Tutela della privacy

[G4-DMA Customer Privacy], [G4-PR8] Per assicurare la protezione dei dati personali nello svolgimento delle attività d’impresa, Telecom Italia si è dotata dal 2003 di un modello organizzativo articolato, nel quale si colloca la funzione Privacy che presidia, a livello di Gruppo, la corretta applicazione della normativa di settore (D.Lgs. 196/03, c.d. “Codice Privacy”). In questo contesto, in occasione della costituzione o dell’acquisizione di nuove società, la Capogruppo assicura anche il supporto necessario per individuare e realizzare gli adempimenti necessari.

Il recepimento delle disposizioni di legge e delle indicazioni del Garante per la protezione dei dati personali è assicurato tramite il costante aggiornamento delle normative e policy di Gruppo. Tra queste è particolarmente significativo il “Sistema delle regole per l’applicazione della normativa privacy nel Gruppo Telecom Italia” che definisce le disposizioni e le indicazioni operative per ogni adempimento di interesse e che nel corso del 2015 è stato completamente rivisto ed aggiornato, in funzione della evoluzione normativa e della introduzione di nuovi servizi per la clientela.

Nel 2015 il quadro delle disposizioni aziendali relative al trattamento dei dati personali è stato anche arricchito dall’emissione di una policy sui requisiti di compliance per il trattamento di dati anonimizzati o pseudonimizzati, nell’ambito di analisi di tipo big data. Tale policy considera anche i pareri in materia emessi dal Gruppo dei Garanti privacy europei (c.d. Article 29 Working Party), nonché delle indicazioni fornite dal Garante italiano, nell’ambito dell’esame e dell’approvazione delle modalità previste da Telecom Italia per tutelare i dati personali dei propri clienti in un progetto di analisi della mobilità della popolazione sul territorio, previsto per rispondere alle esigenze di informazioni espresse da Enti ed Amministrazioni Pubbliche che gestiscono il territorio e le infrastrutture di trasporto.

E’ stata altresì aggiornata la policy aziendale che definisce i requisiti di compliance per i sistemi dedicati alla fornitura di servizi ICT (es. storage, disaster recovery, gestione sistemistica, ecc.) per la clientela business.

Anche nel corso del 2015 Telecom Italia ha continuato a porre in essere le azioni necessarie per l’attuazione, nei processi interni, delle disposizioni in materia di eventuali violazioni della sicurezza dei dati personali trattati in relazione ai servizi di comunicazione elettronica (c.d. “data breach”).

In particolare, sono stati organizzati 9 incontri formativi, a cui hanno partecipato oltre 220 referenti e responsabili, per diffondere ed illustrare la specifica procedura interna, che descrive le attività da svolgere e le relative responsabilità qualora si verificassero eventi classificabili come “data breach”.

La costante attività di formazione, svolta ai fini della diffusione e della corretta applicazione delle normative interne in materia di privacy, nel 2015 si è concretizzata in un aggiornamento specifico per gli addetti alle prestazioni obbligatorie per l’Autorità Giudiziaria e in interventi di approfondimento degli aspetti privacy nell’ambito di un ciclo di seminari per dipendenti sulla tematica big data. Altri interventi formativi hanno interessato la rete di vendita, in merito a tematiche relative alla contattabilità della clientela e le risorse incaricate del recruitment del personale. Inoltre, sono stati realizzati incontri focalizzati sulla gestione dei dati di traffico telefonico e telematico, sia nell’ambito dei periodici seminari di formazione dei conciliatori - a cui partecipano rappresentanti di Telecom Italia e delle Associazioni dei Consumatori - sia negli interventi specifici dedicati alla forza di vendita esterna della Direzione Business e alla compliance commerciale.

L’effettiva applicazione delle normative è monitorata tramite un sistema di controllo, basato su procedure di autovalutazione periodica da parte dei responsabili del trattamento e verifiche a campione svolte dalle competenti funzioni centrali sulla base di procedure e metodologie definite. In considerazione di tali attività è stato predisposto un documento sullo stato di adozione delle misure di sicurezza previste dalla normativa privacy che formalizza le attività svolte per garantire il rispetto delle disposizioni in materia di trattamento dei dati personali, i risultati raggiunti e lo stato dei piani di miglioramento. Nell’ambito della tutela della privacy in relazione alle nuove tecnologie, Telecom Italia partecipa anche alle iniziative dalla CE per promuovere nella UE lo sviluppo di servizi di cloud computing aderenti ai requisiti previsti dalla normativa comunitaria. In particolare, Telecom Italia è attivamente presente nei gruppi di lavoro internazionali che hanno ricevuto dalla CE il mandato di sviluppare standard per la definizione dei livelli di servizio (cfr. https://ec.europa.eu/digital-agenda/en/ news/cloud-service-level-agreement-standardisation-guidelines), modelli contrattuali e un codice di condotta (cfr. https:// ec.europa.eu/digital-agenda/en/cloud-select-industry-group-code-conduct) di riferimento per i fornitori di tali servizi.

Nella tabella seguente sono riportate:

  • le richieste di informazioni rivolte a Telecom Italia, in Italia, da parte del Garante Privacy, anche a seguito di segnalazio- ni dei clienti;
  • la percentuale di tali richieste archiviate da parte del Garante, a fronte dei chiarimenti forniti da Telecom Italia1 .

Per quanto riguarda il Brasile, in conformità alla Costituzione Federale, l’art. 3 della Legge generale sulle telecomunicazioni n° 9.472 del 1997 sancisce il diritto del cliente alla riservatezza dei propri dati personali. Il regolamento del servizio mobile personale, agli artt. 89, 90 e 91 della Risoluzione 477 dell’Agenzia Nazionale delle TLC (ANATEL), prescrive la responsabilità delle società in materia e l’eventuale sospensione della riservatezza solo su richiesta dell’Autorità competente nei casi previsti dalla legge.

TIM Brasil, per assicurare la riservatezza delle informazioni della propria clientela in conformità alla normativa nazionale (compresi gli artt. 10 e 11 del “Marco Civil”), ha emanato le relative policy e procedure interne, tra cui una policy specifica per la tutela della privacy, che si basano sui principi della separazione delle funzioni e del “need to know” (limitazione del trattamento dei dati personali al minimo necessario per svolgere il lavoro). Tali policy e procedure richiamano le metodologie di classificazione e gestione delle informazioni per garantire i livelli di protezione adeguata. In Brasile non si sono rilevate violazioni attinenti alla privacy nel corso del 2015 e 2013 ed 1 solo caso nel 20142 . E’ opportuno segnalare che la differenza tra le legislazioni di Italia e Brasile non permette di effettuare confronti tra dati omogenei.

1 Le altre segnalazioni pervenute in merito a presunte lievi violazioni della privacy sono gestite dal 187 e rispondono, per lo più, a inserimenti indebiti nell’elenco telefonico.