Garante per la protezione
    dei dati personali


Prescrizioni del Garante ad unfornitore di servizi di comunicazione elettronica

PROVVEDIMENTO DEL 14 FEBBRAIO 2013

Registro dei provvedimenti
n. 64 del 14 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti edel dott. Giuseppe Busia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice");

VISTOil provvedimento generale del 17 gennaio 2008 (di seguito"Provvedimento"), concernente la sicurezza dei dati di trafficotelefonico e telematico, successivamente integrato con il provvedimentogenerale del 24 luglio 2008 (pubblicato in Gazzetta Ufficiale del 13 agosto2008, n. 189), resosi necessario in virtù del recepimento delladirettiva 2006/24/CE, riguardante la conservazione dei dati generati o trattatinell'ambito della fornitura di servizi di comunicazione elettronica accessibilial pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30maggio 2008, n. 109;

CONSIDERATOche il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codice e,in particolare, l'art. 132, stabilendo che, per finalità di accertamento erepressione dei reati, i dati relativi sono conservati rispettivamente, perventiquattro mesi per il traffico telefonico e, dodici mesi, per il trafficotelematico;

CONSIDERATOche con il Provvedimento, il Garante ha stabilito una serie di prescrizioni chei fornitori di servizi di comunicazione elettronica accessibili al pubblico (diseguito "fornitori") devono rispettare in materia di conservazione didati di traffico telefonico e telematico;

RILEVATOche, tra le varie prescrizioni impartite con il Provvedimento, vi è l'obbligoper i fornitori:

-   diadottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una necessariamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1. del dispositivodel Provvedimento);

-   diadottare sistemi informatici distinti fisicamente per la conservazione dei datidi traffico per esclusive finalità di accertamento e repressione dei reati daquelli conservati per altre finalità (cfr. lettera a), punto 3. del dispositivodel Provvedimento);

-   direndere i dati di traffico immediatamente non disponibili allo scadere deitermini previsti per la conservazione (cfr. lettera a), punto 5. deldispositivo del Provvedimento);

-   disvolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata (cfr. lettera a), punto 7. del dispositivo delProvvedimento);

-   diproteggere i dati di traffico trattati per esclusive finalità di giustiziaattraverso tecniche crittografiche (cfr. lettera a), punto 9. del dispositivodel Provvedimento);

-   diadottare tutte le misure prescritte, dandone conferma al Garante (cfr. letterab) del dispositivo del Provvedimento);

CONSIDERATOche sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corsodel 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citatanormativa (accertamenti che hanno portato all'adozione di provvedimenti daparte del Garante nei confronti di diversi fornitori, n. 1, n. 2, n. 3);

VISTOche il Garante ha deliberato, nel corso del 2012, di delegare al NucleoSpeciale Privacy, un ciclo di accertamenti ispettivi da effettuarsi neiconfronti di alcuni fornitori di servizi di comunicazione elettronicaaccessibili al pubblico di piccole e medie dimensioni, al fine di verificare ilrispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATOche tale ciclo di accertamenti ispettivi è risultato alquanto complesso, inquanto ha riguardato undici società e, in alcuni casi, l'analisi delle attivitàistruttorie si è dovuta ampliare comprendendo anche società collegate a quelleispezionate;

VISTOche nell'ambito di tale ciclo di accertamenti è stata sottoposta ad ispezioneTex97 s.r.l. ( di seguito "Tex97"), in data 10 e 11 luglio 2012,società che fornisce servizi di telecomunicazione fissa a utenti privati;

VISTOche, nel preannunciare l'attività ispettiva il giorno precedente, è statoappreso che quest'ultima si sarebbe dovuta svolgere presso la sede diPeople&Communication s.r.l. (di seguito "P&Co"), in virtù delcontratto di seguito descritto;

VISTOTex97 ha stipulato nel dicembre 2010 un contratto di affitto di azienda delladurata di diciotto mesi, che prevedeva il passaggio di tutte le attivitàaziendali (compreso, quindi, il trattamento dei dati degli utenti) da Tex97 aP&Co per tale durata;

VISTOche, pertanto, l'accertamento ispettivo si è svolto presso la sede di P&Co;

VISTOche nel citato contratto era prevista, al termine del periodo indicato, larestituzione dell'azienda a Tex97 nel medesimo stato; rilevato che, tuttavia,che il 23 aprile 2012 Tex97 procedeva all'iscrizione a registro della proprialiquidazione volontaria, che veniva proposta istanza di fallimento da parte diun creditore il 14 giugno 2012, che P&Co comunicava di non volere usufruiredella citata opzione di acquisto pur dichiarando di voler continuare l'attivitàdi gestione dell'azienda e, per quel che qui interessa, quindi, anche iltrattamento dei dati personali, non avendo Tex97 nulla in contrario (cfr.allegati 2 e 3 al verbale del 10 luglio 2012); visto, infine, che successivamentealla data dell'accertamento ispettivo, il 24 luglio 2012, veniva avviata dalTribunale di Torino, la procedura di fallimento nei confronti di Tex97;

VISTOche, nell'informativa acquisita in sede ispettiva sul sito www.tex97.it,P&Co viene identificata quale titolare del trattamento (cfr. allegato 5 alverbale del 10 luglio) e che, pertanto, entrambe le società sono titolari deltrattamento;

VISTAla nota inviata successivamente all'accertamento ispettivo, a scioglimentodelle riserve formulate a verbale, sprovvista di sottoscrizione e di data,ricevuta dal Nucleo Speciale Privacy in data 31 agosto 2012 e stampata su cartacointestata People Communication e Tex97, nella quale viene dichiarato che:

-   idati di traffico trattati per finalità di giustizia "vengono spostati inautomatico dalla tabella in uso per essere inseriti in una tabella definitaarchivio dopo ventiquattro mesi" e "vengono cancellati manualmentedopo 10 anni a cura dell'amministratore di sistema";

-   nonsono presenti sistemi di autenticazione biometrica;

-   nonsono presenti sistemi di crittografia o forme di cifratura dei dati conservatidata "la mole dei dati" e il "tempo di accesso al database cheverrebbe rallentato eccessivamente da questa operazione";

-   "nonè disponibile un sistema biometrico atto a assicurare la presenza fisica nellapostazione in quanto non sono disponibili i dati nel formato indicato" e"in caso di richiesta della PG i dati vengono elaborati real time einviati secondo le modalità richieste";

-   ladocumentazione relativa ad attività di controllo viene realizzata "solo incaso di riscontro di anomalie o criticità";

-   nonè possibile reperire la documentazione relativa alla comunicazione al Garanterelativa al rispetto delle prescrizioni, in quanto tutta la documentazionecartacea è stata depositata presso il Tribunale di Torino a seguitodell'apertura della procedura di fallimento;

CONSIDERATOche, in tale nota, P&Co si qualifica titolare del trattamento, designandoun incaricato e un responsabile del trattamento;

RILEVATOche è stata contestata a Tex97 la violazione di cui all'art. 162 bis, perviolazione dell'art. 132, comma 1 del Codice con riferimento alla conservazionedei dati di traffico telefonico per un periodo superiore a ventiquattro mesi eche, risulta notificata al curatore fallimentare in data 27 novembre 2012;

RILEVATAla sussistenza dei presupposti per contestare a P&Co le violazioniamministrative di cui agli artt. 132 e 162 bis del Codice e quindi la necessitàdi avviare un autonomo procedimento sanzionatorio nei confronti della medesima;

RILEVATA,altresì, la necessità di adottare nei confronti delle medesime società, aisensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice,un provvedimento prescrittivo volto a rendere il trattamento dei dati conformealla normativa richiamata in materia di protezione dei dati personali;

TENUTOCONTO che, ai sensi dell'art. 162, comma 2 ter del Codice, in caso diinosservanza del presente provvedimento prescrittivo, è applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila euro a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE:

prescrive,ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) delCodice, a Tex97 s.r.l. con sede legale in Via Principe Amedeo, 12, Torino e aPeople&Communication s.r.l., con sede legale in Lungo Dora Colletta 75,Torino di:

1.procedere alla cancellazione dei dati trattati oltre i termini previstidall'art. 132, comma 1 del Codice;

2.adottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una necessariamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" così come previsto dalla lettera a), punto1. del dispositivo del Provvedimento;

3.adottare sistemi informatici distinti fisicamente per la conservazione dei datidi traffico per esclusive finalità di accertamento e repressione dei reatidiversi da quelli conservati per altre finalità così come previsto dallalettera a), punto 3. del dispositivo del Provvedimento;

4.rendere i dati di traffico immediatamente non disponibili allo scadere deitermini previsti per la conservazione così come previsto dalla lettera a),punto 5. del dispositivo del Provvedimento;

5.svolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata così come previsto dalla lettera a), punto 7. deldispositivo del Provvedimento;

6.proteggere i dati di traffico trattati per esclusive finalità di giustiziaattraverso tecniche crittografiche o di cifratura, così come previsto dallalettera a), punto 9. del dispositivo del Provvedimento;

7.adottare le misure e gli accorgimenti di cui ai punti precedenti entro iltermine di sessanta giorni dalla data di ricezione del presente provvedimento,dando riscontro entro lo stesso termine a questa Autorità dell'avvenutoadempimento.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenzail titolare del trattamento dei dati, entro il termine di trenta giorni dalladata di comunicazione del provvedimento stesso, ovvero di sessanta giorni se ilricorrente risiede all'estero.

Roma, 14 febbraio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia