Civile

martedì 19 settembre 2006

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Tv digitale e servizi interattivi: accorgimenti a garanzia degli interessati – 26 luglio 2006

GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI Tv digitale e servizi interattivi: accorgimenti a garanzia degli
interessati – 26 luglio 2006

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli,
segretario generale;

VISTO il d.lg. 30 giugno 2003 n.
196 (denominato Codice in materia di protezione dei dati personali, di seguito,
"Codice") e, in particolare, il relativo art. 17;

VISTO il provvedimento a
carattere generale adottato da questa Autorità in data 3 febbraio 2005 (in
www.garanteprivacy.it, doc. web. n. 1109503), relativo
ai trattamenti dei dati personali effettuati nell’ambito dei nuovi servizi
televisivi interattivi;

VISTA la prescrizione contenuta
nel predetto provvedimento (cfr. punto 2), in base
alla quale "L’eventuale richiesta –rivolta dal fornitore ai singoli
utenti– di identificarsi nominativamente al momento in cui essi inviano
informazioni attraverso il canale di ritorno è lecita solo se sottoposta
all’esame preliminare di questa Autorità";

ESAMINATA la richiesta di
verifica preliminare del 21 dicembre 2005, come integrata con nota pervenuta il
6 marzo 2006, presentata da Reti televisive italiane S.p.A. (di seguito,
"R.t.i.") ai sensi dell’art. 17 cit., e
relativa al trattamento di dati personali che la società intende svolgere per
fornire diversi servizi interattivi;

VISTI gli atti d’ufficio;

VISTE le osservazioni formulate
dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Mauro Paissan;

PREMESSO:

1. Trattamento di dati personali
effettuato nell’ambito della fornitura dei diversi servizi televisivi
interattivi offerti da R.t.i. S.p.A.

R.t.i. S.p.A.,
società del Gruppo Mediaset che opera nel settore televisivo, ha presentato a
questa Autorità una richiesta di verifica preliminare ai sensi dell’art. 17 del
Codice relativa ai trattamenti di dati personali che intende svolgere
nell’ambito della fornitura di alcuni servizi televisivi interattivi della
televisione digitale terrestre.

In particolare, le applicazioni
interattive che la società vorrebbe implementare sono:

la
"pubblicità interattiva", con la quale si intende consentire
all’utente di visitare, selezionando un’icona, un negozio virtuale, con la
possibilità di selezionare i prodotti da acquistare, fornendo direttamente
all’emittente, grazie al canale di ritorno, i dati personali per essere
contattati dall’inserzionista (c.d. "merchant");

i
"giochi", ossia le applicazioni di tipo ludico;

i
"servizi legati a programmi televisivi", che costituirebbero
un’estensione su piattaforma digitale terrestre di programmi televisivi
esistenti;

i
"servizi non legati a programmi televisivi", nei quali verrebbero
comprese tutte le altre applicazioni che sarebbe possibile utilizzare tramite
la piattaforma digitale terrestre (quali, ad esempio, il c.d.
"t-banking", "t-betting", "t-government" e
altri).

2. Necessità di richiedere un
esame preliminare ai sensi dell’art. 17 del Codice

I casi sottoposti all’attenzione
di questa Autorità comportano trattamenti di dati personali che necessitano di
una verifica preliminare ai sensi dell’art. 17 del Codice: la fruizione dei
servizi offerti nell’ambito delle applicazioni interattive in questione
presuppone, infatti, l’invio, tramite canale di ritorno, di dati personali dell’utente.
Quest’ultimo diviene, quindi, un soggetto specificamente identificato,
diversamente da quanto avviene attualmente nell’utilizzo del servizio base
denominato "Mediaset Premium", il quale permette di visionare eventi
su televisione digitale terrestre inserendo un’apposita carta prepagata
ricaricabile ed anonima in un box interattivo digitale terrestre abilitato.

Più precisamente, per usufruire
dei servizi riconducibili all’applicazione di "pubblicità
interattiva", R.t.i. S.p.A. ha dichiarato che intende
"raccogliere solo il numero di telefono" degli interessati, nonché
conservare tali dati per un periodo non superiore a sei mesi, presso le
infrastrutture tecnologiche messe a disposizione dal proprio fornitore di
servizi, designato a tal fine quale responsabile del trattamento (TXT Polymedia
S.p.A.). Tali dati non verrebbero diffusi, essendo unicamente comunicati
all’inserzionista per consentirgli di contattare l’interessato.

Con riferimento, invece, ai c.d.
"giochi", la società ha rappresentato che verrebbero
raccolti non i dati personali degli interessati, ma "solo un nickname e la
città di appartenenza". Ciò, al fine di consentire agli utenti di
partecipare al gioco e, alla società, di pubblicare una classifica dei migliori
giocatori. Per tali trattamenti, non verrebbe pertanto
richiesto uno specifico consenso, né resa alcuna informativa; i dati raccolti
verrebbero conservati secondo le modalità e i tempi indicati per i trattamenti
effettuati nell’ambito dell’applicazione della "pubblicità interattiva".

Per quanto attiene ai
"servizi legati ai programmi televisivi", la società ha poi rilevato
che i dati personali che intende raccogliere, in tutto o in parte, sono il
nome, il cognome ed il numero di telefono. Ciò, al fine di consentire, da un lato,
di far partecipare l’interessato a concorsi e a giochi legati a trasmissioni
televisive (ad esempio, "Passaparola") e, dall’altro, di pubblicare
una classifica e di contattare l’interessato medesimo in caso di vincita. I
dati raccolti verrebbero conservati secondo modalità e
tempi (massimo 6 mesi) analoghi a quelli osservati per le applicazioni
precedentemente descritte, fatta eccezione per i dati acquisiti nell’ambito di
concorsi. In tale ultimo caso, infatti, i dati verrebbero
conservati per il periodo di tempo necessario, al solo fine di poter rispondere
ad eventuali contestazioni o richieste dell’interessato o dell’autorità
giudiziaria. Infine, i dati non verrebbero comunicati
a terzi, potendo tuttavia essere diffusi, previo consenso dell’interessato, in
caso di vincita di giochi e/o concorsi a premio.

Infine, con riguardo ai
"servizi non legati a programmi televisivi" (come, ad esempio, il
t-government), la società ha attestato che la stessa "metterà solo a
disposizione la banda di frequenza per la trasmissione del servizio" e che
il rapporto con l’interessato verrebbe gestito
unicamente dal fornitore del servizio medesimo. In sostanza, i dati personali
sarebbero trasmessi direttamente dall’utente al predetto fornitore e
"nulla transiterà sulle piattaforme di R.T.I." la quale, quindi, non
riceverebbe dati personali, salvo diversi accordi da dichiarare.

3. Identificazione nominativa
attraverso il canale di ritorno

Gli elementi acquisiti consentono
di ritenere, stando a quanto attestato sotto la propria responsabilità dalla
società richiedente, che i trattamenti di dati oggetto dell’odierna verifica
preliminare siano configurati in termini leciti. Ciò,
tenendo conto delle specifiche finalità perseguite nei contesti esaminati e di
alcuni accorgimenti che la società intende adottare, nonché di quelli che
devono essere prescritti con il presente provvedimento rispetto alle concrete
modalità di identificazione nominativa attraverso il canale di ritorno.

3.1. Profilo esaminato

Le finalità perseguite
nell’ambito delle diverse applicazioni interattive da parte di R.t.i. S.p.A., nonché degli altri eventuali titolari del trattamento di
volta in volta individuati, sono lecite alla luce delle fattispecie descritte
in atti e meglio riportate al paragrafo 2.

I trattamenti sottoposti alla
valutazione preliminare di questa Autorità riguardano, allo stato, dati
pertinenti e non eccedenti rispetto alle finalità perseguite, riferiti, tra
l’altro, non alla generalità degli utilizzatori del servizio c.d. base
("Mediaset Premium"), ma soltanto a coloro che intendano
usufruire degli ulteriori servizi offerti da società R.t.i. S.p.A. e dagli eventuali suoi partner. La società ha dichiarato,
poi, di non raccogliere dati di traffico o trattare dati di natura sensibile.
Ciò, fatta eccezione per le applicazioni interattive relative a "servizi
non legati a programmi televisivi" (come, ad esempio, il T–Government),
nelle quali potrebbero essere trattati dati sensibili. Tuttavia, per tali applicazioni,
come detto al paragrafo 2, la società si limiterebbe a mettere a disposizione
la banda di frequenza per la trasmissione del servizio, mentre il rapporto con
l’interessato e i relativi dati personali sarebbero gestiti direttamente dal
fornitore del servizio.

Prescrizione

Con riguardo a quest’ultima
tipologia di trattamento, l’Autorità ha rilevato, con il menzionato
provvedimento generale, la necessità di svolgere uno specifico approfondimento,
proprio in ragione delle particolari problematiche che la caratterizzano, in
termini di flussi di dati, informativa ed eventuale consenso,
riservandosi di adottare eventuali, ulteriori accorgimenti e misure a garanzia
degli interessati. Codesta società resta sin d’ora tenuta a trasmettere tutte
le informazioni e gli elementi utili per la valutazione preventiva di futuri
trattamenti, effettuati in collaborazione con i fornitori delle tipologie di
servizi di cui al presente paragrafo, che comportino
il trattamento di dati, anche di carattere sensibile, da parte della medesima
società.

3.2. Profilo esaminato

Risultano, inoltre, dagli atti,
proporzionate, in relazione alla natura dei dati trattati e alle finalità
perseguite, le modalità di trasmissione dei dati identificativi.

Infatti, da quanto risulta in
atti, la società intende utilizzare un’apposita infrastruttura. In particolare,
il box interattivo dell’utente verrebbe autenticato su
una rete di raccolta Dial Up Ip e, attraverso un tunnel di tipo L2TP, verrebbe
instradato verso il fornitore di servizi designato da R.t.i. S.p.A. quale responsabile della gestione dei dati personali
raccolti attraverso le descritte applicazioni interattive (TXT Polymedia
S.p.A.). L’accesso dei Stb (Set Top Box) alla predetta rete di raccolta
avverrebbe su Rtg (Rete telefonica generale) con il modem V90 interno allo
stesso Stb, attraverso una numerazione dedicata ed utilizzando uno dei 236 pop
di accesso presenti sul territorio nazionale. Attraverso il suddetto tunnel si
passerebbe, poi, dai pop della rete di raccolta Dial Up per giungere al centro
servizi dove verrebbero installati due terminatori di
tunnel e due server per assicurare la continuità del servizio.

Prescrizione

Per garantire il pieno rispetto
dei principi di necessità e proporzionalità, la società istante, nonché la
società TXT Polymedia S.p.A. in qualità di centro servizi, dovranno astenersi
dal creare un archivio centralizzato dei dati raccolti nell’ambito della
fornitura dei servizi interattivi di cui trattasi, o eventuali banche dati fra
loro interconesse.

4. Qualità dei dati e misure di
sicurezza rispetto ai dati trasmessi attraverso il canale di ritorno

4.1. Profili esaminati

Dalle dichiarazioni rese da
R.t.i. S.p.A., il sistema oggetto della presente
verifica preliminare risulta, allo stato degli atti, caratterizzato da un
adeguato livello di affidabilità e di sicurezza. L’Autorità si riserva comunque
di verificare l’adempimento degli obblighi relativi all’adozione delle misure
di sicurezza da parte di TXT Polymedia S.p.A., cui
-come già detto – è affidata, in qualità di responsabile del trattamento, la
gestione delle banche dati e dei relativi sistemi di sicurezza.

R.t.i. S.p.A. ha,
infatti, attestato che i dati contenuti nell’archivio sono protetti con sistemi
ad accesso condizionato e che le misure di sicurezza adottate sono certificate
in sede di conferimento dell’incarico. In particolare, per quanto riguarda il
sistema di conservazione dei dati raccolti in occasione della fornitura dei
predetti servizi interattivi, la società ha rilevato che i programmi software a
supporto dell’applicazione relativa al back-end (piattaforma attraverso la
quale vengono gestite tutte le operazioni utente
attraverso il canale di ritorno), sono ospitate sulle infrastrutture
tecnologiche installate presso la sala macchine di TXT Polymedia S.p.A.; ha
precisato, poi, che l’accesso alle predette strutture, che può avvenire
direttamente in sala macchine o da remoto tramite reti dedicate o Vpn (Virtual
Private Networking), verrebbe consentito esclusivamente al personale
espressamente autorizzato dalla stessa TXT Polymedia S.p.A., previa
disponibilità di un account in corso di validità ed attivazione di adeguate
regole di sicurezza sui sistemi firewall.

Prescrizioni

In attuazione dell’obbligo di
adottare le misure di sicurezza prescritte dal Codice (art. 31 ss. e Allegato
B), R.t.i. S.p.A. resta obbligata a farsi rilasciare
da TXT Polymedia S.p.A., e a conservare presso la propria struttura, ogni
idonea certificazione ed omologazione dei dispositivi impiegati, nonché a
verificare, anche attraverso accertamenti periodici, la puntuale osservanza
delle disposizioni impartite in materia di trattamento, ivi compreso il profilo
della sicurezza (art. 29 del Codice).

Resta parimenti ferma, con
particolare riguardo all’accesso ai dati da parte degli incaricati alla
gestione delle infrastrutture tecnologiche, la necessità di designare tali
soggetti per iscritto, anche per il tramite di TXT Polymedia S.p.A., impartendo loro idonee istruzioni alle quali attenersi.

Con riferimento ai profili di
sicurezza, si deve infine prescrivere a R.t.i. S.p.A. l’adozione
di adeguate misure, anche di carattere tecnico, affinché l’eventuale
comunicazione di dati a terzi (come nel caso dell’applicazione relativa alla
"pubblicità interattiva", la comunicazione al c.d. merchant) avvenga
evitando il ricorso a canali inaffidabili anche parzialmente, sia dal punto di
vista delle prestazioni, sia da quello della sicurezza. Tale comunicazione dovrà,
pertanto, avvenire solo attraverso sistemi di comunicazione basati su
aggiornati strumenti che assicurino l’identificazione delle parti comunicanti,
l’integrità e la protezione dei dati.

5. Conservazione dei dati

5.1. Profili esaminati

I dati devono essere conservati
per un arco di tempo non superiore a quello necessario per il conseguimento
delle finalità per le quali sono stati raccolti e trattati (art. 11, comma 1,
lett. e) del Codice). Ne deriva l’obbligo per R.t.i. S.p.A. di
cancellare i dati trattati una volta raggiunto lo scopo per il quale i medesimi
dati erano stati raccolti.

Dalle dichiarazioni in atti
emerge che tutti i dati raccolti tramite le descritte applicazioni interattive verrebbero conservati "per un periodo non superiore a
sei mesi alla cui scadenza vengono resi anonimi". Ciò, fatta eccezione per
i dati acquisiti nell’ambito della fornitura dei "servizi legati a
programmi televisivi" e specificamente per i "concorsi", laddove
i dati vengono conservati per il periodo di tempo
necessario al fine di poter rispondere a eventuali contestazioni o richieste
dell’interessato e dell’autorità giudiziaria.

Prescrizioni

Nel testo di "informativa
per pubblicità interattiva" allegato alla richiesta di verifica
preliminare non è indicato, diversamente da quanto come sopra dichiarato, il
termine massimo di sei mesi per la conservazione dei dati; è
infatti riportata solo un’indicazione generica in base alla quale
"i dati verranno conservati per il tempo necessario in relazione alle
finalità" indicate nella stessa informativa.

Posto che può ritenersi congrua
la conservazione "per un periodo non superiore a sei mesi" per le
finalità connesse alla fruizione dei servizi offerti con l’applicazione di
"pubblicità interattiva", R.t.i. S.p.A. è
tenuta a modificare in tal senso il testo della predetta informativa e ad
osservare la suddetta tempistica, provvedendo in ogni caso a cancellare o a
rendere anonimi i dati acquisiti una volta comunicati al c.d. merchant.

6. Informativa,
esercizio dei diritti, consenso e notificazione

6.1. Profili esaminati

La società ha attestato che al
momento della raccolta dei dati gli interessati avrebbero sempre a
disposizione, attraverso un tasto dedicato del telecomando, un’apposita
informativa, volta ad indicare dettagliatamente non solo le finalità della
raccolta stessa, ma anche tutti gli elementi necessari previsti dall’art. 13
del Codice, ivi incluse le modalità per esercitare i diritti di cui all’art. 7
del Codice medesimo.

La predetta informativa (trattasi
di una schermata di primo avviso per consentire, anche premendo un tasto del
telecomando, di accedere all’informativa stessa), deve essere fornita prima
della raccolta dei dati, anziché in schermate successive rispetto a quella
dedicata all’inserimento dei dati medesimi. Il relativo testo deve essere
leggibile anche a distanza.

Con riferimento alle modalità di
esercizio dei diritti la società ha attestato che l’interessato potrà
esercitarli, allo stato, mediante una richiesta scritta all’indirizzo indicato
nell’informativa e che è prevista una procedura interna per garantire la speditezza
dell’operazione; ha poi precisato che, non esistendo un sistema di
archiviazione dei dati per anagrafica utente, non è attualmente tecnicamente
possibile consentire l’accesso attraverso l’applicazione interattiva.

Prescrizione

Con riguardo a quest’ultimo
profilo va prescritto alla società, in base ad un criterio di
"reciprocità" (in ragione del quale risulta adeguato consentire agli
interessati di esercitare i propri diritti con modalità rapportate a quelle
attraverso le quali il titolare può raccogliere i dati
stessi) di implementare entro 180 giorni dall’avvio della fornitura dei nuovi
servizi televisivi interattivi ogni accorgimento, anche di carattere tecnico,
che consenta di agevolare l’accesso e di semplificare le modalità di esercizio.
Ciò, anche alla luce di quanto indicato da questa Autorità nel provvedimento
generale adottato in materia (cfr. punto 7, lett. d))
e ferma restando l’esigenza di verificare l’identità degli interessati.

6.2. Profilo esaminato

Con particolare riferimento al consenso,
si richiama la società istante al rispetto di quanto prescritto dal Garante nel
citato provvedimento. Il consenso, oltre ad essere libero, deve essere
manifestato positivamente con una dichiarazione di volontà espressa (ad
esempio, mediante la digitazione di un tasto), anziché tramite comportamenti
asseritamente concludenti (come la conclusione di un’operazione o l’invio di
una richiesta). Il consenso deve essere poi sollecitato dalla società solo nei
casi in cui è necessario, non potendo operare alcuno dei presupposti di legge
(artt. 23, 24 e 26 del Codice).

Prescrizione

La società istante è tenuta ad
apportare le necessarie modifiche al testo dell’informativa relativa alla
"pubblicità interattiva" (relativamente alla parte riguardante le
modalità di manifestazione del consenso) e ad attenersi a quanto dichiarato
nella richiesta di verifica preliminare, dove si legge che "il consenso viene raccolto premendo il tasto OK del telecomando".

6.3. Profilo esaminato

Con riferimento ad un separato
profilo si rileva, infine, che la società resta tenuta a notificare al Garante
il trattamento dei dati, laddove intenda svolgere uno o più dei trattamenti
indicati all’art. 37 del Codice. Ciò, prima che essi abbiano inizio (come nel
caso della profilazione).

7. Utilizzo di dispositivi o
marcatori per attività di monitoraggio

7.1. Profili esaminati

La società ha attestato che non
utilizzerà, nelle applicazioni interattive in questione, strumenti che
consentano di riconoscere l’utente durante la navigazione. Questa verrebbe,
infatti, effettuata "in locale" a seguito del caricamento nel Stb
dell’applicazione e del suo avvio. Anche nel momento in cui l’applicazione si connetterà ai server dei centri servizi, l’utente rimarrebbe
anonimo, fatta eccezione per gli specifici casi in cui gli venisse richiesto di
identificarsi.

La società ha, poi, precisato che
i dati contenuti nella smart card non consentono di identificare l’utente che
la possiede e che la versione attuale del sistema di accesso condizionato
utilizzato (Nagravision) non permette che le informazioni contenute nella smart
card possano essere inviate attraverso il canale di ritorno. Allo stato, non
risulta comprovata la possibilità di un accesso abusivo attraverso il canale di
ritorno ai dati contenuti nella carta pre-pagata.

8. Conclusioni.

R.t.i. potrà effettuare i
trattamenti di dati personali dichiarati qualora rispetti
le misure e gli accorgimenti a garanzia degli interessati prescritti con il
presente provvedimento, in attuazione del Codice, i quali vanno osservati in
aggiunta a quanto previsto dal provvedimento generale, affinché i medesimi
trattamenti siano leciti e corretti, anche ai fini dell’eventuale applicazione
di sanzioni penali (artt. 17 e 167 del Codice):

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive
a R.t.i. S.p.A., ai sensi degli artt. 17 e 154, comma
1, lett. c) del Codice, di adottare le misure e gli accorgimenti a garanzia
degli interessati nei termini di cui in motivazione, e in particolare:

A) con riguardo a quanto indicato
ai paragrafi 3.1. e 3.2. del provvedimento:

di trasmettere
al Garante tutte le informazioni e gli elementi utili per la valutazione
preventiva di eventuali trattamenti di dati effettuati in collaborazione con i
fornitori dei cosiddetti "servizi non legati a programmi televisivi"
e che comportino il trattamento di dati, anche di carattere sensibile, da parte
di R.T.I. S.p.A.;

di
astenersi, anche mediante il soggetto il quale operi come centro servizi e
nella qualità di responsabile del trattamento (attualmente, la società TXT
Polymedia S.p.A.), dal creare un archivio centralizzato dei dati raccolti
nell’ambito della fornitura dei diversi servizi interattivi offerti, o
eventuali banche dati fra loro interconnesse;

B) con riguardo a quanto indicato al paragrafo 4.1. del provvedimento:

in
attuazione dell’obbligo di adottare ogni misura anche minima di sicurezza
prescritta dal Codice (art. 31 ss. e Allegato B), di farsi rilasciare dal
soggetto che operi come centro servizi e nella predetta qualità di responsabile
del trattamento (attualmente, la società TXT Polymedia S.p.A.), e a conservare
presso la propria struttura, ogni idonea certificazione ed omologazione dei
dispositivi impiegati, nonché ad effettuare verifiche periodiche sulla puntuale
osservanza delle disposizioni impartite in materia di trattamento, ivi compreso
il profilo della sicurezza (art. 29 del Codice);

di
adottare adeguate misure, anche di carattere tecnico, affinché l’eventuale
comunicazione di dati a terzi (come nel caso dell’applicazione relativa alla
"pubblicità interattiva", la comunicazione al c.d. merchant) avvenga
evitando il ricorso a canali inaffidabili anche parzialmente, sia dal punto di
vista delle prestazioni, sia da quello della sicurezza. Tale comunicazione
dovrà avvenire attraverso sistemi di comunicazione basati su aggiornati
strumenti che assicurino l’identificazione delle parti comunicanti, l’integrità
e la protezione dei dati;

C) con riguardo a quanto indicato al paragrafo 5.1. del provvedimento:

di
modificare il testo dell’informativa resa con riferimento ai servizi offerti
nell’ambito dell’applicazione di "pubblicità interattiva", indicando
che la conservazione dei dati personali raccolti per le finalità connesse alla
fruizione dei predetti servizi avverrà "per un periodo non superiore a sei
mesi";

D) con riguardo a quanto indicato al paragrafo 6.1. e 6.2. del
provvedimento:

di
implementare, entro 180 giorni dall’avvio della fornitura dei nuovi servizi
televisivi interattivi, ogni accorgimento, anche di carattere tecnico, che
consenta di agevolare l’esercizio dei diritti di cui all’art. 7 del Codice;

di
apportare le necessarie modifiche al testo dell’informativa relativa alla
"pubblicità interattiva", relativamente alla parte riguardante le
modalità di manifestazione del consenso e di attenersi a quanto, invece,
dichiarato nella richiesta di verifica preliminare, dove si legge che "il
consenso viene raccolto premendo il tasto OK del telecomando".