maggiormente in linea con la normativa sulla protezione dei dati personali, non sono però del tutto rispondenti ai requisiti previsti dalla legge n. 675/1996. Restano infatti da rivedere taluni profili relativi alle informazioni e ai documenti sottoposti al potenziale cliente al momento della richiesta del servizio, rispetto ai quali questa Autorità intende fornire alla società alcune indicazioni.

12. Alcuni dati personali forniti dagli interessati possono essere anzitutto comunicati ad altre società collegate a Infostrada S.p.A., essenzialmente per finalità di marketing. Come già ricordato, la società si è impegnata a non divulgare anche in parte (ossia relativamente agli indirizzi di posta elettronica) dati su connessioni ed accessi a siti, in favore di società interessate su base merceologica a trasmettere pubblicità agli abbonati per via telematica.

Rispetto a questo trattamento di dati, la legge n. 675 pone a carico della società che ne è titolare alcuni obblighi per rispettare i princìpi di correttezza e liceità, in modo particolare per quanto riguarda l´informativa agli interessati e, ove non reso superfluo dalla legge, l´acquisizione del loro consenso.

Su un piano generale, l´informativa rappresenta un requisito di validità del consenso e, comunque, deve essere fornita prima della raccolta dei dati (art. 10, comma 1, l. n. 675/1996), anche nei casi in cui non deve essere richiesto il consenso.

Nel caso di specie, il potenziale cliente può ricavare dalle condizioni generali di contratto alcune notizie sulle finalità e modalità del trattamento dei dati, nonché sul loro ambito di divulgazione, oltre all´indicazione del carattere facoltativo o obbligatorio del loro conferimento.

L´informativa attualmente fornita dalla società (alla fine del modulo di iscrizione) riguarda però solo una parte limitata del complessivo trattamento svolto, essendo in sostanza strumentale all´espressione del consenso per le finalità commerciali e di verifica del grado di soddisfazione della clientela, nonché per la comunicazione ad altre società dei dati forniti al momento dell´iscrizione.

In base all´art. 10, comma 1, della legge n. 675/1996, si rende invece necessario che le informazioni previste da tale articolo:

  • siano ben evidenziate (all´interno di un apposito riquadro, parte di documento o pagina antecedente) prima dei campi in cui il cliente deve indicare i propri dati;
  • siano riferite a tutti gli aspetti del complessivo trattamento svolto dalla società nell´ambito del servizio che gli interessati si accingono ad attivare (anziché ai soli menzionati profili relativi alle finalità commerciali), riepilogando in maniera chiara e sintetica alcune notizie che sono ora sparse nelle condizioni di contratto, specie in riferimento alla registrazione dei dati relativi alle connessioni e ai siti e alle modalità della loro "profilazione" in rapporto agli indirizzi di posta elettronica.

Ai sensi del citato art. 10 è necessario inoltre integrare le predette informazioni con un richiamo, anche sintetico, ai diritti attribuiti agli interessati dal successivo art. 13 , con l´indicazione del soggetto o del servizio al quale ci si può rivolgere per il loro esercizio.

Occorre infine precisare meglio tutte le categorie di soggetti eventualmente destinatarie dei dati, con una indicazione più precisa delle finalità delle comunicazioni.

Tali soggetti, fin dal momento della raccolta da parte loro dei dati, dovranno acquisire anch´essi, previa informativa, il consenso degli interessati. Il consenso attualmente acquisito da Infostrada S.p.A. non è infatti idoneo a rendere lecito anche il successivo trattamento dei dati da parte di tali soggetti, in quanto nelle clausole contrattuali e nell´informativa al momento utilizzati non sono né indicate specificamente le altre società per conto delle quali si chiede il consenso, né sono fornite sufficienti informazioni sulle loro attività e sui connessi trattamenti di dati.

Qualora Infostrada S.p.a. intenda invece richiedere il consenso dei clienti con una unica dichiarazione, anche per quanto riguarda i trattamenti eventualmente svolti da altre società, l´informativa e la clausola di consenso dovranno essere riformulate con la precisa indicazione, anche in un elenco allegato, di tali società e delle principali caratteristiche degli ulteriori trattamenti da essi svolti (finalità, modalità e ambito di comunicazione dei dati).

13. Per quanto concerne poi le operazioni di trattamento diverse dalla comunicazione o diffusione, derivanti dall´adempimento di obblighi contrattuali o di legge, la legge n. 675 consente di svolgerle anche senza il consenso degli interessati (art. 12, comma 1, lettere a) e b), legge n. 675).

Appare quindi più corretto che Infostrada S.p.a. limiti la richiesta del consenso agli abbonati che abbiano accettato le condizioni contrattuali e, in particolare, "autorizzato" l´invio di messaggi pubblicitari sulla propria casella di posta elettronica, alle sole operazioni di utilizzazione dei dati per finalità commerciali non collegate contrattualmente allo stesso servizio e di divulgazione dei dati all´esterno della società. La società dovrà pure considerare la necessità di riformulare la dichiarazione di consenso anche in considerazione delle disposizioni in tema di pubblicità e di chiamate indesiderate, introdotte dai decreti legislativi n. 171/1998 e n. 185/1999 (v. i rispettivi artt. 10).

14. Infostrada S.p.a. ha inoltre eseguito già numerose iscrizioni sulla base dei documenti e dei moduli utilizzati in precedenza. Si pone, pertanto, il problema degli effetti della presente segnalazione nei loro confronti. In proposito, viste le carenze riscontrate nel modulo di informativa, è necessario che la società, fermi restando gli opportuni richiami alle modifiche contrattuali nella home page del sito "Libero", fornisca a ciascun utente già abbonato al servizio, anche per via telematica, il nuovo testo di informativa messo a disposizione dei futuri clienti, richiedendo sulla sua base una nuova manifestazione del consenso e assicurando agli abbonati stessi, tramite un meccanismo agevole, la possibilità di revocare le precedenti manifestazioni di volontà.

15. Il modulo di iscrizione al servizio "Libero" contiene poi vari campi concernenti le informazioni personali richieste per l´attivazione del servizio.

Da verifiche recentemente effettuate d´ufficio, è risultato però che nel modulo di iscrizione "completo" non appaiono più diversi campi (relativi alla professione e al titolo di studio, al nucleo familiare, ai provider utilizzati, agli interessi), che comparivano nel modulo trasmesso a questa Autorità (prima denominato "esteso"). Ora, l´unica differenza con il modulo "facilitato" è che su quello "completo" compare la richiesta del codice fiscale (in entrambi i moduli viene, inoltre, richiesto di indicare se si ha un abbonamento telefonico con Infostrada S.p.A.). Alla luce di questi nuovi elementi, appare pertanto necessario acquisire ulteriori informazioni dalla società sulle ragioni delle predette modifiche (peraltro, non comunicate a questa Autorità), anche rispetto ai precedenti moduli già compilati dagli interessati.

Si prende atto, invece, delle puntualizzazioni fornite circa l´evidenziazione dei campi la cui compilazione è obbligatoria e riguardo alla diversa modalità di iscrizione per l´utilizzo di alcune funzioni relative al cambio password (si osserva peraltro che, come accertato nelle recenti verifiche, il cambio password non risulta essere precluso in caso di registrazione con modulo di iscrizione facilitato).

Va comunque segnalata a Infostrada S.p.a. la necessità di chiarire agli interessati che le informazioni da essa indicate come "necessarie" sono acquisite non in quanto obbligatorie per legge, ma perché la società intende raccoglierle sulla base di una propria, autonoma, scelta di caratterizzazione del servizio, anche quando l´abbonato non presti il consenso a trattamenti e comunicazioni per finalità commerciali.

È fatta peraltro salva la possibilità per Infostrada S.p.a. di indicare eventuali, specifici obblighi normativi che rendano necessaria l´acquisizione di tali dati, obblighi di cui non è però emersa l´esistenza nel procedimento e che non possono essere ravvisati nella mera opportunità di rendere disponibili alcune informazioni sugli abbonati nel caso in cui organi o autorità preposte ad indagini siano interessate in futuro a raccoglierle.

Analoghe precisazioni devono essere fornite agli utenti per quanto riguarda la registrazione del loro numero telefonico durante i collegamenti (Infostrada S.p.a. impone a tutti gli utenti, anche a chi usi uno pseudonimo, di non disattivare il numero pena l´impedimento del collegamento).

In presenza di una libera e specifica manifestazione del consenso, tale registrazione resta infatti lecita, sebbene non sembri necessaria per i fini commerciali cui è legata l´attuale formula di consenso. Infostrada S.p.a. deve tuttavia chiarire pur sempre, all´art. 4 delle condizioni generali di contratto, che non vi è alcun obbligo normativo in proposito che preveda la necessaria registrazione di tale numero. Semmai è da notare che la più recente disciplina in materia di trattamento di dati da parte dei fornitori di servizi di telecomunicazioni pone precisi limiti temporali e di finalità per la raccolta e la conservazione di informazioni di questo tipo (cfr. art. 6 d.lg. n. 171/1998 e l´allegato al decreto stesso).

La società deve, infine, valutare con maggiore attenzione il profilo dell´eccedenza e della pertinenza di alcuni dati considerati obbligatori nel modulo di iscrizione, anche alla luce dell´impossibilità, rappresentata dalla società stessa, di controllare la loro veridicità (e, quindi, dell´eventualità che l´abbonato fornisca dati inesatti o relativi a terzi). In particolare, non appare giustificata l´acquisizione del codice fiscale (richiesto come obbligatorio nel modulo "esteso" e del tutto assente nel modulo "facilitato"), viste anche la gratuità del servizio e l´accennata assenza di controlli.

La valutazione resasi necessaria sulle informazioni non essenziali o eccedenti rispetto alle finalità del servizio (il quale si incentra sull´utilizzo dei codici personali d´accesso ad Internet e delle email degli interessati) dovrà essere da ultimo accompagnata da una migliore specificazione agli interessati delle ragioni della loro raccolta (effettiva natura del loro conferimento e conseguenze del rifiuto di fornirle).

16. Su altri aspetti connessi ai dati relativi ai siti consultati dagli abbonati, il Garante, nel formulare alcune considerazioni rispetto ai primi chiarimenti forniti dalla società, si riserva di effettuare una verifica più approfondita al momento in cui quest´ultima avrà definito le funzioni inerenti al catalogo dei siti e alla "profilazione" dei clienti (con il conseguente invio di messaggi pubblicitari sulle casella di posta elettronica).

In base alle modificazioni apportate e alle assicurazioni fornite da ultimo dalla società, può peraltro ritenersi, al momento, che le modalità ipotizzate di esercizio di tali attività (che, è bene precisare, comportano un trattamento di dati anche quando questo consista nella sola utilizzazione dei dati identificativi relativi agli indirizzi di posta elettronica) non trovano ostacolo nelle disposizioni a tutela del diritto alla riservatezza, ove effettivamente queste modalità garantiscano di non acquisire informazioni sensibili.

Rimane per il resto nella disponibilità degli interessati l´acconsentire a servizi che subordinano una prestazione - quale l´accesso ad Internet - alla cessione di dati identificativi o attinenti a gusti, preferenze ed interessi, sempreché ciò avvenga in conformità alle leggi in particolare per ciò che riguarda la presenza di un consenso libero, specifico ed informato e il rispetto del principio di correttezza nel trattamento (artt. 9 e 11 l. n. 675/1996). L´interessato deve essere infatti messo in grado di esprimere le proprie scelte liberamente e consapevolmente. Deve quindi ricevere previamente tutte le informazioni necessarie per comprendere appieno le finalità e le modalità del trattamento dei dati che lo riguardano, non solo di quelli forniti direttamente, ma anche di quelli che vengono acquisiti successivamente (nel caso di specie, dal monitoraggio delle attività svolte dagli utenti via Internet).

È necessario, quindi, che Infostrada S.p.A. assicuri ai potenziali clienti una piena informazione sulle operazioni di trattamento dei dati che intende eseguire nell´ambito del servizio offerto, fornendo agli interessati, sia nell´informativa, sia nel contratto, una spiegazione chiara e completa del funzionamento, anche tecnico, delle attività di "profilazione", in linea con quanto già specificato al Garante.

PER QUESTI MOTIVI IL GARANTE:

1) segnala a Infostrada S.p.a., ai sensi dell´art. 31, comma 1, lett. c), della legge n. 675/1996, la necessità di adottare entro l´11 febbraio 2000 le modificazioni indicate nei paragrafi 12 e seguenti del presente provvedimento al fine di rendere il trattamento di dati relativo al servizio "Libero" conforme alle disposizioni di legge;

2) dispone che la società, ai sensi dell´art. 32, comma 1, della medesima legge, faccia pervenire al Garante, entro il 21 febbraio 2000:

a) i modelli e i documenti riformulati secondo le indicazioni fornite;

b) ulteriori informazioni sulle modifiche da ultimo apportate relativamente ai campi del modulo di iscrizione "completo", concernenti i dati personali richiesti per l´attivazione del servizio (v. il par. 15 del presente provvedimento);

c) ove già predisposto, il catalogo dei siti oggetto di rilevazione e una precisa descrizione dei criteri alla base del connesso trattamento dei dati;

dispone, infine, che copia del presente provvedimento sia trasmesso, previa omissione delle informazioni che possono pregiudicare gli interessi di riservatezza di Infostrada S.p.A., anche ad altri operatori che offrono servizi analoghi a quello esaminato, rispetto ai quali il Garante si riserva di adottare in altra sede ogni ulteriore iniziativa utile per sensibilizzare i fornitori e per assicurare il pieno rispetto della normativa in materia, ove necessario anche attraverso appositi controlli.

Roma, 13 gennaio 2000

IL PRESIDENTE
Rodotà

IL RELATORE
Santaniello

IL SEGRETARIO GENERALE
Buttarelli