Prescrizioni ad una società chefornisce servizi telefonici e telematici

PROVVEDIMENTO DEL 20 FEBBRAIO 2014

Registro dei provvedimenti 
n. 84 del 20 febbraio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti edel dott. Giuseppe Busia, segretario generale;

VISTOil Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003,n. 196, di seguito ´Codiceª);

VISTOil provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico, successivamente integrato con il provvedimento generale del 24 luglio 2008(pubblicato in G.U. del 13 agosto 2008, n. 189, di seguito "Provvedimento"), resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con ild.lgs. 30 maggio 2008, n. 109;

CONSIDERATOche il suddetto d.lgs. n. 109/2008 ha modificato alcune disposizioni del Codicee, in particolare, l'art. 132, stabilendo che, per finalità di accertamento erepressione dei reati, i dati relativi sono conservati rispettivamente, perventiquattro mesi, per il traffico telefonico e dodici mesi per il trafficotelematico;

CONSIDERATOche con il Provvedimento il Garante ha stabilito una serie di pre-scrizioni chei fornitori di servizi di comunicazione elettronica accessibili al pubblico (diseguito ´fornitoriª) devono rispettare in materia di conservazione di dati ditraffico telefonico e telematico;

RILEVATOche, tra le varie prescrizioni impartite con il Provvedimento, vi è l'obbligoper i fornitori:

- di adottarespecifici sistemi di autenticazione informatica, fondati su tecniche di strongauthentication, di cui una necessariamente basata sull'elaborazione dicaratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1, del dispositivodel Provvedimento);

- disvolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo delProvvedimento);

CONSIDERATOche sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corsodel 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto dellacitata normativa (accertamenti che hanno portato all'adozione di provvedimentida parte del Garante nei confronti di diversi fornitori, cfr. provv. del 21 ottobre 2009 e del 19 novembre 2009, doc. n. 1 e 19 novembre 2009, doc. n. 2);

VISTOche il Garante ha deliberato, come già avvenuto nel 2012, anche nel 2013 di delegareal Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamentiispettivi da effettuarsi nei confronti di alcuni fornitori di servizi dicomunicazione elettronica accessibili al pubblico di piccole e mediedimensioni, al fine di verificare il rispetto delle prescrizioni impartite dalGarante con il citato Provvedimento;

CONSIDERATOche tale ciclo di accertamenti ispettivi è risultato alquanto complesso, inquanto ha riguardato otto società e, in alcuni casi, l'analisi delle attivitàistruttorie si è dovuta ampliare comprendendo anche società collegate a quelleispezionate;

VISTOche nell'ambito di tale ciclo di accertamenti è stata sottoposta ad ispezioneEstracom S.p.A. (di seguito ´Estracomª), in data 26 giugno 2013, società dipiccole dimensioni (con undici dipendenti) che fornisce servizi telefonici etelematici per la maggior parte a una clientela aziendale;

VISTOche nel corso del medesimo accertamento, rispetto all'adozione delleprescrizioni contenute nel Provvedimento, la società ha dichiarato che, conriferimento ai dati di traffico telematico, avrebbe provveduto ad inviare tuttala documentazione e le informazioni richieste in un secondo momento al fine dicoinvolgere nella risposta il sig. Gianmarco Giovanelli, amministratore disistema, mentre, rispetto ai dati di traffico telefonico, ha dichiarato che(cfr. verbale del 26 giugno 2013, pag. 5-7):

-sonoconservati per i primi sei mesi in un database (piattaforma Impresa) separatoda quello in cui sono conservati dal settimo al ventiquattresimo mese(Mediation) e ´la conservazione avviene previa compressione ed il trasferimentoavviene attraverso protocollo SSH con autenticazione fra client e server (ä).La conservazione dei dati è protetta dalla mancata pubblicazione nella retepubblica delle macchine utilizzate quali server. Inoltre l'accesso alle stesse èlimitato ad alcuni specifici indirizzi Ip. (ä) Il ripristino dei dati èassicurato dal backup avvenuto sulla macchina Mediation ed avviene attraversoprelievo manuale del file di riferimento. Detto file risulta essere di letturadifficoltosa, in formato testo, ma potrà essere consultato soltanto previoinserimento in un db relazionaleª;

- altermine dei ventiquattro mesi, ´la cancellazione avviene in modalità manualecon cadenza mensileª;

- i datidi traffico riferiti alle chiamate senza risposta vengono conservati per lostesso periodo degli altri dati di traffico;

- ´idati conservati nel db giustizia non sono intellegibili ma devono essereinseriti in un db relazionaleª;

- ´sonostate adottate tecniche di strong authenticationª, ma ´non è stato adottato il riconoscimentobiometricoª;

- ´attesala capillare opera di controllo degli amministratori di sistema, non vi è statala necessità di effettuare controlli a posterioriª;

VISTAla documentazione acquisita nel corso dell'accertamento ispettivo e, inparticolare, le allora condizioni generali di contratto che correttamenteriportavano, all'interno della sezione "21. Protezione dei dati personali –Informativa e dichiarazioni", le modalità di trattamento dei dati ditraffico telefonico e telematico della società (cfr. punto 21.4 dellecondizioni generali di contratto contenute nell'allegato 3 al verbale del 26giugno 2013);

CONSIDERATAl'ulteriore istruttoria del Garante, dalla quale emerge che le condizioni dicontratto presenti attualmente sul sito www.estracom.it differisconoformalmente e sostan-zialmente da quelle consegnate nel corso dell'accertamentoispettivo e, infatti, nella attuale sezione "19. Protezione dei datipersonali – Informativa e dichiarazioni" non si fa più alcunriferimento al trattamento dei dati di traffico;

VISTAla ´memoria integrativaª inviata da Estracom in data 9 luglio 2013, nella qualela società, rispetto alla conservazione dei dati di traffico telematico,dichiara che:

- ´ancheper il traffico telematico, per la protezione dei dati, si è provvedutoall'adozione di connessioni con protocolli sicuri, e di accesso solo dapersonale a tal uopo incaricato da determinati indirizzi Ip autorizzati.Inoltre, per quanto riguarda i dati trattati per la specifica finalità direpressione sono resi non accessibili in quanto allocati su hard disk off-linealtresì protetto anche da password e procedura crittograficaª e che ´i dati ditraffico telematico degli utenti vengono mantenuti su server per 6 mesi e gliulteriori 6 mesi (ai soli fini giudiziari) su memoria esterna (hard disk offline)cifrata da password e da procedura crittograficaª;

- sono previste procedure specifiche affinché l'amministratore di sistema rilasciuser id e password agli utenti, incaricati del trattamento dei dati per finalitàdi accertamento e repressione dei reati, ed è altresì previsto un duplicesistema di accesso attraverso badge rilasciato ai soggetti debitamenteautorizzati, ma nulla dice in merito all'adozione di tecniche di riconoscimentobiometrico;

CONSIDERATOche, alla luce di quanto sopra e da tutte le dichiarazioni rese, non risultache Estracom abbia rispettato alcune delle prescrizioni contenute nelProvvedimento e sopra richiamate relative: all'adozione di tecniche di strongauthentication, di cui una necessariamente di carattere biometrico; alla tenutadi un "registro degli accessi"; al controllo interno almeno annualevolto alla verifica delle misure organizzative adottate dalla società per laconservazione dei dati di traffico;

CONSIDERATOche l'art. 132, comma 1 bis del Codice, stabilisce che ´i dati relativi allechiamate senza risposta, trattati temporaneamente da parte dei fornitori diservizi di comunicazione elettronica accessibili al pubblico oppure di una retepubblica di comunicazione, sono conservati per trenta giorniª

CONSIDERATOche il Nucleo Speciale Privacy ha già provveduto a contestare a Estracom laviolazione amministrativa di cui all'art. 162 bis del Codice (contestazione diviolazione amministrativa n. 38/2013 del 3 luglio 2013, notificata il 1 agosto2013), con riferimento alla conservazione dei dati di traffico relativi allechiamate senza risposta per un periodo superiore ai trenta giorni previsti;

RILEVATOche, a seguito della citata contestazione, Estracom ha inviato, in data 30agosto 2013, uno "scritto difensivo per l'applicazione della misuraridotta della sanzione amministrativa minima prevista e contestuale rateizzazione",dal quale, tuttavia, non risulta che abbia provveduto a cancellare i dati ditraffico relativi alle chiamate senza risposta conservati oltre il limite deitrenta giorni;

CONSIDERATOche il trattamento effettuato da Estracom, come emerso dagli attidell'istruttoria, risulta non conforme alla disciplina in materia diconservazione dei dati di traffico;

RILEVATA,pertanto, alla luce di quanto sopra, la necessità di adottare nei confronti diEstracom, ai sensi dell'art. 154, comma 1, lett. c) del Codice, unprovvedimento prescrittivo, volto a rendere il trattamento dei dati conformealla normativa richiamata in materia di protezione dei dati personali;

TENUTOCONTO che, ai sensi dell'art. 162, comma 2-ter, del Codice, in caso diinosser-vanza delle misure prescrittive contenute nel presente provvedimento, èaltresì applicata in sede amministrativa, in ogni caso, la sanzione delpagamento di una somma da trentamila a centottantamila euro;

RILEVATAla dei presupposti per contestare a Estracom la sanzione amministrativa di cuiall'art. 162 comma 2-bis, del Codice per la violazione delle misure e degliaccorgimenti prescritti dal Garante, ai sensi degli artt. 17 e 132, comma 5 delCodice, con il Provvedimento;

FERMORESTANDO il procedimento sanzionatorio già avviato mediante la conte-stazionesopra citata;

VISTAla documentazione in atti;

VISTEle osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATOREla prof.ssa Licia Califano;

TUTTO CIO' PREMESSO IL GARANTE

I.prescrive a Estracom S.p.A., con sede legale in Prato, Via Ugo Panziera n. 16,ai sensi dell'art. 154, comma 1, lett. c), del Codice:

a) diadottare, entro il termine di sessanta giorni dal ricevimento del presenteprovvedimento, tutte le prescrizioni contenute nel Provvedimento e, inparticolare:

1.specifici sistemi di autenticazione informatica, fondati su tecniche di strongauthentication, di cui una necessariamente basata sull'elaborazione dicaratteristiche biometriche dell'incaricato, nonché di tenere un apposito"registro degli accessi" (cfr. lettera a), punto 1, del dispositivodel Provvedimento);

2. disvolgere, con cadenza almeno annuale, un'attività di controllo interna,adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo delProvvedimento);

b) diprocedere, entro il medesimo termine di cui alla lett. a), alla cancellazionedei dati di traffico relativi alle chiamate senza risposta conservati oltre iltermine di trenta giorni previsto dall'art. 132, comma 1-bis, del Codice;

II. richiedea Estracom S.p.A., ai sensi dell'art. 157 del Codice, di comunicare a questaAutorità, entro il medesimo termine di cui alla lett. a) del punto I, le misureposte in essere ai fini di quanto indicato alle lettere a) e b) del presenteprovvedimento.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 20 febbraio 2014

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia