Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Sistemi di autenticazione informatica, fondata su tecniche di strong authentication - 18 luglio 2013 [2605222]

[doc. web n. 2605222]

Sistemi di autenticazione informatica, fondata su tecniche di strong authentication - 18 luglio 2013

Registro dei provvedimenti
n. 360 del 18 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»);

VISTO il provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico [doc. web in www.gpdp.it n. 1482111], successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in Gazzetta Ufficiale del 13 agosto 2008, n. 189) [doc. web n. 1538237], resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO che il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi, per il traffico telefonico e dodici mesi per il traffico telematico;

CONSIDERATO che con il provvedimento del 17 gennaio 2008, così come modificato dal provvedimento del 24 luglio 2008 (di seguito "Provvedimento"), il Garante ha stabilito una serie di prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito «fornitori») devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato (cfr. lettera a), punto 1, del dispositivo del Provvedimento);

- di adottare tutte le misure prescritte, dandone conferma al Garante (cfr. lettera b) del dispositivo del Provvedimento);

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. doc. web nn. 1695393, 1683093, 1695368);

VISTO che il Garante ha deliberato, nel corso del 2012, di delegare al Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato undici società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Okcom S.p.A. (di seguito «Okcom»), in data 5 e 6 giugno 2012, società che è titolare di una licenza di operatore di telecomunicazioni e pertanto offre servizi di telefonia e accesso a Internet;

VISTE le dichiarazioni rese in sede ispettiva secondo cui:

- i dati di traffico telematico conservati «afferiscono esclusivamente all´indicazione dell´indirizzo ip statico assegnato ed utilizzato per la navigazione internet» (cfr. verbale del 5 giugno 2012, pag. 4);

-  «per quanto attiene ai servizi di connettività web, la nostra società, proponendo soltanto un servizio di abbonamento flat e non a consumo, detiene soltanto l´indirizzo ip assegnato al cliente e il tempo della relativa assegnazione. Pertanto i dati di traffico non sono necessari ai fini della fatturazione e non vengono né raccolti né conservati in alcun modo» (cfr. verbale del 6 giugno 2012, pag. 3);

- i dati di traffico sono conservati, per finalità di fatturazione e quindi per un periodo di sei mesi, in un archivio denominato "Minosse" e dal settimo mese, per finalità di accertamento e repressione dei reati, in un archivio differente, denominato "Minosse 7" (cfr. verbale del 5 giugno 2012, pagg. 4 e 5);

- per quanto attiene all´accesso a "Minosse 7" «è necessario l´utilizzo di un badge abilitato (…). Il personale preposto al controllo degli accessi verifica l´identità dell´operatore che intende accedere e registra su due schedari, suddivisi per accesso ordinario e straordinario, i dati di un documento di identità di chi accede, l´orario di accesso e quello di uscita. Il data center non è regolato da procedure di riconoscimento biometrico, probabilmente in quanto è stato ritenuto sufficiente il sistema di identificazione tramite documento d´identità» (cfr. verbale del 5 giugno 2012, pag. 5);

VISTA la nota inviata successivamente da Okcom a scioglimento delle riserve formulate in sede ispettiva, datata 28 giugno 2012 e ricevuta l´11 luglio 2012, con la quale la società dichiara che «non è stata in grado di reperire la Comunicazione formale di Okcom» al Garante, comunicazione che obbligatoriamente i fornitori dovevano effettuare entro il 30 aprile 2009;

RILEVATO che, in base a quanto emerso, Okcom non utilizza, nell´ambito della strong authentication, almeno una procedura di tipo biometrico, né è stata effettuata la comunicazione relativa agli adempimenti, come prescritto nel Provvedimento;

VISTO che, per questi due profili (mancata comunicazione formale al Garante e adozione delle misure di strong authentication), in data 23 ottobre 2012, sono state contestate a Okcom le violazioni di cui agli artt. 162, comma 2 bis e 164 del Codice per un totale di € 40.000,00;

VISTO che Okcom ha inviato in data 21 novembre 2012 una nota contenente "scritti difensivi in merito alla contestazione di violazione amministrativa" di cui sopra, dichiarando da un lato che «l´incaricato può accedere ai dati superando la procedura di autenticazione consistente nel riconoscimento biometrico dell´impronta digitale», specificando tuttavia che tale procedura non è obbligatoria ma alternativa rispetto all´utilizzo di user-id e password: «Okcom ha dichiarato prevedere le seguenti due procedure di autenticazione: a) riconoscimento biometrico o digitazione delle user-id e password associata all´incaricato e b) inserimento di chiave di criptatura dell´archivio stesso attraverso l´applicativo Truecrypt» (cfr. nota del 21 novembre 2012, pag. 6, punti 2. e 3.);

RILEVATO, pertanto, che è la stessa Okcom a confermare di utilizzare la forma di riconoscimento biometrico come semplicemente alternativa e non obbligatoria;

CONSIDERATO che non è sufficiente che le postazioni di lavoro siano dotate di un lettore biometrico perché sia soddisfatta la prescrizione di cui alla lettera a), punto 1, del dispositivo del Provvedimento, in quanto l´autenticazione biometrica deve essere obbligatoria e non eludibile;

CONSIDERATO inoltre che la disponibilità di funzionalità di cifratura dei dati contenuti negli archivi tramite il software Truecrypt non è in sé idonea a configurare una corretta procedura di autenticazione informatica, pur essendo utile alla protezione dei dati rispetto all´accesso di terzi non legittimati;

RILEVATO inoltre che, allo stato, non risulta che Okcom abbia modificato le procedure aziendali per renderle conformi alle prescrizioni contenute nel Provvedimento, con particolare riferimento alla strong authentication;

CONSIDERATO che con la contestazione della sanzione amministrativa successiva all´accertamento ispettivo è stata evidenziata la violazione relativa alla strong authentication e che, nonostante ciò, Okcom nei mesi successivi non ha ritenuto di adempiere alle prescrizioni contenute nel Provvedimento come emerge anche dalla citata nota 21 novembre 2012;

FERMO RESTANDO che il Codice prevede all´art. 132 che i dati di traffico telematico sono conservati dal fornitore, per finalità di accertamento e repressione dei reati, esclusi comunque i contenuti delle comunicazioni, per dodici mesi dalla data della comunicazione;

FERMO RESTANDO il procedimento sanzionatorio già avviato mediante la contestazione sopra citata;

RILEVATA, alla luce di quanto sopra, la necessità di adottare nei confronti di Okcom, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, un provvedimento prescrittivo volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 162, comma 2 ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

a) dichiara illecito ai sensi degli artt. 11 e 132 del Codice, il trattamento svolto da Okcom S.p.A., con sede legale in Roma, via Vittorio Rossi, 21/25 relativamente all´utilizzo - anche nei mesi successivi all´accertamento ispettivo e alla contestazione della relativa sanzione - di sistemi di autenticazione informatica, fondata su tecniche di strong authentication, in quanto una non obbligatoriamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, come previsto dalla lettera a), punto 1, del dispositivo del Provvedimento.

b) prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice a di:

1. adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una obbligatoriamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, così come previsto dalla lettera a), punto 1, del dispositivo del Provvedimento;

2. adottare le misure e gli accorgimenti di cui al punto precedente entro il termine di trenta giorni dalla data di ricezione del presente provvedimento, dando riscontro entro lo stesso termine a questa Autorità dell´avvenuto adempimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 luglio 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia