IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”);
VISTI in particolare gli artt. 17, 123 e 132, comma 5, del Codice;
VISTA la deliberazione del 19 settembre 2007 con la quale l’Autorità ha avviato una procedura di consultazione pubblica su un documento, adottato in pari data, riguardante “Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione di reati” e pubblicato, unitamente alla medesima deliberazione, sul sito web dell’Autorità;
VISTI i commenti e le osservazioni pervenuti a questa Autorità a seguito della consultazione pubblica per la quale era stato fissato il termine del 31 ottobre 2007;
CONSIDERATE le risultanze dei diversi incontri, anche di carattere tecnico, intercorsi con alcune associazioni di categoria che lo avevano richiesto;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
PREMESSO
1. Considerazioni preliminari
Il trattamento dei dati di traffico telefonico e telematico presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato.
Tali informazioni hanno una natura particolarmente delicata e la loro impropria utilizzazione può avere importanti ripercussioni sulla sfera personale di più soggetti interessati; possono avere un’“accentuata valenza divulgativa di notizie caratterizzanti la personalità dell’autore” e la loro conoscibilità richiede adeguate garanzie (cfr., fra l’altro, Corte cost. 11 marzo 1993, n. 81 e 14 novembre 2006 n. 372).
I dati relativi al traffico telefonico e telematico dovrebbero peraltro riguardare solo alcune caratteristiche esteriori di conversazioni, chiamate e comunicazioni, senza permettere di desumerne i contenuti.
Inoltre, le stesse caratteristiche esteriori permettono di individuare analiticamente quando, tra chi e come sono intercorsi contatti telefonici o per via telematica, o sono avvenute determinate attività di accesso all’informazione in rete e persino il luogo dove si trovano i detentori di determinati strumenti.
L’intensità dei flussi di comunicazione comporta la formazione e, a volte, la conservazione di innumerevoli informazioni che consentono di ricostruire nel tempo intere sfere di relazioni personali, professionali, commerciali e istituzionali, e di formare anche delicati profili interpersonali. Ciò, specie quando i dati sono conservati massivamente dai fornitori per un periodo più lungo di quello necessario per prestare servizi a utenti e abbonati, al fine di adempiere a un distinto obbligo di legge collegato a eccezionali necessità di giustizia.
Per le comunicazioni telematiche, poi, si pongono ulteriori e più specifiche criticità rispetto alle comunicazioni telefoniche tradizionalmente intese, in quanto il dato apparentemente “esterno” a una comunicazione (ad es., una pagina web visitata o un indirizzo Ip di destinazione) spesso identifica o rivela nella sostanza anche il suo contenuto: può permettere, quindi, non solo di ricostruire relazioni personali e sociali, ma anche di desumere particolari orientamenti, convincimenti e abitudini degli interessati.
Eventuali abusi (quali quelli emersi nel recente passato, allorché sono stati constatati gravi e diffusi fatti di utilizzazione illecita di dati), possono comportare importanti ripercussioni sulla sfera privata degli individui o anche violare specifici segreti attinenti a determinate attività, relazioni e professioni.
Emerge quindi la necessità, in attuazione di quanto previsto per legge, di assicurare che la conservazione di tali dati da parte dei fornitori, laddove essa sia necessaria per prestare un servizio o in quanto imposta dalla legge, avvenga comunque in termini adeguati per garantire una tutela maggiormente efficace dei diritti e delle libertà delle persone.
Per tali motivi, a prescindere dalle garanzie previste in termini più generali nell’ordinamento anche sul piano costituzionale e processuale, il legislatore all’art. 132 del Codice ha demandato al Garante per la protezione dei dati personali l’individuazione delle misure e degli accorgimenti che i fornitori dei servizi di comunicazione elettronica devono adottare a fronte della conservazione dei dati di traffico telefonico e telematico, allo stato prescritta per finalità di accertamento e repressione dei reati.
Il presente provvedimento è rivolto appunto a individuare le elevate cautele che devono essere osservate dai fornitori nella formazione e nella custodia dei dati del traffico telefonico e telematico.
Prima di indicare quali cautele risultano necessarie a seguito del complesso procedimento di accertamento curato dal Garante, sono opportune alcune altre premesse sull’attuale quadro normativo, sui fornitori e sui dati personali coinvolti.
2. Quadro di riferimento
2.1. Normativa comunitaria
La direttiva europea n. 2002/58/Ce, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, impone agli Stati membri di proteggere la riservatezza delle comunicazioni elettroniche e vieta la conservazione dei dati relativi al traffico generati nel corso delle comunicazioni, a eccezione della conservazione espressamente autorizzata per i fini indicati nella direttiva medesima.
La direttiva riguarda (art. 3) il trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione. I dati relativi al traffico sono definiti, in questa sede, quali quelli sottoposti a trattamento “ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione” (cfr. art. 2 e considerando n. 15 della direttiva 2002/58/Ce).
La medesima direttiva, nell’imporre agli Stati membri l’adozione di disposizioni di legge nazionali che assicurino la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, pone l’accento sui dati di traffico generati dai servizi medesimi (art. 5); tali dati, trattati e memorizzati dal fornitore della rete pubblica o del servizio pubblico di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione, fatte salve alcune tassative eccezioni (cfr. art. 6, par. 2 , 3 e 5 e art. 15, par. 1; v., fra gli altri, il Parere n. 1/2003 sulla memorizzazione ai fini di fatturazione dei dati relativi al traffico, adottato il 29 gennaio 2003 dal Gruppo dei garanti europei per la tutela dei dati personali).
L’art. 15, par. 1, della direttiva consente che gli Stati membri possano adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 solo quando tale restrizione costituisca “una misura necessaria, opportuna e proporzionata all’interno di una società democratica per la salvaguardia della sicurezza nazionale (cioé della sicurezza dello Stato), della difesa, della sicurezza pubblica e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell’uso non autorizzato del sistema di comunicazione elettronica”. A tal fine, gli Stati membri possono, tra l’altro, adottare misure legislative le quali prevedano che, per tali motivi, i dati siano conservati per un periodo di tempo limitato.
2.2. Normativa nazionale
La direttiva 2002/58/Ce è stata recepita con il Codice in materia di protezione dei dati personali (Titolo X (“Comunicazioni elettroniche”); cfr. art. 184). Nel Capo I di tale Titolo, intitolato “Servizi di comunicazione elettronica”, è stata introdotta una nuova disciplina sulla conservazione dei dati di traffico telefonico.
Da un lato, l’art. 123 del Codice ha ridotto a sei mesi il previgente limite temporale per la conservazione dei dati di traffico telefonico per finalità di fatturazione, pagamenti in caso di interconnessione e di commercializzazione di servizi, termine che era in precedenza individuabile nella misura massima di cinque anni in base a quanto previsto dal d.lg. n. 171/1998.
Dall’altro, l’art. 132 del medesimo Codice, modificato prima della sua entrata in vigore (d.l. 24 dicembre 2003, n. 354, convertito in l., con modificazioni, dall’art. 1 l. 26 febbraio 2004, n. 45) ha introdotto un distinto obbligo per i fornitori di servizi di comunicazione elettronica di conservare per finalità di accertamento e repressione dei reati dati di traffico telefonico relativi ai servizi offerti.
Tutto ciò, sullo sfondo del principio cardine in materia secondo cui i dati non devono essere formati se non sono necessari e proporzionati ai fini della funzionalità della rete o della prestazione del servizio (artt. 3 e 11 del Codice).
Dal contesto sopra riassunto emerge che è stata nel complesso vietata una conservazione generalizzata dei dati relativi al traffico (art. 123, comma 1, cit.), con le seguenti eccezioni:
- è stato consentito il trattamento di dati strettamente necessario a fini di fatturazione per l’abbonato, ovvero di pagamenti in caso di interconnessione (nei limiti e con le modalità di cui all’art. 123, comma 2) o, previo consenso dell’abbonato o dell’utente, a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto (art. 123, comma 3);
- è stata però prescritta in termini distinti la conservazione temporanea dei dati di traffico telefonico per esclusive finalità di accertamento e repressione dei reati per due periodi di ventiquattro mesi ciascuno (art. 132 del Codice).
Un successivo provvedimento d’urgenza del 2005 (d.l. 27 luglio 2005, n. 144, convertito in l., con modificazioni, dall’art. 1 della l. 31 luglio 2005, n. 155) ha poi introdotto, tra l’altro:
a) l’obbligo di conservare i dati di traffico telematico, escludendone i contenuti, per due periodi di sei mesi ciascuno;
b) l’obbligo di conservare dati relativi alle chiamate telefoniche senza risposta;
c) con riferimento ai primi ventiquattro mesi di conservazione dei dati del traffico telefonico e ai primi sei mesi di conservazione dei dati del traffico telematico, la previsione che la richiesta giudiziaria volta ad acquisirli, rivolta al fornitore, venga effettuata dal “pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private e non già dal giudice su istanza del pubblico ministero”;
d) un regime transitorio in virtù del quale è stata sospesa temporaneamente l’applicazione di qualunque disposizione che prescriva o consenta la cancellazione dei dati di traffico, anche se non soggetti a fatturazione (termine originariamente stabilito al 31 dicembre 2007, ma successivamente prorogato al 31 dicembre 2008 con l’art. 34 del recente d.l. 31 dicembre 2007, n. 248, in fase di conversione in legge);
e) per i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie, che si limitino a porre a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale, alcuni specifici obblighi di identificazione e monitoraggio delle operazioni compiute dai clienti (cfr. anche il d.m. 16 agosto 2005, in G.U. 17 agosto 2005, n. 190, attuativo di tale previsione).
Il decreto legge del 2005 ha quindi, da un lato, emendato l’art. 132 del Codice (punti a), b) e c) sopra indicati) e, dall’altro, ha introdotto un regime transitorio per la conservazione dei dati, nonché la predetta disciplina speciale applicabile solo a determinati soggetti.
Fermo restando il predetto regime, che prevedeva temporaneamente la conservazione (lett. d) sopra citata), la normativa di riferimento prescriveva ai fornitori di servizi di comunicazione elettronica di conservare comunque, per finalità di accertamento e repressione di reati, i dati relativi al traffico telefonico (inclusi quelli concernenti le chiamate senza risposta) e quelli inerenti al traffico telematico (esclusi i contenuti delle comunicazioni), rispettivamente per ventiquattro e sei mesi (art. 132, comma 1, del Codice).
La stessa normativa prescriveva inoltre, ai medesimi fornitori, di conservare tali dati per un periodo ulteriore, rispettivamente di ventiquattro e sei mesi, per l’accertamento e la repressione dei delitti tassativamente individuati dall’art. 407, comma 2, lett. a), c.p.p., nonché dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2).
Infine, introduceva la prescrizione, tutt’ora vigente, che la conservazione dei predetti dati fosse effettuata nel rispetto di specifici accorgimenti e misure a garanzia degli interessati. L’individuazione di tali cautele, oggetto del presente provvedimento, è stata appunto demandata al Garante per la protezione dei dati personali (cfr. artt. 17 e 132, comma 5, del Codice).
2.3. Altra disciplina comunitaria: la direttiva 2006/24/Ce
Al fine di armonizzare le disposizioni degli Stati membri sul tema della conservazione dei dati di traffico per finalità di accertamento e repressione di reati è poi intervenuta la direttiva n. 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, che doveva essere recepita entro il 15 settembre 2007.
Tale direttiva contiene specifiche indicazioni sul risultato convenuto a livello comunitario con riferimento sia ai tempi di conservazione dei dati di traffico (minimo sei mesi e massimo due anni), sia alla corretta e uniforme individuazione delle “categorie di dati da conservare” (analiticamente elencate nell’art. 5 della direttiva medesima); ciò, in relazione agli specifici servizi ivi enucleati, ovvero di telefonia di rete fissa e di telefonia mobile, di accesso a Internet, di posta elettronica in Internet e di telefonia via Internet.
In questo quadro risulta necessario tenere conto di tali indicazioni anche nell’ambito del presente provvedimento. Ciò, anche in considerazione del fatto che nell’attuale quadro normativo interno, pur sussistendo una definizione generale di “dati relativi al traffico” (art. 4, comma 2, lett. h) del Codice), tali dati non vengono enumerati, né vengono distinti espressamente i dati relativi al traffico “telefonico” da quelli inerenti al traffico “telematico”.
Tale distinzione risulta, invece, necessaria in considerazione del fatto che il legislatore italiano, diversamente da quello comunitario, ha individuato due diversi periodi di conservazione in relazione alla natura “telefonica” o “telematica” del dato da conservare.
Ciò comporta l’esigenza di specificare l’ambito soggettivo di applicazione del presente provvedimento rispetto all’obbligo di conservazione dei dati.
La direttiva è stata recepita con il d.lg. 30 maggio 2008, n. 109, che ha previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza ulteriori distinzioni in base al tipo di reato.
La legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica fatta a Budapest il 23 novembre 2001 ha poi previsto una specifica ipotesi di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati.
3. I fornitori tenuti a conservare i dati di traffico
Il “fornitore” sul quale incombe l’obbligo di conservare i dati di traffico ai sensi del citato art. 132 del Codice è quello che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione; per “servizi di comunicazione elettronica” devono intendersi quelli consistenti, esclusivamente o prevalentemente, “nella trasmissione di segnali su reti di comunicazioni elettroniche” (art. 4, comma 2, lett. d) e e), del Codice).
Ciò, deriva:
a) dalla collocazione del menzionato art. 132 all’interno del titolo X, capo I, del Codice e da quanto disposto dall’art. 121 del medesimo Codice il quale, nell’individuare i “Servizi interessati”, chiarisce che le disposizioni del titolo X “si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni”;
b) da quanto stabilisce il citato decreto legge 27 luglio 2005, n. 144 nella parte in cui, nell’imporre la conservazione dei dati per il predetto regime transitorio, si riferisce ai “fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico”.
Devono ritenersi quindi tenuti alla conservazione dei dati ai sensi del medesimo art. 132 i soggetti che realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall’assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, che istituisce un quadro normativo comune per le reti e i servizi di comunicazione elettronica (c.d. direttiva quadro) e d.lg. n. 259/2003 recante il Codice delle comunicazioni elettroniche).
Al contrario non rientrano, ad esempio, nell’ambito applicativo del presente provvedimento:
- i soggetti che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (come, a titolo esemplificativo, i soggetti pubblici o privati che consentono soltanto a propri dipendenti e collaboratori di effettuare comunicazioni telefoniche o telematiche). Tali servizi, pur rientrando nelle definizione generale di “servizi di comunicazione elettronica”, non possono essere infatti considerati come “accessibili al pubblico”. Qualora la comunicazione sia instradata verso un utente che si trovi al di fuori della c.d. “rete privata”, i dati di traffico generati da tale comunicazione sono invece oggetto di conservazione (ad es., da parte del fornitore di cui si avvale il destinatario della comunicazione, qualora si tratti di un messaggio di posta elettronica; cfr. documento di lavoro “Tutela della vita privata su Internet–Un approccio integrato dell’EU alla protezione dei dati on-line”, adottato dal Gruppo di lavoro per la tutela dei dati personali il 21 novembre 2000);
- i soggetti che, pur offrendo servizi di comunicazione elettronica accessibili al pubblico, non generano o trattano direttamente i relativi dati di traffico;
- i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
- i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. “content provider”). Essi non sono, infatti, fornitori di un “servizio di comunicazione elettronica” come definito dall’art. 4, comma 2, lett. e) del Codice. Tale norma, infatti, nel rinviare, per i casi di esclusione, all’art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essa stessa i “servizi che forniscono contenuti trasmessi utilizzando reti e servizi di comunicazione elettronica […]“. Deve rilevarsi, inoltre, che i dati di traffico relativi alla comunicazione (come, ad esempio, la c.d. “navigazione web” e le pagine visitate di un sito Internet) spesso identificano o rivelano nella sostanza anche il suo contenuto e pertanto l’eventuale conservazione di tali dati si porrebbe, in violazione di quanto disposto dall’art. 132 del Codice (come modificato dal citato d.l. n. 144/2005), laddove esclude dalla conservazione per finalità di giustizia i “contenuti” della comunicazione (cfr., in tal senso, anche l’art. 1, comma 2, della direttiva 2006/24/Ce, nella parte in cui esclude dal proprio ambito di applicazione la conservazione del “contenuto delle comunicazioni elettroniche, ivi incluse le informazioni consultate utilizzando una rete di comunicazioni elettroniche”);
- i gestori di motori di ricerca. I dati di traffico telematico che essi trattano, consentendo di tracciare agevolmente le operazioni compiute dall’utente in rete, sono, comunque, parimenti qualificabili alla stregua di “contenuti”.
4. I dati di traffico che devono essere conservati
L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi comunque i contenuti delle comunicazioni (art. 132 del Codice). In particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione (art. 4, comma 2, lett. h), del Codice).
Pertanto, i fornitori (come individuati nel precedente paragrafo 3) devono conservare, per esclusive finalità di accertamento e repressione di reati, solo i dati di traffico che risultino nella loro disponibilità in quanto derivanti da attività tecniche strumentali alla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Ciò, in ossequio anche ai princìpi di pertinenza e non eccedenza stabiliti dagli artt. 3 e 11 del Codice.
In tal senso, si esprime anche il citato decreto legge 27 luglio 2005, n. 144 che, all’art. 6, riconduce l’obbligo di conservazione alle “informazioni che consentono la tracciabilità degli accessi, nonché, qualora disponibili, dei servizi”. La direttiva 2006/24/Ce ribadisce che tale obbligo sussiste soltanto se i dati sono stati “generati o trattati nel processo di fornitura dei […] servizi di comunicazione” del fornitore (cfr. considerando 23 e art. 3, par. 1, della direttiva 2006/24/Ce cit.).
L’art. 5 di tale direttiva contiene, poi, un’elencazione specifica delle informazioni da conservare e individua diverse categorie di dati di traffico, specificandone i contenuti a seconda che si tratti di traffico telefonico o telematico.
Nell’ambito dei servizi di comunicazione elettronica, occorre infatti distinguere i servizi “telefonici” da quelli “telematici”.
Nei primi sono ricompresi:
- le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;
- servizi supplementari, inclusi l’inoltro e il trasferimento di chiamata;
- la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms.
Nei secondi sono ricompresi:
- l’accesso alla rete Internet;
- la posta elettronica;
- i fax (nonché i messaggi sms e mms) via Internet;
- la telefonia via Internet (cd. Voice over Internet Protocol–VoIP).
Per quanto concerne specificamente la conservazione dei dati di traffico telefonico relativo alle “chiamate senza risposta”, fermo restando allo stato quanto indicato dalla direttiva 2006/24/Ce al considerando 12 (laddove esclude dal proprio ambito di applicazione i “tentativi di chiamata non riusciti”), il fornitore, in forza delle modifiche apportate dal d.l. n. 144/2005 all’art. 132 del Codice, deve conservare solo i dati generati da chiamate telefoniche che sono state collegate con successo, ma non hanno ottenuto risposta oppure in cui vi è stato un intervento del gestore della rete (cfr. art. 2, comma 2, lett. f), direttiva 2006/24/Ce).
5. Finalità perseguibili
Il vincolo secondo cui i dati conservati obbligatoriamente per legge possono essere utilizzati solo per finalità di accertamento e repressione di reati comporta una precisa limitazione per i fornitori nell’eventualità in cui essi ricevano richieste volte a perseguire scopi diversi.
Ad esempio:
a) i medesimi fornitori non possono corrispondere a eventuali richieste riguardanti tali dati formulate nell’ambito di una controversia civile, amministrativa e contabile;
b) sono tenuti a rispettare il menzionato vincolo di finalità anche l’interessato che acceda ai dati che lo riguardano esercitando il diritto di accesso di cui all’art. 7 del Codice (e che può utilizzare quindi i dati acquisiti solo in riferimento alle predette finalità penali), nonché, nel procedimento penale, il difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private (art. 132, comma 3, del Codice).
6. Modalità di acquisizione dei dati
Il Codice individua le modalità con le quali possono essere acquisiti i dati di traffico conservati dai fornitori prescrivendo che la richiesta sia formulata con “decreto motivato del pubblico ministero anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private” (art. 132, comma 3, del Codice).
Al difensore dell’imputato o della persona sottoposta alle indagini è riconosciuta la facoltà di richiedere, direttamente, al fornitore i dati di traffico limitatamente ai dati che si riferiscano “alle utenze intestate al proprio assistito”. La richiesta deve essere effettuata “con le modalità indicate dall’articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all’articolo 8, comma 2, lettera f), per il traffico entrante” (art. 132, comma 3, cit.). Tale ultimo riferimento ai presupposti previsti dal Codice per l’accesso alle chiamate in entrata comporta, anche per i fornitori, la necessaria valutazione preliminare della circostanza che dalla mancata conoscenza dei dati richiesti possa derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. A tale riguardo si richiama quanto rilevato nel provvedimento adottato dal Garante in materia il 3 novembre 2005, consultabile sul sito dell’Autorità (doc. web n. 1189488).
7. Misure e accorgimenti da prescrivere
Come premesso, il Garante è stato preposto per disposizione di legge a individuare accorgimenti e misure da porre a garanzia degli interessati nell’ambito della conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione di reati (art. 132, comma 5, del Codice).
A tal fine, il Garante ha curato preliminarmente diversi approfondimenti tecnici con esperti del settore, nonché numerosi accertamenti ispettivi presso primari fornitori di servizi di comunicazione elettronica; ha, infine, indetto una specifica consultazione pubblica su un articolato documento indicante le misure e gli accorgimenti ritenuti idonei per la conservazione dei dati di traffico per finalità di giustizia.
Le cautele ipotizzate in sede di consultazione pubblica hanno trovato conforto all’esito della stessa, non essendo pervenuti all’Autorità sostanziali rilievi critici da parte dei soggetti interessati.
Tutte le riflessioni e commenti pervenuti sono stati comunque oggetto di specifica analisi e considerazione nell’elaborazione del presente provvedimento.
Nell’individuare le seguenti cautele che il Garante prescrive ai fornitori interessati al presente provvedimento, l’Autorità ha tenuto conto dei parametri indicati negli artt. 17 e 132, comma 5, del Codice, nonché:
a) dell’esigenza normativa volta a prevedere specifiche cautele rapportate alla quantità e qualità dei dati da proteggere e ai rischi indicati nell’art. 31 del Codice, rischi che i fornitori devono già oggi prevenire rispettando i comuni obblighi di sicurezza collegati alle misure non solo minime previste dal Codice (artt. 31 e ss.; Allegato B);
b) dell’opportunità di individuare, allo stato, misure protettive per i trattamenti svolti da tutti i fornitori interessati che siano verificabili anche in sede ispettiva, ai fini di una più incisiva messa in sicurezza dei dati di traffico telefonico e telematico;
c) della necessità di tenere in considerazione i costi derivanti dall’adozione delle misure e degli accorgimenti prescritti con il presente provvedimento, anche in ragione della variegata capacità tecnica ed economica dei soggetti interessati;
d) del contesto europeo di riferimento, specie alla luce dei pareri resi dal Gruppo per la tutela dei dati personali (cfr. pareri nn. 4/2005 sulla proposta di direttiva del Parlamento europeo e del Consiglio riguardante la conservazione di dati trattati nell’ambito della fornitura di servizi pubblici di comunicazione elettronica e che modifica la direttiva 2002/58/Ce; 3/2006 sulla direttiva 2006/24/Ce del Parlamento europeo e del Consiglio riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione che modifica la direttiva 2002/58/Ce; 8/2006 sulla revisione del quadro normativo per le reti ed i servizi di comunicazione elettronica, con particolare attenzione alla direttiva relativa alla vita privata e alle comunicazioni elettroniche);
e) dello stato dell’evoluzione tecnologica, alla luce del quale le seguenti prescrizioni devono pertanto ritenersi soggette ad aggiornamento periodico.
Di seguito, sono indicati gli accorgimenti e le misure prescritti dal Garante.
Tali misure e accorgimenti devono essere adottati dai fornitori di comunicazione elettronica anche in caso di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati, ai sensi del menzionato art. 132, comma 4 ter, del Codice.
Per effetto del presente provvedimento:
7.1. Sistemi di autenticazione
Il trattamento dei dati di traffico telefonico e telematico da parte dei fornitori deve essere consentito solo agli incaricati del trattamento e unicamente sulla base del preventivo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione, qualunque sia la modalità, locale o remota, con cui si realizzi l’accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l’incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti.
Tale fase di autenticazione può essere realizzata con procedure strettamente integrate alle applicazioni informatiche con cui il fornitore tratta i dati di traffico, oppure con procedure per la protezione delle singole postazioni di lavoro che si integrino alle funzioni di autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il fornitore deve assicurare che non esistano modalità di accesso alle applicazioni informatiche da parte dei propri incaricati di trattamento che consentano di eludere le procedure di strong authentication predisposte per l’accesso alla postazione di lavoro.
Per i dati di traffico conservati per esclusive finalità di accertamento e repressione dei reati (cioè quelli generati da più di sei mesi, oppure la totalità dei dati trattati per queste finalità se conservati separatamente dai dati trattati per le altre finalità fin dalla loro generazione), una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato, in modo tale da assicurare la presenza fisica di quest’ultimo presso la postazione di lavoro utilizzata per il trattamento.
Tali modalità di autenticazione devono essere applicate anche a tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore.
Limitatamente a tali addetti tecnici, circostanze legate a indifferibili interventi per malfunzionamenti, guasti, installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi, possono determinare la necessità di accesso informatico a sistemi di elaborazione che trattano dati di traffico in assenza di autenticazione biometrica o di strong-authentication per operazioni che comportano la presenza fisica dell’addetto che procede all’intervento in prossimità del sistema di elaborazione (per esempio, per lo svolgimento di operazioni di amministrazione da console locale che implichino la disabilitazione dei servizi di rete e l’impossibilità di gestire operazioni di input/output tramite dispositivi accessori come quelli utilizzabili per la strong authentication).
In caso di accesso da parte degli addetti tecnici nei termini anzidetti, fermo restando l’obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall’Allegato B) al Codice e, per quanto concerne i trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, quanto specificato al successivo paragrafo 7.3, dovrà essere tenuta preventivamente traccia in un apposito “registro degli accessi” dell’evento, nonché delle motivazioni che lo hanno determinato, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l’utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all’accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore.
7.2. Sistemi di autorizzazione
Relativamente ai sistemi di autorizzazione devono essere adottate specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati. Tali differenti funzioni non possono essere attribuite contestualmente a uno stesso soggetto.
I profili di autorizzazione da definire e da attribuire agli incaricati devono differenziare le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati e, infine, dalle funzioni di trattamento dei dati in caso di esercizio dei diritti dell’interessato (art. 7 del Codice).
7.3. Conservazione separata
I dati di traffico conservati per esclusive finalità di accertamento e repressione di reati vanno trattati necessariamente tramite sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia nell’immagazzinamento dei dati (storage).
Più specificamente, i sistemi informatici utilizzati per i trattamenti di dati di traffico conservati per esclusiva finalità di giustizia devono essere differenti da quelli utilizzati anche per altre funzioni aziendali (come fatturazione, marketing, antifrode) ed essere, altresì, protetti contro il rischio di intrusione mediante idonei strumenti di protezione perimetrale a salvaguardia delle reti di comunicazione e delle risorse di memorizzazione impiegate nei trattamenti.
I dati di traffico conservati per un periodo non superiore a sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità, per l’elaborazione con sistemi dedicati a questo specifico trattamento.
Questa prescrizione lascia ai fornitori la facoltà di scegliere, sulla base di propri modelli organizzativi e della propria dotazione tecnologica, l’architettura informatica più idonea per la conservazione obbligatoria dei dati di traffico e per le ordinarie elaborazioni aziendali; permette infatti che i dati di traffico conservati sino a sei mesi dalla loro generazione possano essere trattati, per finalità di giustizia, con sistemi informatici non riservati esclusivamente a tali elaborazioni; oppure, che gli stessi dati vengano duplicati per effettuare un trattamento dedicato esclusivamente al perseguimento delle finalità di giustizia. In quest’ultimo caso le misure e gli accorgimenti prescritti per i dati conservati per esclusive finalità di giustizia si applicano sin dall’inizio del trattamento.
Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all’interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l’espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali.
Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico.
Devono essere adottate misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni.
7.4. Incaricati del trattamento
Gli incaricati che accedono ai dati di traffico conservati per le finalità di cui all’art. 132 del Codice, anche per consentire l’esercizio dei diritti di cui all’art. 7 del Codice medesimo, devono essere designati specificamente in rapporto ai dati medesimi.
Il processo di designazione deve prevedere la frequenza di una periodica attività formativa concernente l’illustrazione delle istruzioni, il rispetto delle misure di sicurezza e le relative responsabilità. L’effettiva partecipazione al corso deve essere documentata.
Per quanto riguarda le richieste per l’esercizio dei diritti di cui all’art. 7 del Codice che comportano l’estrazione dei dati di traffico (menzionate anche nell’art. 132, comma 5, lett. c)), nei limiti in cui ciò è consentito ai sensi dell’art. 8, comma 2, lettera f) del Codice, il titolare del trattamento deve conservare in forma specifica la documentazione comprovante l’idonea verifica dell’identità del richiedente ai sensi dell’art. 9 del Codice stesso, e adottare opportune cautele per comunicare i dati al solo soggetto legittimato in base al medesimo articolo.
7.5. Cancellazione dei dati
Allo scadere dei termini previsti dalle disposizioni vigenti, i dati di traffico sono resi non disponibili per le elaborazioni dei sistemi informativi e le relative consultazioni; sono altresì cancellati o resi anonimi senza alcun ritardo, in tempi tecnicamente compatibili con l’esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti, nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente, documentando tali operazioni al più tardi entro trenta giorni successivi alla scadenza dei termini di cui all’art. 132 del Codice.
7.6. Altre misure
Audit log
Devono essere adottate soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati.
Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall’uso interattivo dei sistemi, sia quando sono svolte tramite l’azione automatica di programmi informatici.
I sistemi di audit log devono garantire la completezza, l’immodificabilità e l’autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull’utilizzo di tecnologie crittografiche.
Le misure di cui al presente paragrafo sono adottate nel rispetto dei princìpi in materia di controllo dei lavoratori sull’uso di strumenti elettronici, con particolare riguardo all’informativa agli interessati (cfr. Provv. 1° marzo 2007, doc. web n. 1387522).
7.7. Audit interno–Rapporti periodici
La gestione dei dati di traffico per finalità di accertamento e repressione di reati deve essere oggetto, con cadenza almeno annuale, di un’attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati di traffico previste dalle norme vigenti e dal provvedimento del Garante, anche per ciò che riguarda la verifica della particolare selettività degli incaricati legittimati.
L’attività di controllo deve essere demandata a un’unità organizzativa o, comunque, a personale diverso rispetto a quelli cui è affidato il trattamento dei dati per la finalità di accertamento e repressione dei reati.
I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull’integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sull’effettiva cancellazione dei dati decorsi i periodi di conservazione.
L’attività di controllo deve essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate.
L’esito dell’attività di controllo deve essere:
- comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della società;
- richiamato nell’ambito del documento programmatico sulla sicurezza nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;
- messo, a richiesta, a disposizione del Garante o dell’autorità giudiziaria.
7.8. Documentazione dei sistemi informativi
I sistemi informativi utilizzati per il trattamento dei dati di traffico devono essere documentati in modo idoneo secondo i princìpi dell’ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione.
La descrizione deve comprendere, per ciascun sistema applicativo, l’architettura logico-funzionale, l’architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l’architettura della rete di comunicazione, l’indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema.
La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l’esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati.
La documentazione tecnica deve essere aggiornata e messa a disposizione dell’Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico.
7.9. Cifratura e protezione dei dati
I dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. In particolare, devono essere adottate soluzioni che rendano le informazioni, residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei database o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche.
Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, data base administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate.
Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire, più in generale, la sicurezza dei sistemi, evitando di esporli a vulnerabilità e a rischio di intrusione (a titolo esemplificativo, l’accesso interattivo in modalità “emulazione di terminale”, anche per scopi tecnici, non deve essere consentito su canali non sicuri, così come deve essere evitata l’attivazione di servizi di rete non necessari che si possono prestare alla realizzazione di forme di intrusione).
7.10. Tempi di adozione delle misure e degli accorgimenti
Valutato il complesso delle misure e degli accorgimenti, tenuto conto del quadro delle cautele che emergono dalle risultanze ispettive essere già in atto presso i fornitori, nonché dei tempi tecnici necessari per completarne l’attuazione, anche alla luce di quanto emerso dalla consultazione pubblica, risulta dagli atti congruo fissare un termine transitorio per i trattamenti di dati in essere, prevedendo che tutti gli adempimenti di cui al presente punto 7 siano completati al più presto ed entro, e non oltre, il termine che è parimenti congruo stabilire per tutti i fornitori al 30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, al 30 giugno 2009. Entro tale termine, i fornitori dovranno dare conferma al Garante attestando formalmente l’integrale adempimento al presente provvedimento.
8. Applicazione di alcune misure a dati trattati per altre finalità
Le considerazioni svolte sulla natura particolarmente delicata dei dati di traffico, sulla necessità di garantire una tutela maggiormente efficace dei diritti e delle libertà delle persone e di prescrivere una più incisiva messa in sicurezza di dati rilevano anche per ogni altro trattamento di dati di traffico telefonico e telematico effettuato dai fornitori di cui al paragrafo 3.
Ciò, comporta l’improrogabile esigenza di assicurare che almeno alcuni tra gli accorgimenti e le misure di cui al precedente punto 7, limitatamente a quelli adattabili al caso di specie, siano applicati comunque dai predetti fornitori nell’ambito di analoghi trattamenti di dati di traffico telefonico e telematico effettuati per finalità non di giustizia, ma di fatturazione, pagamento in caso di interconnessione e commercializzazione di servizi, nel più breve periodo temporale indicato nel menzionato art. 123.
Per tali ragioni il Garante, contestualmente e distintamente da quanto va disposto ai sensi dell’art. 132, comma 5, del Codice, prescrive ai fornitori di cui al paragrafo 3, ai sensi dell’art. 17 del medesimo Codice, di adottare nel termine e con la modalità di cui al paragrafo 7.10. le misure e gli accorgimenti indicati nella lettera c) del seguente dispositivo.
Copia del presente provvedimento verrà trasmessa al Ministero della giustizia, anche ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell’Ufficio pubblicazione leggi e decreti, nonché, per opportuna conoscenza, all’Autorità per le garanzie nelle comunicazioni.
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi degli artt. 17, 123 e 132, comma 5, del Codice, prescrive ai fornitori di servizi di comunicazione elettronica individuati nel paragrafo 3 di adottare nel trattamento dei dati di traffico telefonico e telematico di cui al paragrafo 4 le misure e gli accorgimenti a garanzia degli interessati individuate nel presente provvedimento, provvedendo a (par. 7):
adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento, nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l’accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l’incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Per i dati di traffico trattati per esclusive finalità di accertamento e repressione dei reati, una di tali tecnologie deve essere basata sull’elaborazione di caratteristiche biometriche dell’incaricato, in modo tale da assicurare la presenza fisica di quest’ultimo presso la postazione di lavoro utilizzata per il trattamento. Tali modalità di autenticazione devono essere applicate anche a tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore. Relativamente ai soli addetti tecnici indicati al presente punto 1, qualora circostanze legate a indifferibili interventi per malfunzionamenti, guasti, installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso informatico a sistemi di elaborazione che trattano dati di traffico in assenza di strong authentication, fermo restando l’obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall’Allegato B) al Codice, deve essere tenuta traccia dell’evento in un apposito “registro degli accessi”, nonché delle motivazioni che li hanno determinati, con una successiva descrizione sintetica delle operazioni svolte, anche mediante l’utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all’accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore. adottare specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati. Il fornitore deve definire e attribuire agli incaricati specifici profili di autorizzazione differenziando le funzioni di trattamento dei dati di traffico per finalità di ordinaria gestione da quelle per finalità di accertamento e repressione dei reati e, infine, dalle funzioni di trattamento dei dati in caso di esercizio dei diritti dell’interessato (art. 7 del Codice); adottare, per la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione di reati, sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico anche per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione possono, invece, essere trattati per le finalità di giustizia sia prevedendone il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti, sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzature informatiche utilizzate per i trattamenti di dati di traffico per le esclusive finalità di giustizia di cui sopra devono essere collocate all’interno di aree ad accesso selezionato (ovvero riservato ai soli soggetti legittimati ad accedervi per l’espletamento di specifiche mansioni) e munite di dispositivi elettronici di controllo o di procedure di vigilanza che comportino la registrazione dei dati identificativi delle persone ammesse, con indicazione dei relativi riferimenti temporali. Nel caso di trattamenti di dati di traffico telefonico per esclusive finalità di giustizia, il controllo degli accessi deve comprendere una procedura di riconoscimento biometrico. Infine, il fornitore deve adottare misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni; designare specificamente gli incaricati che possono accedere ai dati di traffico conservati per le finalità di cui all’art. 132 del Codice, anche per consentire l’esercizio dei diritti di cui all’art. 7 del Codice medesimo. Il processo di designazione deve prevedere la documentata frequenza di una periodica attività formativa concernente l’illustrazione delle istruzioni, il rispetto delle misure di sicurezza e le relative responsabilità. Per quanto riguarda le richieste per l’esercizio dei diritti di cui all’art. 7 del Codice che comportano l’estrazione dei dati di traffico, nei limiti in cui ciò è consentito ai sensi dell’art. 8, comma 2, lettera f) del Codice, il fornitore deve conservare in forma specifica la documentazione comprovante l’idonea verifica dell’identità del richiedente ai sensi dell’art. 9 del Codice stesso, e adottare opportune cautele per comunicare i dati al solo soggetto legittimato in base al medesimo articolo; rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti. Il fornitore deve cancellare o rendere anonimi senza ritardo tali dati, in tempi tecnicamente compatibili con l’esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di cui all’art. 132 del Codice; adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall’uso interattivo dei sistemi, sia quando sono svolte tramite l’azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l’immodificabilità, l’autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull’utilizzo di tecnologie crittografiche; svolgere, con cadenza almeno annuale, un’attività di controllo interno per verificare costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati di traffico previste dalle norme vigenti e dal provvedimento del Garante, anche per ciò che riguarda la verifica della particolare selettività degli incaricati legittimati. Tale attività di controllo deve essere demandata a un’unità organizzativa o, comunque, a personale diverso rispetto a quelli cui è affidato il trattamento dei dati per la finalità di accertamento e repressione dei reati. I controlli devono comprendere anche verifiche a posteriori, a campione o su eventuale allarme derivante da sistemi di Alerting e di Anomaly Detection, sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati, sull’integrità dei dati e delle procedure informatiche adoperate per il loro trattamento. Sono svolte, altresì, verifiche periodiche sull’effettiva cancellazione dei dati decorsi i periodi di conservazione. L’attività di controllo deve essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate. L’esito dell’attività di controllo deve essere: comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della società; richiamato nell’ambito del documento programmatico sulla sicurezza nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza; messo, a richiesta, a disposizione del Garante o dell’autorità giudiziaria; documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell’ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l’architettura logico-funzionale, l’architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l’architettura della rete di comunicazione, l’indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l’esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell’Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico; proteggere i dati di traffico trattati per esclusive finalità di giustizia con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. Il fornitore deve adottare soluzioni che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei, ricorrendo a forme di cifratura od offuscamento di porzioni dei data base o degli indici o ad altri accorgimenti tecnici basati su tecnologie crittografiche. Tale misura deve essere efficace per ridurre al minimo il rischio che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere, oppure che possano intenzionalmente o fortuitamente alterare le informazioni registrate. Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocolli di comunicazione sicuri devono essere adottati anche per garantire più in generale la sicurezza dei sistemi evitando di esporli a vulnerabilità e a rischio di intrusione;b) ai sensi dei medesimi artt. 17, 123 e 132, comma 5 del Codice, nonché dell’art. 157 del Codice, prescrive ai predetti fornitori titolari del trattamento di effettuare tutti gli adempimenti di cui alla precedente lett. a) al più presto e, comunque, entro e non oltre il termine del 30 aprile 2009, dandone conferma al Garante attestando entro lo stesso termine l’integrale adempimento;
c) ai sensi dell’art. 17 del Codice prescrive ai medesimi fornitori titolari del trattamento di adottare, rispetto ai dati di traffico trattati per le finalità di cui all’art. 123 del Codice, entro e non oltre il termine del 30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attività di call center, 30 giugno 2009, dandone ai sensi dell’art. 157 del Codice conferma al Garante e attestando entro lo stesso termine l’integrale adempimento, i seguenti accorgimenti e misure (par. 8):
adottare specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione, che si applichino agli accessi ai sistemi di elaborazione da parte di tutti gli incaricati di trattamento nonché di tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che abbiano la possibilità concreta di accedere ai dati di traffico custoditi nelle banche dati del fornitore, qualunque sia la modalità, locale o remota, con cui si realizzi l’accesso al sistema di elaborazione utilizzato per il trattamento, evitando che questo possa aver luogo senza che l’incaricato abbia comunque superato una fase di autenticazione informatica nei termini anzidetti. Qualora circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazione hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessità di accesso a sistemi di elaborazione che trattano dati di traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l’obbligo di assicurare le misure minime in tema di credenziali di autenticazione previste dall’Allegato B) al Codice in materia di protezione dei dati personali, deve essere tenuta traccia in un apposito “registro degli accessi” dell’eventuale accesso fisico ai locali in cui sono installati i sistemi di elaborazione oggetto di intervento e dell’accesso logico ai sistemi, nonché delle motivazioni che li hanno determinati, con una descrizione sintetica delle operazioni svolte, anche mediante l’utilizzo di sistemi elettronici. Tale registro deve essere custodito dal fornitore presso le sedi di elaborazione e messo a disposizione del Garante nel caso di ispezioni o controlli, unitamente a un elenco nominativo dei soggetti abilitati all’accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore; adottare procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati; rendere i dati di traffico immediatamente non disponibili per le elaborazioni dei sistemi informativi allo scadere dei termini previsti dalle disposizioni vigenti, provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempi tecnicamente compatibili con l’esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, documentando tale operazione entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123 del Codice); adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall’uso interattivo dei sistemi, sia quando sono svolte tramite l’azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l’immodificabilità, l’autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull’utilizzo di tecnologie crittografiche; documentare i sistemi informativi utilizzati per il trattamento dei dati di traffico in modo idoneo secondo i princìpi dell’ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione. La descrizione deve comprendere, per ciascun sistema applicativo, l’architettura logico-funzionale, l’architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l’architettura della rete di comunicazione, l’indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema. La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l’esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati. La documentazione tecnica deve essere aggiornata e messa a disposizione dell’Autorità su sua eventuale richiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico;d) dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia anche ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell’Ufficio pubblicazione leggi e decreti, nonché, per opportuna conoscenza, all’Autorità per le garanzie nelle comunicazioni.
Roma, 17 gennaio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli