g-docweb-display Portlet

Verifica preliminare. Trattamenti di dati personali aggregati della clientela nell'ambito di una più complessa ed articolata attività di profilazione - 17 dicembre 2015 [4698620]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 4698620]

Verifica preliminare. Trattamenti di dati personali aggregati della clientela nell´ambito di una più complessa ed articolata attività di profilazione - 17 dicembre 2015

Registro dei provvedimenti
n. 663 del 17 dicembre 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del Garante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 159 del 11 luglio 2009 di seguito "provvedimento generale");

VISTO il provvedimento adottato dal Garante il 4 febbraio 2010 nei confronti di Wind Telecomunicazioni S.p.A. (di seguito "Wind"), in materia di profilazione della clientela attraverso l´utilizzo di dati personali aggregati, in ragione dell´istanza di verifica preliminare presentata dalla società a seguito della pubblicazione del provvedimento generale;

RILEVATO che, sulla base di quanto prescritto nel citato provvedimento del 2010, Wind è stata autorizzata allo svolgimento della suddetta attività di profilazione anche senza il consenso specifico degli interessati, in forza di un bilanciamento di interessi condotto dall´Autorità e nel rispetto delle precise misure tecniche e organizzative prescritte;

VISTO il provvedimento del 15 marzo 2012 sull´"Arricchimento dei dati personali della clientela nell´ambito dell´attività di profilazione" (in www.garanteprivacy.it, doc. web n. 1903026);

VISTO il provvedimento generale dell´Autorità del 6 febbraio 2014 sull´"Aggiornamento delle prescrizioni dirette  ai fornitori di servizi di comunicazione elettronica accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 58 del 11 marzo 2014) con particolare riguardo alla previsione di una nuova base temporale di aggregazione dei dati personali, utilizzati per la misurazione dei fenomeni che rilevano per la profilazione dell´utenza da parte dei suddetti fornitori;

VISTO il provvedimento generale dell´Autorità dell´8 maggio 2014  sull´"Individuazione  delle modalità semplificate per l´informativa e l´acquisizione del consenso per l´uso dei cookie" (pubblicate in G.U. n. 126 del 3 giugno 2014);.

VISTE le "Linee guida in materia di trattamento dei dati personali per profilazione on line" del 19 marzo 2015 (pubblicato in G.U. n. 103 del 6 maggio 2015);

VISTA l´Opinion del Gruppo di lavoro per la tutela dei dati personali ex art. 29 (di seguito, "WP 29") n. 4 /2007 sul concetto di dati personali,  adottata il 20 giugno 2007;

VISTE l´Opinion del WP 29 n. 04/2012 in materia di cookie consent exemption, adottata il 7 giugno 2012, ed il Working Document del medesimo WP 29 n. 02/2013 providing guidance on obtaining consent for cookies, adottato il 2 ottobre 2013;

VISTA l´Opinion del WP 29 n. 05/2014 sull´impiego delle tecniche di anonimizzazione, adottata il 10 aprile 2014;

ESAMINATA la nuova istanza di verifica preliminare presentata da Wind in data 23 settembre 2015, con riguardo ad ulteriori trattamenti di dati personali aggregati della clientela nell´ambito di una più complessa ed articolata attività di profilazione;

VISTI gli elementi acquisiti a seguito dei vari incontri tenutisi presso l´Autorità e la successiva documentazione prodotta il 5 ottobre ed il 28 ottobre 2015;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Antonello Soro;

PREMESSO

1. L´evoluzione dei servizi e delle tecnologie di comunicazione elettronica accessibili al pubblico. I nuovi modelli di profilazione.

Nella nuova istanza di verifica preliminare Wind ha rappresento la necessità di confrontare il modello di analisi utilizzato per la propria attività di profilazione, sulla base delle prescrizioni dettate dall´Autorità nel citato provvedimento del 2010, con il mutato scenario tecnologico e di mercato.

La vertiginosa evoluzione dei servizi e delle tecnologie della comunicazione elettronica accessibile al pubblico (diffusione di device intelligenti e crescente penetrazione della banda larga mobile) da un lato, l´ingresso di nuovi competitor, i cd. Over the Top (OTT) dall´altro, hanno difatti determinato l´opportunità di mutare il focus dell´attività di profilazione svolta da Wind, in particolare attraverso il passaggio da un modello "statico" che si riferisce ai servizi ed ai prodotti offerti, ad un modello "dinamico" che comporta "un approccio proattivo e predittivo" volto a comprendere e ad anticipare le esigenze della clientela, valorizzandone le relazioni ed interazioni con la società.

Il nuovo scenario implicherebbe quindi, secondo la società, il superamento delle tradizionali strategie commerciali in cui il cliente è percepito come un soggetto spersonalizzato e passivo e l´apertura verso nuove logiche di contatto che si incentrano su una visione personalizzata dei bisogni dell´utente, sulla flessibilità della relazione con lo stesso, sull´efficacia e convenienza delle offerte ed il miglioramento del grado di soddisfazione, nonché sulla riduzione delle comunicazioni indesiderate.

2. Gli ambiti in cui può svolgersi l´attività di profilazione.

Riprendendo quanto già rappresentato nella richiesta che ha dato luogo alla verifica preliminare ed al conseguente provvedimento del 2010, Wind ha evidenziato che i trattamenti di profilazione sono oggetto di tre macro attività aziendali.

In primo luogo, la Business intelligence & corporate performance analysis che consiste nel monitoraggio e nell´analisi dell´andamento economico della società, di quello di mercato e dei prodotti e servizi offerti, nonché dell´utilizzo delle risorse. In questo contesto l´attività che Wind intenderebbe svolgere riguarda l´applicazione di modelli di analisi più sofisticati, volti a consentire l´osservazione delle modalità di fruizione dei servizi proposti e le risposte a specifiche azioni intraprese dall´azienda, rispetto alle offerte ed agli interventi infrastrutturali e tecnologici, così da individuare azioni ricorrenti e eventi utili ad indirizzare più efficacemente servizi di assistenza e comunicazione alla clientela.

In secondo luogo, l´attività di Customer Insight che consiste nell´implementazione delle regole e degli attributi ricavati dalla precedente attività di business intelligence o derivati da altre  funzioni commerciali dell´azienda, al fine di individuare cluster di utenza con caratteristiche comuni di fruizione dei servizi Wind, cui indirizzare campagne promozionali o comunicazioni di servizio.

Infine l´attività di Campaign Preparation che comporta, come già in precedenza rappresentato, l´attuazione delle campagne commerciali o di comunicazione e, come ultimo passo operativo, l´attività di campaign delivery, ovvero l´acquisizione e l´indirizzamento dei contatti verso canali di comunicazione automatizzati (ad es. sms) o non automatizzati (ad es. contact center, mailing etc.).

3. Le nuove esigenze di profilazione. I modelli di analisi rappresentati dalla società.

Nella documentazione tecnica inizialmente allegata all´istanza di prior checking, la società ha rappresentato diversi modelli di analisi dei dati personali aggregati della propria clientela, quale espressione dell´evoluzione dell´attività di profilazione che intenderebbe svolgere:

•  un primo modello di analisi basato sull´utilizzo di nuovi driver di segmentazione della clientela, […] OMISSIS

•  Un altro modello di analisi incentrato sulla selezione di eventi specifici, ovvero di sequenze di eventi e comportamenti significativi che caratterizzano l´esperienza del cliente […] OMISSIS

[…] OMISSIS.

• Un ulteriore modello di analisi è stato individuato nella cd. social network analysis, (ovvero un modello statistico di analisi attivo sulla rete di relazioni) per la comprensione dei fenomeni relazionali che interessano la clientela di Wind e la definizione di diverse community all´interno della propria customer base, […] OMISSIS

In tal modo, l´attività descritta da Wind sarebbe volta ad una profilazione per gruppi, definiti in base all´appartenenza dell´individuo ed alla natura delle sue relazioni. […] OMISSIS

Pertanto, alla luce di quanto descritto, il comportamento che la società intenderebbe analizzare non riguarderebbe più il singolo individuo inserito in un cluster in cui sono presenti altri individui con il medesimo profilo di consumo, ma si inserirebbe in una rete di relazioni che ne definiscono l´appartenenza ad una determinata community sulla cui base individuare nuove tipologie di prodotti e servizi. Ciò attraverso il passaggio da un modello di profilazione che permette la classificazione degli utenti in cluster ad un modello in cui, unitamente a tale passaggio, si opera anche una profilazione dell´individuo per gruppo di appartenenza.

• La società ha poi prospettato un modello di analisi basato sull´elaborazione delle informazioni desumibili dall´utilizzo di marcatori di profilazione […] OMISSIS

4. I successivi modelli di analisi rappresentati da Wind.

In un successivo documento del 5 ottobre 2015 la società ha descritto ulteriori modelli di analisi dei dati personali aggregati della propria clientela sui quali intendeva operare.

Tuttavia, a seguito degli incontri svoltisi presso l´Autorità, Wind ha prodotto il successivo 28 ottobre, un documento finale nel quale ha meglio delineato il perimetro definitivo della propria attività di profilazione.

In particolare, in quest´ultimo documento, è stato descritto un modello di geolocalizzazione […] OMISSIS

4.1. La geolocalizzazione

Dall´analisi congiunta dei diversi documenti prodotti è emerso che il modello di geolocalizzazione definito dalla società […] OMISSIS, non sarebbe […] OMISSIS possibile […] OMISSIS "risalire negli ambienti di elaborazione, alla posizione/indirizzo della cella stessa".

[…] OMISSIS

Orbene, il descritto modello di analisi ed in particolare il ricorso al dato di geolocalizzazione che la società intenderebbe trattare senza il consenso dell´interessato, anche in ragione dell´asserita "impossibilità" di risalire alla specifica posizione–indirizzo della cella cui risulta agganciato il relativo dispositivo mobile, implica una serie di considerazioni.

[…] OMISSIS

Pertanto, un possibile utilizzo del dato di geolocalizzazione deve essere circoscritto al contesto ed alla applicazione delle misure di seguito indicate nel provvedimento.

4.2. L´arricchimento dei dati

Con riguardo invece al modello relativo all´arricchimento dei dati della clientela, in particolare attraverso l´acquisizione di informazioni di natura statistica o inferenziale rispetto alla generalità della popolazione, provenienti da fonti pubbliche e private (quali quelle desumibili dalle analisi condotte da società che svolgono ricerche di mercato, sondaggi di opinione e ricerca sociale), i dati che verrebbero utilizzati attengono a due macro categorie. […] OMISSIS

Nell´ambito del contesto descritto la società ha altresì evidenziato che l´attività di arricchimento della propria customer base per finalità di profilazione, si svolgerebbe attraverso il ricorso a dati "di natura statistica o probabilistica in forma aggregata e non riconducibili a singoli soggetti". […] OMISSIS

In questo contesto la società ha poi inteso specificare che il processo descritto verrebbe attuato nel rispetto delle prescrizioni dettate dal Garante e delle specifiche misure di sicurezza previste nel provvedimento del 15 marzo 2012 sull´arricchimento dei dati della clientela nell´ambito dell´attività di profilazione, richiamando altresì il bilanciamento di interessi che in quella sede è stato effettuato ai fini dell´esonero dalla necessaria acquisizione del preventivo consenso degli interessati.

Orbene, posto che la complessità del processo di arricchimento può consentire di pervenire a previsioni supportate da un alto grado di verosimiglianza, favorito dall´ampiezza delle fonti richiamate e dall´impiego di strumenti di analisi statistica molto accurati, risultano necessarie alcune  considerazioni.

Difatti, l´assegnazione al cliente di nuovi attributi, legati al contesto territoriale e sociale, ne aumenta inevitabilmente il grado di identificabilità e consente un più puntuale invio di comunicazioni promozionali e commerciali.

Come il Garante ha già avuto modo di rilevare proprio nel citato provvedimento  del 15 marzo 2012, si pensi al caso di un utente appartenente ad un gruppo definito da elevati livelli di traffico e di spesa desunti dall´attività di profilazione telefonica che risulti inoltre residente in una determinata area geografica, caratterizzata da una certa tipologia di abitanti (definita, ad esempio, in base alla professione ed al livello di reddito). In questa ipotesi l´arricchimento del cluster con tali parametri, pur non desunti da un´analisi comportamentale del cliente, può consentire alla società di formulare, con elevato grado di verosimiglianza, offerte rivolte a tutti i soggetti che presentano quelle caratteristiche di consumo telefonico e risiedono in quella determinata zona residenziale.

In tale contesto, pertanto, tanto maggiore risulterà essere il grado di correlazione tra i descritti attributi e l´area geografica di riferimento, tanto più puntuale potrà essere la previsione di appartenenza del soggetto ad una determinata categoria e, quindi, la possibilità di relativa identificazione.

Di conseguenza, oltre al pieno rispetto di tutte le misure già prescritte dall´Autorità nell´ambito del citato provvedimento per l´operazione di arricchimento che rivesta le caratteristiche già individuate, è necessario che la società adotti anche ulteriori accorgimenti, come indicati in prosieguo. […] OMISSIS

5. L´esame preliminare ex art. 17 del Codice.

Come emerge chiaramente, l´attività di profilazione prospettata dalla società integra un´ipotesi di trattamento di dati più articolato e complesso di quello precedentemente autorizzato nel  provvedimento del 2010. Ciò, sia perché i dati trattati si arricchiscono di nuovi indicatori e vengono tratti da diversi contesti, sia perché il dato, seppur aggregato, deriva da un´informazione personale che resta in forma completa e dettagliata nei sistemi originari della società e nella relativa disponibilità. Inoltre, le misure indicate da Wind seppure rinforzano la sicurezza, possono consentire l´identificazione di uno specifico utente.

Pertanto, nell´ambito dei nuovi modelli di profilazione che la società intenderebbe realizzare possono emergere rischi specifici per i diritti e le libertà degli utenti e la conseguente necessità di una valutazione preliminare da parte dell´Autorità, come correttamente richiesto nella nuova istanza presentata ai sensi del menzionato art. 17 del Codice, che tenga conto dei presupposti giuridici e delle misure di sicurezza che, sulla base della vigente normativa sulla protezione dei dati personali, devono presidiare tali diritti e libertà.

6. Il bilanciamento di interessi: il legittimo interesse del titolare e i benefici per l´utente.

Da quanto sopra descritto il trattamento di profilazione che la società intende effettuare coinvolge informazioni riferibili agli utenti che possono essere trattate solo sulla base dei presupposti giuridici previsti dal Codice, in particolare il consenso degli interessati. Tuttavia,  nel contesto delineato da Wind, può operare anche il ricorso ad uno dei presupposti che, sulla base dell´art. 24 del Codice (specificamente al comma 1, lett g) della norma) delineano la possibilità di effettuare il trattamento senza il suddetto consenso, in particolare laddove l´Autorità individui, sulla base dei principi sanciti dalla legge e nel rispetto di tutte le misure idonee alla salvaguardia degli interessati stessi, la necessità di  perseguire un legittimo interesse del titolare.

Su tali premesse il Garante può infatti condurre un bilanciamento tra gli interessi in gioco che, nell´ipotesi in esame, può realizzarsi tenendo conto, da un lato proprio dell´interesse legittimo della società ad operare nuove forme di profilazione, dall´altro dei benefici che il trattamento descritto può comportare anche per i clienti Wind, in particolare con riguardo alla possibilità di ricevere prodotti e servizi più  funzionali ed utili alle loro specifiche esigenze.

Il legittimo interesse rappresentato dal titolare, come richiamato dal menzionato art. 24 del Codice, è delineato dalla circostanza che la nuova e più articolata attività di profilazione che Wind intenderebbe svolgere costituisce un aspetto importante dell´attività aziendale, posto il mutato scenario di mercato che ha visto emergere nuove tecnologie di comunicazione ed una crescente richiesta della clientela di servizi personalizzati per contenuti e tariffe, in un´ottica di maggiore interazione con la società.

Il quadro di forte competitività e la necessità di implementare le strutture e gli investimenti definisce, quindi, l´attività di profilazione tra quelle prevalenti di Wind che può coniugarsi con i bisogni della clientela, garantendo a quest´ultima una maggiore comprensione delle relative esigenze ed un miglioramento del grado di soddisfazione, attraverso offerte più mirate e qualitativamente più soddisfacenti. A ciò può aggiungersi per l´utente un´ottimizzazione dei costi, una maggiore efficienza del servizio di assistenza ed una riduzione del rischio di ricevere comunicazioni indesiderate.

Inoltre, la tipizzazione per gruppi consentirebbe alla società di realizzare una migliore attribuzione dell´utente al gruppo stesso di appartenenza rispetto alla tipizzazione individuale e, quindi, di ridurre il margine di errore proprio grazie alla deduzione di modelli ricorrenti e riconducibili a schemi di comportamenti di gruppo che si aggiungono a quelli individuali.

V´è da ribadire comunque che, nel contesto delineato, il legittimo interesse della società deve necessariamente coniugarsi con il rispetto delle misure e degli accorgimenti prescritti dal Garante nel presente provvedimento a garanzia dei diritti e delle libertà fondamentali degli interessati.

Resta inoltre inteso che la successiva attività di marketing, rivolta agli utenti, può svolgersi solo in presenza del loro specifico consenso ai sensi dell´art. 23 del Codice.

7. Le misure adottate dalla società.

Con riguardo ai nuovi modelli di analisi, Wind ha dichiarato che devono intendersi rinforzate tutte le misure di sicurezza che operano attualmente rispetto all´architettura di supporto alle tre macro attività di business intelligence & corporate analysis, customer insight e campaingn preparation legate al processo di profilazione. In particolare avuto riguardo:

1) alla separazione logica e fisica dei sistemi dedicati alla profilazione rispetto a quelli  originari che costituiscono la fonte del dato aggregato ed a quelli utilizzati per altre finalità aziendali;

2) alla cd. segregation of duties, ovvero alla definizione e configurazione, per i soggetti incaricati del trattamento di profilazione, di idonee credenziali di autenticazione ed autorizzazione, diversificate da quelle utilizzate su altri sistemi aziendali, così da impedire la correlazione delle informazioni riferibili ad uno stesso cliente;

3) al cd. need to know ed alla data minimisation, ossia alla limitazione della quantità e tipologia di dati, trattati dai diversi soggetti addetti alle attività sottese al processo di profilazione, esclusivamente a quanto strettamente necessario allo svolgimento delle mansioni assegnate e consentito dallo specifico profilo di autenticazione e autorizzazione attribuito;

4) al ricorso alla pseudonimizzazione dei dati identificativi dei clienti trattati nell´ambito dei sistemi di profilazione, così da ridurre il potere identificativo dell´informazione, mascherando l´identità dell´interessato "in modo da non consentire agli addetti all´attività di profilazione di risalire anche indirettamente allo stesso". In tal senso opererebbe il ricorso ad un "codice non parlante e dinamico" diverso da quelli eventualmente utilizzati in altri sistemi aziendali deputati alla gestione della clientela.

Orbene, preso atto della prospettiva di potenziamento delle misure di sicurezza già adottate dalla società, giova comunque ricordare che l´utilizzo del descritto codice, che pure rende il dato non immediatamente intellegibile, non consente di superare la corrispondenza biunivoca che permane tra il dato pseudonimizzato e quello identificativo presente nei sistemi originari di Wind.

In tal senso, del resto, anche nell´ambito delle tecniche di anonimizzazione, il Gruppo ex art. 29 nel citato parere 05/2014  ha fornito una serie di indicazioni per definirne la relativa affidabilità, evidenziando come per raggiungere un alto grado di anonimizzazione il titolare debba valutare diversi elementi, tenendo conto dell´insieme dei mezzi che possono essere ragionevolmente utilizzati dallo stesso o da terzi per identificare l´interessato, nonché della probabilità di reindetificazione di quest´ultimo sulla base dei dati trattati. Così come pure ha inteso precisare che la pseudonimizzazione è da intendersi alla stregua di una utile misura di sicurezza e non come un metodo di anonimizzazione.

8. I nuovi accorgimenti da adottare.

Alla luce delle considerazioni sopra espresse, i diversi modelli di analisi che la società ha prospettato come espressione del potenziamento della propria attività di profilazione implicano, ai fini di un corretto trattamento dei dati personali aggregati degli utenti, il rispetto delle seguenti misure:

1. i nuovi driver di segmentazione, […] OMISSIS

2. gli elementi che caratterizzano il modello di analisi del percorso […] OMISSIS

3. Con riguardo al modello statistico di analisi attivo sulla rete di relazioni […] OMISSIS

4. […] OMISSIS

5. Rispetto al modello di geolocalizzazione, […] OMISSIS

6. Con riguardo all´arricchimento dei dati della clientela, […] OMISSIS

9. Le ulteriori misure. L´informativa agli utenti.

Sulla base di quanto sopra evidenziato, il modello di informativa predisposto dalla società dovrà essere modificato ed integrato con la specifica indicazione delle nuove modalità di profilazione che Wind intende adottare e delle relative finalità, evidenziando che il trattamento dei dati personali aggregati degli utenti potrà essere effettuato dalla società avvalendosi dell´esonero al consenso sulla base di quanto previsto nel presente provvedimento, posta l´adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall´Autorità.

Anche l´esercizio dei diritti di cui all´art. 7 del Codice con riguardo alle nuove forme di profilazione dovrà essere oggetto di richiamo nella suddetta informativa.

10. Il diritto di opposizione al trattamento da parte dell´interessato.

Nel contesto sopra descritto il trattamento della maggior parte dei dati che la società intende utilizzare per la propria attività di profilazione può svolgersi senza la previa acquisizione del consenso degli interessati in forza del bilanciamento effettuato dall´Autorità e del rispetto da parte di Wind delle misure prescritte. Pertanto quest´ultima dovrà prevedere un apposito meccanismo che consenta all´utente di esercitare in maniera rapida ed agevole i diritti di cui al citato art. 7 del Codice e, in particolare, quelli di cui al comma 4 della norma.

Pertanto Wind dovrà prevedere la possibilità per il cliente di opporsi in tutto o in parte al trattamento dei propri dati personali, attraverso la predisposizione di un form all´interno della pagina web dedicata agli utenti per la gestione della fruizione dei servizi abilitati.

In tale ambito l´interessato potrà inserire il proprio numero di telefonia fissa o mobile, ovvero un altro elemento identificativo e manifestare la propria volontà di opposizione. Oltre a tale misura la società dovrà predisporre un indirizzo di posta elettronica appositamente dedicato e facilmente reperibile nell´informativa, attraverso cui l´interessato potrà manifestare la propria volontà.

Inoltre, al fine di rendere edotto il cliente della tempistica con la quale il titolare registra la sua richiesta ed interviene, Wind dovrà prevedere un meccanismo di notifica che, in funzione del canale di comunicazione prescelto (pagina web o posta elettronica), consenta all´utente di avere conferma sia dell´avvenuta ricezione della relativa richiesta da parte del titolare, sia successivamente, dell´avvenuta adozione della specifica misura invocata.

11. La conservazione. Misure ed accorgimenti prescrittivi.

I dati personali oggetto dell´attività di profilazione devono essere conservati per un limitato periodo di tempo, proporzionato alle finalità realizzate con il trattamento.

Come già evidenziato nel provvedimento del 4 febbraio 2010, il periodo massimo di conservazione dei dati potrà individuarsi in 12 mesi, cui potrà aggiungersi un´ulteriore finestra di tre mesi allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei servizi offerti.

Alla scadenza del periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta da Wind, dovranno essere cancellati definitivamente, ovvero, in alternativa, anonimizzati.

Pertanto, laddove la società intenda ricorrere a tale alternativa, benché non sia possibile fornire indicazioni minime sui parametri da utilizzare, in quanto ogni insieme di dati deve essere studiato caso per caso, la tecnica di anonimizzazione da adottare potrà ritagliarsi sulle raccomandazioni pratiche fornite dal Gruppo ex art. 29 nel sopra richiamato parere 05/2014.

Alla scelta dovrà poi far seguito una comunicazione all´Autorità rispetto alla tecnica individuata ed alla valutazione della relativa efficacia sulla base del rischio residuo di reidentificazione dell´utente.

12. Altre misure ed accorgimenti.

Permane l´obbligo della società di notifica al Garante del trattamento ai sensi degli artt. 37 e 38 del Codice. 

13. Sanzioni

Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l´applicazione delle sanzioni previste dall´art. 162, comma 2 bis del Codice.

TUTTO CIÒ PREMESSO IL GARANTE:

A) individua, ai sensi dell´art. 24, comma 1, lett. g) del Codice, nella situazione delineata da Wind Telecomunicazioni S.p.A., con sede legale in Via Cesare Giulio Viola, 48 (00148 Roma), un´ipotesi di bilanciamento degli interessi, in cui il trattamento dei dati personali aggregati per attività di profilazione della clientela può essere effettuato, così come specificamente emerso, per perseguire un legittimo interesse del titolare e per realizzare specifici benefici per la clientela stessa anche senza richiederne il consenso, prevedendo, in aggiunta alle prescrizioni già dettate nei precedenti provvedimenti, anche quelle successivamente indicate.

B) prescrive pertanto a Wind Telecomunicazioni S.p.A, ai sensi dell´art. 17 del Codice, di adottare, a garanzia degli interessati in conformità alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione e, in particolare:

1. con riguardo ai nuovi driver di segmentazione:

•    […] OMISSIS

2. con riguardo agli elementi che caratterizzano il modello di analisi del percorso (path analysis):

•    […] OMISSIS

•    […] OMISSIS

3. con riguardo al modello statistico di analisi attivo sulla rete di relazioni (social network analisys):

•    […] OMISSIS

•    […] OMISSIS

•    […] OMISSIS

•    […] OMISSIS

4. con riguardo al modello di geolocalizzazione:

•    […] OMISSIS

5. con riguardo all´arricchimento dei dati della clientela, oltre alle misure già individuate nel citato provvedimento del 15.03.2012:

•    […] OMISSIS

•     […] OMISSIS

•    […] OMISSIS

•    […] OMISSIS

6. con riguardo all´informativa da rendere agli utenti:

•  il modello predisposto dalla società deve essere modificato ed in particolare integrato con la specifica indicazione delle nuove modalità e finalità di profilazione che Wind intende adottare, evidenziando che il trattamento dei dati personali aggregati degli utenti può essere effettuato dalla società avvalendosi dell´esonero al consenso sulla base di quanto previsto nel presente provvedimento, posta l´adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall´Autorità;

• il nuovo modello di informativa deve contenere il richiamo all´esercizio dei diritti di cui all´art. 7 del Codice ed in particolare al diritto di opposizione nei termini previsti nel presente provvedimento, anche con riguardo alle nuove forme di profilazione dell´utenza;

• per l´esercizio del diritto di opposizione al trattamento deve essere previsto un apposito meccanismo che consenta all´utente di esercitare in maniera rapida ed agevole tale diritto, secondo le modalità indicate nel presente provvedimento;

7. con riguardo al periodo di conservazione dei dati:

• il periodo massimo di conservazione dei dati può individuarsi in 12 mesi, cui può aggiungersi un´ulteriore finestra di tre mesi allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei servizi offerti;.

•  alla scadenza del periodo di conservazione, i dati personali, oggetto dell´attività di profilazione svolta dalla società, devono essere definitivamente cancellati, ovvero anonimizzati sulla base di quanto espressamente indicato in motivazione e previa comunicazione al Garante.

C) prescrive ai sensi dell´art. 17 del Codice a Wind., considerata la natura e le caratteristiche tecniche degli adempimenti prescritti di trasmettere al Garante entro il termine di 30 giorni dalla data dell´eventuale implementazione delle misure indicate ai precedenti punti, copia  della documentazione che ne comprovi l´adozione.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 17 dicembre 2015

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia

Scheda

Doc-Web
4698620
Data
17/12/15

Tipologia

Verifica preliminare