Operatori telefonici e dati personali: il contesto europeo

Leggibilità

Come specificato in vari punti del GDPR (“considerando” 39, 42, 58; articoli 7, 12), le informazioni sul trattamento dei dati personali devono essere fornite in maniera facilmente accessibile e comprensibile. In questo senso non si notano grandi sforzi da parte delle compagnie considerate nel nostro studio nell’andare oltre il “muro di testo”, adottando impaginazioni, linguaggi o espedienti grafici volti a favorire la lettura. Non si tratta certo di un problema limitato alle sole aziende di telecomunicazioni, come rilevato da ricerche su larga scala e dall’esperienza quotidiana di chiunque. Questo nonostante da tempo in ambito accademico si siano ipotizzati sistemi grafici basati su icone volti a presentare con immediatezza le informazioni. Nessuna delle aziende analizzate adotta sistemi simili, anche se l’approccio varia tra chi si limita a pubblicare un documento legale, in formato pdf e senza particolari attenzioni in termini di impaginazione e comprensibilità del linguaggio, e chi fa un passo in più nel comunicare in maniera semplice, ad esempio con sezioni Q&A o con pagine che sono quasi dei mini siti web . Si può sicuramente fare di più, e forse una maggiore omogeneità nella struttura delle policy tra diverse compagnie renderebbe più semplice il confronto, a tutto vantaggio della trasparenza.

Completezza

Le informazioni sul diritto di accesso, rettifica, cancellazione, limitazione, opposizione e revoca del trattamento dei dati personali, così come quelle sul diritto a sporgere un reclamo, dovrebbero essere chiaramente riportate nella privacy policy. Come fa notare noyb nel suo report sui software di videoconferenza , citando le linee guida dell’Article 29 Working Party, non è sufficiente informare solo sull’esistenza di questi diritti: il controllore dovrebbe anche includere «un riassunto di ciò che ogni diritto comporta e come l’interessato può prendere provvedimenti per esercitarlo e le eventuali limitazioni di tale diritto». Su questo punto si riscontrano diversi approcci. Spesso le informazioni sono presentate in maniera parziale, con una descrizione molto sintetica dei diritti dell’utente e talvolta senza indicare le informazioni di contatto della persona o dell’ufficio a cui inviare le richieste. Notevole il caso della app di Vodafone Germania, nella cui privacy policy non viene fornita alcuna informazione in merito. Diverse aziende italiane invece adottano formule piuttosto vaghe come «hai il diritto di proporre un reclamo al Garante per la protezione dei dati personali» (Tim e la collegata Kena Mobile), ma senza aggiungere informazioni sulle modalità e le basi giuridiche per farlo. 

Categorie di dati raccolti e loro trattamento

Rispetto alle tipologie di dati considerate in questa ricerca, il quadro è abbastanza omogeneo tra i diversi paesi. La tendenza è a raccogliere dati di posizione, di navigazione e di comportamento dell’utente. In generale la base giuridica per la raccolta è il consenso dell’utente, mentre c’è chi sceglie di raccoglierli in ogni caso invocando la clausola dell’interesse legittimo. Sui dati biometrici la situazione è più diversificata. In molti casi non è specificato che siano o meno raccolti, ma questo potrebbe essere dovuto al fatto che sono fatti confluire nelle altre categorie citate. Nella definizione possono infatti rientrare anche caratteristiche come il ritmo di digitazione o di “scrolling” sullo schermo, che sono anche dati comportamentali. Tuttavia i dati biometrici comprendono elementi come il riconoscimento delle impronte digitali o del volto, che sono possibili con qualsiasi smartphone prodotto negli ultimi anni, e che quindi sarebbe bene specificare a parte. 

Per attività di profilazione, quindi per analizzare i dati dell’utente al fine di migliorare il servizio, ma anche di proporgli offerte commerciali “su misura”, l’approccio generale sembra essere quello di chiedere il consenso esplicito. Tuttavia, in alcuni casi (ad esempio Orange e Vodafone in Spagna) si dice che l’attività di profilazione avverrà in ogni caso. La situazione di Vodafone e Congstar GmbH in Germania (e in parte Digi e la app di Yoigo in Spagna) è invece poco chiara visto che, per quanto abbiamo potuto verificare, nessuna di queste aziende fa esplicita menzione delle categorie di dati raccolti, né del fatto che siano o meno usati per attività di profilazione. 

Cessione e cancellazione dei dati

Tutte le compagnie dichiarano di cedere, a certe condizioni, i dati personali a soggetti terzi. Nella maggior parte dei casi si tratta di attività legate all’esecuzione del contratto o a valutazioni di solvenza del cliente. In certi casi si fa esplicito riferimento a partner commerciali (talvolta parte dello stesso gruppo aziendale dell’operatore) ai quali, con il consenso dell’utente, i dati potranno essere ceduti per le finalità più diverse, incluso proporre l’acquisto di altri beni o servizi del tutto scollegati dall’utenza telefonica. Le formule usate sono talvolta molto generiche, soprattutto per i servizi di telefonia da parte di aziende francesi (Orange, Bouygues Telecom) e tedesche (Vodafone, O2, Congstar GmbH). Il discorso vale anche per le app delle stesse aziende, oltre a quelle della spagnola Yoigo e delle tedesche Telekom, Aldi Talk e 1&1 Telecom GmbH.

Sulla conservazione dei dati, diverse aziende adottano formule molto sintetiche in cui spiegano in poche righe che i dati saranno conservati «per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono raccolti o successivamente trattati» (Tim Italia) e indicando un limite temporale massimo dopo il quale saranno comunque cancellati. Altre hanno invece un approccio più trasparente e pubblicano una tabella che illustra nel dettaglio le tempistiche di conservazione delle varie categorie di dati (Coop voce, ho., Vodafone e Wind Tre in Italia; Bouygues Telecom in Francia). In Germania generalmente i dati vengono comunque cancellati entro 12-14 mesi.

GDPR

I due articoli del GDPR più rilevanti nel contesto di questa ricerca sono i numeri 13 e 15 . Come ci ha spiegato Stefano Rossetti, avvocato nel team di noyb.eu , essi regolano i due “momenti” del rapporto tra l’utente e l’azienda dal punto di vista del trattamento dei dati personali. 

L’articolo 13 elenca le informazioni che l’azienda deve fornire nel primo di questi due momenti, ossia quando l’utente sottoscrive un servizio. Queste, come spiegato nel report di noyb citato più su, sono solitamente elencate in un documento noto come “privacy policy”, oggetto principale della nostra analisi. Tre elementi devono essere sempre presenti nella descrizione delle politiche sulla privacy: quali categorie di dati vengono raccolti, per quale finalità sono richiesti e qual è la base giuridica del trattamento. Tra le informazioni che l’azienda è tenuta a dare ci sono inoltre le generalità del titolare del trattamento, eventuali destinatari dei dati personali raccolti (autorità pubbliche, altre aziende, ecc.), il periodo di conservazione e informazioni sulla possibilità di chiedere l’accesso ai dati o la loro cancellazione, oltre alla possibilità di sporgere un reclamo in caso di condotte scorrette.

Rispetto alla completezza delle informazioni fornite, le nuove linee guida sul diritto di accesso ai dati in corso di elaborazione da parte dell’EDPB (European Data Protection Board) sembrano lasciare un certo margine di “genericità” al titolare del trattamento: «information [about the processing and on data subjects’ rights] can be based on what is already compiled in the controller’s record of processing activities (Art. 30) and the privacy notice (Art. 13 and 14). However, this general information may have to be updated to the time of the request or tailored to reflect the processing operations that are carried out in relation to the specific person making the request».

Questo ci porta al secondo “momento” a cui facevamo riferimento, ossia l’articolo 15, dove si afferma che «L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali». Se l’articolo 13 precisa dunque che l’azienda è tenuta a informare l’utente (e come lo deve fare), l’articolo 15 precisa il dovere della prima di rispondere a un’eventuale richiesta di accesso affinché sia possibile verificare che i dati raccolti e il loro trattamento siano conformi a quanto dichiarato nella privacy policy, oltre che alla legge. In questa ricerca ci siamo fermati al passaggio precedente.