[doc. web n. 2740948]

Prescrizioni per il trattamento di dati di traffico telefonico e telematico - 3 ottobre 2013

Registro dei provvedimenti
n. 429 del 3 ottobre

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico (pubblicato nel sito istituzionale www.garanteprivacy.it; doc. web n. 1482111), successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in G.U. del 13 agosto 2008, n. 189; doc. web n. 1538237; di seguito "Provvedimento"), resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO che il suddetto d.lgs. n. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi, per il traffico telefonico e dodici mesi per il traffico telematico;

CONSIDERATO che con il Provvedimento il Garante ha stabilito una serie di prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori") devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1, del dispositivo del Provvedimento);

- di adottare specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e della basi di dati (cfr. lettera a), punto 2, del dispositivo del Provvedimento);

- di adottare sistemi informatici distinti fisicamente per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati da quelli conservati per altre finalità (cfr. lettera a), punto 3, del dispositivo del Provvedimento);

- di designare specificamente gli incaricati del trattamento che possono accedere ai dati di traffico conservati per finalità di giustizia (cfr. lettera a), punto 4, del dispositivo del Provvedimento);

- di rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti per la conservazione (cfr. lettera a), punto 5, del dispositivo del Provvedimento);

- di adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato sui dati di traffico, anche mediante la registrazione delle operazioni compiute in un apposito audit log, (cfr. lettera a), punto 6, del dispositivo del Provvedimento);

- di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

- di documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo e secondo i principi dell´ingegneria del software (cfr. lettera a), punto 8, del dispositivo del Provvedimento);

- di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivo del Provvedimento);

- di adottare tutte le misure prescritte, dandone conferma al Garante (cfr. lettera b) del dispositivo del Provvedimento);

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. doc. web nn. 1695393, 1683093, 1695368);

VISTO che il Garante ha deliberato, nel corso del 2012, di delegare al Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato undici società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Lycamobile s.r.l. (di seguito "Lycamobile"), in data 26 settembre 2012, società che fornisce servizi di telefonia mobile mediante la vendita di sim card in qualità di operatore virtuale appoggiandosi, al tempo dell´ispezione, alla rete di H3G S.p.A. e, attualmente, a Vodafone Omnitel NV;

CONSIDERATO che Lycamobile è destinataria, oltre al presente, di un altro provvedimento prescrittivo e inibitorio concernente aspetti ulteriori e diversi, relativi alla modulistica utilizzata per rilasciare l´informativa agli interessati e acquisire il relativo consenso, adottato in data odierna dal Collegio;

VISTO che durante l´accertamento ispettivo era presente una sola dipendente della società, la sig.ra Stefania Granata, la quale ha dichiarato che (cfr. verbale del 26 settembre 2012, pag. 2):

- "Lycamobile fa parte di un gruppo internazionale con holding londinese" il cui rappresentante legale è il sig. Tooley che risiede a Londra;

- che due mesi prima era "stato assunto un secondo dipendente in Italia";

- sarebbe stata sua cura inoltrare la richiesta di informazioni notificata con l´accertamento ispettivo al rappresentante legale della società, al fine di fornire le informazioni e i documenti richiesti, entro 15 giorni;

VISTO che durante l´accertamento ispettivo è stato richiesto a Lycamobile, tramite la sig.ra Granata, di inviare anche documentazione ulteriore relativa alla struttura della società, alle attività svolte e all´ubicazione fisica dei server contenenti i dati di traffico (cfr. verbale del 26 settembre 2012, pag. 2);

VISTO che dopo l´accertamento ispettivo non è pervenuto alcun riscontro da parte di Lycamobile a tutte le predette richieste formulate ai sensi dell´art. 157 del Codice;

VISTO che, per tale aspetto, in data 19 novembre 2012, è stata contestata a Lycamobile la violazione di cui all´art. 164 del Codice, per un totale di € 20.000,00;

VISTA, pertanto, la ulteriore richiesta del Garante del 19 febbraio 2013, che si è reso necessario formulare, al fine di ottenere le informazioni che Lycamobile non aveva fornito in sede ispettiva né nei mesi successivi;

VISTA la risposta pervenuta in data 7 marzo 2013 via email dalla società, con la quale Lycamobile ha fornito risposte del tutto insufficienti in relazione alle puntuali richieste formulate, chiarendo solo l´aspetto relativo alla natura giuridica della società, specificando che "Lycamobile s.r.l. è di proprietà di 5 singoli azionisti che usano un marchio con licenza e utilizzano alcune risorse condivise mediante contratti di servizio in outsourcing tra cui: contabilità, legale, doganale, marketing, servizio clienti, supporto IT. Lycamobile non è un gruppo internazionale (una holding) ma ci sono diverse società Lycamobile in tutto il mondo che in molti casi hanno partecipazioni comuni e usano anche le risorse condivise in outsourcing come descritto sopra. Lycamobile opera come fornitore di servizi tramite la rete H3G come suo operatore virtuale ospitante. È previsto che ora Lycamobile utilizzerà Vodafone come operatore ospitante in qualità di full MVNO" ;

VISTO che in tale email Lycamobile ha dichiarato altresì:

- di avvalersi per il trattamento, l´elaborazione e la conservazione dei dati del suo partner IT, la società Plintron Technologies, con sede in India;

- che il signor Russ Ede è il "responsabile in qualità di direttore esecutivo delle operazioni per Lycamobile";

- che la finalità della raccolta dei dati è volta, tra l´altro, all´"analisi aziendale";

- di "non aver compreso" la domanda relativa agli adempimenti concernenti le prescrizioni contenute nel Provvedimento;

CONSIDERATO che le risposte fornite con l´email del 7 marzo 2013 non sono state esaurienti rispetto ai quesiti formulati, il Garante ha ritenuto necessario reiterare la richiesta a Lycamobile con una successiva comunicazione del 15 marzo 2013, ponendo domande ancora più dettagliate richiamando anche la versione inglese del Provvedimento, al fine di facilitare un celere e puntuale riscontro da parte della società;

CONSIDERATO che Lycamobile non ha fornito riscontro nei termini indicati, tale richiesta è stata inviata successivamente (in data 2 maggio e 11 giugno 2013) ai sensi dell´art. 157 del Codice, anche via email, via pec, via fax e all´indirizzo fisico della società;

VISTE le email pervenuta in risposta in data 24 e 25 giugno 2013 con cui Lycamobile ha dichiarato che:

- i server in cui sono conservati i dati degli interessati si trovano nel Regno Unito (email del 24 giugno 2013);

- "i dati di traffico telefonico e telematico degli interessati sono conservati per il tempo prescritto dalla legge" (email del 24 giugno 2013), specificando tuttavia che "i dati vengono conservati 6 mesi per quanto riguarda i processi di fatturazione e 24 mesi per le indagini giudiziarie" (email del 25 giugno 2013);

- per "analisi aziendale" Lycamobile intende "una ricerca di mercato (…) per mettere in atto le promozioni più adatte" per gli utenti (email del 24 giugno 2013);

- "il consenso informativo per il cliente si trova nella sezione "termini e condizioni" del contratto che viene letto e firmato dal cliente e può eventualmente proporre e offrire servizi o promozioni a valore aggiunto relative alle società collegate a Lycamobile" (email del 25 giugno 2013);

VISTO l´allegato all´email del 24 giugno 2013 che Lycamobile ha dichiarato essere l´atto di designazione di Plintron Technologies a responsabile del trattamento ai sensi dell´art. 29 del Codice;

CONSIDERATO che tale documento, privo di data, è l´accordo relativo al trasferimento dei dati all´estero e non fa alcun riferimento alla designazione a responsabile del trattamento di Plintron Technologies;

VISTO che nel sito www.lycamobile.it è presente una sezione denominata "Protezione dei dati" nella quale è contenuta un´informativa, al cui al paragrafo 3. "Ulteriori informazioni" si legge che "per quanto riguarda i dati relativi al traffico, la informiamo che (…) b) il trattamento per finalità di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto sarà effettuato per un periodo non superiore a 24 mesi";

CONSIDERATO che con le email del 24 e del 25 giugno 2013 Lycamobile non ha comunque fornito riscontro a tutte le domande formulate dal Garante, in particolare a quella relativa alla designazione a responsabile del trattamento dei soggetti che trattano i dati personali né e a quella relativa all´adempimento di tutte le prescrizioni contenute nel Provvedimento;

CONSIDERATO che, alla luce di quanto sopra e da tutte le dichiarazioni rese, non risulta che Lycamobile abbia rispettato alcune delle prescrizioni contenute nel Provvedimento e sopra richiamate relative: alle procedure di autenticazione; alla separazione delle funzioni di coloro che hanno accesso ai dati; all´adozione di sistemi informatici fisicamente distinti per la conservazione dei dati di traffico; alla designazione dei soggetti che possono accedere ai dati; alla necessità di rendere i dati immediatamente non disponibili allo scadere del termine previsto per la conservazione; alle procedure di audit log; al controllo interno volto alla verifica delle misure organizzative adottate dalla società per la conservazione dei dati di traffico; alla documentazione dei sistemi informativi utilizzati per il trattamento dei dati di traffico; alla crittografia dei dati conservati;

RILEVATO che Lycamobile dichiara di conservare i dati di traffico, per finalità di giustizia, per un periodo di 24 mesi (cfr. email del 25 giugno 2013), non distinguendo tra dati di traffico telefonico o telematico;

CONSIDERATO che, al contrario, è necessario effettuare una distinzione tra dati di traffico telefonico e dati di traffico telematico in quanto ai sensi dell´art. 132 del Codice "i dati relativi al traffico telefonico, sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati, mentre, per le medesime finalità, i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, sono conservati dal fornitore per dodici mesi dalla data della comunicazione";

RILEVATO che Lycamobile utilizza i dati di traffico per finalità ulteriori rispetto a quelle di accertamento e repressione dei reati e, nello specifico, per l´"analisi aziendale" (cfr. email del 7 marzo 2013) intendendo con tale accezione ricerche di mercato finalizzate a proposte di marketing (cfr. email del 24 giugno 2013) e per "finalità di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto" (cfr. sito www.lycamobile.it, sezione "Protezione dei dati", paragrafo 3.);

CONSIDERATO che i dati di traffico conservati per finalità di accertamento e repressione dei reati possono essere utilizzati esclusivamente per tale finalità e non anche per finalità ulteriori (quali la profilazione o il marketing), tanto più che le modalità attraverso le quali tale tipologia di dati può essere conservata sono dettagliatamente descritte nel Provvedimento, che prevede specifiche misure a garanzia degli interessati;

CONSIDERATO che un eventuale consenso rilasciato dall´interessato non è idoneo al fine di utilizzare i dati di traffico conservati per finalità di giustizia per altre finalità;

RILEVATO che Lycamobile utilizza come suo partner IT la società indiana Plintron Technologies e che, nonostante quanto dichiarato, non risulta che quest´ultima sia stata designata responsabile del trattamento (cfr. email del 7 marzo, del 24 e del 25 giugno 2013);

CONSIDERATO infatti che, per quanto riguarda il trasferimento dei dati all´estero, al di fuori dell´Unione Europea, è necessario non solo un accordo per il trasferimento dei dati (artt. 42 e ss. del Codice), ma anche che la società che tratta i dati (Plintron Technologies) per conto del titolare (Lycamobile) sia altresì designata responsabile del trattamento ai sensi dell´art. 29 del Codice;

CONSIDERATO che il trattamento effettuato da Lycamobile, come emerso dagli atti dell´istruttoria, risulta non conforme alla disciplina in materia di conservazione dei dati di traffico;

RILEVATO che, ai sensi dell´art. 11, comma 2 del Codice, i dati trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;

RILEVATA, pertanto, alla luce di quanto sopra, la necessità di adottare nei confronti di Lycamobile, ai sensi dell´art. 154, comma 1, lett. c) e d) del Codice, un provvedimento prescrittivo e inibitorio, volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 170 del Codice, chiunque essendovi tenuto non osserva il divieto contenuto nel presente provvedimento è punito con la reclusione da tre mesi a due anni e che ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosservanza delle misure prescrittive e inibitorie contenute nello stesso, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATA la sussistenza dei presupposti per contestare a Lycamobile la violazione amministrativa di cui all´art. 132 del Codice ai sensi dell´art. 162-bis del Codice e, quindi, la necessità di avviare un autonomo procedimento sanzionatorio nei confronti della medesima;

FERMO RESTANDO il procedimento sanzionatorio già avviato mediante la contestazione del 19 novembre 2012 sopra citata;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la dott.ssa Giovanna Bianchi Clerici;

TUTTO CIÒ PREMESSO IL GARANTE

I) prescrive a Lycamobile S.p.A., con sede legale in Roma, via Tirone 11/13, ai sensi dell´154, comma 1, lett. c) del Codice:

a) di adottare tutte le prescrizioni contenute nel Provvedimento e, in particolare:

1. specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1, del dispositivo del Provvedimento);

2. specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e della basi di dati (cfr. lettera a), punto 2, del dispositivo del Provvedimento);

3. sistemi informatici distinti fisicamente per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati da quelli conservati per altre finalità (cfr. lettera a), punto 3, del dispositivo del Provvedimento);

4. di designare specificamente gli incaricati del trattamento che possono accedere ai dati di traffico conservati per finalità di giustizia (cfr. lettera a), punto 4, del dispositivo del Provvedimento);

5. di rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti per la conservazione (cfr. lettera a), punto 5, del dispositivo del Provvedimento);

6. soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato sui dati di traffico, anche mediante la registrazione delle operazioni compiute in un apposito audit log, (cfr. lettera a), punto 6. del dispositivo del Provvedimento);

7. di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

8. di documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo e secondo i principi dell´ingegneria del software (cfr. lettera a), punto 8, del dispositivo del Provvedimento);

9. di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivo del Provvedimento);

b) di designare, ai sensi dell´art. 29 del Codice, Plintron Technologies quale responsabile del trattamento qualora voglia continuare ad avvalersi di tale società quale partner IT;

c) di adottare le misure di cui alle lettere a) e b) entro il termine di sessanta giorni dal ricevimento del presente provvedimento;

II) richiede a Lycamobile S.p.A., ai sensi dell´art. 157 del Codice, di comunicare, entro il medesimo termine, a questa Autorità le misure poste in essere ai fini di quanto indicato al punto I) del presente provvedimento;

III)  vieta a Lycamobile S.r.l., ai sensi dell´art. 154, comma 1, lett. d) del Codice:

a) ogni ulteriore trattamento di dati di traffico telefonico e telematico, conservati per l´accertamento e repressione dei reati, per qualunque ulteriore finalità;

b) di conservare dati di traffico telematico per un periodo superiore a 12 mesi, così come previsto dall´art. 132 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 3 ottobre 2013

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia