Diritti interna

Doveri interna

ricerca avanzata

Misure di sicurezza per il trattamento dei dati di traffico - 1 giugno 2006 [1298716]

[doc. web n. 1298716]

Misure di sicurezza per il trattamento dei dati di traffico - 1° giugno 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il provvedimento adottato in data odierna a seguito del ricorso presentato nei confronti di Telecom Italia S.p.A., con il quale questa Autorità, dichiarando fondata l´opposizione al trattamento dei dati di traffico telefonico in entrata ed in uscita relativi ad un´utenza mobile del ricorrente, ha disposto, quale misura a tutela dei diritti di quest´ultimo, che la predetta società, entro centoventi giorni dalla data di ricezione del medesimo provvedimento:

a) adotti le soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato del trattamento sui singoli elementi di informazione presenti nei diversi database utilizzati dalla società, quali che siano la qualifica e le  competenze degli incaricati e l´ambito di operatività per essi autorizzato sui dati in questione;

b) assicuri che i profili di autorizzazione dei data base administrator e dei system administrator siano effettivamente limitati ai dati e alle operazioni affidate e non comportino la capacità, anche potenziale, di trattare dati personali diversi da quelli necessari;

c) assicuri comunque anche la necessaria e garantita registrazione in un apposito audit log di tutte le operazioni compiute sui dati di traffico, anche di sola consultazione;

RILEVATO che nel medesimo provvedimento questa Autorità, constatata la particolare delicatezza del caso, ha già rilevato che l´incompletezza e la sostanziale inefficacia delle misure allo stato adottate dalla società per conservare traccia delle operazioni di trattamento dei dati di traffico "espone ampiamente le persone interessate al rischio di gravi abusi per ciò che concerne l´illecita acquisizione" di tali tipi di dati personali;

RILEVATO che il trattamento dei dati di traffico deve essere invece oggetto per legge di elevate misure di protezione a garanzia degli interessati di cui è prossima la specificazione in attuazione di specifiche disposizioni di legge oggetto di recenti modifiche (art. 6 del d.l. 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155);

RILEVATA, quindi, la necessità e l´urgenza di disporre che la società attui le misure di cui ai punti a), b) e c) con immediatezza ed in termini generali, ovvero con riferimento a tutti gli abbonati e gli utenti della telefonia fissa e mobile, nelle more dell´adozione delle più ampie misure che saranno specificate in attuazione della previsione di legge da ultimo richiamata;

VISTO l´art. 154, comma 1, lett. d) del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Francesco Pizzetti;

PER QUESTI MOTIVI IL GARANTE

ai sensi dell´art. 154, comma 1, lett. d), del Codice in materia di protezione dei dati personali vieta a Telecom Italia S.p.A. di svolgere le operazioni di trattamento consistenti nella consultazione e nella comunicazione dei dati di traffico relativi alla telefonia fissa e mobile in assenza delle seguenti misure da adottare entro centoventi giorni dalla data di ricezione del presente provvedimento:

a) adozione di soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato del trattamento sui singoli elementi di informazione presenti nei diversi database utilizzati dalla società, quali che siano la qualifica e le competenze degli incaricati, e l´ambito di operatività per essi autorizzato sui dati in questione;

b) adozione di profili di autorizzazione dei data base administrator  e dei system administrator che siano effettivamente limitati ai dati e alle operazioni affidate e non comportino la capacità, anche potenziale, di trattare dati personali diversi da quelli necessari;

c) registrazione necessaria e garantita in un apposito audit log di tutte le operazioni compiute sui dati di traffico, anche di sola consultazione.

Roma, 1° giugno 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli