GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
VISTO il d.lg. 30 giugno 2003 n. 196 (denominato Codice in materia di protezione dei dati personali, di seguito, "Codice") e, in particolare, il relativo art. 17;
VISTO il provvedimento a carattere generale adottato da questa Autorità in data 3 febbraio 2005 (in www.garanteprivacy.it, doc. web. n. 1109503), relativo ai trattamenti dei dati personali effettuati nell'ambito dei nuovi servizi televisivi interattivi;
VISTA la prescrizione contenuta nel predetto provvedimento (cfr. punto 2), in base alla quale "L'eventuale richiesta –rivolta dal fornitore ai singoli utenti– di identificarsi nominativamente al momento in cui essi inviano informazioni attraverso il canale di ritorno è lecita solo se sottoposta all'esame preliminare di questa Autorità";
ESAMINATA la richiesta di verifica preliminare del 21 dicembre 2005, come integrata con nota pervenuta il 6 marzo 2006, presentata da Reti televisive italiane S.p.A. (di seguito, "R.t.i.") ai sensi dell'art. 17 cit., e relativa al trattamento di dati personali che la società intende svolgere per fornire diversi servizi interattivi;
VISTI gli atti d'ufficio;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il dott. Mauro Paissan;
PREMESSO:
1. Trattamento di dati personali effettuato nell'ambito della fornitura dei diversi servizi televisivi interattivi offerti da R.t.i. S.p.A.
R.t.i. S.p.A., società del Gruppo Mediaset che opera nel settore televisivo, ha presentato a questa Autorità una richiesta di verifica preliminare ai sensi dell'art. 17 del Codice relativa ai trattamenti di dati personali che intende svolgere nell'ambito della fornitura di alcuni servizi televisivi interattivi della televisione digitale terrestre.
In particolare, le applicazioni interattive che la società vorrebbe implementare sono:
la "pubblicità interattiva", con la quale si intende consentire all'utente di visitare, selezionando un'icona, un negozio virtuale, con la possibilità di selezionare i prodotti da acquistare, fornendo direttamente all'emittente, grazie al canale di ritorno, i dati personali per essere contattati dall'inserzionista (c.d. "merchant");
i "giochi", ossia le applicazioni di tipo ludico;
i "servizi legati a programmi televisivi", che costituirebbero un'estensione su piattaforma digitale terrestre di programmi televisivi esistenti;
i "servizi non legati a programmi televisivi", nei quali verrebbero comprese tutte le altre applicazioni che sarebbe possibile utilizzare tramite la piattaforma digitale terrestre (quali, ad esempio, il c.d. "t-banking", "t-betting", "t-government" e altri).
2. Necessità di richiedere un esame preliminare ai sensi dell'art. 17 del Codice
I casi sottoposti all'attenzione di questa Autorità comportano trattamenti di dati personali che necessitano di una verifica preliminare ai sensi dell'art. 17 del Codice: la fruizione dei servizi offerti nell'ambito delle applicazioni interattive in questione presuppone, infatti, l'invio, tramite canale di ritorno, di dati personali dell'utente. Quest'ultimo diviene, quindi, un soggetto specificamente identificato, diversamente da quanto avviene attualmente nell'utilizzo del servizio base denominato "Mediaset Premium", il quale permette di visionare eventi su televisione digitale terrestre inserendo un'apposita carta prepagata ricaricabile ed anonima in un box interattivo digitale terrestre abilitato.
Più precisamente, per usufruire dei servizi riconducibili all'applicazione di "pubblicità interattiva", R.t.i. S.p.A. ha dichiarato che intende "raccogliere solo il numero di telefono" degli interessati, nonché conservare tali dati per un periodo non superiore a sei mesi, presso le infrastrutture tecnologiche messe a disposizione dal proprio fornitore di servizi, designato a tal fine quale responsabile del trattamento (TXT Polymedia S.p.A.). Tali dati non verrebbero diffusi, essendo unicamente comunicati all'inserzionista per consentirgli di contattare l'interessato.
Con riferimento, invece, ai c.d. "giochi", la società ha rappresentato che verrebbero raccolti non i dati personali degli interessati, ma "solo un nickname e la città di appartenenza". Ciò, al fine di consentire agli utenti di partecipare al gioco e, alla società, di pubblicare una classifica dei migliori giocatori. Per tali trattamenti, non verrebbe pertanto richiesto uno specifico consenso, né resa alcuna informativa; i dati raccolti verrebbero conservati secondo le modalità e i tempi indicati per i trattamenti effettuati nell'ambito dell'applicazione della "pubblicità interattiva".
Per quanto attiene ai "servizi legati ai programmi televisivi", la società ha poi rilevato che i dati personali che intende raccogliere, in tutto o in parte, sono il nome, il cognome ed il numero di telefono. Ciò, al fine di consentire, da un lato, di far partecipare l'interessato a concorsi e a giochi legati a trasmissioni televisive (ad esempio, "Passaparola") e, dall'altro, di pubblicare una classifica e di contattare l'interessato medesimo in caso di vincita. I dati raccolti verrebbero conservati secondo modalità e tempi (massimo 6 mesi) analoghi a quelli osservati per le applicazioni precedentemente descritte, fatta eccezione per i dati acquisiti nell'ambito di concorsi. In tale ultimo caso, infatti, i dati verrebbero conservati per il periodo di tempo necessario, al solo fine di poter rispondere ad eventuali contestazioni o richieste dell'interessato o dell'autorità giudiziaria. Infine, i dati non verrebbero comunicati a terzi, potendo tuttavia essere diffusi, previo consenso dell'interessato, in caso di vincita di giochi e/o concorsi a premio.
Infine, con riguardo ai "servizi non legati a programmi televisivi" (come, ad esempio, il t-government), la società ha attestato che la stessa "metterà solo a disposizione la banda di frequenza per la trasmissione del servizio" e che il rapporto con l'interessato verrebbe gestito unicamente dal fornitore del servizio medesimo. In sostanza, i dati personali sarebbero trasmessi direttamente dall'utente al predetto fornitore e "nulla transiterà sulle piattaforme di R.T.I." la quale, quindi, non riceverebbe dati personali, salvo diversi accordi da dichiarare.
3. Identificazione nominativa attraverso il canale di ritorno
Gli elementi acquisiti consentono di ritenere, stando a quanto attestato sotto la propria responsabilità dalla società richiedente, che i trattamenti di dati oggetto dell'odierna verifica preliminare siano configurati in termini leciti. Ciò, tenendo conto delle specifiche finalità perseguite nei contesti esaminati e di alcuni accorgimenti che la società intende adottare, nonché di quelli che devono essere prescritti con il presente provvedimento rispetto alle concrete modalità di identificazione nominativa attraverso il canale di ritorno.
3.1. Profilo esaminato
Le finalità perseguite nell'ambito delle diverse applicazioni interattive da parte di R.t.i. S.p.A., nonché degli altri eventuali titolari del trattamento di volta in volta individuati, sono lecite alla luce delle fattispecie descritte in atti e meglio riportate al paragrafo 2.
I trattamenti sottoposti alla valutazione preliminare di questa Autorità riguardano, allo stato, dati pertinenti e non eccedenti rispetto alle finalità perseguite, riferiti, tra l'altro, non alla generalità degli utilizzatori del servizio c.d. base ("Mediaset Premium"), ma soltanto a coloro che intendano usufruire degli ulteriori servizi offerti da società R.t.i. S.p.A. e dagli eventuali suoi partner. La società ha dichiarato, poi, di non raccogliere dati di traffico o trattare dati di natura sensibile. Ciò, fatta eccezione per le applicazioni interattive relative a "servizi non legati a programmi televisivi" (come, ad esempio, il T–Government), nelle quali potrebbero essere trattati dati sensibili. Tuttavia, per tali applicazioni, come detto al paragrafo 2, la società si limiterebbe a mettere a disposizione la banda di frequenza per la trasmissione del servizio, mentre il rapporto con l'interessato e i relativi dati personali sarebbero gestiti direttamente dal fornitore del servizio.
Prescrizione
Con riguardo a quest'ultima tipologia di trattamento, l'Autorità ha rilevato, con il menzionato provvedimento generale, la necessità di svolgere uno specifico approfondimento, proprio in ragione delle particolari problematiche che la caratterizzano, in termini di flussi di dati, informativa ed eventuale consenso, riservandosi di adottare eventuali, ulteriori accorgimenti e misure a garanzia degli interessati. Codesta società resta sin d'ora tenuta a trasmettere tutte le informazioni e gli elementi utili per la valutazione preventiva di futuri trattamenti, effettuati in collaborazione con i fornitori delle tipologie di servizi di cui al presente paragrafo, che comportino il trattamento di dati, anche di carattere sensibile, da parte della medesima società.
3.2. Profilo esaminato
Risultano, inoltre, dagli atti, proporzionate, in relazione alla natura dei dati trattati e alle finalità perseguite, le modalità di trasmissione dei dati identificativi.
Infatti, da quanto risulta in atti, la società intende utilizzare un'apposita infrastruttura. In particolare, il box interattivo dell'utente verrebbe autenticato su una rete di raccolta Dial Up Ip e, attraverso un tunnel di tipo L2TP, verrebbe instradato verso il fornitore di servizi designato da R.t.i. S.p.A. quale responsabile della gestione dei dati personali raccolti attraverso le descritte applicazioni interattive (TXT Polymedia S.p.A.). L'accesso dei Stb (Set Top Box) alla predetta rete di raccolta avverrebbe su Rtg (Rete telefonica generale) con il modem V90 interno allo stesso Stb, attraverso una numerazione dedicata ed utilizzando uno dei 236 pop di accesso presenti sul territorio nazionale. Attraverso il suddetto tunnel si passerebbe, poi, dai pop della rete di raccolta Dial Up per giungere al centro servizi dove verrebbero installati due terminatori di tunnel e due server per assicurare la continuità del servizio.
Prescrizione
Per garantire il pieno rispetto dei principi di necessità e proporzionalità, la società istante, nonché la società TXT Polymedia S.p.A. in qualità di centro servizi, dovranno astenersi dal creare un archivio centralizzato dei dati raccolti nell'ambito della fornitura dei servizi interattivi di cui trattasi, o eventuali banche dati fra loro interconesse.
4. Qualità dei dati e misure di sicurezza rispetto ai dati trasmessi attraverso il canale di ritorno
4.1. Profili esaminati
Dalle dichiarazioni rese da R.t.i. S.p.A., il sistema oggetto della presente verifica preliminare risulta, allo stato degli atti, caratterizzato da un adeguato livello di affidabilità e di sicurezza. L'Autorità si riserva comunque di verificare l'adempimento degli obblighi relativi all'adozione delle misure di sicurezza da parte di TXT Polymedia S.p.A., cui -come già detto - è affidata, in qualità di responsabile del trattamento, la gestione delle banche dati e dei relativi sistemi di sicurezza.
R.t.i. S.p.A. ha, infatti, attestato che i dati contenuti nell'archivio sono protetti con sistemi ad accesso condizionato e che le misure di sicurezza adottate sono certificate in sede di conferimento dell'incarico. In particolare, per quanto riguarda il sistema di conservazione dei dati raccolti in occasione della fornitura dei predetti servizi interattivi, la società ha rilevato che i programmi software a supporto dell'applicazione relativa al back-end (piattaforma attraverso la quale vengono gestite tutte le operazioni utente attraverso il canale di ritorno), sono ospitate sulle infrastrutture tecnologiche installate presso la sala macchine di TXT Polymedia S.p.A.; ha precisato, poi, che l'accesso alle predette strutture, che può avvenire direttamente in sala macchine o da remoto tramite reti dedicate o Vpn (Virtual Private Networking), verrebbe consentito esclusivamente al personale espressamente autorizzato dalla stessa TXT Polymedia S.p.A., previa disponibilità di un account in corso di validità ed attivazione di adeguate regole di sicurezza sui sistemi firewall.
Prescrizioni
In attuazione dell'obbligo di adottare le misure di sicurezza prescritte dal Codice (art. 31 ss. e Allegato B), R.t.i. S.p.A. resta obbligata a farsi rilasciare da TXT Polymedia S.p.A., e a conservare presso la propria struttura, ogni idonea certificazione ed omologazione dei dispositivi impiegati, nonché a verificare, anche attraverso accertamenti periodici, la puntuale osservanza delle disposizioni impartite in materia di trattamento, ivi compreso il profilo della sicurezza (art. 29 del Codice).
Resta parimenti ferma, con particolare riguardo all'accesso ai dati da parte degli incaricati alla gestione delle infrastrutture tecnologiche, la necessità di designare tali soggetti per iscritto, anche per il tramite di TXT Polymedia S.p.A., impartendo loro idonee istruzioni alle quali attenersi.
Con riferimento ai profili di sicurezza, si deve infine prescrivere a R.t.i. S.p.A. l'adozione di adeguate misure, anche di carattere tecnico, affinché l'eventuale comunicazione di dati a terzi (come nel caso dell'applicazione relativa alla "pubblicità interattiva", la comunicazione al c.d. merchant) avvenga evitando il ricorso a canali inaffidabili anche parzialmente, sia dal punto di vista delle prestazioni, sia da quello della sicurezza. Tale comunicazione dovrà, pertanto, avvenire solo attraverso sistemi di comunicazione basati su aggiornati strumenti che assicurino l'identificazione delle parti comunicanti, l'integrità e la protezione dei dati.
5. Conservazione dei dati
5.1. Profili esaminati
I dati devono essere conservati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali sono stati raccolti e trattati (art. 11, comma 1, lett. e) del Codice). Ne deriva l'obbligo per R.t.i. S.p.A. di cancellare i dati trattati una volta raggiunto lo scopo per il quale i medesimi dati erano stati raccolti.
Dalle dichiarazioni in atti emerge che tutti i dati raccolti tramite le descritte applicazioni interattive verrebbero conservati "per un periodo non superiore a sei mesi alla cui scadenza vengono resi anonimi". Ciò, fatta eccezione per i dati acquisiti nell'ambito della fornitura dei "servizi legati a programmi televisivi" e specificamente per i "concorsi", laddove i dati vengono conservati per il periodo di tempo necessario al fine di poter rispondere a eventuali contestazioni o richieste dell'interessato e dell'autorità giudiziaria.
Prescrizioni
Nel testo di "informativa per pubblicità interattiva" allegato alla richiesta di verifica preliminare non è indicato, diversamente da quanto come sopra dichiarato, il termine massimo di sei mesi per la conservazione dei dati; è infatti riportata solo un'indicazione generica in base alla quale "i dati verranno conservati per il tempo necessario in relazione alle finalità" indicate nella stessa informativa.
Posto che può ritenersi congrua la conservazione "per un periodo non superiore a sei mesi" per le finalità connesse alla fruizione dei servizi offerti con l'applicazione di "pubblicità interattiva", R.t.i. S.p.A. è tenuta a modificare in tal senso il testo della predetta informativa e ad osservare la suddetta tempistica, provvedendo in ogni caso a cancellare o a rendere anonimi i dati acquisiti una volta comunicati al c.d. merchant.
6. Informativa, esercizio dei diritti, consenso e notificazione
6.1. Profili esaminati
La società ha attestato che al momento della raccolta dei dati gli interessati avrebbero sempre a disposizione, attraverso un tasto dedicato del telecomando, un'apposita informativa, volta ad indicare dettagliatamente non solo le finalità della raccolta stessa, ma anche tutti gli elementi necessari previsti dall'art. 13 del Codice, ivi incluse le modalità per esercitare i diritti di cui all'art. 7 del Codice medesimo.
La predetta informativa (trattasi di una schermata di primo avviso per consentire, anche premendo un tasto del telecomando, di accedere all'informativa stessa), deve essere fornita prima della raccolta dei dati, anziché in schermate successive rispetto a quella dedicata all'inserimento dei dati medesimi. Il relativo testo deve essere leggibile anche a distanza.
Con riferimento alle modalità di esercizio dei diritti la società ha attestato che l'interessato potrà esercitarli, allo stato, mediante una richiesta scritta all'indirizzo indicato nell'informativa e che è prevista una procedura interna per garantire la speditezza dell'operazione; ha poi precisato che, non esistendo un sistema di archiviazione dei dati per anagrafica utente, non è attualmente tecnicamente possibile consentire l'accesso attraverso l'applicazione interattiva.
Prescrizione
Con riguardo a quest'ultimo profilo va prescritto alla società, in base ad un criterio di "reciprocità" (in ragione del quale risulta adeguato consentire agli interessati di esercitare i propri diritti con modalità rapportate a quelle attraverso le quali il titolare può raccogliere i dati stessi) di implementare entro 180 giorni dall'avvio della fornitura dei nuovi servizi televisivi interattivi ogni accorgimento, anche di carattere tecnico, che consenta di agevolare l'accesso e di semplificare le modalità di esercizio. Ciò, anche alla luce di quanto indicato da questa Autorità nel provvedimento generale adottato in materia (cfr. punto 7, lett. d)) e ferma restando l'esigenza di verificare l'identità degli interessati.
6.2. Profilo esaminato
Con particolare riferimento al consenso, si richiama la società istante al rispetto di quanto prescritto dal Garante nel citato provvedimento. Il consenso, oltre ad essere libero, deve essere manifestato positivamente con una dichiarazione di volontà espressa (ad esempio, mediante la digitazione di un tasto), anziché tramite comportamenti asseritamente concludenti (come la conclusione di un'operazione o l'invio di una richiesta). Il consenso deve essere poi sollecitato dalla società solo nei casi in cui è necessario, non potendo operare alcuno dei presupposti di legge (artt. 23, 24 e 26 del Codice).
Prescrizione
La società istante è tenuta ad apportare le necessarie modifiche al testo dell'informativa relativa alla "pubblicità interattiva" (relativamente alla parte riguardante le modalità di manifestazione del consenso) e ad attenersi a quanto dichiarato nella richiesta di verifica preliminare, dove si legge che "il consenso viene raccolto premendo il tasto OK del telecomando".
6.3. Profilo esaminato
Con riferimento ad un separato profilo si rileva, infine, che la società resta tenuta a notificare al Garante il trattamento dei dati, laddove intenda svolgere uno o più dei trattamenti indicati all'art. 37 del Codice. Ciò, prima che essi abbiano inizio (come nel caso della profilazione).
7. Utilizzo di dispositivi o marcatori per attività di monitoraggio
7.1. Profili esaminati
La società ha attestato che non utilizzerà, nelle applicazioni interattive in questione, strumenti che consentano di riconoscere l'utente durante la navigazione. Questa verrebbe, infatti, effettuata "in locale" a seguito del caricamento nel Stb dell'applicazione e del suo avvio. Anche nel momento in cui l'applicazione si connetterà ai server dei centri servizi, l'utente rimarrebbe anonimo, fatta eccezione per gli specifici casi in cui gli venisse richiesto di identificarsi.
La società ha, poi, precisato che i dati contenuti nella smart card non consentono di identificare l'utente che la possiede e che la versione attuale del sistema di accesso condizionato utilizzato (Nagravision) non permette che le informazioni contenute nella smart card possano essere inviate attraverso il canale di ritorno. Allo stato, non risulta comprovata la possibilità di un accesso abusivo attraverso il canale di ritorno ai dati contenuti nella carta pre-pagata.
8. Conclusioni.
R.t.i. potrà effettuare i trattamenti di dati personali dichiarati qualora rispetti le misure e gli accorgimenti a garanzia degli interessati prescritti con il presente provvedimento, in attuazione del Codice, i quali vanno osservati in aggiunta a quanto previsto dal provvedimento generale, affinché i medesimi trattamenti siano leciti e corretti, anche ai fini dell'eventuale applicazione di sanzioni penali (artt. 17 e 167 del Codice):
TUTTO CIÒ PREMESSO IL GARANTE:
prescrive a R.t.i. S.p.A., ai sensi degli artt. 17 e 154, comma 1, lett. c) del Codice, di adottare le misure e gli accorgimenti a garanzia degli interessati nei termini di cui in motivazione, e in particolare:
A) con riguardo a quanto indicato ai paragrafi 3.1. e 3.2. del provvedimento:
di trasmettere al Garante tutte le informazioni e gli elementi utili per la valutazione preventiva di eventuali trattamenti di dati effettuati in collaborazione con i fornitori dei cosiddetti "servizi non legati a programmi televisivi" e che comportino il trattamento di dati, anche di carattere sensibile, da parte di R.T.I. S.p.A.;
di astenersi, anche mediante il soggetto il quale operi come centro servizi e nella qualità di responsabile del trattamento (attualmente, la società TXT Polymedia S.p.A.), dal creare un archivio centralizzato dei dati raccolti nell'ambito della fornitura dei diversi servizi interattivi offerti, o eventuali banche dati fra loro interconnesse;
B) con riguardo a quanto indicato al paragrafo 4.1. del provvedimento:
in attuazione dell'obbligo di adottare ogni misura anche minima di sicurezza prescritta dal Codice (art. 31 ss. e Allegato B), di farsi rilasciare dal soggetto che operi come centro servizi e nella predetta qualità di responsabile del trattamento (attualmente, la società TXT Polymedia S.p.A.), e a conservare presso la propria struttura, ogni idonea certificazione ed omologazione dei dispositivi impiegati, nonché ad effettuare verifiche periodiche sulla puntuale osservanza delle disposizioni impartite in materia di trattamento, ivi compreso il profilo della sicurezza (art. 29 del Codice);
di adottare adeguate misure, anche di carattere tecnico, affinché l'eventuale comunicazione di dati a terzi (come nel caso dell'applicazione relativa alla "pubblicità interattiva", la comunicazione al c.d. merchant) avvenga evitando il ricorso a canali inaffidabili anche parzialmente, sia dal punto di vista delle prestazioni, sia da quello della sicurezza. Tale comunicazione dovrà avvenire attraverso sistemi di comunicazione basati su aggiornati strumenti che assicurino l'identificazione delle parti comunicanti, l'integrità e la protezione dei dati;
C) con riguardo a quanto indicato al paragrafo 5.1. del provvedimento:
di modificare il testo dell'informativa resa con riferimento ai servizi offerti nell'ambito dell'applicazione di "pubblicità interattiva", indicando che la conservazione dei dati personali raccolti per le finalità connesse alla fruizione dei predetti servizi avverrà "per un periodo non superiore a sei mesi";
D) con riguardo a quanto indicato al paragrafo 6.1. e 6.2. del provvedimento:
di implementare, entro 180 giorni dall'avvio della fornitura dei nuovi servizi televisivi interattivi, ogni accorgimento, anche di carattere tecnico, che consenta di agevolare l'esercizio dei diritti di cui all'art. 7 del Codice;
di apportare le necessarie modifiche al testo dell'informativa relativa alla "pubblicità interattiva", relativamente alla parte riguardante le modalità di manifestazione del consenso e di attenersi a quanto, invece, dichiarato nella richiesta di verifica preliminare, dove si legge che "il consenso viene raccolto premendo il tasto OK del telecomando".
Roma, 26 luglio 2006
IL PRESIDENTE
Pizzetti
IL RELATORE
Paissan
IL SEGRETARIO GENERALE
Buttarelli
Fonte Garante Privacy