g-docweb-display Portlet

Dati di traffico tlc e Internet: no a conservazione illimitata - 21 ottobre 2009 [1683093]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1683093]

vedi anche
[
Misure di sicurezza obbligatorie per le intercettazioni]
[
Sicurezza dei dati di traffico telefonico e telematico]
[
provv. 24 luglio 2008]
[
provv. 29 aprile 2009]

[newsletter]

Dati di traffico tlc e Internet: no a conservazione illimitata - 21 ottobre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il Codice delle comunicazioni elettroniche (d.lg. 1 agosto 2003, n. 259);

VISTO il provvedimento del 15 dicembre 2005 con il quale il Garante ha prescritto ad alcuni fornitori di servizi di comunicazione elettronica l´adozione di specifiche misure di sicurezza in relazione alle modalità con le quali essi adempiono alle richieste dell´autorità giudiziaria in materia di intercettazioni (in www.garanteprivacy.it, doc. web n. 1203890);

VISTO il provvedimento del 17 gennaio 2008 con il quale il Garante ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 del Codice, l´adozione di specifici accorgimenti e misure a garanzia dei dati di traffico conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie (di seguito "Provvedimento", in G.U. n. 30 del 5 febbraio 2008);

VISTO l´ulteriore provvedimento adottato dal Garante il 24 luglio 2008 (in G.U. n. 189 del 13 agosto 2008), con il quale sono state recepite le modifiche normative intervenute in materia e sono stati contestualmente prorogati i termini per l´adempimento delle prescrizioni contenute nel citato Provvedimento;

VISTO il provvedimento del 29 aprile 2009 (in G.U. n. 107 dell´11 maggio 2009) con il quale il Garante ha disposto di prorogare ulteriormente i termini per l´adempimento, limitatamente ad alcune prescrizioni del medesimo Provvedimento, alla data del 15 dicembre 2009;

RILEVATO che il Garante, congiuntamente alle altre autorità per la protezione dei dati nei Paesi membri dell´Unione europea riunite sotto l´egida del Gruppo di lavoro "Articolo 29", ha avviato una procedura di verifica, conforme al programma "Enforcement", volta ad accertare l´osservanza, da parte dei fornitori di servizi di comunicazione elettronica, degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico, sul fondamento degli articoli 6 e 9 della direttiva 2002/58/Ce e della direttiva 2006/24/Ce;

CONSIDERATO che la richiamata procedura ha previsto che l´accertamento venga effettuato nei confronti di alcuni fornitori individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale, europea e/o internazionale), con acquisizione di elementi documentali, nonché con verifiche di carattere ispettivo presso le sedi degli stessi;

VISTA la nota del 3 agosto 2009, con la quale NGI S.p.A. (di seguito, "NGI") ha fornito riscontro alla richiesta di informazioni ex art. 157 del Codice dell´Autorità sull´osservanza degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico;

VISTE le risultanze istruttorie emerse nel corso dell´ispezione effettuata presso la sede di NGI nelle giornate del 15 e 16 settembre 2009, dalle quali risulta che la società, in relazione ai diversi servizi di connettività offerti ai propri clienti business e consumer, effettua trattamenti di dati di traffico telematico degli stessi, anche per le finalità di accertamento e repressione dei reati indicate dall´art. 132 del Codice; rilevato che i record di traffico telematico conservati da NGI contengono i dati relativi all´inizio e alla fine della sessione, all´indirizzo IP dell´autore della connessione, ai volumi di traffico telematico in ingresso e in uscita;

VISTO che nel corso del suindicato accertamento ispettivo è stato verificato che NGI conserva dati di traffico dei propri clienti risalenti all´anno 2001 e che, come dichiarato espressamente dalla società, "non sono mai state effettuate cancellazioni di dati di traffico né il sistema prevede limiti di conservazione" (cfr. verbale del 15 settembre 2009);

RISERVATA, con autonomo procedimento, la verifica dei presupposti per l´eventuale contestazione della violazione dell´art. 132, comma 1 del Codice, ai sensi dell´art. 162-bis del Codice;

RILEVATO che la società, che ha iniziato a svolgere la propria attività nel 1999, non ha effettuato le formali designazioni individuali degli incaricati del trattamento previste dall´art. 30, comma 1 del Codice sino all´anno 2008;

RILEVATO che, con riferimento al periodo precedente, non può considerarsi una valida designazione degli incaricati il "documento contenente la mappatura dei processi aziendali", acquisito in sede di ispezione (cfr. all. 3 al verbale del 15 settembre 2009), in quanto lo stesso contiene un mero elenco dei dipendenti di NGI, suddiviso per unità di appartenenza e relative funzioni, e non consente di individuare "puntualmente" rispetto a ciascuna unità operativa "l´ambito del trattamento consentito agli addetti all´unità medesima" (v. art. 30, comma 2 del Codice);

CONSIDERATO che la presenza degli incaricati correttamente designati costituisce il presupposto per l´attuazione e, quindi, l´osservanza delle misure minime di sicurezza (artt. 33 e 34 del Codice in combinato disposto con le regole contenute nel Disciplinare tecnico in materia di misure minime di sicurezza, all. B al Codice);

RILEVATO che non risulta che NGI abbia provveduto a svolgere adeguati interventi formativi per le operazioni di trattamento effettuate dagli incaricati del trattamento, né risultano essere state impartite specifiche istruzioni agli stessi (cfr. Disciplinare tecnico in materia di misure minime di sicurezza, cit.);

RILEVATO altresì che, come espressamente dichiarato da NGI nel corso dell´ispezione nonché nella richiamata nota del 3 agosto 2009, la società, pur essendovi tenuta, non ha mai redatto il documento programmatico sulla sicurezza previsto dalla regola 19 del Disciplinare tecnico in materia di misure minime di sicurezza;

RISERVATA, con autonomo provvedimento, la prescrizione delle misure minime di sicurezza che non risultano adottate da emanare ai sensi dell´art. 169 comma 1, lett. c);

RISERVATA, con autonomo procedimento, la verifica dei presupposti per l´eventuale contestazione delle violazioni concernenti l´inosservanza delle misure di sicurezza ai sensi dell´art. 162, comma 2-bis;

RILEVATO che la società non risulta aver dato attuazione ad alcune prescrizioni del Provvedimento già efficaci dal 1° maggio 2009 e, in particolare, a quella relativa alla designazione specifica degli "incaricati che possono accedere ai dati di traffico conservati per le finalità di cui all´art. 132 del Codice" (lett. a), n. 4) del Provvedimento), a quella che dispone di "rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti" (lett. a), n. 5) e, infine, a quella concernente lo svolgimento, "con cadenza almeno annuale, [di] un´attività di controllo interno per verificare costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati di traffico previste dalle norme vigenti e dal provvedimento del Garante" (lett. a), n. 7);

RILEVATO che anche NGI doveva adempiere alle suindicate prescrizioni, in quanto rientrante tra i fornitori tenuti a conservare i dati di traffico, come specificato nel punto 3 del Provvedimento;

RISERVATA, pertanto, con autonomo procedimento, la verifica dei presupposti per l´eventuale contestazione della violazione concernente l´inosservanza dei provvedimenti del Garante ai sensi dell´art. 162, comma 2-ter del Codice;

RILEVATO che, in merito alle modalità con le quali NGI adempie ai provvedimenti dell´autorità giudiziaria relativi alle prestazioni obbligatorie di cui all´art. 96 del d.lg. n. 259/2003, si è verificato in primo luogo che le richieste ricevute sinora dalla società riguardano esclusivamente le verifiche anagrafiche su indirizzi IP indicati dalla stessa autorità procedente e, inoltre, che "l´unico canale di comunicazione con le autorità richiedenti è rappresentato dal fax" (cfr. verbale del 15 settembre 2009);

RILEVATO inoltre che NGI conserva copia cartacea delle predette richieste delle autorità giudiziarie, nonché copia sia cartacea sia elettronica dei riscontri forniti alle stesse e che non risulta essere stata predisposta una procedura di cancellazione di tali dati successivamente alla fornitura della prestazione richiesta, non essendo stato previsto dalla società un limite massimo di conservazione dei medesimi dati nel rispetto dei princìpi di finalità, pertinenza e non eccedenza (art. 11 del Codice);

RILEVATA pertanto la necessità di adottare nei confronti di NGI S.p.A., con particolare riferimento alla conservazione dei dati di traffico e di quelli relativi alle richieste dell´autorità giudiziaria, un provvedimento ai sensi dell´art. 154, comma 1, lett. c) del Codice, volto a prescrivere alla società le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTI gli artt. 154, comma 1, lett. c) e 132 del Codice;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CIÒ PREMESSO IL GARANTE

A) ai sensi dell´art. 154, comma 1, lett. c) del Codice, prescrive a NGI S.p.A., con sede legale in Settimo Milanese (MI), via Darwin n. 85:

1. di procedere alla cancellazione dei dati trattati oltre i termini previsti dall´art. 132, comma 1 del Codice;

2. di adottare, al fine di garantire la sicurezza dei flussi informativi con l´autorità giudiziaria, sistemi di comunicazione basati su strumenti telematici sviluppati con protocolli di rete sicuri;

3. di utilizzare strumenti di cifratura basati su firma digitale per la comunicazione all´autorità giudiziaria dei risultati dell´attività strumentale svolta;

4. di utilizzare nelle comunicazioni con l´autorità giudiziaria la posta elettronica Internet esclusivamente nella forma della posta elettronica certificata (Pec);

5. di ricorrere alla consegna manuale di documenti esclusivamente tramite soggetti delegati dall´autorità giudiziaria, provvedendo alla tenuta di un apposito registro delle consegne;

6. di adottare moderni strumenti di cifratura per la protezione dei dati nel periodo di loro presenza nel sistema informativo del fornitore;

7. di limitare la persistenza dei dati personali a quanto strettamente necessario per attuare i provvedimenti dell´autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la loro corretta comunicazione all´autorità giudiziaria richiedente;

8. di adottare le misure e gli accorgimenti di cui ai punti precedenti entro il termine di sessanta giorni dalla data di ricezione del presente provvedimento, dando riscontro entro lo stesso termine a questa Autorità dell´avvenuto adempimento;

B) dispone la trasmissione degli atti e di copia del presente provvedimento all´autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 21 ottobre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Patroni Griffi