Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Dati di traffico tlc e Internet: no a conservazione illimitata - 19 novembre 2009 [1695368]

[doc. web n. 1695368]

vedi anche
[doc. web n. 1484758]
[
newsletter]

Dati di traffico tlc e Internet: no a conservazione illimitata - 19 novembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il decreto legislativo 30 maggio 2008, n. 109 (con il quale è stata data attuazione alla direttiva 2006/24/Ce, c.d. "direttiva Frattini");

RILEVATO che il Garante, congiuntamente alle altre autorità per la protezione dei dati nei Paesi membri dell’Unione europea riunite sotto l’egida del Gruppo di lavoro "Articolo 29", ha avviato una procedura di verifica, conforme al programma "Enforcement", volta ad accertare l’osservanza, da parte dei fornitori di servizi di comunicazione elettronica, degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico, sul fondamento degli articoli 6 e 9 della direttiva 2002/58/Ce e della direttiva 2006/24/Ce;

CONSIDERATO che la richiamata procedura ha previsto che l’accertamento venga effettuato nei confronti di alcuni fornitori individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale, europea e/o internazionale), con acquisizione di elementi documentali, nonché con verifiche di carattere ispettivo presso le sedi degli stessi;

VISTA la nota del 1° giugno 2009, con la quale PosteMobile S.p.A. (di seguito, "PosteMobile") ha fornito riscontro alla richiesta di informazioni dell’Autorità ex art. 157 del Codice sull’osservanza degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico;

RILEVATO che, dagli elementi acquisiti, risulta che la società, quale operatore virtuale, eroga servizi telefonici e telematici in partnership con due distinti soggetti, entrambi nominati responsabili del trattamento ai sensi dell’art. 29 del Codice e, rispettivamente, Vodafone Omnitel N.V., prescelto come Mobile Host Operator, e Accenture S.p.A., che fornisce e gestisce l’infrastruttura tecnologica a supporto dei servizi stessi come Mobile Virtual Network Enabler;

VISTE le risultanze istruttorie emerse anche nel corso delle ispezioni effettuate presso la sede di PosteMobile nella giornata del 5 ottobre 2009 e presso la sede di Accenture S.p.A. nella giornata del 7 ottobre 2009 e a parte la posizione di Vodafone Omnitel N.V., già in passato oggetto di accertamenti ispettivi e destinataria di un provvedimento del Garante (provv. del 10 gennaio 2008, in www.garanteprivacy.it, doc. web n. 1484758);

VISTA la nota del 6 ottobre 2009, con la quale PosteMobile ha fornito all’Autorità i chiarimenti richiesti nel corso dell’ispezione del 5 ottobre 2009, sui quali aveva fatto riserva di esprimersi, con particolare riferimento all’indicazione di "quali dati di traffico vengono conservati da PosteMobile in relazione al traffico telematico" (cfr. lett. B) della nota citata);

RILEVATO che nella predetta nota, PosteMobile ha dichiarato che i dati di traffico telematico presenti nella piattaforma denominata "HCAP", utilizzata nell’ambito dei sistemi adibiti ai servizi di magistratura, sono esclusivamente: data e ora di inizio e fine della sessione, indirizzo IP privato con il quale l’utente si è connesso e numero di telefono dell’utente; che, peraltro, nella successiva nota del 16 ottobre 2009, PosteMobile ha inteso presentare all’Autorità alcune precisazioni rispetto a quanto dichiarato nella nota del 6 ottobre sopra richiamata relativamente all’indicazione dei dati di traffico telematico contenuti nella piattaforma HCAP;

RILEVATO infatti che, all’esito di ulteriori verifiche svolte con Accenture S.p.A., PosteMobile ha potuto constatare che nella suindicata piattaforma gestita da Accenture sono presenti, oltre a quelli che erano stati descritti inizialmente nella nota del 6 ottobre, anche "dati di traffico afferenti l’indirizzo IP di destinazione", pure non visualizzabili da PosteMobile tramite l’applicativo c.d. "Search Console", unico strumento di cui la stessa dispone per evadere le richieste della magistratura (cfr. nota del 16 ottobre 2009, cit.);

CONSIDERATO che, nel rispetto dei principi di necessità nel trattamento e proporzionalità dei dati, i fornitori di un servizio di comunicazione elettronica (nel caso specifico, l’accesso alla rete) devono conservare soltanto i dati di traffico telematico necessariamente correlati alle attività tecniche strumentali alla resa del servizio offerto e alla sua eventuale fatturazione (artt. 3, 11 e 123 del Codice) e che l’art. 3 del d.lg. n. 109/2008 non include, tra le categorie di dati da conservare per le finalità di cui all’art. 132 del Codice, l’indirizzo IP di destinazione; e che, d’altra parte, trattasi di dato potenzialmente correlato al contenuto della comunicazione di cui il predetto articolo 132 vieta la conservazione (come già chiarito dal Garante, ad esempio nel provvedimento nei confronti di Vodafone Omnitel N.V., sopra richiamato);

RITENUTO pertanto che, alla stregua delle esposte considerazioni e alla luce degli elementi acquisiti nel corso dell’istruttoria, PosteMobile effettua un trattamento illecito e non corretto dei dati di traffico telematico degli utenti che usufruiscono dei servizi di accesso alla rete Internet, in quanto sono trattati anche dati di traffico afferenti l’indirizzo IP di destinazione;

RILEVATO anche che, secondo quanto dichiarato dalla società, è stata immediatamente avviata l’implementazione di soluzioni atte a superare l’anomalia riscontrata e volte a "impedire, a partire dal 19 ottobre p.v., la raccolta e la registrazione dei dati di indirizzo IP di destinazione", nonché a "regolarizzare del tutto (…) entro il 30 novembre 2009 la piattaforma HCAP, con la cancellazione dei dati IP di destinazione ivi contenuti, che nel frattempo resteranno ovviamente inaccessibili da Search Console";

RITENUTA in ogni caso la necessità di adottare nei confronti di PosteMobile S.p.A., con particolare riferimento alla conservazione dei dati di traffico telematico, un provvedimento ai sensi dell’art. 154, comma 1, lett. d) del Codice, volto a vietare l’ulteriore conservazione, da parte della stessa, degli indirizzi IP di destinazione relativi alle connessioni attivate dai propri clienti;

FATTA SALVA, con autonomo procedimento, la verifica dei presupposti per l’eventuale contestazione della violazione dell’art. 132, comma 1 del Codice, ai sensi dell’art. 162-bis del Codice;

TENUTO CONTO che, ai sensi dell’art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell’art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì  applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTI gli artt. 154, comma 1, lett. d) e 132 del Codice;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dottor Mauro Paissan;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 154, comma 1, lett. d) del Codice, dispone nei confronti di PosteMobile S.p.A., con sede in Roma, via Aurelia n. 866, il divieto dell’ulteriore trattamento, in qualsiasi forma e grado di dettaglio, di dati personali relativi ai siti web visitati dagli utenti, anche quando tali dati siano specificati con mero indirizzo IP di destinazione; dispone, per l’effetto, la cancellazione dei dati trattati illecitamente al più presto, dando riscontro a questa Autorità dell’avvenuta cancellazione entro e non oltre il termine di trenta giorni dalla data di ricezione del presente provvedimento.

Roma, 19 novembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi