Registro dei provvedimenti
n. 306 del 13 luglio 2016
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");
ESAMINATA la richiesta di verifica preliminare presentata in data 10 dicembre 2015, ai sensi dell'art. 17 del Codice, da Sky Italia s.r.l. (di seguito "Sky") rispetto al trattamento dei dati personali della propria clientela nell'ambito del progetto "Adsmart";
VISTA l'ulteriore nota inviata dalla società il 3 maggio 2016;
VISTI i Pareri del Gruppo articolo 29 n. 5/2014 sulle tecniche di anonimizzazione, adottato il 10 aprile 2014, e WP 136, n. 4/2007 sul concetto di dati personali, adottato il 20 giugno 2007;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del Regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
PREMESSO
1.1. Sky, società con circa 4,7 milioni clienti italiani che offre servizi di pay tv, principalmente via satellite attraverso un'antenna parabolica, un set-top box o decoder (di seguito STB) e una smart card abilitata, ha presentato al Garante un'istanza di verifica preliminare relativa al progetto denominato "Adsmart" (di seguito "progetto"). Mediante tale progetto la società intende veicolare contemporaneamente spot pubblicitari di diverso contenuto a gruppi differenti di telespettatori, ciascuno dei quali con «caratteristiche ben definite e sintonizzati sullo stesso canale».
Destinatari della pubblicità saranno solo i nuclei familiari in possesso di un STB "My Sky HD" (circa 2,3 milioni, dei quali circa la metà è connessa tramite Internet) raggruppati in base alle caratteristiche individuate di volta in volta dalla società e, per tale ragione, inseriti in specifici cluster.
I cluster saranno creati sulla base di 33 caratteristiche individuali (cd. "attributi", elencati nell'all. 2 all'istanza) relative sia al servizio fruito dalla clientela (quali tipologia del "pacchetto" tv, profondità temporale dell'abbonamento, modalità di pagamento, etc.), sia ad altre informazioni afferenti allo status della clientela medesima (quali fascia d'età e luogo di residenza). I cluster non saranno invece costituiti sulla base di dati personali relativi ad abitudini di acquisti o ad altri processi deduttivi.
1.2. Secondo quanto dichiarato, il progetto si articola in quattro fasi (cfr. istanza, p. 7 e all. 3):
a. creazione di un database contenente i dati della clientela che subiscono un processo di "anonimizzazione" (cfr. par. 3.1 dell'istanza) «secondo gli standard di cui al parere sulla anonimizzazione del Gruppo di lavoro Articolo 29 per la protezione dei dati», partendo dalla base dati generale dei clienti Sky (previamente pseudonimizzata) (cfr. istanza, p. 5). Tale base dati verrebbe «anonimizzata irreversibilmente tramite eliminazione di ogni riferimento univoco a singolo abbonamento/smart card, inclusa l'anagrafica cliente» (cfr. istanza, p. 2, 5, 12-13);
b. definizione delle "regole di segmentazione" volte ad enucleare (da parte di personale appartenente ad una divisione della società cui è inibito l'accesso al database contenente i riferimenti anagrafici) "segmenti di interesse", composti da almeno 5.000 clienti (cd. cluster) risultanti dalla combinazione di più "attributi", e trasmissione in broadcast di tali "regole" ai STB (cfr. istanza, p. 7, 10-12);
c. applicazione delle "regole" e, conseguentemente, associazione a ciascun cluster di determinati spot "mirati", memorizzati sugli hard disk dei STB "My Sky HD" in base agli "attributi" presenti sulla smart card. Al momento del passaggio dello spot, sarà il STB a veicolare, in base a informazioni inserite nel flusso video, la pubblicità in onda ovvero quella "mirata" precedentemente memorizzata sull'hard disk. Mediante un algoritmo, i sistemi producono per ogni slot pubblicitario identificato come "sostituibile" una lista di possibili campagne selezionabili dai STB per la sostituzione; la "scelta", effettuata dal STB, non è determinabile a priori;
d. trasmissione via Internet, da parte dei soli dispositivi abilitati (i soli STB connessi a Internet), in forma aggregata, dei feedback relativi agli spot oggetto di sostituzione e «senza cambio di canale» per fini statistici e di rendicontazione relativa all'analisi sulle performance delle campagne pubblicitarie (dati anch'essi anonimizzati in maniera irreversibile e permanente: cfr. istanza, pp. 4, 12, 26).
2.1. Tanto premesso, conviene in anteparte puntualizzare che oggetto del presente provvedimento sono i soli aspetti connessi al trattamento dei dati realizzato per le finalità indicate nel progetto da Sky.
Rilevato inoltre che, nel presentare l'istanza, la società ha ampiamente tenuto conto delle indicazioni del Gruppo Articolo 29 contenute nel Parere 5/2010 (adottato il 10 aprile 2014) sulle tecniche di anonimizzazione, nonché delle prescrizioni in passato impartite dal Garante in relazione a trattamenti che la società ha ritenuto presentassero analogie rispetto a quello in esame, e considerate altresì le misure che la società dichiara di voler porre in essere, si procederà di seguito a mettere a fuoco i soli aspetti non espressamente considerati nella richiesta, con l'individuazione delle conseguenti prescrizioni.
2.2. Salve le misure che la società intende adottare (ed ha analiticamente descritto) volte ad anonimizzare i dati relativi ai singoli interessati, rispetto alle operazioni di trattamento finalizzate in prima battuta alla segmentazione in cluster della clientela (profilazione) e, quindi, al perseguimento della distinta finalità di marketing, deve ritenersi che:
a. ai trattamenti effettuati, in particolare nella prima fase delle operazioni sopra descritte, trova applicazione la disciplina di protezione dei dati personali; le operazioni di trattamento volte a pseudonimizzare i dati della clientela dotata del STB e quindi ad ottenerne l'anonimizzazione, in vista della distribuzione "mirata" e differenziata (ancorché per gruppi) di spot pubblicitari (rispetto ai clienti che invece visualizzeranno gli spot "standard"), muovono infatti dall'utilizzo di dati personali destinati ad essere suddivisi in cluster (secondo le modalità ed i criteri sopra descritti). Tale prospettiva è peraltro prefigurata dalla stessa società (v. istanza del 10 dicembre 2015, p. 26, con riferimento alle operazioni di pseudonimizzazione ed anonimizzazione) che, con l'integrazione del 3 maggio 2016 (p. 4 ss.), richiede anche al Garante di valutare la sussistenza dell'ipotesi di cui all'art. 24, comma 1, lett. g), del Codice (circostanza che presuppone ovviamente, ancorché limitatamente a talune delle complessive operazioni poste in essere, un trattamento di dati personali);
b. anche la suddivisione degli interessati in cluster in base agli "attributi" analiticamente indicati dalla società, seppure finalizzata a prevenirne la reidentificazione, comporta un trattamento di dati personali orientato alla profilazione della clientela (da ultimo, con riferimento alla profilazione effettuata in base a status individuali, quali l'età ed il genere, nonché in base agli acquisti effettuati, cfr. provv. 17 marzo 2016, n. 126, doc. web n. 4988333); l'inserimento degli interessati in uno o più cluster, in combinazione con gli "attributi" presenti sulla smart card, determina infatti un invio all'interessato di una pubblicità ‘mirata' che comporta che lo stesso sia trattato "in modo diverso rispetto ad altr[i] in seguito al trattamento di tali dati" (cfr. Gruppo Art. 29, WP 136, Parere 4/2007 sul concetto di dati personali). Rispetto a tale profilo, pertanto, la società dovrà dare attuazione a quanto previsto dall'art. 37, comma 1, lett. d), del Codice.
2.3. Alla luce di queste premesse, gli interessati che rientrano nel progetto devono ricevere un'idonea informativa ai sensi dell'art. 13 del Codice circa le finalità perseguite (marketing sulla base della profilazione), le modalità grazie alle quali si intende assicurare l'uso dei dati in forma aggregata per tali finalità nonché della logica del trattamento e della possibilità, per gli stessi, di esercitare i diritti di cui all'art. 7 del Codice.
Tale informativa potrà essere resa, in forma sintetica, mediante un «cartello informativo che apparirà a video alla prima accensione di ogni My Sky HD dopo l'aggiornamento del software», così come già previsto dalla società (cfr. nota del 4 maggio 2016, p. 4), che dovrà rimandare ad una pagina web – reperibile agevolmente e in ogni tempo da parte degli interessati – con cui la società, oltre agli elementi di cui all'art. 13 del Codice, dovrà fornire una compiuta descrizione del progetto Adsmart.
Detta informativa dovrà essere resa con le medesime modalità agli utenti in due ulteriori occasioni, a distanza di non meno di 15 giorni e non più di 30 giorni l'una dall'altra, al fine di assicurare che più soggetti nel contesto familiare ne possano essere resi edotti.
A tal fine potrà anche essere integrato l'attuale modello presente online, specificando in maniera analitica e dettagliata:
a. la possibilità che una determinata categoria di clienti/interessati (coloro che sono in possesso di un STB My Sky HD) rientrino nel progetto;
b. la possibilità, per gli stessi, di esercitare i diritti di cui all'art. 7 del Codice, con particolare riferimento al diritto di opporsi, con modalità agevoli (quali l'invio di una comunicazione, anche elettronica, o cliccando direttamente "NO" dal telecomando ovvero manifestando la propria opposizione all'interno della sezione dedicata agli utenti registrati nel sito della società).
2.4. Considerate le misure adottate dalla società per trattare i dati di quanti sono coinvolti nel progetto Adsmart in forma aggregata ed evitarne la reidentificazione nonché tenuto conto degli effetti sugli interessati medesimi, consistenti nella sola trasmissione di messaggi pubblicitari differenziati rispetto a quelli comunque oggetto di programmazione per la platea generale degli abbonati Sky, si ritiene che il trattamento in esame possa essere legittimamente effettuato ai sensi dell'art. 24, comma 1, lett. g), del Codice, a condizione che la società consenta agli utenti di non essere ricompresi nel progetto "Adsmart" opponendosi in modo agevole al trattamento in esame, , secondo una della seguenti modalità, la cui scelta deve essere rimessa all'interessato, e più precisamente:
a. utilizzando il telecomando per esprimere la propria opposizione;
b. manifestando la propria opposizione all'interno della sezione dedicata agli utenti registrati nel sito della società;
c. inviando una comunicazione, anche elettronica, alla società o interagendo con la stessa mediante il call center a disposizione degli utenti.
TUTTO CIÒ PREMESSO IL GARANTE:
1. alla luce di quanto dichiarato e allo stato degli elementi forniti, ai sensi dell'art. 17 del Codice, accoglie la richiesta di verifica preliminare presentata da Sky Italia s.r.l., con sede in Milano, Via Monte Penice n. 7, relativa alla realizzazione del progetto Adsmart come sopra descritto, prescrivendo che agli interessati sia fornita un'idonea informativa ai sensi dell'art. 13 del Codice circa le finalità perseguite (marketing sulla base della profilazione), le modalità grazie alle quali si intende assicurare l'uso in forma anonima dei dati aggregati per tali finalità nonché della logica del trattamento e della possibilità, per gli stessi, di esercitare i diritti di cui all'art. 7 del Codice. Tale informativa potrà essere resa, in forma sintetica, mediante un «cartello informativo che apparirà a video alla prima accensione di ogni My Sky HD dopo l'aggiornamento del software», così come già previsto dalla società (cfr. nota del 4 maggio 2016, p. 4), che dovrà rimandare ad una pagina web – reperibile agevolmente e in ogni tempo da parte degli interessati – con cui la società, oltre agli elementi di cui all'art. 13 del Codice, dovrà fornire una compiuta descrizione del progetto Adsmart.
2. considerata la natura e le caratteristiche tecniche degli adempimenti prescritti, richiede a Sky Italia s.r.l., ai sensi dell'art. 157 del Codice, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nel precedente punto 1 del presente provvedimento e di fornire comunque riscontro entro sessanta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all'art. 164 del Codice.
Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 13 luglio 2016
IL PRESIDENTE
Soro
IL RELATORE
Iannini
IL SEGRETARIO GENERALE
Busia