g-docweb-display Portlet

Prescrizioni ad una società che fornisce servizi telefonici e telematici - 20 febbraio 2014 [3031194]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 3031194]

Prescrizioni ad una società che fornisce servizi telefonici e telematici - 20 febbraio 2014

Registro dei provvedimenti
n. 84 del 20 febbraio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»);

VISTO il provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico (pubblicato nel sito istituzionale www.garanteprivacy.it; doc. web n. 1482111), successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in G.U. del 13 agosto 2008, n. 189; doc. web n. 1538237; di seguito "Provvedimento"), resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO che il suddetto d.lgs. n. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi, per il traffico telefonico e dodici mesi per il traffico telematico;

CONSIDERATO che con il Provvedimento il Garante ha stabilito una serie di pre-scrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito «fornitori») devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1, del dispositivo del Provvedimento);

- di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. provv. del 21 ottobre 2009, doc. web n. 1683093 e del 19 novembre 2009, doc. web nn. 1695393 e 1695368);

VISTO che il Garante ha deliberato, come già avvenuto nel 2012, anche nel 2013 di delegare al Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato otto società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Estracom S.p.A. (di seguito «Estracom»), in data 26 giugno 2013, società di piccole dimensioni (con undici dipendenti) che fornisce servizi telefonici e telematici per la maggior parte a una clientela aziendale;

VISTO che nel corso del medesimo accertamento, rispetto all´adozione delle prescrizioni contenute nel Provvedimento, la società ha dichiarato che, con riferimento ai dati di traffico telematico, avrebbe provveduto ad inviare tutta la documentazione e le informazioni richieste in un secondo momento al fine di coinvolgere nella risposta il sig. Gianmarco Giovanelli, amministratore di sistema, mentre, rispetto ai dati di traffico telefonico, ha dichiarato che (cfr. verbale del 26 giugno 2013, pag. 5-7):

-sono conservati per i primi sei mesi in un database (piattaforma Impresa) separato da quello in cui sono conservati dal settimo al ventiquattresimo mese (Mediation) e «la conservazione avviene previa compressione ed il trasferimento avviene attraverso protocollo SSH con autenticazione fra client e server (…). La conservazione dei dati è protetta dalla mancata pubblicazione nella rete pubblica delle macchine utilizzate quali server. Inoltre l´accesso alle stesse è limitato ad alcuni specifici indirizzi Ip. (…) Il ripristino dei dati è assicurato dal backup avvenuto sulla macchina Mediation ed avviene attraverso prelievo manuale del file di riferimento. Detto file risulta essere di lettura difficoltosa, in formato testo, ma potrà essere consultato soltanto previo inserimento in un db relazionale»;

- al termine dei ventiquattro mesi, «la cancellazione avviene in modalità manuale con cadenza mensile»;

- i dati di traffico riferiti alle chiamate senza risposta vengono conservati per lo stesso periodo degli altri dati di traffico;

- «i dati conservati nel db giustizia non sono intellegibili ma devono essere inseriti in un db relazionale»;

- «sono state adottate tecniche di strong authentication», ma «non è stato adottato il riconoscimento biometrico»;

- «attesa la capillare opera di controllo degli amministratori di sistema, non vi è stata la necessità di effettuare controlli a posteriori»;

VISTA la documentazione acquisita nel corso dell´accertamento ispettivo e, in particolare, le allora condizioni generali di contratto che correttamente riportavano, all´interno della sezione "21. Protezione dei dati personali – Informativa e dichiarazioni", le modalità di trattamento dei dati di traffico telefonico e telematico della società (cfr. punto 21.4 delle condizioni generali di contratto contenute nell´allegato 3 al verbale del 26 giugno 2013);

CONSIDERATA l´ulteriore istruttoria del Garante, dalla quale emerge che le condizioni di contratto presenti attualmente sul sito www.estracom.it differiscono formalmente e sostan-zialmente da quelle consegnate nel corso dell´accertamento ispettivo e, infatti, nella attuale sezione "19. Protezione dei dati personali – Informativa e dichiarazioni" non si fa più alcun riferimento al trattamento dei dati di traffico;

VISTA la «memoria integrativa» inviata da Estracom in data 9 luglio 2013, nella quale la società, rispetto alla conservazione dei dati di traffico telematico, dichiara che:

- «anche per il traffico telematico, per la protezione dei dati, si è provveduto all´adozione di connessioni con protocolli sicuri, e di accesso solo da personale a tal uopo incaricato da determinati indirizzi Ip autorizzati. Inoltre, per quanto riguarda i dati trattati per la specifica finalità di repressione sono resi non accessibili in quanto allocati su hard disk off-line altresì protetto anche da password e procedura crittografica» e che «i dati di traffico telematico degli utenti vengono mantenuti su server per 6 mesi e gli ulteriori 6 mesi (ai soli fini giudiziari) su memoria esterna (hard disk off line)cifrata da password e da procedura crittografica»;

-  sono previste procedure specifiche affinché l´amministratore di sistema rilasci user id e password agli utenti, incaricati del trattamento dei dati per finalità di accertamento e repressione dei reati, ed è altresì previsto un duplice sistema di accesso attraverso badge rilasciato ai soggetti debitamente autorizzati, ma nulla dice in merito all´adozione di tecniche di riconoscimento biometrico;

CONSIDERATO che, alla luce di quanto sopra e da tutte le dichiarazioni rese, non risulta che Estracom abbia rispettato alcune delle prescrizioni contenute nel Provvedimento e sopra richiamate relative: all´adozione di tecniche di strong authentication, di cui una necessariamente di carattere biometrico; alla tenuta di un "registro degli accessi"; al controllo interno almeno annuale volto alla verifica delle misure organizzative adottate dalla società per la conservazione dei dati di traffico;

CONSIDERATO che l´art. 132, comma 1 bis del Codice, stabilisce che «i dati relativi alle chiamate senza risposta, trattati temporaneamente da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico oppure di una rete pubblica di comunicazione, sono conservati per trenta giorni»

CONSIDERATO che il Nucleo Speciale Privacy ha già provveduto a contestare a Estracom la violazione amministrativa di cui all´art. 162 bis del Codice (contestazione di violazione amministrativa n. 38/2013 del 3 luglio 2013, notificata il 1 agosto 2013), con riferimento alla conservazione dei dati di traffico relativi alle chiamate senza risposta per un periodo superiore ai trenta giorni previsti;

RILEVATO che, a seguito della citata contestazione, Estracom ha inviato, in data 30 agosto 2013, uno "scritto difensivo per l´applicazione della misura ridotta della sanzione amministrativa minima prevista e contestuale rateizzazione", dal quale, tuttavia, non risulta che abbia provveduto a cancellare i dati di traffico relativi alle chiamate senza risposta conservati oltre il limite dei trenta giorni;

CONSIDERATO che il trattamento effettuato da Estracom, come emerso dagli atti dell´istruttoria, risulta non conforme alla disciplina in materia di conservazione dei dati di traffico;

RILEVATA, pertanto, alla luce di quanto sopra, la necessità di adottare nei confronti di Estracom, ai sensi dell´art. 154, comma 1, lett. c) del Codice, un provvedimento prescrittivo, volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 162, comma 2-ter, del Codice, in caso di inosser-vanza delle misure prescrittive contenute nel presente provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATA la dei presupposti per contestare a Estracom la sanzione amministrativa di cui all´art. 162 comma 2-bis, del Codice per la violazione delle misure e degli accorgimenti prescritti dal Garante, ai sensi degli artt. 17 e 132, comma 5 del Codice, con il Provvedimento;

FERMO RESTANDO il procedimento sanzionatorio già avviato mediante la conte-stazione sopra citata;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

I. prescrive a Estracom S.p.A., con sede legale in Prato, Via Ugo Panziera n. 16, ai sensi dell´art. 154, comma 1, lett. c), del Codice:

a) di adottare, entro il termine di sessanta giorni dal ricevimento del presente provvedimento, tutte le prescrizioni contenute nel Provvedimento e, in particolare:

1. specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1, del dispositivo del Provvedimento);

2. di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

b) di procedere, entro il medesimo termine di cui alla lett. a), alla cancellazione dei dati di traffico relativi alle chiamate senza risposta conservati oltre il termine di trenta giorni previsto dall´art. 132, comma 1-bis, del Codice;

II. richiede a Estracom S.p.A., ai sensi dell´art. 157 del Codice, di comunicare a questa Autorità, entro il medesimo termine di cui alla lett. a) del punto I, le misure poste in essere ai fini di quanto indicato alle lettere a) e b) del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 febbraio 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERA-LE
Busia