Garante per la protezione
    dei dati personali


Prescrizione del Garante ad una societàche fornisce servizi telematici

PROVVEDIMENTO DEL 21 FEBBRAIO 2103

Registro dei provvedimenti
n. 74 del 21 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice");

VISTOil provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei datidi traffico telefonico e telematico, successivamente integrato con il provvedimentogenerale del 24 luglio 2008 (pubblicato in Gazzetta Ufficiale del 13 agosto2008, n. 189), resosi necessario in virtù del recepimento delladirettiva 2006/24/CE, riguardante la conservazione dei dati generati o trattatinell'ambito della fornitura di servizi di comunicazione elettronica accessibilial pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30maggio 2008, n. 109;

CONSIDERATOch e il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codicee, in particolare, l'art. 132, stabilendo che, per finalità di accertamento erepressione dei reati, i dati relativi sono conservati rispettivamente, perventiquattro mesi, per il traffico telefonico e dodici mesi per il trafficotelematico;

CONSIDERATOche con il provvedimento del 17 gennaio 2008, così come modificato dalprovvedimento del 24 luglio 2008 (di seguito "Provvedimento"), ilGarante ha stabilito una serie di prescrizioni che i fornitori di servizi dicomunicazione elettronica accessibili al pubblico (di seguito"fornitori") devono rispettare in materia di conservazione di dati ditraffico telefonico e telematico;

RILEVATOche, tra le varie prescrizioni impartite con il Provvedimento, vi è l'obbligoper i fornitori:

-   diadottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una necessariamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1. del dispositivodel Provvedimento);

-   diproteggere i dati di traffico trattati per esclusive finalità di giustiziaattraverso tecniche crittografiche (cfr. lettera a), punto 9. del dispositivodel Provvedimento);

-   diadottare tutte le misure prescritte, dandone conferma al Garante (cfr. letterab) del dispositivo del Provvedimento);

CONSIDERATOche sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corsodel 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto dellacitata normativa (accertamenti che hanno portato all'adozione di provvedimentida parte del Garante nei confronti di diversi fornitori, n. 1, n. 2, n. 3);

VISTOche il Garante ha deliberato, nel corso del 2012, di delegare al NucleoSpeciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi daeffettuarsi nei confronti di alcuni fornitori di servizi di comunicazioneelettronica accessibili al pubblico di piccole e medie dimensioni, al fine diverificare il rispetto delle prescrizioni impartite dal Garante con il citatoProvvedimento;

CONSIDERATOche tale ciclo di accertamenti ispettivi è risultato alquanto complesso, inquanto ha riguardato undici società e, in alcuni casi, l'analisi delle attivitàistruttorie si è dovuta ampliare comprendendo anche società collegate a quelleispezionate;

VISTOche nell'ambito di tale ciclo di accertamenti è stata sottoposta ad ispezioneDada S.p.A. (di seguito "Dada"), in data 27 giugno 2012, societàfacente parte di un Gruppo internazionale che in Italia fornisce servizitelematici (quali e-mail, hosting e posta elettronica certificata), tramite lapropria controllata Register.it S.p.A. (di seguito "Register") e chele società hanno la medesima sede legale;

VISTOche, pertanto, è Register la titolare del trattamento per quanto attiene allaconservazione dei dati di traffico telematico;

VISTOche Register, in tale veste, ha designato quale responsabile esterno deltrattamento la capogruppo Dada per gli aspetti amministrativi (cfr. allegato 2al verbale del 27 giugno 2012);

RILEVATOche tale designazione non corrisponde alla reale qualifica delle società, inquanto sia Dada che Register, ciascuna per gli aspetti di propria competenza,sono entrambe titolari del trattamento (cfr. art. 28 del Codice); 

VISTAla nota inviata in data 11 luglio 2012 da Register, a scioglimento delleriserve formulate in sede ispettiva, nella quale la società conferma quantodichiarato in tale contesto e cioè di aver deciso di esternalizzare a BT ItaliaS.p.A. (di seguito "BT") "la gestione tecnica e la compliancealla normativa privacy con riferimento alla conservazione dei dati ditraffico" (cfr. verbale del 27 giugno 2012, pag. 2 nonché nota dell'11luglio 2012);

CONSIDERATOche, tuttavia, il contratto con BT è stato stipulato da Dada quale capogruppo(cui sono demandate le funzioni amministrative delle società controllate) e chela stessa Dada ha designato quale responsabile esterno del trattamento BT (cfr.verbale del 27 giugno 2012, pag. 2 e relativo allegato 1, nonché nota dell'11luglio 2012);

CONSIDERATOche le disposizioni del Codice non prevedono che un responsabile deltrattamento (Dada) possa designare a sua volta un altro responsabile deltrattamento (BT) (cfr. artt. 28 e 29 del Codice);

CONSIDERATOche, pertanto, anche per questa ragione Dada e Register sono da considerarsientrambe titolari del trattamento;

VISTOche, come detto, i servizi telematici offerti all'utenza dal Gruppo Dada sonoforniti da Register;

VISTEle dichiarazioni rese secondo cui:

-   "ilsistema di mail server degli utenti invia i dati di traffico telematicoall'unico sistema ArcSight atto a gestire e consultare i dati di trafficopresente presso la server farm di BT" a cui possono accedere tredipendenti; nel momento in cui arriva una richiesta da parte dell'Autorità giudiziaria,l'ufficio legale provvede, in base a procedure aziendali, a contattare uno deisoggetti incaricati e gli consegna, brevi manu, un token d'accesso che generauna "one-time-password", attraverso la quale, unitamente a una userid, l'incaricato può accedere ai dati di traffico (cfr. verbale del 27 giugno2012, pagg. 4 e 5);

-   "nonsono stati previsti profili diversi di autorizzazione" (cfr. verbale del27 giugno 2012, pag. 5);

-   "attesoche la conservazione avviene per mere finalità di giustizia, all'attodell'accesso () i dati ovviamente non sono offuscati" (cfr. verbale del27 giugno 2012, pag. 5);

-   leverifiche svolte non hanno permesso di rinvenire evidenze o documentazionirelative alla comunicazione che obbligatoriamente i fornitori dovevanoeffettuare entro il 30 aprile 2009 (cfr. nota dell'11 luglio 2012);

RILEVATOche, in base a quanto emerso, Dada e Register non utilizzano, nell'ambito dellastrong authentication, almeno una procedura di tipo biometrico, né è stataeffettuata la comunicazione relativa agli adempimenti, come prescritto nelProvvedimento;

VISTOche, per questi due profili, in data 23 ottobre 2012, sono state contestate aDada le violazioni di cui agli artt. 162, comma 2 ter e 164 del Codice per untotale di 40.000,00;

VISTOche Dada ha provveduto al pagamento della predetta sanzione in data 19 dicembre2012;

RILEVATOtuttavia che, allo stato, non risulta che Dada e Register abbiano modificato leprocedure aziendali per renderle conformi alle prescrizioni contenute nelProvvedimento;

RILEVATA,pertanto, la necessità di adottare nei confronti di Dada e Register, ai sensidegli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, unprovvedimento prescrittivo volto a rendere il trattamento dei dati conformealla normativa richiamata in materia di protezione dei dati personali;

TENUTOCONTO che, ai sensi dell'art. 162, comma 2 ter del Codice, in caso di inosservanzadel presente provvedimento prescrittivo, è applicata in sede amministrativa, inogni caso, la sanzione del pagamento di una somma da trentamila euro acentottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREil dott. Antonello Soro;

TUTTO CIO' PREMESSO IL GARANTE

prescrive,ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codicea Dada S.p.A. e a Register.it S.p.A., entrambe con sede legale in Firenze,Piazza Annigoni, 9/b, ciascuna per quanto di propria competenza, di:

1.  rimodularela distribuzione delle qualifiche di titolare e responsabile, rendendoleconformi alle disposizioni del Codice, così come specificato in motivazione;

2.  adottarespecifici sistemi di autenticazione informatica, fondati su tecniche di strongauthentication, di cui una necessariamente basata sull'elaborazione dicaratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" così come previsto dalla lettera a), punto1. del dispositivo del Provvedimento;

3.  proteggerei dati di traffico trattati per esclusive finalità di giustizia attraversotecniche crittografiche o di cifratura, così come previsto dalla lettera a),punto 9. del dispositivo del Provvedimento;

4.  adottarele misure e gli accorgimenti di cui ai punti precedenti entro il termine disessanta giorni dalla data di ricezione del presente provvedimento, dandoriscontro entro lo stesso termine a questa Autorità dell'avvenuto adempimento.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 21 febbraio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia