Diritti interna

Doveri interna

ricerca avanzata

Tabulati telefonici e misure di sicurezza - 1 giugno 2006 [1296533]

 [doc. web n. 1296533]
[english version doc. web n. 1303462]

[v. Provv. 7 dicembre 2006]

Tabulati telefonici e misure di sicurezza - 1 giugno 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

Esaminato il ricorso presentato da YZ, rappresentato e difeso dall´avv. Carlo Lodovico Fava presso il cui studio ha eletto domicilio

nei confronti di

Telecom Italia S.p.A.;

Visti gli articoli 7, 8 e 145 s. del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

Il ricorrente, dopo che il proprio coniuge aveva ricevuto -"negli ultimi giorni di novembre" 2005- un plico anonimo contenente un tabulato che indicava dati di traffico relativi a chiamate in entrata e in uscita della propria utenza telefonica mobile, inerenti al periodo settembre-ottobre 2005, ha inoltrato il successivo 27 dicembre un´istanza a Telecom Italia mobile S.p.A. (ora Telecom Italia S.p.A.) opponendosi alla "diffusione" illecita di tali dati che sarebbero "unicamente nella disponibilità" di tale società e chiedendo "giustificazioni" in ordine al loro trattamento.

Ritenendo insoddisfatta tale istanza, il ricorrente ha proposto ricorso al Garante (artt. 145 e s. del Codice in materia di protezione dei dati personali) formulando un´articolata serie di richieste ex art. 7 del medesimo Codice. Le richieste sono volte, da un lato, a conoscere l´origine, le finalità, le modalità, la logica del trattamento dei dati (nonché gli estremi del titolare e del responsabile del trattamento stesso, unitamente ai soggetti o alle categorie di soggetti che possono venire a conoscenza dei dati); dall´altro, mirano ad ottenere il blocco del trattamento dei dati contenuti nel citato tabulato o l´immediata sospensione delle operazioni del trattamento, nonché la loro cancellazione in quanto trattati in violazione di legge. Il ricorrente ha chiesto, altresì, di porre a carico della resistente le spese sostenute per il procedimento.

A seguito dell´invito ad aderire inviato il 2 marzo 2006 dal Garante, Telecom Italia S.p.A. ha eccepito che il ricorrente, prima del ricorso, non aveva "mai richiesto direttamente a Telecom Italia s.p.a. gli adempimenti e le informazioni oggetto del presente ricorso". La società ha comunque fornito informazioni attinenti al complessivo trattamento effettuato (modalità, finalità, logica, estremi identificativi del titolare e del responsabile, nonché l´indicazione dei soggetti che possono venire a conoscenza dei dati), dichiarando di non poter aderire alle richieste di blocco e di cancellazione essendo tenuta a conservare i dati di traffico anche in attuazione delle disposizioni introdotte con il d.l. 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

La società ha poi dichiarato che, "dalle verifiche effettuate dalla (…) Funzione Business Support Systems (…), non risulta che nel periodo settembre-ottobre 2005 siano state compiute operazioni di visualizzazione o estrazione di dati afferenti l´utenza" in questione. La società ha inoltre sostenuto che "il formato e la configurazione dei tabulati oggetto del ricorso non risultano conformi a quelli originati dai sistemi in uso a Telecom Italia S.p.A." e che " i fatti segnalati dal sig. YZ e l´esito delle verifiche interne sono stati fatti oggetto di apposita segnalazione presentata all´autorità giudiziaria in data 3.3.06, successivamente ribaditi con denuncia-querela in data 20 marzo 2006".

Con memoria del 22 marzo 2006, il ricorrente ha ritenuto inidoneo tale riscontro e, nel richiamare la dichiarazione con la quale la società ha sostenuto di non aver "rilevato alcuna operazione di visualizzazione o estrazione dei dati in questione", ha manifestato ampie riserve in ordine alla sicurezza dei dati; ha quindi chiesto al Garante di "assumere i provvedimenti meglio visti al fine di impedire il riproporsi di simili accadimenti in futuro".

Con memoria del 12 aprile 2006, la società resistente ha di nuovo evidenziato gli obblighi di legge relativi alla conservazione dei dati di traffico ricordando che, in forza delle disposizioni "di cui all´art. 132 d. lg. n. 196/2003 e della previsione di cui all´art. 6 della legge 31.7.2005, n. 155, è sospesa fino al 31.12.2007 l´applicazione delle disposizioni di legge, regolamento o dell´autorità amministrativa che prescrivono o consentono al fornitore di un servizio (…) al pubblico la cancellazione dei dati di traffico telefonico o telematico".

A seguito della proroga del termine per la decisione sul ricorso disposta dall´Autorità ai sensi dell´art. 149, comma 7, del Codice, il ricorrente, con memoria dell´11 maggio 2006, ha ribadito di ritenere illecito il trattamento anche in riferimento a quanto già previsto dall´art. 132, comma 5, del Codice.

Rispondendo ad una richiesta di informazioni e di esibizione di documenti ex art. 157 del Codice formulata dall´Autorità in data 23 maggio 2006 direttamente presso Telecom Italia S.p.A., quest´ultima ha dichiarato che "dagli accertamenti svolti (…) è risultato che effettivamente il traffico riportato nei tabulati corrisponde a quello realmente sostenuto, in entrata e in uscita, dall´utenza indicata, per il solo mese di ottobre" e che i dati riportati nel tabulato e relativi alla centrale e alla cella che ha gestito singole chiamate, "in associazione con i dati della chiamata effettuata, possono essere ricavati solo dall´interrogazione dei sistemi informativi di Telecom".

In ordine ai soggetti che possono accedere a tali tipo di informazioni, la società, dopo aver dichiarato di ritenere "assolutamente residuale la possibilità che le informazioni riportate nel tabulato [siano] state ricavate a seguito di intrusione dall´esterno nei sistemi informativi della società", ha poi escluso, sulla base delle verifiche effettuate, che soggetti appartenenti alla categoria "utenti" (ovvero, "gli operatori sia interni che esterni abilitati a estrazione dei dati dall´archivio e alla loro lavorazione sulla base della destinazione dell´archivio medesimo") "abbiano effettuato accessi al sistema al fine di estrarre i dati riportati nei tabulati prodotti dal ricorrente". Ciò, tenendo conto del fatto che il sistema avrebbe altrimenti "tracciato" le operazioni svolte da questa tipologia di soggetti, registrandole in appositi file di log.

La società ha inoltre dichiarato di non essere "in grado di stabilire se taluni "addetti IT" abbiano svolto operazioni illecite" in quanto, con riferimento a tale categoria di soggetti (comprendente un limitato numero di persone che svolgono operazioni di gestione e di manutenzione dei sistemi informativi, relative in particolare ai sistemi operativi dei server e ai sistemi di gestione delle basi di dati – Dbms– con cui vengono realizzati gli archivi e le procedure di trattamento dei dati di traffico, per lo più assimilabili alle figure di system administrator e di Dba– data base administrator ), "il sistema è unicamente predisposto per registrare, in file di log, gli accessi (…) e non per tracciare il dettaglio delle operazioni svolte".

In ordine a tale ultima considerazione, la società ha infine sostenuto di aver avviato un "processo di graduale implementazione di nuove tecniche di sicurezza tese a ridurre la possibilità o prevenire il verificarsi di simili eventi. Tali tecniche", che non sarebbero state implementate in passato "per problemi di incompatibilità tecnica con i sistemi in essere", prevederebbero, tra l´altro, l´introduzione di "sistemi per il progressivo tracciamento delle operazioni svolte dagli addetti IT".

CIÒ PREMESSO IL GARANTE OSSERVA

Il ricorso concerne il trattamento di dati personali dell´interessato relativi al traffico telefonico in entrata e in uscita inerente ad un´utenza telefonica mobile.

Risultano inammissibili le istanze volte a conoscere l´origine, le finalità e le modalità e la logica del trattamento dei dati personali in questione, nonché gli estremi identificativi del titolare e del responsabile e dei soggetti o delle categorie di soggetti che possono venire a conoscenza di tali dati. Tali richieste (alle quali il titolare del trattamento ha peraltro fornito un riscontro nel corso del procedimento), sono state formulate dal ricorrente per la prima volta in sede di ricorso, diversamente da quanto disposto dall´art. 146, comma 1, del Codice, e non erano comprese nell´istanza avanzata in precedenza alla società.

Risulta parimenti inammissibile la richiesta di cancellazione dei dati per violazione di legge, che il ricorrente ha formulato per la prima volta solo nel ricorso, anziché indicarla nell´interpello rivolto al titolare del trattamento.

A differente conclusione deve invece pervenirsi per quanto riguarda l´istanza presentata dal ricorrente il 27 dicembre 2005, la quale va qualificata alla stregua di un´opposizione per motivi legittimi all´ulteriore trattamento dei dati di traffico oggetto di contestazione (opposizione che deve intendersi sostanzialmente riproposta nelle richieste formulate con il ricorso, ma soprattutto richiamata nella memoria del ricorrente del 22 marzo 2006, in conformità all´art. 149, comma 4, del Codice).

Con riferimento a tale opposizione, che è stata formulata legittimamente nei confronti della società che aveva l´esclusiva disponibilità di dati di natura particolarmente delicata (di cui doveva assicurare l´assoluta riservatezza), il ricorso è fondato.

Il Codice in materia di protezione dei dati personali, oltre a prescrivere il rispetto del principio di finalità nel compimento di ogni operazione di trattamento (art. 11, comma 1, lett. b)), prevede particolari garanzie per quanto riguarda il trattamento dei dati relativi al traffico telefonico e telematico presso i fornitori di servizi di comunicazione elettronica.

Tale trattamento (artt. 30 e 123, comma 5) è consentito unicamente a determinati incaricati che operano sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni, e solo per una serie circoscritta di finalità specificamente indicate nella medesima norma. Il medesimo trattamento deve essere altresì limitato a quanto "strettamente necessario per lo svolgimento di tali attività e deve assicurare l´identificazione dell´incaricato che accede ai dati anche mediante un´operazione di interrogazione automatizzata".

Sulla base delle dichiarazioni rese sotto la propria responsabilità dalla resistente (in particolare, a seguito della richiesta di informazioni e di esibizione di documenti effettuata dall´Autorità direttamente presso la sede della resistente), risulta adottato dalla società un sistema di autenticazione informatica per consentire a soggetti incaricati del trattamento di accedere alle informazioni in questione.

Risultano invece utilizzate tecniche volte a conservare traccia delle operazioni effettuate solo in relazione ad una tra le categorie di incaricati, quella indicata dalla resistente come quella degli "utenti" (come definita in premessa).

In particolare, è pacifico in atti -per espressa ammissione della società titolare del trattamento- che tali tecniche non siano state implementate con riferimento alle operazioni poste in essere dai cosiddetti "addetti It" (soggetti che svolgono operazioni di gestione dei sistemi informativi).

L´incompletezza e, conseguentemente, la sostanziale inefficacia delle medesime tecniche nei riguardi degli "addetti It" espone ampiamente le persone interessate al rischio di gravi abusi per ciò che concerne l´illecita acquisizione dei loro dati di traffico, creando le premesse per lasciare impunito un grave reato come quello commesso nel caso di specie, nel quale un corposo tabulato fitto di delicate informazioni elencate in ventiquattro pagine è stato formato abusivamente, dopo un´indebita consultazione e selezione di dati, ed utilizzato in termini ampiamente lesivi dei diritti dell´interessato.

Quantomeno rispetto a questo contesto di utilizzatori, la resistente non ha dimostrato di poter dissuadere ed individuare i responsabili di possibili ulteriori divulgazioni illecite di dati di traffico come quella in esame; dissuasione che si rivelava ancor più necessaria se si considera che la resistente dichiara in atti di aver essa stessa individuato almeno altri dieci casi di indebita utilizzazione di queste tipologie di dati.

Ha, poi, scarsa rilevanza la circostanza che il traffico documentato nelle predette ventiquattro pagine possa eventualmente non riguardare tutte le chiamate o sia documentato secondo uno schema non utilizzato tradizionalmente dalla resistente. È invece indice di maggiore delicatezza del caso la circostanza che siano indicate sia chiamate in entrata, sia chiamate in uscita, e che i dati di traffico comprendano nel caso di specie anche alcuni dati sull´ubicazione dell´apparecchio mobile in questione.

La resistente ha così violato l´obbligo di adottare, in aggiunta alle misure "minime" la cui mancata predisposizione comporta anche una sanzione penale (artt. 34 e 35 e Allegato B del Codice), una misura che rientra senza dubbio nel quadro dei più generali obblighi di sicurezza.

Questi ultimi comportano l´obbligo del titolare del trattamento di ridurre al minimo i vari rischi connessi al trattamento (nel caso di specie, quello di un trattamento non consentito), tenendo presente le conoscenze acquisite in base al progresso tecnico, la natura dei dati e le specifiche caratteristiche del trattamento: circostanze, queste, che non permettono nel caso di specie di ritenere adeguato il livello di garanzie per gli abbonati e utenti interessati.

La predisposizione di una misura che, accanto all´autenticazione informatica e ad un sistema di autorizzazione, garantisca la possibilità di verificare, sia pure a posteriori, da chi è stato effettuato il trattamento e che questo sia effettuato in modo "strettamente necessario per lo svolgimento" delle attività consentite dalla legge, è stata peraltro già oggetto di una prescrizione che il Garante ha impartito lo scorso anno in riferimento ad attività, parimenti delicate, svolte dalla società per finalità di giustizia. Con il provvedimento del 15 dicembre 2005, è stato infatti stabilito che i fornitori di servizi di comunicazione elettronica che svolgono, su richiesta dell´autorità giudiziaria, attività connesse alle intercettazioni telefoniche debbano adottare una serie di misure (cfr., in particolare e con riferimento specifico, in quel caso, ai dati trattati per scopi di giustizia, il punto 3.3. del medesimo Provv. ), la cui adozione risulta necessaria e allo stato congrua anche per tutelare i diritti dell´interessato, ferme restando le ulteriori misure che l´Autorità prescriverà in tema di conservazione dei dati di traffico ai sensi del combinato disposto degli artt. 132 del Codice e dell´art. 6 della l. n. 155/2005.

L´Autorità dispone quindi nei confronti di Telecom Italia S.p.a., ai sensi dell´art. 150, comma 2 del Codice e quale misura a tutela dei diritti dell´interessato, l´obbligo di adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da qualsiasi e da ciascun incaricato di ogni tipo di trattamento sui singoli elementi di informazione presenti nei diversi database utilizzati, quali che siano la sua qualifica, le sue competenze e l´ambito di operatività autorizzato sui dati in questione.

La società dovrà in particolare assicurare che i profili di autorizzazione dei data base administrator e dei system administrator siano effettivamente limitati ai dati e alle operazioni loro affidate e non comportino la capacità, anche potenziale, di trattare dati personali diversi da quelli necessari.

Tali soluzioni, che dovranno comportare anche la necessaria e garantita registrazione in un apposito audit log di tutte le operazioni compiute sui dati di traffico, anche di sola consultazione, dovranno essere adottate senza ritardo nei termini di cui al seguente dispositivo e comunque entro e non oltre il termine di centoventi giorni decorrenti dalla data di ricezione del presente provvedimento, data entro la quale la società resistente dovrà dare conferma al ricorrente e a questa Autorità della completa attuazione di quanto disposto in questa sede.

Risulta, come si è detto, violato anche l´art. 123, comma 5, del Codice nella parte in cui impone che sia assicurata "l´identificazione dell´incaricato che accede ai dati anche mediante un´operazione di interrogazione automatizzata". Tale obbligo non può infatti considerarsi soddisfatto prevedendo la sola autenticazione informatica al momento dell´accesso ai dati da parte di chi vi ha diritto, comportando piuttosto l´evidente necessità che tale autenticazione ed accesso siano oggetto di tracciamento, al fine di documentare ed eventualmente verificare, quantomeno, i casi di accesso abusivo. Appaiono altresì sussistenti altri elementi costitutivi o condizioni relativi alla fattispecie di reato (fine di recare ad altri un danno o di trarre un profitto dal fatto illecito; possibile nocumento: art. 167 del Codice). Si impone quindi la denuncia all´autorità giudiziaria, cui verrà trasmessa copia della presente decisione unitamente ai relativi atti.

Sulla base della determinazione generale del 19 ottobre 2005 relativa alla misura forfettaria dell´ammontare delle spese e dei diritti da liquidare per i ricorsi, l´ammontare delle spese e dei diritti inerenti all´odierno ricorso e posto a carico della resistente è determinato nella misura forfettaria di euro 500, di cui euro 150 per diritti di segreteria, considerati gli adempimenti connessi, in particolare, alla presentazione del ricorso.

PER QUESTI MOTIVI IL GARANTE

a) dichiara fondata l´opposizione al trattamento formulata con il ricorso e, per l´effetto, dispone, ai sensi dell´art. 150, comma 2, del Codice, quale misura a tutela dei diritti dell´interessato, l´adozione senza ritardo e comunque entro e non oltre il termine di centoventi giorni decorrenti dalla data di ricezione del presente provvedimento, di soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da qualsiasi e da ciascun incaricato (quali che siano la qualifica, le competenze e l´ambito di operatività dello stesso) di ogni tipo di trattamento sui singoli elementi di informazione presenti sui diversi database utilizzati, con la registrazione delle operazioni compiute direttamente (in modalità interattiva) o indirettamente (tramite l´azione automatica di programmi informatici) in un apposito audit log il cui funzionamento garantisca la completezza, l´immodificabilità, la non ripudiabilità delle registrazioni in esso contenute; al tempo stesso, dovranno essere adottati entro il medesimo termine sistemi e procedure informatiche in grado di garantire la rigida separazione delle funzioni tecniche di assegnazione di credenziali di autenticazione, di privilegi di accesso ai dati e di autorizzazioni rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati, escludendo che tali funzioni possano essere attribuite a uno stesso incaricato;

b) ordina alla resistente di fornire all´interessato e al Garante conferma della completa attuazione delle misure prescritte con il presente provvedimento, entro il medesimo termine di cui alla lettera a);

c) dichiara inammissibili le restanti richieste del ricorrente;

d) determina nella misura forfettaria di euro 500 l´ammontare delle spese e dei diritti del procedimento posti a carico di Telecom Italia S.p.A., la quale dovrà liquidarli direttamente a favore del ricorrente.

Roma, 1° giugno 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli