[doc. web n. 4541143] Profilazione degli utenti nell`ambito dei servizi

[doc. web n. 4541143]
Profilazione degli utenti nell'ambito dei servizi di comunicazione elettronica - 15 ottobre 2015
Registro dei provvedimenti
n. 534 del 15 ottobre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa
Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTO il provvedimento generale del Garante del 25 giugno 2009 recante "Prescrizioni ai fornitori di servizi di comunicazione elettronica
accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 159 del 11 luglio 2009 di seguito "provvedimento
generale");
VISTO il provvedimento adottato dal Garante il 22 dicembre 2009 nei confronti di Vodafone Omnitel B.V. (di seguito "Vodafone"), in
materia di profilazione della clientela attraverso l'utilizzo di dati personali aggregati, in ragione dell'istanza di verifica preliminare presentata
dalla società il 30 settembre 2009, a seguito della pubblicazione del provvedimento generale;
RILEVATO che, sulla base di quanto prescritto nel provvedimento del 22 dicembre 2009, Vodafone è stata autorizzata al trattamento di dati
aggregati della propria clientela per finalità di profilazione anche senza il consenso specifico degli interessati, purché nel rispetto di precise
misure tecniche e organizzative dettate dall'Autorità;
VISTO il provvedimento del 6 febbraio 2014 adottato dal Garante nei confronti di Vodafone a seguito della specifica istanza di riesame ed
aggiornamento del provvedimento del 22 dicembre 2009 presentata dalla società, in particolare rispetto alla riduzione del livello di
aggregazione dei dati dell'utenza per finalità di profilazione;
VISTO il coevo provvedimento generale dell'Autorità sull'"Aggiornamento delle prescrizioni dirette ai fornitori di servizi di comunicazione
elettronica accessibili al pubblico che svolgono attività di profilazione" (pubblicato in G.U. n. 58 del 11 marzo 2014) con particolare riguardo
alla previsione di una nuova base temporale di aggregazione dei dati personali utilizzati per la misurazione dei fenomeni che rilevano per la
profilazione dell'utenza da parte dei suddetti fornitori;
ESAMINATA la nuova istanza di verifica preliminare presentata da Vodafone in data 30 luglio 2015 con riguardo ad ulteriori trattamenti di
dati personali della clientela nell'ambito di una più articolata attività di profilazione;
VISTI gli elementi acquisiti a seguito dei vari incontri tenutisi presso l'Autorità;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
Relatore: la dott.ssa Augusta Iannini.
PREMESSO
1. Trattamento di dati personali della clientela per finalità di profilazione da parte della società. Il nuovo contesto di mercato. Il
progetto XY
Vodafone ha presentato a questa Autorità una nuova istanza di verifica preliminare relativa al trattamento dei dati personali aggregati della
propria clientela, per attività di profilazione rispetto a quanto previsto e disciplinato con i precedenti provvedimenti del 22 dicembre 2009 e
del 6 febbraio 2014.
Ciò in ragione dei rilevanti mutamenti registrati negli ultimi tempi nel mercato della telefonia mobile ed in particolare della presenza di due
fenomeni di rilievo: l'orientamento alla personalizzazione dei servizi telefonici e la convergenza delle offerte.
Da quanto evidenziato nell'istanza, la personalizzazione si delinea come un nuovo bisogno del consumatore di servizi di telefonia nell'ambito
di un mercato già caratterizzato da offerte cd. bundle che prevedono, a fronte del pagamento di un canone fisso di importo solitamente
moderato, un pacchetto comprensivo di minuti, sms e GB di navigazione. Ciò nell'ottica di soddisfare, oltre al bisogno di convenienza
dell'utente, anche l'esigenza di certezza della spesa e di semplicità nel controllo dei consumi.
OMISSIS
Accanto alla necessità di personalizzazione, è poi emerso il bisogno degli utenti di offerte cd. convergenti, ovvero di offerte che implicano
una combinazione fisso-mobile orientata alla convenienza, al controllo ed alla semplicità di gestione della spesa telefonica.
In questo contesto si sono venuti quindi a delineare bisogni che si affiancano a quelli individuali, risultando essenzialmente legati
all'appartenenza del soggetto ad un nucleo familiare che si articola in diverse tipologie. Ciò ha determinato l'opportunità di estendere il
concetto di personalizzazione anche all'ambito familiare con la realizzazione di offerte tariffarie convergenti per famiglie e individui.
OMISSIS
In un panorama così articolato la società istante ha dunque evidenziato l'inadeguatezza di una offerta telefonica unica ed indifferenziata [...]
OMISSIS
Orbene, da quanto sopra esposto può in primo luogo evincersi che l'attività che la società intende effettuare è volta ad una profilazione per
gruppi definiti in base all'appartenenza dell'individuo ed alla natura delle sue relazioni, estendendo la personalizzazione dell'offerta
individuale all'ambito familiare.
In sostanza, il comportamento che Vodafone intenderebbe analizzare non riguarda più il singolo individuo inserito in un cluster in cui sono
presenti altri individui con il medesimo profilo di consumo, ma si inserisce in una rete di relazioni che ne definiscono l'appartenenza ad un
determinato nucleo familiare [...] OMISSIS
A tal fine il modello [...] OMISSIS elaborato da Vodafone consentirebbe [...] OMISSIS di individuare le diverse community familiari [...]
OMISSIS.
Ciò comporta, ai fini della verifica preliminare richiesta all'Autorità, l'analisi del passaggio da un modello di profilazione che permette la
classificazione degli utenti in cluster ad un modello in cui, parallelamente a tale passaggio, si opera anche una "tipizzazione" dell'individuo
in gruppi familiari di appartenenza.
Preliminarmente alla presentazione dell'istanza di verifica preliminare in esame, la società ha anche realizzato una serie di test per misurare
la fattibilità e l'efficacia del progetto [...] OMISSIS.
2. I dati trattati.
Nell'ambito del progetto XY descritto da Vodafone i dati [...] OMISSIS di cui la società intenderebbe avvalersi, riguardano diverse tipologie
di informazioni.
[...] OMISSIS
Sulla base di quanto asserito nell'istanza tutte le informazioni trattate "saranno disponibili alle attività di analisi in ambito profilazione solo in
maniera aggregata ed anonima e con l'aggregazione del dato secondo la normativa vigente".
Il modello utilizzato escluderebbe infatti la possibilità di "accedere e leggere i dati personali da cui si parte per procedere con
l'anonimizzazione e l'aggregazione delle informazioni".
[...] OMISSIS
3. L'esame preliminare ex art. 17 del Codice.
Come emerge chiaramente, l'attività di profilazione prospettata dalla società integra un'ipotesi di trattamento di dati personali più articolato e
complesso di quello precedentemente autorizzato nei citati provvedimenti del 2009 e del 2014.
Ciò, non solo perché i dati trattati si arricchiscono di nuovi indicatori, ma anche perché il dato aggregato su cui si incentra il trattamento
deriva pur sempre da un'informazione personale che resta in forma completa e dettagliata nei sistemi originari della società e nella relativa
disponibilità.
Inoltre, le stesse tecniche di hashing cui Vodafone intende ricorrere coinvolgono informazioni che presentano caratteristiche di persistenza
nel tempo, risultando idonee a mantenere, anche dopo l'applicazione di meccanismi criptografici, come si dirà meglio in seguito, un'univocità
di corrispondenza tra dato originario e dato cifrato.
In tale contesto, pertanto, il nuovo modello di profilazione che la società intende realizzare può presentare rischi specifici per i diritti e le
libertà degli utenti e necessita, come correttamente richiesto attraverso l'istanza presentata ai sensi del menzionato art. 17 del Codice, di una
preliminare valutazione da parte del Garante con riguardo ai presupposti giuridici e alle misure di sicurezza che sono poste, dalla normativa
sulla protezione dei dati personali, a presidio di tali diritti e libertà.
L'Autorità ha quindi acquisito, anche a seguito degli incontri avutisi con la società, tutti gli elementi di analisi necessari all'odierna verifica,
tenuto conto che al modello di profilazione prospettato da Vodafone sono state naturalmente estese tutte le misure prescritte nel citato
provvedimento del 2009, avuto riguardo all'individuazione dei campi utilizzati per l'attività di profilazione, al livello di aggregazione ed ai
meccanismi di mascheramento, oltre a tutte le altre misure tecnico-organizzative individuate.
4. L'anonimizzazione.
La società ha rappresentato che il descritto modello di analisi prevede il ricorso ad una tecnica di cifratura [...] OMISSIS
Tanto premesso, alla luce delle più recenti valutazioni, effettuate anche in considerazione di quanto espresso dal Gruppo ex art. 29 con
riguardo all'identificabilità di un'informazione sottoposta a tecniche di cifratura, si impongono alcune considerazioni.
Il processo di cifratura (hashing) [...] OMISSIS coinvolge informazioni che presentano caratteristiche tali da consentire, anche
successivamente all'applicazione di meccanismi criptografici, di mantenere un collegamento tra l'informazione originaria e quella ottenuta a
seguito della suddetta applicazione.
Come è noto, la direttiva 95/46/CE (art. 2, lett. a) ed il Codice (art. 4, comma 1, lett. b), nel delineare il concetto di dato personale
definiscono un'informazione riferibile ad una persona fisica identificata o identificabile sia direttamente che indirettamente.
Con riguardo a tale ultimo aspetto la possibilità di identificare indirettamente un soggetto può sostanzialmente declinarsi, così come emerge
anche dai pareri resi dal Gruppo ex art. 29, sulla base di due direttrici interpretative.
La prima delinea tale possibilità qualora i dati trattati, anche combinati con altre informazioni contestuali nella disponibilità del titolare del
trattamento, consentano di pervenire ad un dato intellegibile e, quindi, di distinguere la persona da tutte le altre (Opinion del WP 29 n.4 /
2007).
La seconda prospetta la possibilità di identificare la persona anche nel caso in cui il dato, pur se non intellegibile, consenta comunque al
titolare o ad una terza parte di assumere decisioni che producono effetti sulla persona stessa, persino a sua insaputa.
Pertanto, una procedura di anonimizzazione non può dirsi compiuta qualora mantenga la possibilità di isolare un soggetto all'interno di un
gruppo e ciò anche quando l'identificativo che viene usato per consentire al titolare di assumere decisioni che riguardano tale soggetto sia non
immediatamente intellegibile per effetto dell'applicazione di una tecnica crittografica (Opinion del WP 29 n. 05/2014).
Del resto, già il Considerando 26 della citata direttiva 95/46/CE offre una serie di elementi che consentono di valutare l'efficacia di una
tecnica di anonimizzazione, prevedendo espressamente che per determinare se una persona è identificabile è opportuno prendere in
considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare detta
persona.
Peraltro, anche laddove il titolare del trattamento non disponga o non disponga più di strumenti tecnici (come ad es. una chiave o tabella di
de-codifica) che consentano di "risalire a ritroso" all'identità dell'utente, deve sempre valutarsi la possibilità di assumere comunque nei
confronti dello stesso decisioni che lo riguardano.
Del resto, sempre nel citato parere del Gruppo di lavoro n. 05/2014, è evidenziato come la pseudonimizzazione che costituisce una misura di
sicurezza utile e non un metodo di anonimizzazione implichi frequentemente il ricorso alla crittografia spesso con chiave segreta, ovvero alla
funzione di hash.
Da ciò discende che, sulla base di quanto chiarito con riguardo sia alla natura del dato aggregato sia alle tecniche di cifratura, il trattamento
di profilazione che la società intende effettuare coinvolge informazioni personali degli utenti che possono essere trattate solo sulla base dei
presupposti giuridici previsti dal Codice, in particolare il consenso degli interessati.
Ciò nondimeno, nell'ambito prospettato dalla società, può operare anche il ricorso ad uno dei presupposti che, sulla base dell'art. 24 del
Codice (specificamente al comma 1, lett g) della norma) delineano la possibilità di effettuare il trattamento senza il suddetto consenso,
specificamente laddove il Garante individui, sulla base dei principi sanciti dalla legge e nel rispetto di tutte le misure necessarie alla
salvaguardia degli interessati stessi, la necessità di perseguire un legittimo interesse del titolare.
Su tali premesse l'Autorità può condurre un bilanciamento tra gli interessi in gioco che, nel caso di specie, come si dirà meglio in seguito,
può operarsi tenendo conto, da un lato proprio dell'interesse legittimo della società ad operare nuove forme di profilazione, dall'altro dei
benefici che il trattamento descritto può comportare anche per i clienti Vodafone, in particolare con riguardo alla possibilità di ricevere
servizi più idonei ed utili rispetto alle loro specifiche esigenze
5. Il bilanciamento di interessi: il legittimo interesse del titolare.
Nel contesto sopra descritto, il legittimo interesse rappresentato dal titolare, come richiamato dal suddetto art. 24 del Codice, emerge dalla
circostanza che la nuova attività di profilazione che Vodafone intenderebbe svolgere rappresenta un'esigenza importante della società in un
ambito sensibilmente cambiato, come rilevato in premessa, in ragione della sempre crescente richiesta della clientela di servizi personalizzati
sotto il profilo dei contenuti e del piano tariffario, [...] OMISSIS
Ciò con la conseguenza che un'offerta unica ed indifferenziata nel lungo periodo non soddisfa i bisogni della clientela e finisce per incidere
negativamente sulla performance societaria, le strategie aziendali e l'implementazione di strutture ed investimenti, soprattutto in un mercato
caratterizzato da un alto tasso di competitività.
La profilazione, che permane essere una delle attività prevalenti di Vodafone, così come articolata comporterebbe invece una maggiore
comprensione dei bisogni della clientela per definire nuovi prodotti ed un miglioramento del grado di soddisfazione della stessa grazie ad
offerte ritagliate su misura, permettendo alla società di svolgere il ruolo di fornitore di un servizio pubblicamente accessibile con un
accresciuto grado di qualità.
Il perseguimento del legittimo interesse della società allo svolgimento della suddetta attività deve, tuttavia, coniugarsi con il necessario
rispetto, da parte della stessa, delle misure e degli accorgimenti prescritti dall'Autorità nel presente provvedimento a garanzia dei diritti e
delle libertà fondamentali delle persone interessate.
Resta comunque inteso che la successiva attività di marketing, rivolta agli utenti, può svolgersi solo in presenza del loro specifico consenso
ai sensi dell'art. 23 del Codice.
6. I possibili benefici per la clientela.
I benefici che possono derivare al cliente Vodafone dal trattamento che la società intenderebbe svolgere si incentrano soprattutto
sull'opportunità di ricevere offerte sempre più vicine a propri effettivi bisogni, sull'ottimizzazione della spesa attraverso tariffe mirate,
sull'efficienza della customer care, nonché sulla riduzione del rischio di ricevere comunicazioni indesiderate (minore spamming).
A ciò si aggiungerebbe una forte riduzione del rapporto falsi positivi/falsi negativi [...] OMISSIS
Tali risultati sono peraltro chiaramente emersi anche durante la fase di test, pure rappresentata all'Autorità, che ha preceduto l'istanza di
verifica preliminare di Vodafone.
7. Gli accorgimenti da adottare.
Alla luce di quanto specificamente richiesto da Vodafone nella propria istanza, ovvero agli attributi [...] OMISSIS
8. Le ulteriori misure. L'informativa agli utenti.
Sulla base di quanto sopra evidenziato, il modello di informativa predisposto dalla società dovrà essere modificato ed integrato con la
specifica indicazione delle nuove modalità di profilazione che Vodafone intende adottare e delle relative finalità, particolarmente volte a
migliorare i servizi forniti ed a soddisfare specifiche esigenze della propria clientela, evidenziando che il trattamento dei dati personali degli
utenti potrà essere effettuato dalla società avvalendosi dell'esonero al consenso sulla base di quanto previsto nel presente provvedimento,
posta l'adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall'Autorità.
Anche l'esercizio dei diritti di cui all'art. 7 del Codice con riguardo alle nuove forme di profilazione dovrà essere oggetto di richiamo nella
suddetta informativa.
9. Il diritto di opposizione al trattamento da parte dell'interessato.
Posto che il trattamento sopra descritto può svolgersi senza la previa acquisizione del consenso degli interessati in forza del bilanciamento
effettuato dall'Autorità e del rispetto da parte della società delle misure prescritte, Vodafone dovrà prevedere un apposito meccanismo che
consenta all'utente di esercitare in maniera agevole e celere i diritti di cui al citato art. 7 del Codice ed in particolare quelli di cui al comma 4
della norma.
Nello specifico, Vodafone dovrà prevedere per l'utente la possibilità di opporsi in tutto o in parte al trattamento dei propri dati personali.
Ciò potrà realizzarsi mediante la predisposizione di un form all'interno della pagina web dedicata agli utenti per la gestione della fruizione
dei servizi abilitati, in cui l'interessato potrà inserire il proprio numero di telefonia fissa o mobile ovvero un altro elemento identificativo e
manifestare la propria volontà di opposizione, nonché mediante la predisposizione di un indirizzo di posta elettronica, appositamente
dedicato e facilmente reperibile nell'informativa, attraverso cui lo stesso potrà esprimere la suddetta volontà.
Inoltre, al fine di dare contezza al cliente della tempistica con la quale il titolare registra la richiesta ed interviene, una soluzione idonea può
individuarsi nella previsione, da parte di Vodafone, di un meccanismo di notifica che in funzione del canale di comunicazione prescelto
dall'utente (pagina web, nonché posta elettronica) gli consenta di avere, non solo in un primo tempo conferma dell'avvenuta ricezione della
relativa richiesta da parte del titolare, ma anche in un secondo momento conferma dell'avvenuta adozione della specifica misura invocata.
10. La conservazione. Misure ed accorgimenti prescrittivi.
Come è noto, i dati personali oggetto dell'attività di profilazione devono essere conservati per un limitato periodo di tempo, proporzionato
alle finalità realizzate con il trattamento.
Come già previsto nei precedenti provvedimenti rivolti alla società e sulla base delle medesime considerazioni svolte a suo tempo il periodo
massimo di conservazione dei dati può, individuarsi in 12 mesi. A tale periodo potrà aggiungersi un'ulteriore finestra di tre mesi allo scopo di
avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei servizi offerti.
Alla scadenza del periodo di conservazione, i dati personali, oggetto dell'attività di profilazione svolta da Vodafone, dovranno essere
cancellati definitivamente.
Un'alternativa alla cancellazione potrà essere rappresentata dall'anonimizzazione dei dati.
Posto che non è possibile dare indicazioni minime sui parametri da utilizzare in quanto ogni insieme di dati deve essere studiato caso per
caso, la tecnica di anonimizzazione potrà ritagliarsi sulle raccomandazioni pratiche fornite dal Gruppo ex art. 29 nel citato parere 05/2014,
con comunicazione al Garante di quella prescelta e della valutazione della relativa efficacia sulla base del rischio residuo di reidentificazione
dell'utente.
A tal fine si ricorda infatti che il Gruppo di lavoro ha fornito una serie di indicazioni rispetto alle tecniche di anonimizzazione stesse ed alla
relativa affidabilità, evidenziando come per raggiungere un alto grado di anonimizzazione il titolare debba valutare diversi elementi, tenendo
conto proprio dell'insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare stesso o da terzi, nonché della probabilità di
reindetificazione dell'interessato sulla base dei dati anonimizzati.
Giova infine ribadire che, secondo quanto espresso nel citato parere, la cd. pseudonimizzazione deve intendersi alla stregua di una utile
misura di sicurezza e non come un metodo di anonimizzazione.
11. Altre misure ed accorgimenti.
Permane l'obbligo della società di notifica al Garante del trattamento ai sensi degli artt. 37 e 38 del Codice.
Resta altresì inteso che, laddove l'attività descritta dalla società venga svolta da un soggetto terzo, esso dovrà essere nominato responsabile
del trattamento nel rispetto di tutte le prescrizioni di cui all'art. 29 del Codice.
10. Sanzioni
Il mancato rispetto delle prescrizioni impartite con il presente provvedimento può comportare l'applicazione delle sanzioni previste dall'art.
162, comma 2 bis del Codice.
TUTTO CIÒ PREMESSO IL GARANTE:
A) individua, ai sensi dell'art. 24, comma 1, lett.g) del Codice, nella situazione delineata da Vodafone Omnitel B.V., con sede
amministrativa e gestionale ad Ivrea (TO), Via Jervis, 13, un'ipotesi di bilanciamento degli interessi, in cui il trattamento dei dati
personali per attività di profilazione della clientela può essere effettuato, così come specificamente emerso, per perseguire un
legittimo interesse del titolare e per realizzare specifici benefici per la clientela stessa anche senza richiederne il consenso,
prevedendo, in aggiunta alle prescrizioni già dettate nei precedenti provvedimenti, anche quelle successivamente indicate.
B) prescrive pertanto a Vodafone Omnitel B.V., ai sensi dell'art. 17 del Codice, di adottare, a garanzia degli interessati in conformità
alle disposizioni in materia di protezione dei dati personali, le misure e gli accorgimenti necessari nei termini di cui in motivazione e,
in particolare:
1. con riguardo agli attributi [...] OMISSIS
2. con riguardo all'informativa da rendere agli utenti, che:
a) il modello predisposto dalla società venga modificato ed in particolare integrato con la specifica indicazione delle nuove
modalità e finalità di profilazione che Vodafone intende adottare, evidenziando che il trattamento dei dati personali degli
utenti, potrà essere effettuato avvalendosi dell'esonero al consenso, previsto in base al presente provvedimento, posta
l'adozione di adeguate garanzie ed il rispetto delle misure necessarie prescritte dall'Autorità;
b) il nuovo modello di informativa contenga il richiamo all'esercizio dei diritti di cui all'art. 7 del Codice ed in particolare al
diritto di opposizione nei termini previsti nel presente provvedimento, anche con riguardo alle nuove forme di profilazione
dell'utenza.
3. con riguardo all'esercizio del diritto di opposizione al trattamento che sia previsto un apposito meccanismo che consenta all'utente
di esercitare in maniera agevole e celere tale diritto, secondo le modalità indicate nel presente provvedimento;
4. con riguardo al periodo di conservazione dei dati, che:
a) i dati personali oggetto dell'attività di profilazione siamo conservati per un limitato periodo di tempo, proporzionato alle
finalità realizzate con il trattamento, prevedendo il periodo massimo di conservazione in 12 mesi, cui può aggiungersi un
ulteriore periodo di 3 mesi allo scopo di avere evidenza degli effetti di stagionalità propri delle modalità di fruizione dei
servizi offerti;
b) alla scadenza del periodo di conservazione, i dati personali, oggetto dell'attività di profilazione svolta dalla società,
vengano definitivamente cancellati, ovvero anonimizzati sulla base di quanto espressamente indicato in motivazione e previa
comunicazione al Garante.
C) prescrive ai sensi dell'art. 17 del Codice a Vodafone Omnitel B.V., considerata la natura e le caratteristiche tecniche degli
adempimenti prescritti di trasmettere al Garante entro il termine di 30 giorni dalla data dell'eventuale implementazione delle
misure indicate ai precedenti punti, copia della documentazione che ne comprovi l'adozione.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione
all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento
dei dati entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il
ricorrente risiede all'estero.
Roma, 15 ottobre 2015
IL PRESIDENTE
Iannini
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia