Garante per la protezione
    dei dati personali


Sistemi di autenticazione informatica,fondata su tecniche di strong authentication

PROVVEDIMENTO DEL 18 LUGLIO 2013

Registro dei provvedimenti
n. 360 del 18 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito «Codice»);

VISTOil provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei datidi traffico telefonico e telematico,successivamente integrato con il provvedimento generale del 24 luglio 2008(pubblicato in Gazzetta Ufficiale del 13 agosto 2008, n. 189),resosi necessario in virtù del recepimento della direttiva 2006/24/CE,riguardante la conservazione dei dati generati o trattati nell'ambito dellafornitura di servizi di comunicazione elettronica accessibili al pubblico o direti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATOche il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codice e,in particolare, l'art. 132, stabilendo che, per finalità di accertamento erepressione dei reati, i dati relativi sono conservati rispettivamente, perventiquattro mesi, per il traffico telefonico e dodici mesi per il trafficotelematico;

CONSIDERATOche con il provvedimento del 17 gennaio 2008, così come modificato dalprovvedimento del 24 luglio 2008 (di seguito "Provvedimento"), ilGarante ha stabilito una serie di prescrizioni che i fornitori di servizi dicomunicazione elettronica accessibili al pubblico (di seguito «fornitori»)devono rispettare in materia di conservazione di dati di traffico telefonico etelematico;

RILEVATOche, tra le varie prescrizioni impartite con il Provvedimento, vi è l'obbligoper i fornitori:

- diadottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una necessariamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato (cfr. lettera a), punto 1, deldispositivo del Provvedimento);

- diadottare tutte le misure prescritte, dandone conferma al Garante (cfr. letterab) del dispositivo del Provvedimento);

CONSIDERATOche sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corsodel 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto dellacitata normativa (accertamenti che hanno portato all'adozione di provvedimentida parte del Garante nei confronti di diversi fornitori, cfr. doc. web nn. 1, 2, 3);

VISTOche il Garante ha deliberato, nel corso del 2012, di delegare al NucleoSpeciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivida effettuarsi nei confronti di alcuni fornitori di servizi di comunicazioneelettronica accessibili al pubblico di piccole e medie dimensioni, al fine diverificare il rispetto delle prescrizioni impartite dal Garante con il citatoProvvedimento;

CONSIDERATOche tale ciclo di accertamenti ispettivi è risultato alquanto complesso, inquanto ha riguardato undici società e, in alcuni casi, l'analisi delle attivitàistruttorie si è dovuta ampliare comprendendo anche società collegate a quelleispezionate;

VISTOche nell'ambito di tale ciclo di accertamenti è stata sottoposta ad ispezioneOkcom S.p.A. (di seguito «Okcom»), in data 5 e 6 giugno 2012, società che ètitolare di una licenza di operatore di telecomunicazioni e pertanto offreservizi di telefonia e accesso a Internet;

VISTEle dichiarazioni rese in sede ispettiva secondo cui:

- i datidi traffico telematico conservati «afferiscono esclusivamente all'indicazionedell'indirizzo ip statico assegnato ed utilizzato per la navigazione internet»(cfr. verbale del 5 giugno 2012, pag. 4);

-  «perquanto attiene ai servizi di connettività web, la nostra società, proponendosoltanto un servizio di abbonamento flat e non a consumo, detiene soltantol'indirizzo ip assegnato al cliente e il tempo della relativa assegnazione.Pertanto i dati di traffico non sono necessari ai fini della fatturazione e nonvengono né raccolti né conservati in alcun modo» (cfr. verbale del 6 giugno2012, pag. 3);

- i datidi traffico sono conservati, per finalità di fatturazione e quindi per unperiodo di sei mesi, in un archivio denominato "Minosse" e dalsettimo mese, per finalità di accertamento e repressione dei reati, in unarchivio differente, denominato "Minosse 7" (cfr. verbale del 5giugno 2012, pagg. 4 e 5);

- perquanto attiene all'accesso a "Minosse 7" «è necessario l'utilizzo diun badge abilitato (Š). Il personale preposto al controllo degli accessiverifica l'identità dell'operatore che intende accedere e registra su dueschedari, suddivisi per accesso ordinario e straordinario, i dati di undocumento di identità di chi accede, l'orario di accesso e quello di uscita. Ildata center non è regolato da procedure di riconoscimento biometrico, probabilmentein quanto è stato ritenuto sufficiente il sistema di identificazione tramitedocumento d'identità» (cfr. verbale del 5 giugno 2012, pag. 5);

VISTAla nota inviata successivamente da Okcom a scioglimento delle riserve formulatein sede ispettiva, datata 28 giugno 2012 e ricevuta l'11 luglio 2012, con laquale la società dichiara che «non è stata in grado di reperire laComunicazione formale di Okcom» al Garante, comunicazione che obbligatoriamentei fornitori dovevano effettuare entro il 30 aprile 2009;

RILEVATOche, in base a quanto emerso, Okcom non utilizza, nell'ambito della strongauthentication, almeno una procedura di tipo biometrico, né è stata effettuatala comunicazione relativa agli adempimenti, come prescritto nel Provvedimento;

VISTOche, per questi due profili (mancata comunicazione formale al Garante eadozione delle misure di strong authentication), in data 23 ottobre 2012, sonostate contestate a Okcom le violazioni di cui agli artt. 162, comma 2 bis e 164del Codice per un totale di ¤ 40.000,00;

VISTOche Okcom ha inviato in data 21 novembre 2012 una nota contenente "scrittidifensivi in merito alla contestazione di violazione amministrativa" dicui sopra, dichiarando da un lato che «l'incaricato può accedere ai datisuperando la procedura di autenticazione consistente nel riconoscimentobiometrico dell'impronta digitale», specificando tuttavia che tale proceduranon è obbligatoria ma alternativa rispetto all'utilizzo di user-id e password: «Okcomha dichiarato prevedere le seguenti due procedure di autenticazione: a)riconoscimento biometrico o digitazione delle user-id e password associataall'incaricato e b) inserimento di chiave di criptatura dell'archivio stessoattraverso l'applicativo Truecrypt» (cfr. nota del 21 novembre 2012, pag. 6,punti 2. e 3.);

RILEVATO,pertanto, che è la stessa Okcom a confermare di utilizzare la forma diriconoscimento biometrico come semplicemente alternativa e non obbligatoria;

CONSIDERATOche non è sufficiente che le postazioni di lavoro siano dotate di un lettorebiometrico perché sia soddisfatta la prescrizione di cui alla lettera a), punto1, del dispositivo del Provvedimento, in quanto l'autenticazione biometricadeve essere obbligatoria e non eludibile;

CONSIDERATOinoltre che la disponibilità di funzionalità di cifratura dei dati contenutinegli archivi tramite il software Truecrypt non è in sé idonea a configurareuna corretta procedura di autenticazione informatica, pur essendo utile allaprotezione dei dati rispetto all'accesso di terzi non legittimati;

RILEVATOinoltre che, allo stato, non risulta che Okcom abbia modificato le procedureaziendali per renderle conformi alle prescrizioni contenute nel Provvedimento,con particolare riferimento alla strong authentication;

CONSIDERATOche con la contestazione della sanzione amministrativa successivaall'accertamento ispettivo è stata evidenziata la violazione relativa allastrong authentication e che, nonostante ciò, Okcom nei mesi successivi non haritenuto di adempiere alle prescrizioni contenute nel Provvedimento come emergeanche dalla citata nota 21 novembre 2012;

FERMORESTANDO che il Codice prevede all'art. 132 che i dati di traffico telematicosono conservati dal fornitore, per finalità di accertamento e repressione deireati, esclusi comunque i contenuti delle comunicazioni, per dodici mesi dalladata della comunicazione;

FERMORESTANDO il procedimento sanzionatorio già avviato mediante la contestazionesopra citata;

RILEVATA,alla luce di quanto sopra, la necessità di adottare nei confronti di Okcom, aisensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice,un provvedimento prescrittivo volto a rendere il trattamento dei dati conformealla normativa richiamata in materia di protezione dei dati personali;

TENUTOCONTO che, ai sensi dell'art. 162, comma 2 ter del Codice, in caso diinosservanza del presente provvedimento prescrittivo, è applicata in sedeamministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila euro a centottantamila euro;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE

a)dichiara illecito ai sensi degli artt. 11 e 132 del Codice, il trattamentosvolto da Okcom S.p.A., con sede legale in Roma, via Vittorio Rossi, 21/25 relativamenteall'utilizzo - anche nei mesi successivi all'accertamento ispettivo e alla contestazionedella relativa sanzione - di sistemi di autenticazione informatica, fondata sutecniche di strong authentication, in quanto una non obbligatoriamente basatasull'elaborazione di caratteristiche biometriche dell'incaricato, come previstodalla lettera a), punto 1, del dispositivo del Provvedimento.

b)prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c)del Codice a di:

1.adottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una obbligatoriamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, così come previsto dallalettera a), punto 1, del dispositivo del Provvedimento;

2.adottare le misure e gli accorgimenti di cui al punto precedente entro iltermine di trenta giorni dalla data di ricezione del presente provvedimento,dando riscontro entro lo stesso termine a questa Autorità dell'avvenutoadempimento.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 18 luglio 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia