Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Dati di traffico tlc e Internet: no a conservazione illimitata - 19 novembre 2009 [1695393]

[doc. web n. 1695393]

vedi anche
[provv. 17 gennaio 2008]
[provv. 24 luglio 2008]
[provv. 29 aprile 2009]

[newsletter]

Dati di traffico tlc e Internet: no a conservazione illimitata - 19 novembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il decreto legislativo 30 maggio 2008, n. 109 (con il quale è stata data attuazione alla direttiva 2006/24/Ce, c.d. "direttiva Frattini");

VISTO il provvedimento del 17 gennaio 2008 con il quale il Garante ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 del Codice, l'adozione di specifici accorgimenti e misure a garanzia dei dati di traffico conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie (di seguito "Provvedimento", in G.U. n. 30 del 5 febbraio 2008);

VISTO l'ulteriore provvedimento adottato dal Garante il 24 luglio 2008 (in G.U. n. 189 del 13 agosto 2008), con il quale sono state recepite le modifiche normative intervenute in materia e sono stati contestualmente prorogati i termini per l'adempimento delle prescrizioni contenute nel citato Provvedimento;

VISTO il provvedimento del 29 aprile 2009 (in G.U. n. 107 dell'11 maggio 2009) con il quale il Garante ha disposto di prorogare ulteriormente i termini per l'adempimento, limitatamente ad alcune prescrizioni del medesimo Provvedimento, alla data del 15 dicembre 2009;

RILEVATO che il Garante, congiuntamente alle altre autorità per la protezione dei dati nei Paesi membri dell'Unione europea riunite sotto l'egida del Gruppo di lavoro "Articolo 29", ha avviato una procedura di verifica, conforme al programma "Enforcement", volta ad accertare l'osservanza, da parte dei fornitori di servizi di comunicazione elettronica, degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico, sul fondamento degli articoli 6 e 9 della direttiva 2002/58/Ce e della direttiva 2006/24/Ce;

CONSIDERATO che la richiamata procedura ha previsto che l'accertamento venga effettuato nei confronti di alcuni fornitori individuati sulla base di diversi criteri (quota di mercato, tipologia dei servizi forniti, dimensione nazionale, europea e/o internazionale), con acquisizione di elementi documentali, nonché con verifiche di carattere ispettivo presso le sedi degli stessi;

VISTA la nota del 31 maggio 2009, con la quale Tiscali Italia S.p.A. (di seguito, "Tiscali") ha fornito riscontro alla richiesta di informazioni dell'Autorità ex art. 157 del Codice sull'osservanza degli obblighi fissati nella normativa nazionale in materia di conservazione dei dati di traffico, dichiarando, in particolare, che "i dati di traffico sono conservati per sei mesi per finalità commerciali e 24 mesi per finalità giudiziarie e di polizia" e che vengono successivamente cancellati "tramite periodici interventi ad hoc";

VISTE le risultanze istruttorie emerse nel corso dell'ispezione effettuata presso la sede di Tiscali nelle giornate del 22 e 23 settembre 2009, dalle quali risulta che la società conserva dati di traffico dei propri clienti che:

  • nel database contenente i dati di traffico telematico (accesso IP), risalgono al 21 giugno 2007;
  • nel database contenente i log delle e-mail, sono conservati online dal 2006 e su nastri dal 2001;
  • nel database contenente i dati di traffico telefonico, risalgono all'inizio dell'attività dell'azienda, ossia al marzo 1999;
  • nel database contenente i log delle chiamate VoIP, risalgono al 21 aprile 2005;
  • nell'applicativo utilizzato dagli operatori del customer care, pur con le ultime tre cifre oscurate, risalgono al 2002 (cfr. verbale del 22 settembre 2009);

CONSIDERATA la discrasia tra quanto dichiarato dalla società nella nota del 31 maggio 2009 e quanto emerso nel corso dell'accertamento ispettivo, sicché si rende necessaria la trasmissione degli atti del presente procedimento all'Autorità giudiziaria ai sensi dell'art. 154, comma 1, lett. i) del Codice;

RITENUTO che la conservazione dei dati di traffico telefonico e telematico per un periodo eccedente rispetto a quello previsto, rispettivamente di 24 e 12 mesi, viola l'art. 132 del Codice e, quindi, è da considerare illecito trattamento;

RILEVATO inoltre che, dagli elementi acquisiti, risulta che nell'ambito del richiamato database contenente i log delle e-mail, i dati di traffico conservati da Tiscali "contengono mittente, destinatario e oggetto del messaggio" e che "all'interno del predetto DB, è possibile effettuare ricerche anche sulla base dell'oggetto dei messaggi" (cfr. verbale del 22 settembre 2009);

CONSIDERATO che, nel rispetto dei principi di necessità nel trattamento e proporzionalità dei dati, i fornitori di un servizio di comunicazione elettronica (nel caso specifico, la posta elettronica) devono conservare soltanto i dati di traffico telematico necessariamente correlati alle attività tecniche strumentali alla resa del servizio offerto e alla sua eventuale fatturazione (artt. 3, 11 e 123 del Codice) e che l'art. 3 del d.lg. n. 109/2008 non include, tra le categorie di dati da conservare per le finalità di cui all'art. 132 del Codice, l'oggetto dei messaggi di posta elettronica; e che, d'altra parte, trattasi di dato potenzialmente correlato al contenuto della comunicazione di cui il predetto articolo 132 vieta la conservazione;

RITENUTO pertanto che, alla stregua delle esposte considerazioni e alla luce degli elementi acquisiti nel corso dell'istruttoria, Tiscali effettua un trattamento illecito e non corretto dei dati di traffico telematico degli utenti che usufruiscono del servizio di posta elettronica, in quanto sono trattati anche dati di traffico afferenti l'oggetto dei messaggi di posta elettronica;

FATTA SALVA, con autonomo procedimento, la verifica dei presupposti per l'eventuale contestazione della violazione dell'art. 132, comma 1 del Codice, ai sensi dell'art. 162-bis del Codice;

RITENUTA la necessità di adottare nei confronti di Tiscali, con particolare riferimento alla conservazione dei dati di traffico, un provvedimento ai sensi dell'art. 154, comma 1, lett. c) del Codice, volto a prescrivere alla società le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;

RILEVATO inoltre che la società, rientrante tra i fornitori tenuti a conservare i dati di traffico come specificato nel punto 3 del Provvedimento, non risulta aver dato attuazione ad una delle prescrizioni del medesimo Provvedimento già efficaci dal 1° maggio 2009 e, in particolare, a quella che dispone di "rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti" (lett. a), n. 5);

FATTA SALVA, con autonomo procedimento, la verifica dei presupposti per l'eventuale contestazione della violazione concernente l'inosservanza dei provvedimenti del Garante ai sensi dell'art. 162, comma 2-ter del Codice;

RILEVATO che Tiscali, per la telefonia mobile, agisce come operatore virtuale in partnership con due distinti soggetti: Telecom Italia S.p.A., in veste di Mobile Host Operator, e Amdocs Software System Limited, società con sede in Irlanda, che fornisce e gestisce l'infrastruttura tecnologica a supporto dei servizi stessi come Mobile Virtual Network Enabler;

RILEVATO che, dagli elementi acquisiti, risulta che Telecom è stata nominata da Tiscali responsabile del trattamento ai sensi dell'art. 29 del Codice sin dalla stipulazione del contratto con la stessa in data 31 gennaio 2008 (v. allegato n. 3 al verbale del 23 settembre 2009), e che invece la medesima nomina nei confronti di Amdocs, trasmessa al Garante il 12 novembre 2009, è stata effettuata da Tiscali solo in data 28 ottobre 2009, successivamente quindi all'accertamento ispettivo sopra richiamato, nel corso del quale la società si era infatti riservata di chiarire in che modo fossero regolamentati dal punto di vista della protezione dei dati personali i rapporti intercorrenti tra Tiscali e Amdocs;

RILEVATO che, da quanto sopra indicato, è emerso che Tiscali, avendo consentito l'accesso ai dati di traffico dei propri clienti alla società Amdocs in violazione delle disposizioni di cui all'art. 23 e ss. del Codice, ha effettuato un trattamento illecito e non corretto dei dati stessi;

FATTA SALVA, con autonomo procedimento, la verifica dei presupposti per l'eventuale contestazione della violazione delle disposizioni indicate nell'articolo 167, ai sensi dell'art. 162, comma 2-bis del Codice;

TENUTO CONTO che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del presente provvedimento, è applicata in sede amministrativa, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

VISTA la documentazione in atti;

VISTI gli artt. 154, comma 1, lett. c) e 132 del Codice;

VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dottor Giuseppe Fortunato;

TUTTO CIÒ PREMESSO IL GARANTE

A) ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive a Tiscali Italia S.p.A., con sede legale in Cagliari, Località Sa Illetta, di procedere alla cancellazione, dandone riscontro a questa Autorità entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento:

1. dei dati personali relativi all'oggetto dei messaggi di posta elettronica presenti nel database contenente i log delle e-mail inviate e/o ricevute dai clienti Tiscali;

2. dei dati di traffico telefonico e telematico trattati oltre i termini previsti dall'art. 132, comma 1 del Codice;

B) dispone la trasmissione degli atti e di copia del presente provvedimento all'Autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.

Roma, 19 novembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Patroni Griffi