Sono stati pubblicati nella Gazzetta Ufficiale del 30 dicembre 2014 i provvedimenti con cui il Garante privacy ha rinnovato le autorizzazioni generali al trattamento dei dati sensibili e giudiziari.
Le autorizzazioni rispecchiano sostanzialmente quelle in scadenza, ad eccezione dell’autorizzazione generale n. 5 relativa al trattamento dei dati sensibili da parte di diverse categorie di titolari.
Infatti, accanto a coloro già richiamati nella precedente autorizzazione (quali esercenti attività bancarie, creditizie, assicurative, di selezione del personale, del settore turistico …), vengono adesso contemplati anche i prestatori di servizi digitali e precisamente “i fornitori di prodotti e servizi digitali acquistati tramite credito telefonico (mobile remote payment)” e “i fornitori di prodotti e servizi di TV interattiva”.
L’interesse del Garante per detti servizi non è nuovo, come dimostrano i provvedimenti dell’Autorità su tali materie (e nello specifico, in ordine al mobile remote payment, il provvedimento del 22 maggio 2014, e, con riferimento alla tv interattiva, il provvedimento del 3 febbraio 2005 ed i successivi provvedimenti emanati in relazione ad istanze di verifica preliminare presentate da società interessate ad attivare sistemi per analizzare le attività dei clienti utilizzatori di tale servizio – cfr. sul punto newsletter del garante privacy del 16 luglio 2013).
Interesse motivato evidentemente dalla circostanza che, nella prestazione dei servizi digitali considerati, è possibile un trattamento di molteplici dati personali riferiti ai loro utilizzatori.
Dati che possono essere di varia natura.
Ed infatti, come rilevato proprio dall’Autorità Garante nel provvedimento del 22 maggio sopra richiamato, “attraverso il mobile remote payment vengono trattate numerose informazioni riferibili all’utente che riguardano, in particolare, i dati relativi alla numerazione telefonica, i dati anagrafici, i dati legati alla tipologia del servizio o del prodotto digitale richiesto ed al relativo importo”, “i dati inerenti alla sottoscrizione ed alla revoca del servizio, quelli relativi agli addebiti degli acquisti nella fattura o sulla carta prepagata e, eventualmente, quelli di posta elettronica richiesti per una maggiore fruibilità del contenuto digitale, nonché l’indirizzo IP dell’utente”, a questi potendosi peraltro aggiungere anche altri dati “di natura sensibile (cfr art. 4 comma 1, lett. d) del D. Lgs. 196/2003 – codice privacy), legati alla fruizione del contenuto o del servizio digitale”.
Ugualmente nel caso di servizi di tv interattiva, atteso che, tra i dati trasmessi attraverso il cosiddetto “canale di ritorno” (ossia la connessione che consente all’utente di interagire con la piattaforma Tv per configurare specifiche funzionalità, accedere a programmi, scrivere messaggi o commenti) possono esserci anche dati sensibili, quali informazioni che rivelano i gusti sessuali o gli orientamenti politici del cliente.
Proprio con riferimento ai dati sensibili occorre rammentare che il loro trattamento è consentito, ai sensi dell’art. 26 del codice privacy, previo consenso scritto dell’interessato e previa autorizzazione del Garante e che, in presenza delle specifiche ipotesi contemplate al comma 4 del citato articolo, il trattamento può essere effettuato anche senza consenso, rimanendo però sempre necessaria l’autorizzazione dell’Autorità.
Alla luce delle prescrizioni normative richiamate, appare evidente il rilievo da attribuire all’estensione dell’autorizzazione generale n. 5 del 2014 ai fornitori di servizi digitali nell’ambito del mobile remote payment e della tv interattiva.
Tali soggetti infatti, fermo restando quanto indicando in ordine al consenso, potranno trattare i dati sensibili degli utilizzatori dei servizi contemplati nel provvedimento de quo anche senza richiedere un’autorizzazione specifica all’Autorità.
Occorre però rilevare che l’autorizzazione generale viene rilasciata “ai soli fini dell’adempimento degli obblighi, anche precontrattuali, derivanti da un rapporto di fornitura all’interessato di beni, prestazioni e servizi digitali nell’ambito del mobile remote payment e della TV interattiva” e che il trattamento dei dati sensibili, ivi compresi quelli idonei a rivelare la vita sessuale, attinenti ai soggetti ai quali sono forniti beni, prestazioni e servizi digitali, “deve riferirsi ai dati ed alle operazioni strettamente indispensabili a quanto specificatamente richiesto dall’interessato che abbia reso il proprio consenso informato, manifestato in forma scritta, ovvero tramite forme alternative equiparabili allo scritto”.
Tali prescrizioni, unitamente al divieto di diffondere i dati sensibili – previsto nel codice privacy e richiamato anche nel provvedimento in esame – ai limiti entro cui gli stessi potranno essere comunicati ed alle prescrizioni comuni in materia di conservazione e modalità del trattamento, riportate nell’ultimo capo dell’autorizzazione, sono fondamentali, dovendosi infatti precisare che i titolari dei trattamenti che rientrano nell’ambito di applicazione dell’autorizzazione 5 del 2014 non sono tenuti a presentare una richiesta di autorizzazione al Garante solo “qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette”.