Gli operatori telefonici e la gestione dei dati personali degli utenti Europa

Gli operatori telefonici hanno accesso a molte informazioni private dei loro utenti. Il Gdpr regola l’utilizzo che si può fare dei dati, ma spesso le aziende si appoggiano, nelle loro policies, a formulazioni vaghe o incomplete, come mostra uno studio di Obc Transeuropa.

|

Il general data protection regulation (Gdpr) regola il trattamento dei dati personali in Ue. Tra le aziende che più facilmente ottengono accesso alle informazioni private dei cittadini ci sono le compagnie telefoniche, che sono infatti tenute a rendere conto del loro uso dei dati in apposite “privacy policies”.

Molto spesso però queste policies si appoggiano a formulazioni vaghe o incomplete. Anche rispetto ad aspetti problematici come la raccolta di dati biometrici.

Le informazioni sul trattamento dei dati personali, spesso difficili da leggere e incomplete

Come specificato nel Gdpr, le informazioni sul trattamento dei dati personali devono essere fornite in maniera facilmente accessibile e comprensibile. Ma questo non accade sempre. Spesso infatti le aziende, e non solo quelle di telecomunicazioni, non adottano impaginazioni, linguaggi o espedienti grafici che favoriscono la lettura.

Manca un’armonizzazione nell’approccio alla privacy.

L’approccio varia tra chi si limita a pubblicare un semplice documento legale in formato pdf e chi invece ricorre a strumenti appositi. Come sezioni Q&A o pagine web in cui si spiegano le modalità di utilizzo dei dati. In generale c’è una forte disomogeneità nelle policies delle diverse compagnie, quando invece un’armonizzazione porterebbe notevoli vantaggi, sicuramente in quanto a trasparenza.

Le informazioni sul diritto di accesso, rettifica, cancellazione, limitazione, opposizione e revoca del trattamento dei dati personali dovrebbero essere chiaramente riportate nella privacy policy. Così come quelle sul diritto a sporgere un reclamo.

Come fa notare noyb nel suo report sui software di videoconferenza, citando le linee guida del gruppo di lavoro “articolo 29”, non è sufficiente informare solo sull’esistenza di questi diritti. Il controllore dovrebbe infatti includere anche “un riassunto di ciò che ogni diritto comporta e come l’interessato può prendere provvedimenti per esercitarlo e le eventuali limitazioni di tale diritto”.

Su questo punto si riscontrano diversi approcci. Spesso le informazioni sono presentate in maniera parziale, con una descrizione molto sintetica dei diritti dell’utente e talvolta senza indicare le informazioni di contatto della persona o dell’ufficio a cui inviare le richieste. Come nel caso della app di Vodafone Germania, nella cui privacy policy non viene fornita alcuna informazione in merito.

Diverse aziende italiane invece adottano formule piuttosto vaghe come “hai il diritto di proporre un reclamo al Garante per la protezione dei dati personali” (Tim e la collegata Kena mobile), ma senza aggiungere informazioni sulle modalità e le basi giuridiche per farlo.

Le categorie di dati raccolti e il loro trattamento

Rispetto alle tipologie di dati considerate in questa ricerca, il quadro è abbastanza omogeneo tra i diversi paesi.

La tendenza è raccogliere dati di posizione, di navigazione e di comportamento dell’utente. In generale la base giuridica per la raccolta è il consenso dell’utente. Ma c’è anche chi sceglie di raccoglierli in ogni caso invocando la clausola dell’interesse legittimo.

1 su 25 tra gli operatori telefonici italiani, tedeschi, francesi e spagnoli non raccoglie dati sulla posizione degli utenti.

La raccolta di dati biometrici presenta aspetti problematici.

Sui dati biometrici invece la situazione è più diversificata. In molti casi non è specificato se siano o meno raccolti, anche perché potrebbero essere confluiti in altre delle categorie citate. Tra i dati biometrici possono infatti rientrare anche caratteristiche come il ritmo di digitazione o di “scrolling” sullo schermo, che sono anche dati comportamentali. Tuttavia i dati biometrici comprendono anche elementi più problematici, come il riconoscimento delle impronte digitali o del volto, che sono ricavabili da qualsiasi smartphone prodotto negli ultimi anni.

Per quanto riguarda le attività di profilazione, che analizzano i dati dell’utente al fine di migliorare il servizio ma anche per proporgli offerte commerciali “su misura”, l’approccio generale sembra essere quello di chiedere il consenso esplicito.

Tuttavia in alcuni casi (ad esempio Orange e Vodafone in Spagna) si dice che l’attività di profilazione avverrà in ogni caso. In altri invece la situazione risulta poco chiara, come per Vodafone e Congstar GmbH in Germania e, in parte, Digi e la app di Yoigo in Spagna.

Le policies in materia di cessione e cancellazione dei dati

Tutte le compagnie dichiarano di cedere, a certe condizioni, i dati personali a soggetti terzi.

Spesso i dati personali sono ceduti a partner commerciali dell’operatore.

Nella maggior parte dei casi si tratta di attività legate all’esecuzione del contratto o a valutazioni di solvenza del cliente. In certi casi si fa esplicito riferimento a partner commerciali (talvolta parte dello stesso gruppo aziendale dell’operatore) ai quali, con il consenso dell’utente, i dati potranno essere ceduti per le finalità più diverse, incluso proporre l’acquisto di altri beni o servizi del tutto scollegati dall’utenza telefonica. Le formule usate sono talvolta molto generiche.

Per quanto riguarda la conservazione dei dati, diverse aziende adottano formule molto sintetiche in cui spiegano in poche righe che i dati saranno conservati “per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono raccolti o successivamente trattati” (Tim Italia), e indicando un limite temporale massimo dopo il quale saranno comunque cancellati.

Altre hanno invece un approccio più trasparente e pubblicano una tabella che illustra nel dettaglio le tempistiche di conservazione delle varie categorie di dati (Coop voce, ho., Vodafone e Wind Tre in Italia, Bouygues Telecom in Francia). In Germania generalmente i dati vengono comunque cancellati entro 12-14 mesi.

Il Gdpr e le compagnie telefoniche

I due articoli del Gdpr più rilevanti nel contesto di questa ricerca sono i numeri 13 e 15.

L’articolo 13 elenca le informazioni che l’azienda deve fornire quando l’utente sottoscrive un servizio. Queste, come spiegato nel report di noyb, sono solitamente elencate in un documento noto come “privacy policy”.

Tre elementi devono essere sempre presenti nella descrizione delle politiche sulla privacy: quali categorie di dati vengono raccolti, per quale finalità sono richiesti e qual è la base giuridica del trattamento.

Tra le informazioni che l’azienda è tenuta a dare ci sono inoltre le generalità del titolare del trattamento, eventuali destinatari dei dati personali raccolti (autorità pubbliche, altre aziende, ecc.), il periodo di conservazione e informazioni sulla possibilità di chiedere l’accesso ai dati o la loro cancellazione. Oltre alla possibilità di sporgere un reclamo in caso di condotte scorrette.

I dati sono riferiti alle informazioni contenute nelle privacy policies degli operatori telefonici di 4 paesi dell’Ue (Italia, Germania, Francia e Spagna)

FONTE: Obc Transeuropa
(ultimo aggiornamento: martedì 26 Aprile 2022)

Rispetto alla completezza delle informazioni fornite, le nuove linee guida sul diritto di accesso ai dati in corso di elaborazione da parte dell’Edpb (European data protection board) sembrano lasciare un certo margine di “genericità” al titolare del trattamento.

information [about the processing and on data subjects’ rights] can be based on what is already compiled in the controller’s record of processing activities (Art. 30) and the privacy notice (Art. 13 and 14). However, this general information may have to be updated to the time of the request or tailored to reflect the processing operations that are carried out in relation to the specific person making the request.

Per quanto riguarda invece l’articolo 15, si afferma che "l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali".

Se l’articolo 13 precisa dunque che l’azienda è tenuta a informare l’utente (e specifica come lo deve fare), l’articolo 15 precisa il dovere della prima di rispondere a un’eventuale richiesta di accesso affinché sia possibile verificare che i dati raccolti e il loro trattamento siano conformi a quanto dichiarato nella privacy policy, oltre che alla legge. La presente ricerca di Obc Transeuropa si è fermata al passaggio precedente.

European data journalism network, i dati nel resto dell'Europa

Openpolis fa parte dell'European data journalism network, una rete di realtà che si occupano di data journalism in tutta Europa. La versione originale di questo articolo è di Obc Transeuropa, un giornale europeo, ed è partner di Edjnet. I dati relativi alle privacy policies degli operatori telefonici italiani, tedeschi, spagnoli e francesi sono disponibili qui.

 

Foto: Jonas Leupe - licenza

PROSSIMO POST