Sicurezza dei dati di traffico telefonico e telematico

ALLEGATO A

SICUREZZA DEI DATI DITRAFFICO TELEFONICO E TELEMATICO
(Integrazione e modifica del Provv. 17 gennaio 2008, di pari oggetto)

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito,"Codice");

VISTI in particolare gli artt. 17, 123 e132, comma 5, del Codice;

VISTA la deliberazione del 19 settembre2007 con la quale l'Autorità ha avviato una procedura di consultazione pubblicasu un documento, adottato in pari data, riguardante "Misure e accorgimentia garanzia degli interessati in tema di conservazione di dati di trafficotelefonico e telematico per finalità di accertamento e repressione direati" e pubblicato, unitamente alla medesima deliberazione, sulsito web dell'Autorità;

VISTI i commenti e le osservazionipervenuti a questa Autorità a seguito della consultazione pubblica per la qualeera stato fissato il termine del 31 ottobre 2007;

CONSIDERATE le risultanze dei diversiincontri, anche di carattere tecnico, intercorsi con alcune associazioni dicategoria che lo avevano richiesto;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

RELATORE il prof. Francesco Pizzetti;

PREMESSO

1. Considerazioni preliminari
Il trattamento dei dati di traffico telefonico e telematico presenta rischispecifici per i diritti e le libertà fondamentali, nonché per la dignitàdell'interessato.

Tali informazioni hanno una naturaparticolarmente delicata e la loro impropria utilizzazione può avere importantiripercussioni sulla sfera personale di più soggetti interessati; possono avereun'"accentuata valenza divulgativa di notizie caratterizzanti lapersonalità dell'autore" e laloro conoscibilità richiede adeguate garanzie (cfr., fra l'altro, Cortecost. 11 marzo 1993, n. 81 e 14 novembre 2006 n. 372).

I dati relativi al traffico telefonico etelematico dovrebbero peraltro riguardare solo alcune caratteristiche esterioridi conversazioni, chiamate e comunicazioni, senza permettere di desumerne icontenuti.

Inoltre, le stesse caratteristicheesteriori permettono di individuare analiticamente quando, tra chi e come sonointercorsi contatti telefonici o per via telematica, o sono avvenutedeterminate attività di accesso all'informazione in rete e persino il luogodove si trovano i detentori di determinati strumenti.

L'intensità dei flussi di comunicazionecomporta la formazione e, a volte, la conservazione di innumerevoliinformazioni che consentono di ricostruire nel tempo intere sfere di relazionipersonali, professionali, commerciali e istituzionali, e di formare anchedelicati profili interpersonali. Ciò, specie quando i dati sono conservatimassivamente dai fornitori per un periodo più lungo di quello necessario perprestare servizi a utenti e abbonati, al fine di adempiere a un distintoobbligo di legge collegato a eccezionali necessità di giustizia.

Per le comunicazioni telematiche, poi, sipongono ulteriori e più specifiche criticità rispetto alle comunicazionitelefoniche tradizionalmente intese, in quanto il dato apparentemente"esterno" a una comunicazione (ad es., una pagina web visitata o un indirizzo Ip di destinazione) spessoidentifica o rivela nella sostanza anche il suo contenuto: può permettere,quindi, non solo di ricostruire relazioni personali e sociali, ma anche didesumere particolari orientamenti, convincimenti e abitudini degli interessati.

Eventuali abusi (quali quelli emersi nelrecente passato, allorché sono stati constatati gravi e diffusi fatti diutilizzazione illecita di dati), possono comportare importanti ripercussionisulla sfera privata degli individui o anche violare specifici segreti attinentia determinate attività, relazioni e professioni.

Emerge quindi la necessità, in attuazionedi quanto previsto per legge, di assicurare che la conservazione di tali datida parte dei fornitori, laddove essa sia necessaria per prestare un servizio oin quanto imposta dalla legge, avvenga comunque in termini adeguati pergarantire una tutela maggiormente efficace dei diritti e delle libertà dellepersone.

Per tali motivi, a prescindere dallegaranzie previste in termini più generali nell'ordinamento anche sul pianocostituzionale e processuale, il legislatore all'art. 132 del Codice hademandato al Garante per la protezione dei dati personali l'individuazionedelle misure e degli accorgimenti che i fornitori dei servizi di comunicazioneelettronica devono adottare a fronte della conservazione dei dati di trafficotelefonico e telematico, allo stato prescritta per finalità di accertamento erepressione dei reati. Il presente provvedimento è rivolto appunto aindividuare le elevate cautele che devono essere osservate dai fornitori nellaformazione e nella custodia dei dati del traffico telefonico e telematico.

Prima di indicare quali cautele risultanonecessarie a seguito del complesso procedimento di accertamento curato dalGarante, sono opportune alcune altre premesse sull'attuale quadro normativo,sui fornitori e sui dati personali coinvolti.

2. Quadro di riferimento
2.1. Normativa comunitaria 
La direttivaeuropea considerando n. 15 della n. 2002/58/Ce, relativaal trattamento dei dati personali e alla tutela della vita privata nel settoredelle comunicazioni elettroniche, impone agli Stati membri di proteggere lariservatezza delle comunicazioni elettroniche e vieta la conservazione dei datirelativi al traffico generati nel corso delle comunicazioni, a eccezione dellaconservazione espressamente autorizzata per i fini indicati nella direttivamedesima.

La direttiva riguarda (art. 3) iltrattamento dei dati personali connesso alla fornitura di servizi dicomunicazione elettronica accessibili al pubblico su reti pubbliche dicomunicazione. I dati relativi al traffico sono definiti, in questa sede, qualiquelli sottoposti a trattamento "ai fini della trasmissione di unacomunicazione su una rete di comunicazione elettronica o della relativafatturazione" (cfr.art. 2 e considerando n. 15 della direttiva 2002/58/Ce). La medesima direttiva, nell'imporre agli Stati membril'adozione di disposizioni di legge nazionali che assicurino la riservatezzadelle comunicazioni effettuate tramite la rete pubblica di comunicazione e iservizi di comunicazione elettronica accessibili al pubblico, pone l'accentosui dati di traffico generati dai servizi medesimi (art. 5); tali dati,trattati e memorizzati dal fornitore della rete pubblica o del serviziopubblico di comunicazione elettronica, devono essere cancellati o resi anonimiquando non sono più necessari ai fini della trasmissione della comunicazione,fatte salve alcune tassative eccezioni (cfr. art. 6, par. 2 , 3 e 5 e art.15, par. 1; v., fra gli altri, il Parere n. 1/2003 sullamemorizzazione ai fini di fatturazione dei dati relativi al traffico, adottatoil 29 gennaio 2003 dal Gruppo dei garanti europei per la tutela dei datipersonali).

L'art. 15, par. 1, della direttivaconsente che gli Stati membri possano adottare disposizioni legislative volte alimitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 solo quandotale restrizione costituisca "una misura necessaria, opportuna eproporzionata all'interno di una società democratica per la salvaguardia dellasicurezza nazionale (cioé della sicurezza dello Stato), della difesa, dellasicurezza pubblica e la prevenzione, ricerca, accertamento e perseguimento deireati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica". A tal fine, gli Stati membri possono, tra l'altro,adottare misure legislative le quali prevedano che, per tali motivi, i datisiano conservati per un periodo di tempo limitato.

2.2. Normativa nazionale 
La direttiva 2002/58/Ce è stata recepita con ilCodice in materia di protezione dei dati personali (Titolo X ("Comunicazionielettroniche"); cfr. art. 184).Nel Capo I di tale Titolo, intitolato "Servizi di comunicazioneelettronica", è stataintrodotta una nuova disciplina sulla conservazione dei dati di trafficotelefonico.

Da un lato, l'art. 123 del Codice haridotto a sei mesi il previgente limite temporale per la conservazione dei datidi traffico telefonico per finalità di fatturazione, pagamenti in caso diinterconnessione e di commercializzazione di servizi, termine che era inprecedenza individuabile nella misura massima di cinque anni in base a quantoprevisto dal d.lg. n. 171/1998.

Dall'altro, l'art. 132 del medesimoCodice, modificato prima della sua entrata in vigore (d.l. 24 dicembre 2003,n. 354, convertito in l., con modificazioni, dall'art. 1 l. 26 febbraio 2004,n. 45) ha introdotto un distintoobbligo per i fornitori di servizi di comunicazione elettronica di conservareper finalità di accertamento e repressione dei reati dati di trafficotelefonico relativi ai servizi offerti.

Tutto ciò, sullo sfondo del principiocardine in materia secondo cui i dati non devono essere formati se non sononecessari e proporzionati ai fini della funzionalità della rete o dellaprestazione del servizio (artt. 3 e 11 del Codice).

Dal contesto sopra riassunto emerge che èstata nel complesso vietata una conservazione generalizzata dei dati relativial traffico (art. 123, comma 1, cit.), con le seguenti eccezioni:

è stato consentito il trattamentodi dati strettamente necessario a fini di fatturazione per l'abbonato, ovverodi pagamenti in caso di interconnessione (nei limiti e con le modalità dicui all'art. 123, comma 2) o, previoconsenso dell'abbonato o dell'utente, a fini di commercializzazione di servizidi comunicazione elettronica o per la fornitura di servizi a valore aggiunto (art.123, comma 3);

è stata però prescritta intermini distinti la conservazione temporanea dei dati di traffico telefonicoper esclusive finalità di accertamento e repressione dei reati per due periodidi ventiquattro mesi ciascuno (art. 132 del Codice)

Un successivo provvedimento d'urgenza del2005 (d.l. 27 luglio 2005, n. 144, convertito in l., con modificazioni,dall'art. 1 della l. 31 luglio 2005, n. 155) ha poi introdotto, tra l'altro:

a) l'obbligo di conservare i dati ditraffico telematico, escludendone i contenuti, per due periodi di sei mesiciascuno; 

b) l'obbligo di conservare dati relativi alle chiamatetelefoniche senza risposta; 

c) con riferimento ai primi ventiquattromesi di conservazione dei dati del traffico telefonico e ai primi sei mesi diconservazione dei dati del traffico telematico, la previsione che la richiestagiudiziaria volta ad acquisirli, rivolta al fornitore, venga effettuata dal "pubblicoministero anche su istanza del difensore dell'imputato, della personasottoposta alle indagini, della persona offesa e delle altre parti private enon già dal giudice su istanza del pubblico ministero"; 

d) un regime transitorio in virtù delquale è stata sospesa temporaneamente l'applicazione di qualunque disposizioneche prescriva o consenta la cancellazione dei dati di traffico, anche se nonsoggetti a fatturazione (termine originariamente stabilito al 31 dicembre 2007,ma successivamente prorogato al 31 dicembre 2008 con l'art. 34 del recente d.l.31 dicembre 2007, n. 248, in fase di conversione in legge); 

e) per ititolari e i gestori di esercizi pubblici o di circoli privati di qualsiasispecie, che si limitino a porre a disposizione del pubblico, dei clienti o deisoci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche,esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefoniavocale, alcuni specifici obblighi di identificazione e monitoraggio delleoperazioni compiute dai clienti (cfr. anche il d.m. 16 agosto 2005, in G.U.17 agosto 2005, n. 190, attuativo di tale previsione).

Il decreto legge del 2005 ha quindi, daun lato, emendato l'art. 132 del Codice (punti a), b) e c) sopra indicati) e, dall'altro, ha introdotto un regime transitorioper la conservazione dei dati, nonché la predetta disciplina speciale applicabilesolo a determinati soggetti.

Fermo restando il predetto regime, cheprevedeva temporaneamente la conservazione (lett. d) sopra citata), la normativa di riferimento prescriveva ai fornitori di servizi dicomunicazione elettronica di conservare comunque, per finalità di accertamentoe repressione di reati, i dati relativi al traffico telefonico (inclusi quelliconcernenti le chiamate senza risposta) e quelli inerenti al trafficotelematico (esclusi i contenuti delle comunicazioni), rispettivamente perventiquattro e sei mesi (art. 132, comma 1, del Codice).

La stessa normativa prescriveva inoltre,ai medesimi fornitori, di conservare tali dati per un periodo ulteriore,rispettivamente di ventiquattro e sei mesi, per l'accertamento e la repressionedei delitti tassativamente individuati dall'art. 407, comma 2, lett. a),c.p.p., nonché dei delitti in danno di sistemi informatici o telematici (art.132, comma 2).

Infine, introduceva la prescrizione,tutt'ora vigente, che la conservazione dei predetti dati fosse effettuata nelrispetto di specifici accorgimenti e misure a garanzia degli interessati.L'individuazione di tali cautele, oggetto del presente provvedimento, è stataappunto demandata al Garante per la protezione dei dati personali (cfr.artt. 17 e 132, comma 5, del Codice).

2.3. Altra disciplina comunitaria: ladirettiva 2006/24/Ce 
Al finedi armonizzare le disposizioni degli Stati membri sul tema della conservazionedei dati di traffico per finalità di accertamento e repressione di reati è poiintervenuta la direttiva n. 2006/24/Ce delParlamento europeo e del Consiglio del 15 marzo 2006, che doveva essererecepita entro il 15 settembre 2007.

Tale direttiva contiene specificheindicazioni sul risultato convenuto a livello comunitario con riferimento siaai tempi di conservazione dei dati di traffico (minimo sei mesi e massimo dueanni), sia alla corretta e uniforme individuazione delle "categorie didati da conservare" (analiticamente elencate nell'art. 5 della direttivamedesima); ciò, in relazione agli specifici servizi ivi enucleati, ovvero ditelefonia di rete fissa e di telefonia mobile, di accesso a Internet, di postaelettronica in Internet e di telefonia via Internet.

In questo quadro risulta necessariotenere conto di tali indicazioni anche nell'ambito del presente provvedimento.Ciò, anche in considerazione del fatto che nell'attuale quadro normativointerno, pur sussistendo una definizione generale di "dati relativi altraffico" (art. 4, comma 2, lett. h) del Codice), tali dati non vengono enumerati, né vengonodistinti espressamente i dati relativi al traffico "telefonico" daquelli inerenti al traffico "telematico".

Tale distinzione risulta, invece,necessaria in considerazione del fatto che il legislatore italiano,diversamente da quello comunitario, ha individuato due diversi periodi diconservazione in relazione alla natura "telefonica" o"telematica" del dato da conservare.

Ciò comporta l'esigenza di specificarel'ambito soggettivo di applicazione del presente provvedimento rispettoall'obbligo di conservazione dei dati.

La direttiva è stata recepita con ild.lg. 30 maggio 2008, n. 198, che ha previsto un periodo unico di conservazionepari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati ditraffico telematico e a 30 giorni per i dati relativi alle chiamate senzarisposta, senza ulteriori distinzioni in base al tipo di reato.

La legge 18 marzo 2008, n. 48, diratifica della Convenzione del Consiglio d'Europa sulla criminalità informaticafatta a Budapest il 23 novembre 2001 ha poi previsto una specifica ipotesi diconservazione temporanea dei dati relativi al traffico telematico a fini disvolgimento di investigazioni preventive o di accertamento e repressione direati.

3. I fornitori tenuti a conservare i datidi traffico
Il "fornitore" sul quale incombe l'obbligo diconservare i dati di traffico ai sensi del citato art. 132 del Codice è quelloche mette a disposizione del pubblico servizi di comunicazione elettronica sureti pubbliche di comunicazione; per "servizi di comunicazione elettronica"devono intendersi quelli consistenti, esclusivamente o prevalentemente, "nellatrasmissione di segnali su reti di comunicazioni elettroniche" (art. 4,comma 2, lett. d) e e), del Codice).

Ciò, deriva:

a) dalla collocazione del menzionatoart. 132 all'interno del titolo X, capo I, del Codice e da quanto dispostodall'art. 121 del medesimo Codice il quale, nell'individuare i "Serviziinteressati", chiarisce che ledisposizioni del titolo X "si applicano al trattamento dei datipersonali connesso alla fornitura di servizi di comunicazione elettronicaaccessibili al pubblico su reti pubbliche di comunicazioni"; 

b) da quanto stabilisce il citatodecreto legge 27 luglio 2005, n. 144 nella parte in cui, nell'imporre laconservazione dei dati per il predetto regime transitorio, si riferisce ai "fornitoridi una rete pubblica di comunicazioni o di un servizio di comunicazioneelettronica accessibile al pubblico".

Devono ritenersi quindi tenuti allaconservazione dei dati ai sensi del medesimo art. 132 i soggetti che realizzanoesclusivamente, o prevalentemente, una trasmissione di segnali su reti dicomunicazioni elettroniche, a prescindere dall'assetto proprietario della rete,e che offrono servizi a utenti finali secondo il principio di nondiscriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo edel Consiglio, che istituisce un quadro normativo comune per le reti e iservizi di comunicazione elettronica (c.d. direttiva quadro) e d.lg. n.259/2003 recante il Codice delle comunicazioni elettroniche).

Al contrario non rientrano, ad esempio,nell'ambito applicativo del presente provvedimento:

i soggetti che offronodirettamente servizi di comunicazione elettronica a gruppi delimitati dipersone (come, a titolo esemplificativo, i soggetti pubblici o privati checonsentono soltanto a propri dipendenti e collaboratori di effettuarecomunicazioni telefoniche o telematiche). Tali servizi, pur rientrando nelledefinizione generale di "servizi di comunicazione elettronica", nonpossono essere infatti considerati come "accessibili al pubblico".Qualora la comunicazione sia instradata verso un utente che si trovi al difuori della c.d. "rete privata", i dati di traffico generati da talecomunicazione sono invece oggetto di conservazione (ad es., da parte delfornitore di cui si avvale il destinatario della comunicazione, qualora sitratti di un messaggio di posta elettronica; cfr. documento di lavoro

"Tutela della vita privata suInternet–Un approccio integrato dell'EU alla protezione dei dation-line",adottato dal Gruppo di lavoro per la tutela dei dati personali il 21 novembre2000);

i soggetti che, pur offrendoservizi di comunicazione elettronica accessibili al pubblico, non generano otrattano direttamente i relativi dati di traffico;

i titolari e i gestori diesercizi pubblici o di circoli privati di qualsiasi specie che si limitino aporre a disposizione del pubblico, di clienti o soci apparecchi terminaliutilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso aInternet utilizzando tecnologia senza fili, esclusi i telefoni pubblici apagamento abilitati esclusivamente alla telefonia vocale;

i gestori dei siti Internet chediffondono contenuti sulla rete (c.d. "content provider"

). Essi non sono, infatti, fornitori di un"servizio di comunicazione elettronica" come definito dall'art. 4,comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per i casi diesclusione, all'art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essastessa i "servizi che forniscono contenuti trasmessi utilizzando reti eservizi di comunicazione elettronica[…]". Deve rilevarsi,inoltre, che i dati di traffico relativi alla comunicazione (come, ad esempio,la c.d. "navigazione web"e le pagine visitate di un sito Internet) spesso identificano o rivelano nellasostanza anche il suo contenuto e pertanto l'eventuale conservazione di talidati si porrebbe, in violazione di quanto disposto dall'art. 132 del Codice(come modificato dal citato d.l. n. 144/2005), laddove esclude dallaconservazione per finalità di giustizia i "contenuti" dellacomunicazione (cfr., in tal senso, anche l'art. 1, comma 2, della direttiva2006/24/Ce, nella parte in cui esclude dal proprio ambito di applicazione laconservazione del "contenuto delle comunicazioni elettroniche, iviincluse le informazioni consultate utilizzando una rete di comunicazionielettroniche");

i gestori di motori di ricerca. Idati di traffico telematico che essi trattano, consentendo di tracciareagevolmente le operazioni compiute dall'utente in rete, sono, comunque,parimenti qualificabili alla stregua di "contenuti".

4. I dati di traffico che devono essereconservatibr>L'obbligo di conservazione riguarda i dati relativi altraffico telefonico, inclusi quelli concernenti le chiamate senza risposta,nonché i dati inerenti al traffico telematico, esclusi comunque i contenutidelle comunicazioni (art. 132 del Codice). In particolare, sono oggetto diconservazione i dati che i fornitori sottopongono a trattamento per latrasmissione della comunicazione o per la relativa fatturazione (art. 4,comma 2, lett. h), del Codice).

Pertanto, i fornitori (come individuatinel precedente paragrafo 3) devono conservare, per esclusive finalità diaccertamento e repressione di reati, solo i dati di traffico che risultinonella loro disponibilità in quanto derivanti da attività tecniche strumentalialla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Ciò,in ossequio anche ai princìpi di pertinenza e non eccedenza stabiliti dagliartt. 3 e 11 del Codice.

In tal senso, si esprime anche il citatodecreto legge 27 luglio 2005, n. 144 che, all'art. 6, riconduce l'obbligo di conservazionealle "informazioni che consentono la tracciabilità degli accessi,nonché, qualora disponibili, dei servizi". La direttiva 2006/24/Ce ribadisce che tale obbligosussiste soltanto se i dati sono stati "generati o trattati nelprocesso di fornitura dei […] servizidi comunicazione" del fornitore(cfr. considerando 23 e art. 3, par. 1, della direttiva 2006/24/Ce cit.).

L'art. 5 di tale direttiva contiene, poi,un'elencazione specifica delle informazioni da conservare e individua diversecategorie di dati di traffico, specificandone i contenuti a seconda che sitratti di traffico telefonico o telematico.

Nell'ambito dei servizi di comunicazioneelettronica, occorre infatti distinguere i servizi "telefonici" daquelli "telematici".

Nei primi sono ricompresi:

le chiamate telefoniche, inclusele chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione datitramite telefax;

servizi supplementari, inclusil'inoltro e il trasferimento di chiamata;

la messaggeria e i servizimultimediali, inclusi i servizi di messaggeria breve-sms

Nei secondi sono ricompresi:

l'accesso alla rete Internet;

la posta elettronica;

i fax

(nonché i messaggi sms

e mms)via Internet;

la telefonia via Internet (cd. Voiceover Internet Protocol–VoIP).

Per quanto concerne specificamente laconservazione dei dati di traffico telefonico relativo alle "chiamatesenza risposta", fermo restando allo stato quanto indicato dalla direttiva2006/24/Ce al considerando 12 (laddove esclude dal proprio ambito di applicazionei "tentativi di chiamata non riusciti"), il fornitore, in forza delle modifiche apportatedal d.l. n. 144/2005 all'art. 132 del Codice, deve conservare solo i datigenerati da chiamate telefoniche che sono state collegate con successo, ma nonhanno ottenuto risposta oppure in cui vi è stato un intervento del gestoredella rete (cfr. art. 2, comma 2, lett. f), direttiva 2006/24/Ce).

5. Finalità perseguibili
Il vincolosecondo cui i dati conservati obbligatoriamente per legge possono essereutilizzati solo per finalità di accertamento e repressione di reati comportauna precisa limitazione per i fornitori nell'eventualità in cui essi ricevanorichieste volte a perseguire scopi diversi.

Ad esempio:

a) i medesimi fornitori non possonocorrispondere a eventuali richieste riguardanti tali dati formulate nell'ambitodi una controversia civile, amministrativa e contabile; 

b) sono tenuti arispettare il menzionato vincolo di finalità anche l'interessato che acceda aidati che lo riguardano esercitando il diritto di accesso di cui all'art. 7 delCodice (e che può utilizzare quindi i dati acquisiti solo in riferimento allepredette finalità penali), nonché, nel procedimento penale, il difensoredell'imputato, della persona sottoposta alle indagini, della persona offesa edelle altre parti private (art. 132, comma 3, del Codice).

6. Modalità di acquisizione deidati
Il Codice individua le modalità con le quali possono essereacquisiti i dati di traffico conservati dai fornitori prescrivendo che larichiesta sia formulata con "decreto motivato del pubblico ministeroanche su istanza del difensore dell'imputato, della persona sottoposta alleindagini, della persona offesa e delle altri parti private" (art. 132, comma 3, del Codice).

Al difensore dell'imputato o dellapersona sottoposta alle indagini è riconosciuta la facoltà di richiedere,direttamente, al fornitore i dati di traffico limitatamente ai dati che siriferiscano "alle utenze intestate al proprio assistito". Larichiesta deve essere effettuata "con le modalità indicatedall'articolo 391-quater del codice di procedura penale, ferme restando lecondizioni di cui all'articolo 8, comma 2, lettera f), per il trafficoentrante" (art. 132, comma 3,cit.). Tale ultimo riferimento ai presupposti previsti dal Codice per l'accessoalle chiamate in entrata comporta, anche per i fornitori, la necessariavalutazione preliminare della circostanza che dalla mancata conoscenza dei datirichiesti possa derivare un pregiudizio effettivo e concreto per lo svolgimentodelle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. Atale riguardo si richiama quanto rilevato nel provvedimento adottato dalGarante in materia il 3 novembre 2005).

7. Misure e accorgimenti da prescrivere
Come premesso, il Garante è stato preposto per disposizione di legge a individuareaccorgimenti e misure da porre a garanzia degli interessati nell'ambito dellaconservazione dei dati di traffico telefonico e telematico per finalità diaccertamento e repressione di reati (art. 132, comma 5, del Codice).

A tal fine, il Garante ha curatopreliminarmente diversi approfondimenti tecnici con esperti del settore, nonchénumerosi accertamenti ispettivi presso primari fornitori di servizi dicomunicazione elettronica; ha, infine, indetto una specifica consultazionepubblica su un articolato documento indicante le misure e gli accorgimentiritenuti idonei per la conservazione dei dati di traffico per finalità digiustizia.

Le cautele ipotizzate in sede diconsultazione pubblica hanno trovato conforto all'esito della stessa, nonessendo pervenuti all'Autorità sostanziali rilievi critici da parte deisoggetti interessati.

Tutte le riflessioni e commenti pervenutisono stati comunque oggetto di specifica analisi e considerazionenell'elaborazione del presente provvedimento.

Nell'individuare le seguenti cautele cheil Garante prescrive ai fornitori interessati al presente provvedimento,l'Autorità ha tenuto conto dei parametri indicati negli artt. 17 e 132, comma5, del Codice, nonché:

a) dell'esigenza normativa volta aprevedere specifiche cautele rapportate alla quantità e qualità dei dati daproteggere e ai rischi indicati nell'art. 31 del Codice, rischi che i fornitoridevono già oggi prevenire rispettando i comuni obblighi di sicurezza collegatialle misure non solo minime previste dal Codice (artt. 31 e ss.; Allegato B); 

b) dell'opportunità di individuare, allostato, misure protettive per i trattamenti svolti da tutti i fornitoriinteressati che siano verificabili anche in sede ispettiva, ai fini di una piùincisiva messa in sicurezza dei dati di traffico telefonico e telematico; 

c)della necessità di tenere in considerazione i costi derivanti dall'adozionedelle misure e degli accorgimenti prescritti con il presente provvedimento,anche in ragione della variegata capacità tecnica ed economica dei soggettiinteressati; 

d) del contesto europeo di riferimento, specie alla luce deipareri resi dal Gruppo per la tutela dei dati personali (cfr. parerinn. 4/2005 sulla proposta di direttiva del Parlamentoeuropeo e del Consiglio riguardante la conservazione di dati trattatinell'ambito della fornitura di servizi pubblici di comunicazione elettronica eche modifica la direttiva 2002/58/Ce; 3/2006 sulla direttiva 2006/24/Ce del Parlamentoeuropeo e del Consiglio riguardante la conservazione di dati generati otrattati nell'ambito della fornitura di servizi di comunicazione elettronicaaccessibili al pubblico o di reti pubbliche di comunicazione che modifica ladirettiva 2002/58/Ce; 8/2006 sulla revisione del quadro normativo per lereti ed i servizi di comunicazione elettronica, con particolare attenzione alladirettiva relativa alla vita privata e alle comunicazioni elettroniche); e) dello stato dell'evoluzione tecnologica,alla luce del quale le seguenti prescrizioni devono pertanto ritenersi soggettead aggiornamento periodico.

Di seguito, sono indicati gliaccorgimenti e le misure prescritti dal Garante.

Tali misure e accorgimenti devono essereadottati dai fornitori di comunicazione elettronica anche in caso diconservazione temporanea dei dati relativi al traffico telematico a fini disvolgimento di investigazioni preventive o di accertamento e repressione direati, ai sensi del menzionato art. 132, comma 4 ter, del Codice.

Per effetto del presente provvedimento:

7.1. Sistemi di autenticazione
Il trattamento dei dati di traffico telefonico etelematico da parte dei fornitori deve essere consentito solo agli incaricatidel trattamento e unicamente sulla base del preventivo utilizzo di specificisistemi di autenticazione informatica basati su tecniche di strongauthentication, consistenti nell'usocontestuale di almeno due differenti tecnologie di autenticazione, qualunquesia la modalità, locale o remota, con cui si realizzi l'accesso alsistema di elaborazione utilizzato per il trattamento, evitando che questopossa aver luogo senza che l'incaricato abbia comunque superato una fase diautenticazione informatica nei termini anzidetti.

Tale fase di autenticazione può essererealizzata con procedure strettamente integrate alle applicazioni informatichecon cui il fornitore tratta i dati di traffico, oppure con procedure per laprotezione delle singole postazioni di lavoro che si integrino alle funzioni diautenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, ilfornitore deve assicurare che non esistano modalità di accesso alleapplicazioni informatiche da parte dei propri incaricati di trattamento checonsentano di eludere le procedure di strong authentication predisposte per l'accesso alla postazione di lavoro.

Per i dati di traffico conservati peresclusive finalità di accertamento e repressione dei reati (cioè quelligenerati da più di sei mesi, oppure la totalità dei dati trattati per questefinalità se conservati separatamente dai dati trattati per le altre finalitàfin dalla loro generazione), una di tali tecnologie deve essere basatasull'elaborazione di caratteristiche biometriche dell'incaricato, in modo taleda assicurare la presenza fisica di quest'ultimo presso la postazione di lavoroutilizzata per il trattamento.

Tali modalità di autenticazione devonoessere applicate anche a tutti gli addetti tecnici (amministratori di sistema,di rete, di data base) chepossano accedere ai dati di traffico custoditi nelle banche dati del fornitore.

Limitatamente a tali addetti tecnici,circostanze legate a indifferibili interventi per malfunzionamenti, guasti,installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi,possono determinare la necessità di accesso informatico a sistemi dielaborazione che trattano dati di traffico in assenza di autenticazionebiometrica o di strong-authentication per operazioni che comportano la presenza fisica dell'addetto cheprocede all'intervento in prossimità del sistema di elaborazione (per esempio,per lo svolgimento di operazioni di amministrazione da console locale cheimplichino la disabilitazione dei servizi di rete e l'impossibilità di gestireoperazioni di input/output tramite dispositivi accessori come quelliutilizzabili per la strong authentication).

In caso di accesso da parte degli addettitecnici nei termini anzidetti, fermo restando l'obbligo di assicurare le misureminime in tema di credenziali di autenticazione previste dall'Allegato B) alCodice e, per quanto concerne i trattamenti di dati di traffico telefonico peresclusive finalità di giustizia, quanto specificato al successivo paragrafo7.3, dovrà essere tenuta preventivamente traccia in un apposito "registrodegli accessi" dell'evento, nonché delle motivazioni che lo hannodeterminato, con una successiva descrizione sintetica delle operazioni svolte,anche mediante l'utilizzo di sistemi elettronici. Tale registro deve esserecustodito dal fornitore presso le sedi di elaborazione e messo a disposizionedel Garante nel caso di ispezioni o controlli, unitamente a un elenconominativo dei soggetti abilitati all'accesso ai diversi sistemi dielaborazione con funzioni di amministratore di sistema, che deve essere formatoe aggiornato costantemente dal fornitore.

7.2. Sistemi di autorizzazione
Relativamente ai sistemi di autorizzazione devonoessere adottate specifiche procedure in grado di garantire la separazionerigida delle funzioni tecniche di assegnazione di credenziali di autenticazionee di individuazione dei profili di autorizzazione rispetto a quelle di gestionetecnica dei sistemi e delle basi di dati. Tali differenti funzioni non possonoessere attribuite contestualmente a uno stesso soggetto.

I profili di autorizzazione da definire eda attribuire agli incaricati devono differenziare le funzioni di trattamentodei dati di traffico per finalità di ordinaria gestione da quelle per finalitàdi accertamento e repressione dei reati e, infine, dalle funzioni ditrattamento dei dati in caso di esercizio dei diritti dell'interessato (art. 7 delCodice).

7.3. Conservazione separata
I dati di traffico conservati per esclusive finalitàdi accertamento e repressione di reati vanno trattati necessariamente tramitesistemi informatici distinti fisicamente da quelli utilizzati per gestire datidi traffico anche per altre finalità, sia nelle componenti di elaborazione, sianell'immagazzinamento dei dati (storage).

Più specificamente, i sistemi informaticiutilizzati per i trattamenti di dati di traffico conservati per esclusivafinalità di giustizia devono essere differenti da quelli utilizzati anche peraltre funzioni aziendali (come fatturazione, marketing, antifrode) ed essere, altresì, protetti contro ilrischio di intrusione mediante idonei strumenti di protezione perimetrale asalvaguardia delle reti di comunicazione e delle risorse di memorizzazioneimpiegate nei trattamenti.

I dati di traffico conservati per unperiodo non superiore a sei mesi dalla loro generazione possono, invece, esseretrattati per le finalità di giustizia sia prevedendone il trattamento con imedesimi sistemi di elaborazione e di immagazzinamento utilizzati per lageneralità dei trattamenti, sia provvedendo alla loro duplicazione, conconservazione separata rispetto ai dati di traffico trattati per le ordinariefinalità, per l'elaborazione con sistemi dedicati a questo specificotrattamento.

Questa prescrizione lascia ai fornitorila facoltà di scegliere, sulla base di propri modelli organizzativi e dellapropria dotazione tecnologica, l'architettura informatica più idonea per laconservazione obbligatoria dei dati di traffico e per le ordinarie elaborazioniaziendali; permette infatti che i dati di traffico conservati sino a sei mesidalla loro generazione possano essere trattati, per finalità di giustizia, consistemi informatici non riservati esclusivamente a tali elaborazioni; oppure,che gli stessi dati vengano duplicati per effettuare un trattamento dedicatoesclusivamente al perseguimento delle finalità di giustizia. In quest'ultimocaso le misure e gli accorgimenti prescritti per i dati conservati peresclusive finalità di giustizia si applicano sin dall'inizio del trattamento.

Le attrezzature informatiche utilizzateper i trattamenti di dati di traffico per le esclusive finalità di giustizia dicui sopra devono essere collocate all'interno di aree ad accesso selezionato(ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamentodi specifiche mansioni) e munite di dispositivi elettronici di controllo o diprocedure di vigilanza che comportino la registrazione dei dati identificatividelle persone ammesse, con indicazione dei relativi riferimenti temporali.

Nel caso di trattamenti di dati ditraffico telefonico per esclusive finalità di giustizia, il controllo degliaccessi deve comprendere una procedura di riconoscimento biometrico.

Devono essere adottate misure idonee agarantire il ripristino dell'accesso ai dati in caso di danneggiamento deglistessi o degli strumenti elettronici in tempi compatibili con i diritti degliinteressati e comunque non superiori a sette giorni.

7.4. Incaricati del trattamento
Gli incaricati che accedono ai dati di trafficoconservati per le finalità di cui all'art. 132 del Codice, anche per consentirel'esercizio dei diritti di cui all'art. 7 del Codice medesimo, devono esseredesignati specificamente in rapporto ai dati medesimi.

Il processo di designazione deveprevedere la frequenza di una periodica attività formativa concernentel'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e lerelative responsabilità. L'effettiva partecipazione al corso deve esseredocumentata.

Per quanto riguarda le richieste perl'esercizio dei diritti di cui all'art. 7 del Codice che comportanol'estrazione dei dati di traffico (menzionate anche nell'art. 132, comma 5,lett. c)), nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2,lettera f) del Codice, il titolare del trattamento deve conservare in formaspecifica la documentazione comprovante l'idonea verifica dell'identità delrichiedente ai sensi dell'art. 9 del Codice stesso, e adottare opportunecautele per comunicare i dati al solo soggetto legittimato in base al medesimoarticolo.

7.5. Cancellazione dei dati
Allo scadere dei termini previsti dalle disposizionivigenti, i dati di traffico sono resi non disponibili per le elaborazioni deisistemi informativi e le relative consultazioni; sono altresì cancellati o resianonimi senza alcun ritardo, in tempi tecnicamente compatibili con l'eserciziodelle relative procedure informatiche, nei data base e nei sistemi dielaborazione utilizzati per i trattamenti, nonché nei sistemi e nei supportiper la realizzazione di copie di sicurezza (backup e disaster recovery) effettuatedal titolare anche in applicazione di misure previste dalla normativa vigente,documentando tali operazioni al più tardi entro trenta giorni successivi allascadenza dei termini di cui all'art. 132 del Codice.

7.6. Altre misure  Auditlog
Devono essere adottatesoluzioni informatiche idonee ad assicurare il controllo delle attività svoltesui dati di traffico da ciascun incaricato del trattamento, quali che siano lasua qualifica, le sue competenze e gli ambiti di operatività e le finalità deltrattamento. Il controllo deve essere efficace e dettagliato anche per itrattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati.

Tali soluzioni comprendono laregistrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati ditraffico e sugli altri dati personali a essi connessi, sia quando consistono oderivano dall'uso interattivo dei sistemi, sia quando sono svolte tramitel'azione automatica di programmi informatici.

I sistemi di audit log devono garantire la completezza, l'immodificabilitàe l'autenticità delle registrazioni in essi contenute, con riferimento a tuttele operazioni di trattamento e a tutti gli eventi relativi alla sicurezzainformatica sottoposti ad auditing.A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto dielaborazione o per datacenter,sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura,i dati o i raggruppamenti di dati devono essere sottoposti a procedureinformatiche per attestare la loro integrità, basate sull'utilizzo ditecnologie crittografiche.

Le misure di cui al presente paragrafosono adottate nel rispetto dei princìpi in materia di controllo dei lavoratorisull'uso di strumenti elettronici, con particolare riguardo all'informativaagli interessati (cfr. Provv. 1° marzo 2007, doc. web n. 1387522).

7.7. Audit interno–Rapportiperiodici
La gestione dei datidi traffico per finalità di accertamento e repressione di reati deve essereoggetto, con cadenza almeno annuale, di un'attività di controllo interno daparte dei titolari del trattamento, in modo che sia verificata costantemente larispondenza alle misure organizzative, tecniche e di sicurezza riguardanti itrattamenti dei dati di traffico previste dalle norme vigenti e dalprovvedimento del Garante, anche per ciò che riguarda la verifica della particolareselettività degli incaricati legittimati.

L'attività di controllo deve esseredemandata a un'unità organizzativa o, comunque, a personale diverso rispetto aquelli cui è affidato il trattamento dei dati per la finalità di accertamento erepressione dei reati.

I controlli devono comprendere ancheverifiche a posteriori, a campione o su eventuale allarme derivante da sistemidi Alerting e di AnomalyDetection, sulla legittimità eliceità degli accessi ai dati effettuati dagli incaricati, sull'integrità deidati e delle procedure informatiche adoperate per il loro trattamento. Sonosvolte, altresì, verifiche periodiche sull'effettiva cancellazione dei datidecorsi i periodi di conservazione.

L'attività di controllo deve essereadeguatamente documentata in modo tale che sia sempre possibile risalire aisistemi verificati, alle operazioni tecniche su di essi effettuate, allerisultanze delle analisi condotte sugli accessi e alle eventuali criticitàriscontrate.

L'esito dell'attività di controllo deveessere:

comunicato alle persone e agliorgani legittimati ad adottare decisioni e a esprimere, a vari livelli in baseal proprio ordinamento interno, la volontà della società;

richiamato nell'ambito deldocumento programmatico sulla sicurezza nel quale devono essere indicati gliinterventi eventualmente necessari per adeguare le misure di sicurezza;

messo, a richiesta, adisposizione del Garante o dell'autorità giudiziaria.

7.8. Documentazione dei sistemiinformativi 
I sistemiinformativi utilizzati per il trattamento dei dati di traffico devono esseredocumentati in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti ametodi descrittivi standard o diampia accettazione.

La descrizione deve comprendere, perciascun sistema applicativo, l'architettura logico-funzionale, l'architetturacomplessiva e la struttura dei sistemi utilizzati per il trattamento, i flussidi input/output dei dati ditraffico da e verso altri sistemi, l'architettura della rete di comunicazione,l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso alsistema.

La documentazione va corredata condiagrammi di dislocazione delle applicazioni e dei sistemi, da cui deverisultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati idati per le finalità di accertamento e repressione di reati.

La documentazione tecnica deve essereaggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta,unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso aisistemi per il trattamento dei dati di traffico. 

7.9.Cifratura e protezione dei dati
I dati di traffico trattati per esclusivefinalità di giustizia vanno protetti con tecniche crittografiche, inparticolare contro rischi di acquisizione fortuita o di alterazione accidentalederivanti da operazioni di manutenzione sugli apparati informatici o daordinarie operazioni di amministrazione di sistema. In particolare, devonoessere adottate soluzioni che rendano le informazioni, residenti nelle basi didati a servizio delle applicazioni informatiche utilizzate per i trattamenti,non intelligibili a chi non disponga di diritti di accesso e profili diautorizzazione idonei, ricorrendo a forme di cifratura od offuscamento diporzioni dei database o degliindici o ad altri accorgimenti tecnici basati su tecnologie crittografiche.

Tale misura deve essere efficace perridurre al minimo il rischio che incaricati di mansioni tecniche accessorie aitrattamenti (amministratori di sistema, data base administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anchefortuitamente, acquisendone conoscenza nel corso di operazioni di accesso aisistemi o di manutenzione di altro genere, oppure che possano intenzionalmenteo fortuitamente alterare le informazioni registrate.

Eventuali flussi di trasmissione dei datidi traffico tra sistemi informatici del fornitore devono aver luogo tramiteprotocolli di comunicazione sicuri, basati su tecniche crittografiche, ocomunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocollidi comunicazione sicuri devono essere adottati anche per garantire, più ingenerale, la sicurezza dei sistemi, evitando di esporli a vulnerabilità e arischio di intrusione (a titolo esemplificativo, l'accesso interattivo inmodalità "emulazione di terminale", anche per scopi tecnici, non deveessere consentito su canali non sicuri, così come deve essere evitatal'attivazione di servizi di rete non necessari che si possono prestare allarealizzazione di forme di intrusione).

7.10. Tempi di adozione delle misure edegli accorgimenti 
Valutato ilcomplesso delle misure e degli accorgimenti, tenuto conto del quadro dellecautele che emergono dalle risultanze ispettive essere già in atto presso ifornitori, nonché dei tempi tecnici necessari per completarne l'attuazione,anche alla luce di quanto emerso dalla consultazione pubblica, risulta dagliatti congruo fissare un termine transitorio per i trattamenti di dati inessere, prevedendo che tutti gli adempimenti di cui al presente punto 7 sianocompletati al più presto ed entro, e non oltre, il termine che è parimenticongruo stabilire per tutti i fornitori al 30 aprile 2009, ovvero per quantoriguarda la strong authenticationriferita agli incaricati che accedono ai dati di traffico nell'ambitodell'attività di call center, al30 giugno 2009. Entro tale termine, i fornitori dovranno dare conferma alGarante attestando formalmente l'integrale adempimento al presenteprovvedimento.

8. Applicazione di alcune misure a datitrattati per altre finalità 
Le considerazioni svolte sulla natura particolarmentedelicata dei dati di traffico, sulla necessità di garantire una tutelamaggiormente efficace dei diritti e delle libertà delle persone e diprescrivere una più incisiva messa in sicurezza di dati rilevano anche per ognialtro trattamento di dati di traffico telefonico e telematico effettuato daifornitori di cui al paragrafo 3.

Ciò, comporta l'improrogabile esigenza diassicurare che almeno alcuni tra gli accorgimenti e le misure di cui alprecedente punto 7, limitatamente a quelli adattabili al caso di specie, sianoapplicati comunque dai predetti fornitori nell'ambito di analoghi trattamentidi dati di traffico telefonico e telematico effettuati per finalità non digiustizia, ma di fatturazione, pagamento in caso di interconnessione e commercializzazionedi servizi, nel più breve periodo temporale indicato nel menzionato art. 123.

Per tali ragioni il Garante,contestualmente e distintamente da quanto va disposto ai sensi dell'art. 132,comma 5, del Codice, prescrive ai fornitori di cui al paragrafo 3, ai sensidell'art. 17 del medesimo Codice, di adottare nel termine e con la modalità dicui al paragrafo 7.10. le misure e gli accorgimenti indicati nella lettera c)del seguente dispositivo.

Copia del presente provvedimento verràtrasmessa al Ministero della giustizia, anche ai fini della sua pubblicazionesulla Gazzetta Ufficiale dellaRepubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti, nonché,per opportuna conoscenza, all'Autorità per le garanzie nelle comunicazioni.

TUTTO CIÒ PREMESSO ILGARANTE:

a) ai sensi degli artt. 17, 123 e132, comma 5, del Codice, prescrive ai fornitori di servizi di comunicazioneelettronica individuati nel paragrafo 3 di adottare nel trattamento dei dati ditraffico telefonico e telematico di cui al paragrafo 4 le misure e gliaccorgimenti a garanzia degli interessati individuate nel presenteprovvedimento, provvedendo a (par. 7):

adottare specifici sistemi diautenticazione informatica basati su tecniche di strong authentication

) che possano accedere ai dati di traffico custoditinelle banche dati del fornitore, qualunque sia la modalità, locale o remota,con cui si realizzi l'accesso al sistema di elaborazione utilizzato per iltrattamento, evitando che questo possa aver luogo senza che l'incaricato abbiacomunque superato una fase di autenticazione informatica nei termini anzidetti.Per i dati di traffico trattati per esclusive finalità di accertamento erepressione dei reati, una di tali tecnologie deve essere basata sull'elaborazionedi caratteristiche biometriche dell'incaricato, in modo tale da assicurare lapresenza fisica di quest'ultimo presso la postazione di lavoro utilizzata peril trattamento. Tali modalità di autenticazione devono essere applicate anche atutti gli addetti tecnici (amministratori di sistema, di rete, di data base)che possano accedere ai dati di traffico custoditi nelle banche dati delfornitore. Relativamente ai soli addetti tecnici indicati al presente punto 1,qualora circostanze legate a indifferibili interventi per malfunzionamenti,guasti, installazioni hardware e software

, aggiornamento e riconfigurazione dei sistemi,determinino la necessità di accesso informatico a sistemi di elaborazione chetrattano dati di traffico in assenza di strong authentication

, fermo restando l'obbligo di assicurare le misureminime in tema di credenziali di autenticazione previste dall'Allegato B) alCodice, deve essere tenuta traccia dell'evento in un apposito "registrodegli accessi", nonché delle motivazioni che li hanno determinati, con unasuccessiva descrizione sintetica delle operazioni svolte, anche mediantel'utilizzo di sistemi elettronici. Tale registro deve essere custodito dalfornitore presso le sedi di elaborazione e messo a disposizione del Garante nelcaso di ispezioni o controlli, unitamente a un elenco nominativo dei soggettiabilitati all'accesso ai diversi sistemi di elaborazione con funzioni diamministratore di sistema, che deve essere formato e aggiornato costantementedal fornitore.

adottare specifiche procedure ingrado di garantire la separazione rigida delle funzioni tecniche diassegnazione di credenziali di autenticazione e di individuazione dei profilidi autorizzazione rispetto a quelle di gestione tecnica dei sistemi e dellebasi di dati. Il fornitore deve definire e attribuire agli incaricati specificiprofili di autorizzazione differenziando le funzioni di trattamento dei dati ditraffico per finalità di ordinaria gestione da quelle per finalità diaccertamento e repressione dei reati e, infine, dalle funzioni di trattamentodei dati in caso di esercizio dei diritti dell'interessato (art. 7 del Codice);

adottare, per la conservazionedei dati di traffico per esclusive finalità di accertamento e repressione direati, sistemi informatici distinti fisicamente da quelli utilizzati pergestire dati di traffico anche per altre finalità, sia nelle componenti dielaborazione, sia di immagazzinamento dei dati (storage

). I dati di traffico conservati per un periodo nonsuperiore ai sei mesi dalla loro generazione possono, invece, essere trattatiper le finalità di giustizia sia prevedendone il trattamento con i medesimisistemi di elaborazione e di immagazzinamento utilizzati per la generalità deitrattamenti, sia provvedendo alla loro duplicazione, con conservazione separatarispetto ai dati di traffico trattati per le ordinarie finalità. Leattrezzature informatiche utilizzate per i trattamenti di dati di traffico perle esclusive finalità di giustizia di cui sopra devono essere collocate all'internodi aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimatiad accedervi per l'espletamento di specifiche mansioni) e munite di dispositivielettronici di controllo o di procedure di vigilanza che comportino laregistrazione dei dati identificativi delle persone ammesse, con indicazionedei relativi riferimenti temporali. Nel caso di trattamenti di dati di trafficotelefonico per esclusive finalità di giustizia, il controllo degli accessi devecomprendere una procedura di riconoscimento biometrico. Infine, ilfornitore deve adottare misure idonee a garantire il ripristino dell'accesso aidati in caso di danneggiamento degli stessi o degli strumenti elettronici intempi compatibili con i diritti degli interessati e comunque non superiori asette giorni;

designare specificamente gliincaricati che possono accedere ai dati di traffico conservati per le finalitàdi cui all'art. 132 del Codice, anche per consentire l'esercizio dei diritti dicui all'art. 7 del Codice medesimo. Il processo di designazione deve prevederela documentata frequenza di una periodica attività formativa concernentel'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e lerelative responsabilità. Per quanto riguarda le richieste per l'esercizio deidiritti di cui all'art. 7 del Codice che comportano l'estrazione dei dati ditraffico, nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2,lettera f) del Codice, il fornitore deve conservare in forma specifica ladocumentazione comprovante l'idonea verifica dell'identità del richiedente aisensi dell'art. 9 del Codice stesso, e adottare opportune cautele percomunicare i dati al solo soggetto legittimato in base al medesimo articolo;

rendere i dati di trafficoimmediatamente non disponibili per le elaborazioni dei sistemi informativi alloscadere dei termini previsti dalle disposizioni vigenti. Il fornitore devecancellare o rendere anonimi senza ritardo tali dati, in tempi tecnicamentecompatibili con l'esercizio delle relative procedure informatiche, nei data

base e nei sistemi di elaborazione utilizzati per i trattamenti nonché neisistemi e nei supporti per la realizzazione di copie di sicurezza (backup

e disaster recovery

) effettuate dal titolare anche in applicazione dimisure previste dalla normativa vigente e, al più tardi, documentando taleoperazione entro i trenta giorni successivi alla scadenza dei termini di cuiall'art. 132 del Codice;

adottare soluzioni informaticheidonee ad assicurare il controllo delle attività svolte sui dati di traffico daciascun incaricato del trattamento, quali che siano la sua qualifica, le suecompetenze e gli ambiti di operatività e le finalità del trattamento. Ilcontrollo deve essere efficace e dettagliato anche per i trattamenti condottisui singoli elementi di informazione presenti sui diversi database

utilizzati. Tali soluzioni comprendono laregistrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati ditraffico e sugli altri dati personali a essi connessi, sia quando consistono oderivano dall'uso interattivo dei sistemi, sia quando sono svolte tramitel'azione automatica di programmi informatici. I sistemi di audit log

devono garantire la completezza, l'immodificabilità,l'autenticità delle registrazioni in essi contenute, con riferimento a tutte leoperazioni di trattamento e a tutti gli eventi relativi alla sicurezzainformatica sottoposti ad auditing.A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing

, anche in forma centralizzata per ogni impianto dielaborazione o per datacenter,sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura,i dati o i raggruppamenti di dati devono essere sottoposti a procedureinformatiche per attestare la loro integrità, basate sull'utilizzo ditecnologie crittografiche;

svolgere, con cadenza almenoannuale, un'attività di controllo interno per verificare costantemente larispondenza alle misure organizzative, tecniche e di sicurezza riguardanti itrattamenti dei dati di traffico previste dalle norme vigenti e dalprovvedimento del Garante, anche per ciò che riguarda la verifica dellaparticolare selettività degli incaricati legittimati. Tale attività dicontrollo deve essere demandata a un'unità organizzativa o, comunque, apersonale diverso rispetto a quelli cui è affidato il trattamento dei dati perla finalità di accertamento e repressione dei reati. I controlli devonocomprendere anche verifiche a posteriori, a campione o su eventuale allarmederivante da sistemi di Alertinge di Anomaly Detection, sullalegittimità e liceità degli accessi ai dati effettuati dagli incaricati,sull'integrità dei dati e delle procedure informatiche adoperate per il lorotrattamento. Sono svolte, altresì, verifiche periodiche sull'effettivacancellazione dei dati decorsi i periodi di conservazione. L'attività dicontrollo deve essere adeguatamente documentata in modo tale che sia semprepossibile risalire ai sistemi verificati, alle operazioni tecniche su di essieffettuate, alle risultanze delle analisi condotte sugli accessi e alleeventuali criticità riscontrate. L'esito dell'attività di controllo deveessere: comunicato alle persone e agli organi legittimati ad adottare decisionie ad esprimere, a vari livelli in base al proprio ordinamento interno, lavolontà della società; richiamato nell'ambito del documento programmatico sullasicurezza nel quale devono essere indicati gli interventi eventualmentenecessari per adeguare le misure di sicurezza; messo, a richiesta, adisposizione del Garante o dell'autorità giudiziaria;

dei dati di traffico da e verso altri sistemi,l'architettura della rete di comunicazione, l'indicazione dei soggetti o classidi soggetti aventi legittimo accesso al sistema. La documentazione va corredatacon diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deverisultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati idati per le finalità di accertamento e repressione di reati. La documentazionetecnica deve essere aggiornata e messa a disposizione dell'Autorità su sua eventualerichiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimoaccesso ai sistemi per il trattamento dei dati di traffico;

proteggere i dati di trafficotrattati per esclusive finalità di giustizia con tecniche crittografiche, inparticolare contro rischi di acquisizione fortuita o di alterazione accidentalederivanti da operazioni di manutenzione sugli apparati informatici o daordinarie operazioni di amministrazione di sistema. Il fornitore deve adottaresoluzioni che rendano le informazioni residenti nelle basi di dati a serviziodelle applicazioni informatiche utilizzate per i trattamenti, non intelligibilia chi non disponga di diritti di accesso e profili di autorizzazione idonei,ricorrendo a forme di cifratura od offuscamento di porzioni dei data base odegli indici o ad altri accorgimenti tecnici basati su tecnologiecrittografiche. Tale misura deve essere efficace per ridurre al minimo ilrischio che incaricati di mansioni tecniche accessorie ai trattamenti(amministratori di sistema, database administrator

e manutentori hardware

e software) possano accedere indebitamente alle informazioni registrate, anchefortuitamente, acquisendone conoscenza nel corso di operazioni di accesso aisistemi o di manutenzione di altro genere, oppure che possano intenzionalmenteo fortuitamente alterare le informazioni registrate. Eventuali flussi ditrasmissione dei dati di traffico tra sistemi informatici del fornitore devonoaver luogo tramite protocolli di comunicazione sicuri, basati su tecnichecrittografiche, o comunque evitando il ricorso alla trasmissione in chiaro deidati. Protocolli di comunicazione sicuri devono essere adottati anche pergarantire più in generale la sicurezza dei sistemi evitando di esporli avulnerabilità e a rischio di intrusione;

b) ai sensi dei medesimi artt. 17,123 e 132, comma 5 del Codice, nonché dell'art. 157 del Codice, prescrive aipredetti fornitori titolari del trattamento di effettuare tutti gli adempimentidi cui alla precedente lett. a) al più presto e, comunque, entro e non oltre iltermine del 30 aprile 2009, dandone conferma al Garante attestando entro lostesso termine l'integrale adempimento;

c) ai sensi dell'art. 17 del Codiceprescrive ai medesimi fornitori titolari del trattamento di adottare, rispettoai dati di traffico trattati per le finalità di cui all'art. 123 del Codice,entro e non oltre il termine del 30 aprile 2009, ovvero per quanto riguarda la strongauthentication riferita agliincaricati che accedono ai dati di traffico nell'ambito dell'attività di callcenter, 30 giugno 2009, dandone aisensi dell'art. 157 del Codice conferma al Garante e attestando entro lo stessotermine l'integrale adempimento, i seguenti accorgimenti e misure (par. 8):

adottare specifici sistemi diautenticazione informatica basati su tecniche di strong authentication

, consistenti nell'uso contestuale di almeno duedifferenti tecnologie di autenticazione, che si applichino agli accessi aisistemi di elaborazione da parte di tutti gli incaricati di trattamento nonchédi tutti gli addetti tecnici (amministratori di sistema, di rete, di data base)che abbiano la possibilità concreta di accedere ai dati di traffico custoditinelle banche dati del fornitore, qualunque sia la modalità, locale o remota,con cui si realizzi l'accesso al sistema di elaborazione utilizzato per iltrattamento, evitando che questo possa aver luogo senza che l'incaricato abbiacomunque superato una fase di autenticazione informatica nei termini anzidetti.Qualora circostanze eccezionali, legate a indifferibili interventi permalfunzionamenti, guasti, installazione hardware

e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessitàdi accesso a sistemi di elaborazione che trattano dati di traffico da parte diaddetti tecnici in assenza di strong authentication

, fermo restando l'obbligo di assicurare le misureminime in tema di credenziali di autenticazione previste dall'Allegato B) alCodice in materia di protezione dei dati personali, deve essere tenuta tracciain un apposito "registro degli accessi" dell'eventuale accesso fisicoai locali in cui sono installati i sistemi di elaborazione oggetto diintervento e dell'accesso logico ai sistemi, nonché delle motivazioni che lihanno determinati, con una descrizione sintetica delle operazioni svolte, anchemediante l'utilizzo di sistemi elettronici. Tale registro deve essere custoditodal fornitore presso le sedi di elaborazione e messo a disposizione del Garantenel caso di ispezioni o controlli, unitamente a un elenco nominativo deisoggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzionidi amministratore di sistema, che deve essere formato e aggiornatocostantemente dal fornitore;

adottare procedure in grado digarantire la separazione rigida delle funzioni tecniche di assegnazione dicredenziali di autenticazione e di individuazione dei profili di autorizzazionerispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;

rendere i dati di trafficoimmediatamente non disponibili per le elaborazioni dei sistemi informativi alloscadere dei termini previsti dalle disposizioni vigenti, provvedendo alla lorocancellazione o trasformazione in forma anonima, in tempi tecnicamentecompatibili con l'esercizio delle relative procedure informatiche, nei database e nei sistemi di elaborazioneutilizzati per i trattamenti nonché nei sistemi e nei supporti per larealizzazione di copie di sicurezza (backup

e disaster recovery) effettuatedal titolare anche in applicazione di misure previste dalla normativa vigentee, al più tardi, documentando tale operazione entro i trenta giorni successivialla scadenza dei termini di conservazione (art. 123 del Codice);

documentare i sistemi informativiutilizzati per il trattamento dei dati di traffico in modo idoneo secondo iprincìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivistandard o di ampia accettazione. La descrizione deve comprendere, per ciascunsistema applicativo, l'architettura logico-funzionale, l'architetturacomplessiva e la struttura dei sistemi utilizzati per il trattamento, i flussidi input/output dei dati ditraffico da e verso altri sistemi, l'architettura della rete di comunicazione,l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso alsistema. La documentazione va corredata con diagrammi di dislocazione delleapplicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione deisistemi nei quali vengono trattati i dati per le finalità di accertamento erepressione di reati. La documentazione tecnica deve essere aggiornata e messaa disposizione dell'Autorità su sua eventuale richiesta, unitamente ainformazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi peril trattamento dei dati di traffico;

d) dispone che copia del presenteprovvedimento sia trasmessa al Ministero della giustizia anche ai fini dellasua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio pubblicazione leggi edecreti, nonché, per opportuna conoscenza, all'Autorità per le garanzie nellecomunicazioni.

Roma, 17 gennaio 2008

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Buttarelli