Provvedimento del 7 dicembre 2016 [6017766]
Provvedimento del 7 dicembre 2016 [6017766]
Condividi[doc. web n. 6017766]
Provvedimento del 7 dicembre 2016
Registro dei provvedimenti
n. 516 del 7 dicembre 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano, della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il ricorso presentato a questa Autorità il 28 luglio 2016 da XY nei confronti di Telecom Italia S.p.A., con il quale l´interessato, ribadendo le istanze già avanzate ai sensi dell´art. 7 del d.lgs. 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali" (di seguito "Codice"), ha chiesto di ottenere:
la conferma dell´esistenza di dati personali che lo riguardano, nonché la comunicazione in forma intelligibile degli stessi;
la comunicazione dell´origine, con particolare riguardo all´avvenuta attivazione di un contratto multibusiness che risultava intestato al medesimo;
l´invio di copia del predetto contratto al fine di verificarne la sottoscrizione;
l´aggiornamento dei predetti dati, con particolare riguardo all´indirizzo di residenza;
la liquidazione in proprio favore delle spese sostenute per il procedimento;
CONSIDERATO che il ricorrente ha, in particolare, rilevato:
di essere titolare di un´unica utenza telefonica ricaricabile TIM "sin dal 2008", ma di aver ricevuto da parte della resistente, nelle date del 7 e 9 giugno 2016, due comunicazioni di identico contenuto - rispettivamente indirizzate presso il proprio studio legale e presso la propria abitazione - aventi ad oggetto la risoluzione di un contratto multibusiness che risultava a lui intestato, con contestuale intimazione ad adempiere tutte le obbligazioni discendenti da quest´ultimo, ivi compresa la restituzione di "apparati accessori e relative carte sim collegate";
di non aver mai richiesto l´attivazione di un tale contratto e di aver appreso, attraverso l´accesso all´area personale "MyTim Mobile" disponibile sul sito della resistente, che nella "sezione "dati del (…) contratto" risultava come indirizzo di residenza" un recapito sconosciuto al medesimo, del quale era tuttavia inibita la possibilità di correzione, nonché l´intestazione di una scheda sim avente n. 392******* parimenti sconosciuta;
di aver presentato querela contro ignoti presso il competente Commissariato di P.S. al fine di denunciare l´indebita attivazione a suo nome del predetto contratto;
di aver presentato, in data 9 giugno 2016, istanza di accesso ai propri dati personali ai sensi dell´art. 7 del Codice e di essere stato contattato, dopo alcuni giorni, da un´operatrice del call center TIM che gli comunicava che l´intervenuta attivazione a suo nome sarebbe stata causata da un errore dovuto ad un caso di omonimia;
VISTI gli ulteriori atti d´ufficio e, in particolare, la nota del 25 agosto 2016 con la quale questa Autorità, ai sensi dell´art. 149, comma 1, del Codice, ha invitato il titolare del trattamento a fornire riscontro alle richieste dell´interessato, nonché la nota del 10 novembre 2016 con la quale è stata disposta, ai sensi dell´art. 149, comma 7, del Codice, la proroga del termine per la decisione sul ricorso;
VISTA la nota del 19 settembre 2016 con la quale la resistente, nel comunicare i dati dell´interessato dalla medesima detenuti, ha rappresentato:
di aver attivato "in data 15 aprile u.s. il contratto multibusiness n. (…) con una persona qualificatasi al telefono come il sig. XY, registrando il relativo verbal order", nel corso del quale il richiedente ha fornito alcuni dati, parzialmente coincidenti con quelli del ricorrente e dei quali viene data comunicazione, e di aver successivamente provveduto a consegnare il previsto dispositivo di telefonia mobile "all´indirizzo comunicato telefonicamente (…) previa verifica del documento di identità";
che in data 9 maggio 2016 la funzione Frodi della società, "rilevato un uso anomalo di traffico internazionale, ha provveduto a contattare telefonicamente senza successo il richiedente al numero 327*******", sospendendo l´utenza n. 392******* collegata al contratto multibusiness ed inviando "un telegramma alla sede legale dichiarata nel verbal order allegato e presente sui sistemi commerciali";
che, in assenza di riscontro, ha richiesto ad "una società esterna "il rintraccio" del cliente", provvedendo ad inviare, in esito alle ricerche condotte dalla stessa, due distinte comunicazioni agli indirizzi reperiti che risultavano coincidenti con i recapiti facenti capo al ricorrente;
che in data 26 agosto 2016 la funzione Frodi ha contattato il ricorrente, "anche a seguito dell´invio da parte di quest´ultimo della denuncia di disconoscimento presentata in data 7 giugno 2016 presso l´Autorità di Polizia Giudiziaria di Sorrento, per rappresentare che si era in presenza di un caso di frode";
di aver provveduto ad aggiornare i dati dell´interessato all´interno dell´area personale "My Tim Mobile", precisando che la modifica automatica degli stessi era stata causata dalla coincidenza del codice fiscale del ricorrente con quello comunicato dal soggetto richiedente al momento dell´attivazione del contratto multibusiness;
VISTA la nota del 18 ottobre 2016 con la quale il ricorrente ha evidenziato che, a seguito dell´intervenuto accesso al fascicolo del procedimento penale in corso, ha potuto constatare che "il codice fiscale presentato dal truffatore era stato maldestramente falsificato" e che pertanto "sarebbe stato sufficiente un minimo controllo per rendersi conto dell´anomalia", denunciando la violazione, da parte del titolare del trattamento, dei principi di cui all´art. 11 del Codice tenuto conto della "facilità con la quale il truffatore sia riuscito ad utilizzare illecitamente i dati" del medesimo;
VISTA la nota del 23 novembre 2016 con la quale la resistente ha ribadito quanto già rappresentato, precisando che "in caso di richiesta di attivazione di un contratto a distanza, il controllo viene effettuato necessariamente ex post tra i dati forniti telefonicamente ed i dati contenuti nei documenti inviati in un momento successivo comunque preliminare alla conclusione del contratto" e che "nella fattispecie (…), trattandosi di cliente già inserito nei sistemi di commercializzazione (…), è stato sufficiente controllare la carta d´identità e la partita IVA necessaria all´attivazione di un contratto multibusiness";
RILEVATO, con riferimento alla richiesta di rilascio di copia del contratto multibusiness al fine di verificarne la sottoscrizione, che questa Autorità ha sempre evidenziato come, fra le prerogative attribuite all´interessato dall´art. 7 del Codice, rientra il diritto di chiedere la comunicazione in forma intelligibile dei dati che lo riguardano (da estrarre eventualmente secondo le modalità indicate nell´art. 10), ma non quello di chiedere direttamente il rilascio di copia della documentazione contenente i dati in questione;
RILEVATO, tuttavia, che la prassi applicativa ha già mostrato diversi casi nei quali l´unica forma idonea a consentire l´intelligibilità dei dati personali richiesti è risultata la consegna dell´originale o di copia del documento su cui questi erano riportati (si veda, ad es., in materia di richiesta di copia di disegni effettuati da minori);
CONSIDERATO altresì che il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, in G.U.U.E. 2016 L 119, p. 1), entrato in vigore il 24 maggio 2016 e che si applicherà integralmente a decorrere dal 25 maggio 2018, prevede che il titolare del trattamento, oltre a trasmettere all´interessato che ne faccia richiesta le informazioni che lo riguardano in forma intelligibile, per iscritto o con altri mezzi, anche elettronici, fornisca al medesimo una copia dei dati personali oggetto di trattamento (artt. 12, par. 1, e 15, par. 3);
RILEVATO che le caratteristiche della firma autografa rientrano nel novero dei dati personali, in quanto consentono l´identificazione univoca di una persona fisica attraverso l´ausilio di tecniche di riconoscimento grafologiche o biometriche;
RITENUTO dunque che, nel caso di specie, la richiesta di accedere al dato relativo alla firma apposta nel contratto multibusiness possa essere compiutamente soddisfatta solo attraverso la consegna di copia della stessa;
RITENUTO, pertanto, di dover accogliere parzialmente il ricorso e, per l´effetto, di ordinare a Telecom Italia S.p.A. di trasmettere al ricorrente, entro e non oltre trenta giorni dalla ricezione del presente provvedimento, copia per estratto della firma apposta nel contratto multibusiness, eventualmente indicando gli ulteriori elementi a precisazione della riconducibilità del dato all´interessato (ad es.: "questa è la firma depositata dal sig. XY in data… presso il punto vendita …."), espungendo ogni informazione presente riguardante i terzi;
RITENUTO, con riguardo alle ulteriori richieste, di dover dichiarare, ai sensi dell´art. 149, comma 2, del Codice, non luogo a provvedere sul ricorso, avendo il titolare del trattamento fornito un riscontro sufficiente, sia pure solo nel corso del procedimento;
VISTE le decisioni dell´Autorità del 15 gennaio e del 19 ottobre 2005 sulla misura forfettaria delle spese e dei diritti per i ricorsi e ritenuto congruo, nel caso di specie, quantificare detto importo nella misura di euro 500,00, da addebitarsi per euro 250,00 a carico di Telecom Italia S.p.A. in considerazione degli adempimenti connessi alla presentazione del ricorso, compensando la restante parte per giusti motivi e, in particolare, in ragione del riscontro fornito dal titolare del trattamento nel corso del procedimento;
VISTA la documentazione in atti;
VISTI gli artt. 145 e ss. del Codice;
VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Giovanna Bianchi Clerici;
TUTTO CIÒ PREMESSO IL GARANTE:
a) accoglie parzialmente il ricorso e per l´effetto ordina a Telecom Italia S.p.A. di trasmettere al ricorrente, entro e non oltre trenta giorni dalla ricezione del presente provvedimento, copia per estratto della firma apposta nel contratto multibusiness;
b) dichiara non luogo a provvedere in ordine alle restanti richieste;
c) determina l´ammontare delle spese del presente procedimento nella misura forfettaria di euro 500,00, di cui euro 250,00 da addebitarsi al titolare del trattamento, che dovrà liquidarli direttamente a favore del ricorrente; compensa la restante parte per giusti motivi.
Il Garante, nel chiedere a Telecom Italia S.p.A., ai sensi dell´art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento e di fornire comunque riscontro entro quarantacinque giorni dalla ricezione dello stesso, ricorda che l´inosservanza di provvedimenti del Garante adottati in sede di decisione dei ricorsi è punita ai sensi dell´art. 170 del Codice. Ricorda altresì che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150 del 1° settembre 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.
Roma, 7 dicembre 2016
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia
