VEDI ANCHE Comunicato del 14 febbraio 2025

[doc. web n. 10103690]

Provvedimento del 13 febbraio 2025

Registro dei provvedimenti
n. 61 del 13 febbraio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”) ed, in particolare, l’art. 122 in base al quale: “1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate. Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già archiviate se finalizzati unicamente ad effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini della determinazione delle modalità semplificate di cui al primo periodo il Garante tiene anche conto delle proposte formulate dalle associazioni maggiormente rappresentative a livello nazionale dei consumatori e delle categorie economiche coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino l'effettiva consapevolezza del contraente o dell'utente”;

VISTA la legge 3 agosto 2007, n. 124 relativa al “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto” e le specifiche disposizioni in tema di intercettazioni telefoniche contenute, in particolare, nel Codice Penale;

RILEVATO che negli ultimi giorni sono circolate notizie stampa circa l’avvenuto utilizzo di un software spia denominato “Graphite”, prodotto dalla società israeliana Paragon Solutions ltd, il quale una volta installato in sistemi o dispositivi di comunicazione elettronica, sarebbe in grado di copiare ogni singolo dato ivi contenuto. Tale software, sempre in base a quanto riportato da fonti giornalistiche, agirebbe senza l’interazione o la necessità di cooperazione della vittima e sarebbe stato veicolato da un file .pdf inoltrato a gruppi WhatsApp, così determinando una infiltrazione in sistemi appartenenti ad alcuni cittadini italiani, tra i quali anche operatori dell’informazione;

RILEVATO ALTRESÌ che la società irlandese WhatsApp Ireland ltd, nell’ambito di una attività di prevenzione frodi, ha inviato specifici alert ai sopra indicati utenti destinatari del citato software, informandoli della possibile compromissione del proprio dispositivo mobile e ciò al fine di tutelare la loro riservatezza;

VISTE le doglianze pervenute all’Autorità da parte di alcuni cittadini che hanno espresso preoccupazione in ordine al possibile indiscriminato utilizzo del software e delle informazioni di cui sopra;

PRESO ATTO che con la nota del 5 febbraio 2025 la Presidenza del Consiglio dei ministri ha dichiarato: “in merito a quanto pubblicato da alcuni organi di stampa su presunte attività di spionaggio che avrebbero riguardato operatori dell'informazione, la Presidenza del Consiglio esclude che siano stati sottoposti a controllo da parte dell'intelligence, e quindi del Governo, i soggetti tutelati dalla legge 3 agosto 2007, n. 124 (Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto), compresi i giornalisti”;

CONSIDERATO che, in ogni caso, le intercettazioni di comunicazioni elettroniche, se non rientranti nelle finalità di sicurezza della Repubblica e di prevenzione, indagine, accertamento e perseguimento di reati, così come declinate nelle rispettive discipline legislative di riferimento, devono rispettare la normativa in materia di protezione dei dati personali e, in particolare, le condizioni di cui all’art. 122 del Codice, circostanza che nel caso di specie non appare ricorrere;

RITENUTO, pertanto, necessario sulla base di quanto sin qui noto, rivolgere un avvertimento, ai sensi dell’art. 58, par 2, lett. a), del Regolamento, a tutti coloro che dovessero utilizzare il sopra indicato software o sistemi di analoga specie o dovessero utilizzare le informazioni con essi raccolte, che tali attività verosimilmente violano l’art. 122 del Codice e che tale violazione, in base al successivo art. 166, comporta l’applicazione di una sanzione amministrativa pecuniaria fino a € 20.000.000;

RISERVATA ogni ulteriore attività volta all’individuazione degli autori delle condotte di cui sopra;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell’art. 58, par. 2, lett. a), del Regolamento e 154, comma 1 del Codice, rivolge un avvertimento a tutti coloro che dovessero utilizzare il sopra indicato software spia denominato “Graphite”, prodotto dalla società israeliana Paragon Solutions ltd, o sistemi di analoga specie o dovessero utilizzare le informazioni con essi raccolte, che tali attività verosimilmente violano l’art. 122 del Codice e che tale violazione, in base al successivo art. 166, comporta l’applicazione di una sanzione amministrativa pecuniaria fino a € 20.000.000.

Ai sensi dell’articolo 78 del Regolamento e degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato nei termini indicati nel citato art. 10.

Roma, 13 febbraio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi