Garante per la protezione
    dei dati personali


Prescrizioni per il trattamento didati di traffico telefonico e telematico

PROVVEDIMENTO DEL 3 OTTOBRE 2013

Registro dei provvedimenti
n. 429 del 3 ottobre

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia,segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito "Codice");

VISTOil provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei datidi traffico telefonico e telematico, successivamente integrato con il provvedimentogenerale del 24 luglio 2008 (pubblicato in G.U. del 13 agosto 2008, n. 189), di seguito "Provvedimento", resosinecessario in virtù del recepimento della direttiva 2006/24/CE, riguardante laconservazione dei dati generati o trattati nell'ambito della fornitura diservizi di comunicazione elettronica accessibili al pubblico o di retipubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATOche il suddetto d.lgs. n. 109/2008 ha modificato alcune disposizioni del Codicee, in particolare, l'art. 132, stabilendo che, per finalità di accertamento erepressione dei reati, i dati relativi sono conservati rispettivamente, perventiquattro mesi, per il traffico telefonico e dodici mesi per il trafficotelematico;

CONSIDERATOche con il Provvedimento il Garante ha stabilito una serie di prescrizioni chei fornitori di servizi di comunicazione elettronica accessibili al pubblico (diseguito "fornitori") devono rispettare in materia di conservazione didati di traffico telefonico e telematico;

RILEVATOche, tra le varie prescrizioni impartite con il Provvedimento, vi è l'obbligoper i fornitori:

- diadottare specifici sistemi di autenticazione informatica, fondati su tecnichedi strong authentication, di cui una necessariamente basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1, del dispositivodel Provvedimento);

- diadottare specifiche procedure in grado di garantire la separazione rigida dellefunzioni tecniche di assegnazione di credenziali di autenticazione e diindividuazione dei profili di autorizzazione rispetto a quelle di gestionetecnica dei sistemi e della basi di dati (cfr. lettera a), punto 2, del dispositivodel Provvedimento);

- diadottare sistemi informatici distinti fisicamente per la conservazione dei datidi traffico per esclusive finalità di accertamento e repressione dei reati daquelli conservati per altre finalità (cfr. lettera a), punto 3, del dispositivodel Provvedimento);

- didesignare specificamente gli incaricati del trattamento che possono accedere aidati di traffico conservati per finalità di giustizia (cfr. lettera a), punto4, del dispositivo del Provvedimento);

- direndere i dati di traffico immediatamente non disponibili allo scadere deitermini previsti per la conservazione (cfr. lettera a), punto 5, deldispositivo del Provvedimento);

- diadottare soluzioni informatiche idonee ad assicurare il controllo delle attivitàsvolte da ciascun incaricato sui dati di traffico, anche mediante laregistrazione delle operazioni compiute in un apposito audit log, (cfr. letteraa), punto 6, del dispositivo del Provvedimento);

- disvolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo delProvvedimento);

- didocumentare i sistemi informativi utilizzati per il trattamento dei dati ditraffico in modo idoneo e secondo i principi dell'ingegneria del software (cfr.lettera a), punto 8, del dispositivo del Provvedimento);

- diproteggere i dati di traffico trattati per esclusive finalità di giustiziaattraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivodel Provvedimento);

- diadottare tutte le misure prescritte, dandone conferma al Garante (cfr. letterab) del dispositivo del Provvedimento);

CONSIDERATOche sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corsodel 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto dellacitata normativa (accertamenti che hanno portato all'adozione di provvedimentida parte del Garante nei confronti di diversi fornitori, cfr. doc. nn. 1, 2, 3);

VISTOche il Garante ha deliberato, nel corso del 2012, di delegare al NucleoSpeciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivida effettuarsi nei confronti di alcuni fornitori di servizi di comunicazioneelettronica accessibili al pubblico di piccole e medie dimensioni, al fine diverificare il rispetto delle prescrizioni impartite dal Garante con il citatoProvvedimento;

CONSIDERATOche tale ciclo di accertamenti ispettivi è risultato alquanto complesso, inquanto ha riguardato undici società e, in alcuni casi, l'analisi delle attivitàistruttorie si è dovuta ampliare comprendendo anche società collegate a quelleispezionate;

VISTOche nell'ambito di tale ciclo di accertamenti è stata sottoposta ad ispezioneLycamobile s.r.l. (di seguito "Lycamobile"), in data 26 settembre2012, società che fornisce servizi di telefonia mobile mediante la vendita disim card in qualità di operatore virtuale appoggiandosi, al tempodell'ispezione, alla rete di H3G S.p.A. e, attualmente, a Vodafone Omnitel NV;

CONSIDERATOche Lycamobile è destinataria, oltre al presente, di un altro provvedimento prescrittivo e inibitorio concernente aspettiulteriori e diversi, relativi alla modulistica utilizzata per rilasciarel'informativa agli interessati e acquisire il relativo consenso, adottato indata odierna dal Collegio;

VISTOche durante l'accertamento ispettivo era presente una sola dipendente dellasocietà, la sig.ra Stefania Granata, la quale ha dichiarato che (cfr. verbaledel 26 settembre 2012, pag. 2):

-"Lycamobile fa parte di un gruppo internazionale con holdinglondinese" il cui rappresentante legale è il sig. Tooley che risiede aLondra;

- chedue mesi prima era "stato assunto un secondo dipendente in Italia";

-sarebbe stata sua cura inoltrare la richiesta di informazioni notificata conl'accertamento ispettivo al rappresentante legale della società, al fine difornire le informazioni e i documenti richiesti, entro 15 giorni;

VISTOche durante l'accertamento ispettivo è stato richiesto a Lycamobile, tramite lasig.ra Granata, di inviare anche documentazione ulteriore relativa allastruttura della società, alle attività svolte e all'ubicazione fisica deiserver contenenti i dati di traffico (cfr. verbale del 26 settembre 2012, pag.2);

VISTOche dopo l'accertamento ispettivo non è pervenuto alcun riscontro da parte diLycamobile a tutte le predette richieste formulate ai sensi dell'art. 157 delCodice;

VISTOche, per tale aspetto, in data 19 novembre 2012, è stata contestata aLycamobile la violazione di cui all'art. 164 del Codice, per un totale di 20.000,00;

VISTA,pertanto, la ulteriore richiesta del Garante del 19 febbraio 2013, che si èreso necessario formulare, al fine di ottenere le informazioni che Lycamobilenon aveva fornito in sede ispettiva né nei mesi successivi;

VISTAla risposta pervenuta in data 7 marzo 2013 via email dalla società, con laquale Lycamobile ha fornito risposte del tutto insufficienti in relazione allepuntuali richieste formulate, chiarendo solo l'aspetto relativo alla naturagiuridica della società, specificando che "Lycamobile s.r.l. è di proprietàdi 5 singoli azionisti che usano un marchio con licenza e utilizzano alcunerisorse condivise mediante contratti di servizio in outsourcing tra cui:contabilità, legale, doganale, marketing, servizio clienti, supporto IT.Lycamobile non è un gruppo internazionale (una holding) ma ci sono diverse societàLycamobile in tutto il mondo che in molti casi hanno partecipazioni comuni eusano anche le risorse condivise in outsourcing come descritto sopra.Lycamobile opera come fornitore di servizi tramite la rete H3G come suooperatore virtuale ospitante. previsto che ora Lycamobile utilizzerà Vodafonecome operatore ospitante in qualità di full MVNO" ;

VISTOche in tale email Lycamobile ha dichiarato altresì:

- diavvalersi per il trattamento, l'elaborazione e la conservazione dei dati delsuo partner IT, la società Plintron Technologies, con sede in India;

- che ilsignor Russ Ede è il "responsabile in qualità di direttore esecutivo delleoperazioni per Lycamobile";

- che lafinalità della raccolta dei dati è volta, tra l'altro, all'"analisiaziendale";

- di"non aver compreso" la domanda relativa agli adempimenti concernentile prescrizioni contenute nel Provvedimento;

CONSIDERATOche le risposte fornite con l'email del 7 marzo 2013 non sono state esaurientirispetto ai quesiti formulati, il Garante ha ritenuto necessario reiterare larichiesta a Lycamobile con una successiva comunicazione del 15 marzo 2013,ponendo domande ancora più dettagliate richiamando anche la versione inglesedel Provvedimento, al fine di facilitare un celere e puntuale riscontro daparte della società;

CONSIDERATOche Lycamobile non ha fornito riscontro nei termini indicati, tale richiesta èstata inviata successivamente (in data 2 maggio e 11 giugno 2013) ai sensidell'art. 157 del Codice, anche via email, via pec, via fax e all'indirizzofisico della società;

VISTEle email pervenuta in risposta in data 24 e 25 giugno 2013 con cui Lycamobileha dichiarato che:

- iserver in cui sono conservati i dati degli interessati si trovano nel RegnoUnito (email del 24 giugno 2013);

-"i dati di traffico telefonico e telematico degli interessati sonoconservati per il tempo prescritto dalla legge" (email del 24 giugno2013), specificando tuttavia che "i dati vengono conservati 6 mesi perquanto riguarda i processi di fatturazione e 24 mesi per le indaginigiudiziarie" (email del 25 giugno 2013);

- per"analisi aziendale" Lycamobile intende "una ricerca di mercato ()per mettere in atto le promozioni più adatte" per gli utenti (email del 24giugno 2013);

-"il consenso informativo per il cliente si trova nella sezione"termini e condizioni" del contratto che viene letto e firmato dalcliente e può eventualmente proporre e offrire servizi o promozioni a valoreaggiunto relative alle società collegate a Lycamobile" (email del 25 giugno2013);

VISTOl'allegato all'email del 24 giugno 2013 che Lycamobile ha dichiarato esserel'atto di designazione di Plintron Technologies a responsabile del trattamentoai sensi dell'art. 29 del Codice;

CONSIDERATOche tale documento, privo di data, è l'accordo relativo al trasferimento deidati all'estero e non fa alcun riferimento alla designazione a responsabile deltrattamento di Plintron Technologies;

VISTOche nel sito www.lycamobile.it è presente una sezione denominata"Protezione dei dati" nella quale è contenuta un'informativa, al cuial paragrafo 3. "Ulteriori informazioni" si legge che "perquanto riguarda i dati relativi al traffico, la informiamo che () b) iltrattamento per finalità di commercializzazione di servizi di comunicazioneelettronica o per la fornitura di servizi a valore aggiunto sarà effettuato perun periodo non superiore a 24 mesi";

CONSIDERATOche con le email del 24 e del 25 giugno 2013 Lycamobile non ha comunque fornitoriscontro a tutte le domande formulate dal Garante, in particolare a quellarelativa alla designazione a responsabile del trattamento dei soggetti chetrattano i dati personali né e a quella relativa all'adempimento di tutte leprescrizioni contenute nel Provvedimento;

CONSIDERATOche, alla luce di quanto sopra e da tutte le dichiarazioni rese, non risultache Lycamobile abbia rispettato alcune delle prescrizioni contenute nelProvvedimento e sopra richiamate relative: alle procedure di autenticazione;alla separazione delle funzioni di coloro che hanno accesso ai dati;all'adozione di sistemi informatici fisicamente distinti per la conservazionedei dati di traffico; alla designazione dei soggetti che possono accedere aidati; alla necessità di rendere i dati immediatamente non disponibili alloscadere del termine previsto per la conservazione; alle procedure di audit log;al controllo interno volto alla verifica delle misure organizzative adottatedalla società per la conservazione dei dati di traffico; alla documentazionedei sistemi informativi utilizzati per il trattamento dei dati di traffico;alla crittografia dei dati conservati;

RILEVATOche Lycamobile dichiara di conservare i dati di traffico, per finalità digiustizia, per un periodo di 24 mesi (cfr. email del 25 giugno 2013), nondistinguendo tra dati di traffico telefonico o telematico;

CONSIDERATOche, al contrario, è necessario effettuare una distinzione tra dati di trafficotelefonico e dati di traffico telematico in quanto ai sensi dell'art. 132 delCodice "i dati relativi al traffico telefonico, sono conservati dalfornitore per ventiquattro mesi dalla data della comunicazione, per finalità diaccertamento e repressione dei reati, mentre, per le medesime finalità, i datirelativi al traffico telematico, esclusi comunque i contenuti dellecomunicazioni, sono conservati dal fornitore per dodici mesi dalla data dellacomunicazione";

RILEVATOche Lycamobile utilizza i dati di traffico per finalità ulteriori rispetto aquelle di accertamento e repressione dei reati e, nello specifico, perl'"analisi aziendale" (cfr. email del 7 marzo 2013) intendendo contale accezione ricerche di mercato finalizzate a proposte di marketing (cfr.email del 24 giugno 2013) e per "finalità di commercializzazione diservizi di comunicazione elettronica o per la fornitura di servizi a valoreaggiunto" (cfr. sito www.lycamobile.it, sezione "Protezione deidati", paragrafo 3.);

CONSIDERATOche i dati di traffico conservati per finalità di accertamento e repressionedei reati possono essere utilizzati esclusivamente per tale finalità e nonanche per finalità ulteriori (quali la profilazione o il marketing), tanto piùche le modalità attraverso le quali tale tipologia di dati può essereconservata sono dettagliatamente descritte nel Provvedimento, che prevedespecifiche misure a garanzia degli interessati;

CONSIDERATOche un eventuale consenso rilasciato dall'interessato non è idoneo al fine diutilizzare i dati di traffico conservati per finalità di giustizia per altrefinalità;

RILEVATOche Lycamobile utilizza come suo partner IT la società indiana PlintronTechnologies e che, nonostante quanto dichiarato, non risulta che quest'ultimasia stata designata responsabile del trattamento (cfr. email del 7 marzo, del24 e del 25 giugno 2013);

CONSIDERATOinfatti che, per quanto riguarda il trasferimento dei dati all'estero, al difuori dell'Unione Europea, è necessario non solo un accordo per iltrasferimento dei dati (artt. 42 e ss. del Codice), ma anche che la società chetratta i dati (Plintron Technologies) per conto del titolare (Lycamobile) siaaltresì designata responsabile del trattamento ai sensi dell'art. 29 delCodice;

CONSIDERATOche il trattamento effettuato da Lycamobile, come emerso dagli attidell'istruttoria, risulta non conforme alla disciplina in materia diconservazione dei dati di traffico;

RILEVATOche, ai sensi dell'art. 11, comma 2 del Codice, i dati trattati in violazionedella disciplina rilevante in materia di dati personali non possono essereutilizzati;

RILEVATA,pertanto, alla luce di quanto sopra, la necessità di adottare nei confronti diLycamobile, ai sensi dell'art. 154, comma 1, lett. c) e d) del Codice, unprovvedimento prescrittivo e inibitorio, volto a rendere il trattamento deidati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTOCONTO che, ai sensi dell'art. 170 del Codice, chiunque essendovi tenuto nonosserva il divieto contenuto nel presente provvedimento è punito con lareclusione da tre mesi a due anni e che ai sensi dell'art. 162, comma 2-ter,del Codice, in caso di inosservanza delle misure prescrittive e inibitoriecontenute nello stesso, è altresì applicata in sede amministrativa, in ognicaso, la sanzione del pagamento di una somma da trentamila a centottantamilaeuro;

RILEVATAla sussistenza dei presupposti per contestare a Lycamobile la violazioneamministrativa di cui all'art. 132 del Codice ai sensi dell'art. 162-bis delCodice e, quindi, la necessità di avviare un autonomo procedimentosanzionatorio nei confronti della medesima;

FERMORESTANDO il procedimento sanzionatorio già avviato mediante la contestazionedel 19 novembre 2012 sopra citata;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla dott.ssa Giovanna Bianchi Clerici;

TUTTO CIO' PREMESSO IL GARANTE

I)prescrive a Lycamobile S.p.A., con sede legale in Roma, via Tirone 11/13, aisensi dell'154, comma 1, lett. c) del Codice:

a) diadottare tutte le prescrizioni contenute nel Provvedimento e, in particolare:

1.specifici sistemi di autenticazione informatica, fondati su tecniche di strongauthentication, di cui una necessariamente basata sull'elaborazione dicaratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1, del dispositivodel Provvedimento);

2.specifiche procedure in grado di garantire la separazione rigida delle funzionitecniche di assegnazione di credenziali di autenticazione e di individuazionedei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemie della basi di dati (cfr. lettera a), punto 2, del dispositivo delProvvedimento);

3.sistemi informatici distinti fisicamente per la conservazione dei dati ditraffico per esclusive finalità di accertamento e repressione dei reati daquelli conservati per altre finalità (cfr. lettera a), punto 3, del dispositivodel Provvedimento);

4. didesignare specificamente gli incaricati del trattamento che possono accedere aidati di traffico conservati per finalità di giustizia (cfr. lettera a), punto4, del dispositivo del Provvedimento);

5. direndere i dati di traffico immediatamente non disponibili allo scadere deitermini previsti per la conservazione (cfr. lettera a), punto 5, deldispositivo del Provvedimento);

6.soluzioni informatiche idonee ad assicurare il controllo delle attività svolteda ciascun incaricato sui dati di traffico, anche mediante la registrazionedelle operazioni compiute in un apposito audit log, (cfr. lettera a), punto 6.del dispositivo del Provvedimento);

7. disvolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo delProvvedimento);

8. didocumentare i sistemi informativi utilizzati per il trattamento dei dati ditraffico in modo idoneo e secondo i principi dell'ingegneria del software (cfr.lettera a), punto 8, del dispositivo del Provvedimento);

9. diproteggere i dati di traffico trattati per esclusive finalità di giustiziaattraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivodel Provvedimento);

b) didesignare, ai sensi dell'art. 29 del Codice, Plintron Technologies qualeresponsabile del trattamento qualora voglia continuare ad avvalersi di talesocietà quale partner IT;

c) diadottare le misure di cui alle lettere a) e b) entro il termine di sessantagiorni dal ricevimento del presente provvedimento;

II)richiede a Lycamobile S.p.A., ai sensi dell'art. 157 del Codice, di comunicare,entro il medesimo termine, a questa Autorità le misure poste in essere ai finidi quanto indicato al punto I) del presente provvedimento;

III) vieta a Lycamobile S.r.l., ai sensi dell'art. 154, comma 1, lett. d) del Codice:

a) ogniulteriore trattamento di dati di traffico telefonico e telematico, conservatiper l'accertamento e repressione dei reati, per qualunque ulteriore finalità;

b) diconservare dati di traffico telematico per un periodo superiore a 12 mesi, cosìcome previsto dall'art. 132 del Codice.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 3ottobre 2013

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia