IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, e del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”) e, in particolare, gli artt. 17 e 132, comma 5, del Codice medesimo;
VISTO il provvedimento generale del 17 gennaio 2008 con il quale il Garante ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 del Codice, l’adozione di specifici accorgimenti e misure a garanzia dei dati di traffico conservati sia per finalità di accertamento e repressione di reati, sia per finalità ordinarie (in G.U. 5 febbraio 2008 n. 30, nonché in www.garanteprivacy.it, doc. web n. 1482111);
VISTA la legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001; visto in particolare, l’art. 10 di tale legge che, nel modificare il menzionato art. 132, ha previsto una specifica ipotesi di temporanea conservazione dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati;
VISTO il decreto legislativo 30 maggio 2008, n. 109, di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce; visto, in particolare, l’art. 2 di tale decreto che ha modificato nuovamente l’art. 132 del Codice;
CONSIDERATO che è ora previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza distinzioni in base al tipo di reato;
RILEVATA la necessità di apportare al menzionato provvedimento generale alcune modifiche strettamente necessarie in ragione delle suindicate novità di carattere normativo riguardanti la durata della conservazione dei dati, nei termini di cui al seguente dispositivo, dando atto che il medesimo provvedimento del 17 gennaio 2008 resta immutato per ogni altro profilo;
VISTE la note inoltrate da Asstel, da Vodafone Italia N.V. e da Telecom Italia S.p.A., rispettivamente l’8, il 1° e il 22 luglio 2008, con le quali è stato chiesto un differimento del termine del 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio per attuare i predetti accorgimenti e misure; richiesta giustificata in base alla complessità degli interventi necessari per adeguare i sistemi informativi dei fornitori alle prescrizioni del suddetto provvedimento;
VISTA l’audizione del 23 luglio 2008 nel corso della quale l’associazione Asstel ha chiesto, in considerazione delle recenti modifiche normative apportate dal d.lg. 109/2008 e dalla legge 48/2008, un differimento del termine dal 31 ottobre 2008 al 30 aprile 2009 per adempiere alle nove prescrizioni previste per i trattamenti di dati per finalità di accertamento e repressione dei reati, nonché alle cinque prescrizioni relative ai trattamenti di dati ai sensi dell’art. 123 del Codice (salvo per quanto riguarda la sola strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, per la quale chiede di differire l’adeguamento alla medesima prescrizione al 30 giugno 2009);
RILEVATO che tale richiesta, considerate le ragioni addotte e gli elementi prodotti a sostegno, può essere accolta disponendo un differimento del termine per tutte le suddette prescrizioni che risulta congruo contenere in un periodo non superiore a sei mesi, ovvero sino al 30 aprile 2009, salvo per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, per la quale appare giustificato disporre un differimento per l’adeguamento alla medesima prescrizione al 30 giugno 2009;
RILEVATO che le misure e gli accorgimenti prescritti con il predetto provvedimento generale devono essere adottati dai fornitori anche in ogni ipotesi di conservazione temporanea dei dati relativi al traffico telematico ai sensi del menzionato art. 132, comma 4 ter, del Codice e per tutta la sua durata;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi degli artt. 17 e 132 del Codice in materia di protezione dei dati personali dispone di apportare al proprio provvedimento generale del 17 gennaio 2008 in tema di trattamento dei dati di traffico le seguenti modifiche:
al paragrafo 2.2, settimo capoverso, è soppressa la parola “vigente”, mentre le parola “prevede” e “prescrive” sono sostituite con le parole “prevedeva” e “prescriveva”; all’ottavo capoverso la parola “prescrive” è sostituita con la parola “prescriveva”; al nono capoverso la parola “prevede” è sostituita dalle parole “introduceva la prescrizione, tutt’ora vigente”, mentre la parola “sia” è sostituita dalla parola “fosse”;
alla fine del paragrafo 2.3 (Altra disciplina comunitaria: la direttiva 2006/24/Ce) sono aggiunti i seguenti periodi: “La direttiva è stata recepita con il d.lg. 30 maggio 2008, n. 198, che ha previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza ulteriori distinzioni in base al tipo di reato. La legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica fatta a Budapest il 23 novembre 2001 ha poi previsto una specifica ipotesi di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati.”;
al paragrafo 5 (Finalità perseguibili), sono soppresse le parole da: “(individuati specificamente” fino a: “conservazione)”;
al paragrafo 6 (Modalità di acquisizione dei dati), sono soppresse le parole da: “, con riferimento” fino a: “e telematico),” nonché il secondo capoverso;
al paragrafo 7 (Misure e accorgimenti da prescrivere) tra le parole: “prescritti dal Garante.” e: “Per effetto del presente provvedimento”, è inserito il seguente capoverso: “Tali misure e accorgimenti devono essere adottati dai fornitori di comunicazione elettronica anche in caso di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati, ai sensi del menzionato art. 132, comma 4 ter, del Codice.”;
al paragrafo 7.1 (Sistemi di autenticazione) dopo il primo periodo è aggiunto il seguente capoverso: “Tale fase di autenticazione può essere realizzata con procedure strettamente integrate alle applicazioni informatiche con cui il fornitore tratta i dati di traffico, oppure con procedure per la protezione delle singole postazioni di lavoro che si integrino alle funzioni di autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il fornitore deve assicurare che non esistano modalità di accesso alle applicazioni informatiche da parte dei propri incaricati di trattamento che consentano di eludere le procedure di strong authentication predisposte per l’accesso alla postazione di lavoro.”;
al paragrafo 7.2 (Sistemi di autorizzazione), primo capoverso, sono soppresse le parole da: “distinguendo” fino a: “comma 2, del Codice)”, nonché il secondo e il terzo capoverso;
al paragrafo 7.3 (Conservazione separata), sono soppressi il sesto e il settimo capoverso;
al paragrafo 7.10 (Tempi di adozione delle misure e degli accorgimenti) le parole “31 ottobre 2008”, sono sostituite dalle parole: “30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, al 30 giugno 2009.”;
alla lettera a), punto 2. del dispositivo, sono soppresse le parole da: “distinguendo,” fino a: “comma 2, del Codice”;
alla lettera a), punto 3. del dispositivo, sono soppresse le parole da: “Inoltre,” fino a: “profili di autorizzazione.”;
b) in accoglimento delle richieste di cui in motivazione volte ad accordare ai fornitori di servizi di comunicazione elettronica un differimento del termine del 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio 2008, dispone altresì che, a modifica di tale provvedimento:
alla lettera b) del dispositivo le parole: “31 ottobre 2008”, sono sostituite dalle parole: “30 aprile 2009”;
alla lettera c) del dispositivo le parole “31 ottobre 2008”, sono sostituite dalle parole: “30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, 30 giugno 2009”;
Fino al decorso di tali termini, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi derivanti dal trattamento;
c) ai sensi dell’art. 154, comma 1, lett. h), del Codice dà atto che nell’allegato A) della presente deliberazione figura, a scopo conoscitivo, il testo aggiornato del menzionato provvedimento del 17 gennaio 2008, quale risultante dalle integrazioni e dalle modifiche apportate con la presente deliberazione.
Roma, 24 luglio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli