GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

PROVVEDIMENTO 24 luglio 2008

Modifica al provvedimento del 17 gennaio 2008 sulla conservazione dei
dati di traffico – Misure e accorgimenti a tutela dell’interessato in
attuazione dell’articolo 132 del decreto legislativo 30 giugno 2003,
n. 196, recante: «Codice in materia di protezione dei dati personali».

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, e del dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario generale;
Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito, «Codice») e, in particolare, gli articoli 17 e 132, comma 5, del Codice medesimo;
Visto il provvedimento generale del 17 gennaio 2008 con il quale il Garante ha prescritto ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, ai sensi degli articoli 17, 123 e 132 del Codice, l’adozione di specifici accorgimenti e misure a garanzia dei dati di traffico conservati sia per finalita’ di accertamento e repressione di reati, sia per finalita’ ordinarie (in Gazzetta Ufficiale 5 febbraio 2008, n. 30, nonche’ in www.garanteprivacy.it, doc. web n. 1482111);
Vista la legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalita’ informatica, fatta a Budapest il 23 novembre 2001;
Visto in particolare, l’art. 10 di tale legge che, nel modificare il menzionato art. 132, ha previsto una specifica ipotesi di temporanea conservazione dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati;
Visto il decreto legislativo 30 maggio 2008, n. 109, di recepimento della direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce;
Visto, in particolare, l’art. 2 di tale decreto che ha modificato nuovamente l’art. 132 del Codice;
Considerato che e’ ora previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza distinzioni in base al tipo di reato;
Rilevata la necessita’ di apportare al menzionato provvedimento generale alcune modifiche strettamente necessarie in ragione delle suindicate novita’ di carattere normativo riguardanti la durata della conservazione dei dati, nei termini di cui al seguente dispositivo, dando atto che il medesimo provvedimento del 17 gennaio 2008 resta immutato per ogni altro profilo;
Viste la note inoltrate da Asstel, da Vodafone Italia N.V. e da Telecom Italia S.p.A., rispettivamente l’8, il 1° e il 22 luglio 2008, con le quali e’ stato chiesto un differimento del termine del 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio per attuare i predetti accorgimenti e misure; richiesta giustificata in base alla complessita’ degli interventi necessari per adeguare i sistemi informativi dei fornitori alle prescrizioni del suddetto provvedimento;
Vista l’audizione del 23 luglio 2008 nel corso della quale l’associazione Asstel ha chiesto, in considerazione delle recenti modifiche normative apportate dal decreto legislativo n. 109/2008 e dalla legge n. 48/2008, un differimento del termine dal 31 ottobre 2008 al 30 aprile 2009 per adempiere alle nove prescrizioni previste per i trattamenti di dati per finalita’ di accertamento e repressione dei reati, nonche’ alle cinque prescrizioni relative ai trattamenti di dati ai sensi dell’art. 123 del Codice (salvo per quanto riguarda la sola strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attivita’ di call center, per la quale chiede di differire l’adeguamento alla medesima prescrizione al 30 giugno 2009);
Rilevato che tale richiesta, considerate le ragioni addotte e gli elementi prodotti a sostegno, puo’ essere accolta disponendo un differimento del termine per tutte le suddette prescrizioni che risulta congruo contenere in un periodo non superiore a sei mesi, ovvero sino al 30 aprile 2009, salvo per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attivita’ di call center, per la quale appare giustificato disporre un differimento per l’adeguamento alla medesima prescrizione al 30 giugno 2009;
Rilevato che le misure e gli accorgimenti prescritti con il predetto provvedimento generale devono essere adottati dai fornitori anche in ogni ipotesi di conservazione temporanea dei dati relativi al traffico telematico ai sensi del menzionato art. 132, comma 4-ter, del Codice e per tutta la sua durata;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

Tutto cio’ premesso il Garante:

  • a) ai sensi degli articoli 17 e 132 del Codice in materia di protezione dei dati personali dispone di apportare al proprio provvedimento generale del 17 gennaio 2008 in tema di trattamento dei dati di traffico le seguenti modifiche:
    al paragrafo 2.2, settimo capoverso, e’ soppressa la parola «vigente», mentre le parola «prevede» e «prescrive» sono sostituite con le parole «prevedeva» e «prescriveva»; all’ottavo capoverso la parola «prescrive» e’ sostituita con la parola «prescriveva»; al nono capoverso la parola «prevede» e’ sostituita dalle parole «introduceva la prescrizione, tutt’ora vigente», mentre la parola «sia» e’ sostituita dalla parola «fosse»;
    alla fine del paragrafo 2.3 (Altra disciplina comunitaria: la direttiva 2006/24/Ce) sono aggiunti i seguenti periodi: «La direttiva e’ stata recepita con il decreto legislativo 30 maggio 2008, n. 198, che ha previsto un periodo unico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate senza risposta, senza ulteriori distinzioni in base al tipo di reato. La legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d’Europa sulla criminalita’ informatica fatta a Budapest il 23 novembre 2001 ha poi previsto una specifica ipotesi di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati.»;
    al paragrafo 5 (Finalita’ perseguibili), sono soppresse le parole da: «(individuati specificamente» fino a: «conservazione)»;
    al paragrafo 6 (Modalita’ di acquisizione dei dati), sono soppresse le parole da: «, con riferimento» fino a: «e telematico),» nonche’ il secondo capoverso;
    al paragrafo 7 (Misure e accorgimenti da prescrivere) tra le parole: «prescritti dal Garante.» e: «Per effetto del presente provvedimento», e’ inserito il seguente capoverso: «Tali misure e accorgimenti devono essere adottati dai fornitori di comunicazione elettronica anche in caso di conservazione temporanea dei dati relativi al traffico telematico a fini di svolgimento di investigazioni preventive o di accertamento e repressione di reati, ai sensi del menzionato art. 132, comma 4-ter, del Codice.»;
    al paragrafo 7.1 (Sistemi di autenticazione) dopo il primo periodo e’ aggiunto il seguente capoverso: «Tale fase di autenticazione puo’ essere realizzata con procedure strettamente integrate alle applicazioni informatiche con cui il fornitore tratta i dati di traffico, oppure con procedure per la protezione delle singole postazioni di lavoro che si integrino alle funzioni di autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il fornitore deve assicurare che non esistano modalita’ di accesso alle applicazioni informatiche da parte dei propri incaricati di trattamento che consentano di eludere le procedure di strong authentication predisposte per l’accesso alla postazione di lavoro.»;
    al paragrafo 7.2 (Sistemi di autorizzazione), primo capoverso, sono soppresse le parole da: «distinguendo» fino a: «comma 2, del Codice)», nonche’ il secondo e il terzo capoverso;
    al paragrafo 7.3 (Conservazione separata), sono soppressi il sesto e il settimo capoverso;
    al paragrafo 7.10 (Tempi di adozione delle misure e degli accorgimenti) le parole «31 ottobre 2008», sono sostituite dalle parole: «30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attivita’ di call center, al 30 giugno 2009.»;
    alla lettera a), punto 2. del dispositivo, sono soppresse le parole da: «distinguendo,» fino a: «comma 2, del Codice»;
    alla lettera a), punto 3. del dispositivo, sono soppresse le parole da: «Inoltre,» fino a: «profili di autorizzazione.»;
  • b) in accoglimento delle richieste di cui in motivazione volte ad accordare ai fornitori di servizi di comunicazione elettronica un differimento del termine del 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio 2008, dispone altresi’ che, a modifica di tale provvedimento:
    alla lettera b) del dispositivo le parole: «31 ottobre 2008», sono sostituite dalle parole: «30 aprile 2009»;
    alla lettera c) del dispositivo le parole «31 ottobre 2008», sono sostituite dalle parole: «30 aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati di traffico nell’ambito dell’attivita’ di call center, 30 giugno 2009».
    Fino al decorso di tali termini, i dati personali devono essere custoditi in maniera tale da evitare un incremento dei rischi derivanti dal trattamento;
  • c) ai sensi dell’art. 154, comma 1, lettera h), del Codice da’ atto che nell’allegato A) della presente deliberazione figura, a scopo conoscitivo, il testo aggiornato del menzionato provvedimento del 17 gennaio 2008, quale risultante dalle integrazioni e dalle modifiche apportate con la presente deliberazione.

Roma, 24 luglio 2008

Il Presidente Pizzetti

Il relatore Pizzetti

Il segretario generale Buttarelli