g-docweb-display Portlet

Prescrizioni del Garante ad un fornitore di servizi di comunicazione elettronica - 14 febbraio 2013 [2313961]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2313961]

Prescrizioni del Garante ad un fornitore di servizi di comunicazione elettronica - 14 febbraio 2013

Registro dei provvedimenti
n. 64 del 14 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del 17 gennaio 2008 (di seguito "Provvedimento"), concernente la sicurezza dei dati di traffico telefonico e telematico [doc. web n. 1482111], successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in Gazzetta Ufficiale del 13 agosto 2008, n. 189) [doc. web n. 1538237], resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO che il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi per il traffico telefonico e, dodici mesi, per il traffico telematico;

CONSIDERATO che con il Provvedimento, il Garante ha stabilito una serie di prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori") devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1. del dispositivo del Provvedimento);

- di adottare sistemi informatici distinti fisicamente per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati da quelli conservati per altre finalità (cfr. lettera a), punto 3. del dispositivo del Provvedimento);

- di rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti per la conservazione (cfr. lettera a), punto 5. del dispositivo del Provvedimento);

- di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7. del dispositivo del Provvedimento);

- di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9. del dispositivo del Provvedimento);

- di adottare tutte le misure prescritte, dandone conferma al Garante (cfr. lettera b) del dispositivo del Provvedimento);

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. doc. web nn. 1695393, 1683093, 1695368);

VISTO che il Garante ha deliberato, nel corso del 2012, di delegare al Nucleo Speciale Privacy, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato undici società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Tex97 s.r.l. ( di seguito "Tex97"), in data 10 e 11 luglio 2012, società che fornisce servizi di telecomunicazione fissa a utenti privati;

VISTO che, nel preannunciare l´attività ispettiva il giorno precedente, è stato appreso che quest´ultima si sarebbe dovuta svolgere presso la sede di People&Communication s.r.l. (di seguito "P&Co"), in virtù del contratto di seguito descritto;

VISTO Tex97 ha stipulato nel dicembre 2010 un contratto di affitto di azienda della durata di diciotto mesi, che prevedeva il passaggio di tutte le attività aziendali (compreso, quindi, il trattamento dei dati degli utenti) da Tex97 a P&Co per tale durata;

VISTO che, pertanto, l´accertamento ispettivo si è svolto presso la sede di P&Co;

VISTO che nel citato contratto era prevista, al termine del periodo indicato, la restituzione dell´azienda a Tex97 nel medesimo stato; rilevato che, tuttavia, che il 23 aprile 2012 Tex97 procedeva all´iscrizione a registro della propria liquidazione volontaria, che veniva proposta istanza di fallimento da parte di un creditore il 14 giugno 2012, che P&Co comunicava di non volere usufruire della citata opzione di acquisto pur dichiarando di voler continuare l´attività di gestione dell´azienda e, per quel che qui interessa, quindi, anche il trattamento dei dati personali, non avendo Tex97 nulla in contrario (cfr. allegati 2 e 3 al verbale del 10 luglio 2012); visto, infine, che successivamente alla data dell´accertamento ispettivo, il 24 luglio 2012, veniva avviata dal Tribunale di Torino, la procedura di fallimento nei confronti di Tex97;

VISTO che, nell´informativa acquisita in sede ispettiva sul sito www.tex97.it, P&Co viene identificata quale titolare del trattamento (cfr. allegato 5 al verbale del 10 luglio) e che, pertanto, entrambe le società sono titolari del trattamento;

VISTA la nota inviata successivamente all´accertamento ispettivo, a scioglimento delle riserve formulate a verbale, sprovvista di sottoscrizione e di data, ricevuta dal Nucleo Speciale Privacy in data 31 agosto 2012 e stampata su carta cointestata People Communication e Tex97, nella quale viene dichiarato che:

- i dati di traffico trattati per finalità di giustizia "vengono spostati in automatico dalla tabella in uso per essere inseriti in una tabella definita archivio dopo ventiquattro mesi" e "vengono cancellati manualmente dopo 10 anni a cura dell´amministratore di sistema";

- non sono presenti sistemi di autenticazione biometrica;

- non sono presenti sistemi di crittografia o forme di cifratura dei dati conservati data "la mole dei dati" e il "tempo di accesso al database che verrebbe rallentato eccessivamente da questa operazione";

- "non è disponibile un sistema biometrico atto a assicurare la presenza fisica nella postazione in quanto non sono disponibili i dati nel formato indicato" e "in caso di richiesta della PG i dati vengono elaborati real time e inviati secondo le modalità richieste";

- la documentazione relativa ad attività di controllo viene realizzata "solo in caso di riscontro di anomalie o criticità";

- non è possibile reperire la documentazione relativa alla comunicazione al Garante relativa al rispetto delle prescrizioni, in quanto tutta la documentazione cartacea è stata depositata presso il Tribunale di Torino a seguito dell´apertura della procedura di fallimento;

CONSIDERATO che, in tale nota, P&Co si qualifica titolare del trattamento, designando un incaricato e un responsabile del trattamento;

RILEVATO che è stata contestata a Tex97 la violazione di cui all´art. 162 bis, per violazione dell´art. 132, comma 1 del Codice con riferimento alla conservazione dei dati di traffico telefonico per un periodo superiore a ventiquattro mesi e che, risulta notificata al curatore fallimentare in data 27 novembre 2012;

RILEVATA la sussistenza dei presupposti per contestare a P&Co le violazioni amministrative di cui agli artt. 132 e 162 bis del Codice e quindi la necessità di avviare un autonomo procedimento sanzionatorio nei confronti della medesima;

RILEVATA, altresì, la necessità di adottare nei confronti delle medesime società, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, un provvedimento prescrittivo volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 162, comma 2 ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE:

prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, a Tex97 s.r.l. con sede legale in Via Principe Amedeo, 12, Torino e a People&Communication s.r.l., con sede legale in Lungo Dora Colletta 75, Torino di:

1. procedere alla cancellazione dei dati trattati oltre i termini previsti dall´art. 132, comma 1 del Codice;

2. adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" così come previsto dalla lettera a), punto 1. del dispositivo del Provvedimento;

3. adottare sistemi informatici distinti fisicamente per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati diversi da quelli conservati per altre finalità così come previsto dalla lettera a), punto 3. del dispositivo del Provvedimento;

4. rendere i dati di traffico immediatamente non disponibili allo scadere dei termini previsti per la conservazione così come previsto dalla lettera a), punto 5. del dispositivo del Provvedimento;

5. svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata così come previsto dalla lettera a), punto 7. del dispositivo del Provvedimento;

6. proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche o di cifratura, così come previsto dalla lettera a), punto 9. del dispositivo del Provvedimento;

7. adottare le misure e gli accorgimenti di cui ai punti precedenti entro il termine di sessanta giorni dalla data di ricezione del presente provvedimento, dando riscontro entro lo stesso termine a questa Autorità dell´avvenuto adempimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 14 febbraio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia