Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati

1. Considerazioni preliminari

I dati relativi al traffico telefonico e telematico sono informazioni che dovrebbero riguardare solo alcune caratteristiche esteriori delle conversazioni, delle chiamate e delle comunicazioni, senza permettere di desumerne, almeno direttamente, i contenuti.

Tuttavia, tali caratteristiche permettono di individuare analiticamente quando, tra chi e come sono intercorsi contatti telefonici o per via telematica. Innumerevoli informazioni, quando divengono oggetto di una conservazione massiva e capillare sia pure solo per determinate finalità di giustizia, consentono di ricostruire anche a notevole distanza di tempo intere sfere di relazioni personali, professionali, commerciali e istituzionali e di formare anche delicati profili interpersonali: si tratta in altre parole di dati che possiedono un'"accentuata valenza divulgativa di notizie caratterizzanti la personalità dell'autore".

Vi è, quindi, un'incidenza sulla libertà stessa di comunicazione. Inoltre, specifici segreti attinenti a determinate attività, relazioni e professioni possono essere esposti a un serio pregiudizio.

Quando tali dati devono essere conservati per un'eccezionale necessità prevista dalla legge, la loro custodia deve essere pertanto basata su elevate cautele, volte a prevenire rischi specifici per la dignità, i diritti e le libertà fondamentali degli interessati, nei cui confronti eventuali abusi possono comportare importanti ripercussioni.

Per le comunicazioni attraverso reti telematiche si possono porre, poi, ulteriori aspetti critici rispetto alle tradizionali forme di conversazione telefonica. Non di rado, i dati esteriori a tali comunicazioni possono essere infatti anche indirettamente espressivi del contenuto di messaggi, consultazioni in rete di documenti e di dialoghi, sempre in rete, tra soggetti definiti. Taluni dati possono permettere anche di desumere particolari orientamenti, convincimenti e abitudini di ordine politico, sindacale o religioso o attinenti alla sfera della salute o della vita sessuale.

2. Quadro normativo di riferimento

2.1. Normativa comunitaria
La direttiva n. 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, impone agli Stati membri di proteggere la riservatezza delle comunicazioni elettroniche e vieta la conservazione dei dati relativi al traffico generati nel corso delle comunicazioni, ad eccezione della conservazione espressamente autorizzata per i fini indicati nella direttiva medesima. Questi fini comprendono la prevenzione, ricerca, accertamento e perseguimento dei reati.

Il legislatore comunitario definisce i dati relativi al traffico come quei dati sottoposti a trattamento "ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione" (cfr. art. 2 della predetta direttiva 2002/58/CE, nonché il relativo considerando 15  ⁽³⁾ ). Precisa, inoltre, quanto all'ambito applicativo, che la direttiva ha ad oggetto il trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazione (cfr. art. 3).

In tale prospettiva, la direttiva, nell'imporre agli Stati membri l'adozione di disposizioni di legge nazionali che assicurino la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, pone l'accento sui dati di traffico generati dai servizi medesimi (art. 5). Precisa, inoltre, che tali dati, trattati e memorizzati dal fornitore della rete pubblica o del servizio pubblico di comunicazione elettronica, devono essere cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione, fatte salve alcune eccezioni, indicate ai paragrafi 2  , 3    e 5   dell'art. 6    e all'articolo 15, paragrafo 1 della direttiva.

Quest'ultimo stabilisce, fra l'altro, che gli Stati membri possono adottare disposizioni legislative volte a limitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 qualora tale restrizione costituisca "una misura necessaria, opportuna e proporzionata all'interno di una società democratica per la salvaguardia della sicurezza nazionale (cioè della sicurezza dello Stato), della difesa, della sicurezza pubblica; e la prevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'uso non autorizzato del sistema di comunicazione elettronica".

Il medesimo art. 15 dispone che a tal fine gli Stati membri possano tra l'altro adottare misure legislative le quali prevedano che, per tali motivi, i dati siano conservati per un periodo di tempo limitato.

2.2. Normativa nazionale
Il legislatore italiano ha recepito la direttiva 2002/58/Ce, con il Titolo X del Codice, rubricato "Comunicazioni elettroniche".

Più precisamente, nel Capo I di tale Titolo, intitolato "Servizi di comunicazione elettronica", sono contenute alcune disposizioni normative che rilevano ai fini della disciplina sulla conservazione dei dati di traffico.

Ci si riferisce, in particolare, all'art. 121 che, nell'individuare i "Servizi interessati", chiarisce che le disposizioni del Titolo X "si applicano al trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni".

Ci si riferisce, inoltre, agli articoli 123 e 132 del Codice, con i quali sono stati trasposti nell'ordinamento italiano gli articoli 5, 6 e 15 della direttiva 2002/58/Ce in materia di trattamento dei dati personali e di tutela della vita privata nel settore delle comunicazioni elettroniche.

Partendo dal principio secondo il quale i dati non devono essere formati se non sono necessari e proporzionati ai fini della funzionalità della rete o della prestazione del servizio (artt. 3 e 11 del Codice ), il legislatore ha stabilito il divieto generale di conservazione dei dati relativi al traffico (art. 123, comma 1 cit.), con le seguenti eccezioni:

• è consentito il trattamento di dati strettamente necessario a fini di fatturazione per l'abbonato, ovvero di pagamenti in caso di interconnessione (nei limiti e con le modalità di cui all'art. 123, comma 2) o, previo consenso dell'utente, a fini di commercializzazione di servizi di comunicazione elettronica, per la durata a ciò necessaria (art. 123, comma 3);
• è prescritta la conservazione dei dati di traffico per esclusive finalità di accertamento e repressione dei reati (art. 132 del Codice).

Nell'ambito della normativa nazionale sulla conservazione dei dati di traffico, è intervenuto nel 2005 il decreto legge 27 luglio 2005, n. 144 (poi convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155), c.d. "Pacchetto Pisanu", che, in estrema sintesi, ha introdotto:

1. con riguardo ai dati di traffico telefonico, l'obbligo di conservazione delle chiamate senza risposta;
2. l'obbligo di conservazione, per sei mesi più sei, dei dati di traffico telematico, escludendone i contenuti;
3. con riferimento ai primi ventiquattro mesi di conservazione, la previsione che la richiesta di accesso venga effettuata dal "pubblico ministero anche su istanza" del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private e non già dal "giudice su istanza del pubblico ministero";
4. un regime transitorio in virtù del quale, fino al 31 dicembre 2007, è sospesa l'applicazione di qualunque disposizione che prescriva o consenta la cancellazione dei dati di traffico, anche se non soggetti a fatturazione;
5. per i titolari o i gestori di esercizi pubblici o di circoli privati di qualsiasi specie, che si limitino a porre a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale, alcuni specifici obblighi di identificazione e monitoraggio delle operazioni compiute dai clienti (cfr. anche il decreto ministeriale attuativo di tale previsione: D.M. 16 agosto 2005, pubblicato in G.U. 17 agosto 2005, n. 190).

Pertanto, tale decreto ha, da un lato, parzialmente emendato l'art. 132 del Codice (punti 1, 2 e 3 sopra descritti), dall'altro, introdotto un regime transitorio per la conservazione dei dati, nonché una disciplina speciale per determinati soggetti (punti 4 e 5).

L'attuale normativa di riferimento prescrive, quindi, ai fornitori di servizi di comunicazione elettronica di conservare, per finalità di accertamento e repressione di reati, i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, e i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, rispettivamente per ventiquattro e sei mesi (art. 132, comma 1 del Codice).

Prescrive, inoltre, agli stessi fornitori di conservare tali dati per un periodo ulteriore, rispettivamente di ventiquattro e sei mesi, per l'accertamento e la repressione dei delitti tassativamente individuati dall'art. 407, comma 2, lett. a), c.p.p., nonché dei delitti in danno di sistemi informatici o telematici (art. 132, comma 2).

Infine, prevede che la conservazione dei predetti dati sia effettuata nel rispetto di specifiche misure ed accorgimenti a garanzia degli interessati. L'individuazione di tali cautele è stata demandata al Garante per la protezione dei dati personali (cfr. artt. 17 e 132, comma 5 del Codice).

2.3. Direttiva 2006/24/CE
Al fine di armonizzare le disposizioni degli Stati membri sul tema della conservazione dei dati di traffico a fini di indagine, accertamento e perseguimento di reati, è intervenuta anche la direttiva n. 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006, al cui recepimento il legislatore italiano è tenuto a provvedere entro il 15 settembre 2007.

Tale direttiva, pur non essendo direttamente applicabile nello Stato, contiene chiare e precise indicazioni sul risultato atteso a livello comunitario in ordine, tra l'altro, alla corretta ed uniforme individuazione delle "categorie di dati da conservare", analiticamente individuate all'art. 5 della direttiva medesima, in relazione agli specifici servizi ivi enucleati, ossia telefonia di rete fissa e telefonia mobile, accesso Internet, posta elettronica su Internet e telefonia via Internet.

Per tali ragioni, si ritiene necessario tenere conto, in questa sede, di tali indicazioni. Ciò, anche in considerazione del fatto che l'attuale quadro normativo di riferimento, pur fornendo una definizione generale di "dati relativi al traffico" (art. 4, comma 2, lett. h) del Codice), non distingue i dati relativi al traffico "telefonico" da quelli relativi al traffico "telematico" né li enumera.

Tale distinzione risulta, invece, necessaria in considerazione del fatto che il legislatore italiano, diversamente da quello comunitario, ha individuato due diversi periodi di conservazione in relazione alla natura "telefonica" o "telematica" del dato da conservare.

Si procederà, pertanto, a chiarire l'ambito soggettivo di applicazione dell'obbligo di conservazione dei dati, che risulta funzionale anche alla corretta definizione dei dati da conservare.

3. Ambito soggettivo di applicazione

Il "fornitore" sul quale incombe l'obbligo di conservazione ai sensi dell'art. 132 del Codice è il soggetto che mette a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione, laddove per "servizi di comunicazione elettronica" debbono intendersi quelli consistenti esclusivamente o prevalentemente "nella trasmissione di segnali su reti di comunicazione elettroniche" (art. 4, comma 2, lett. d) e e), del Codice).

Ciò, deriva non solo dalla collocazione della citata norma all'interno del Titolo X, capo I, del Codice e, in particolare, da quanto espressamente disposto dal citato art. 121 del Codice. Ma anche da quanto stabilisce il c.d. "Pacchetto Pisanu", laddove si riferisce, nell'imporre la conservazione dei dati per il predetto regime transitorio, ai "fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico".

Posto quanto sopra, si ritiene siano tenuti alla conservazione dei dati ai sensi dell'art. 132 cit., i soggetti che realizzano esclusivamente o prevalentemente una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall'assetto proprietario della rete e che offrono servizi a utenti finali secondo il principio di non discriminazione (cfr. direttiva 2002/22/CE del Parlamento europeo e del Consiglio relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica e d. lg. n. 259/2003, Codice delle comunicazioni elettroniche).

Al contrario, potrebbero non rientrare nell'ambito applicativo del provvedimento:

• i soggetti che offrono servizi di comunicazione elettronica a gruppi delimitati di persone (come, a titolo esemplificativo, i soggetti pubblici o privati che consentono soltanto a propri dipendenti e collaboratori di effettuare comunicazioni telefoniche o telematiche);
• i soggetti che, pur offrendo servizi di comunicazione elettronica accessibili al pubblico, non generano o trattano direttamente i relativi dati di traffico ⁽⁹⁾, ma che dovranno conservare direttamente un'idonea documentazione attestante che la conservazione effettuata per loro conto presso terzi sia svolta in conformità a quanto previsto nel provvedimento medesimo;
• i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie, che si limitino a porre a disposizione del pubblico, dei clienti o dei soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale  ⁽¹⁰⁾;
• i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. "content provider" ); i dati relativi a tale traffico degli utenti che accedono a questi siti sono infatti qualificabili come "contenuti", esclusi espressamente dall'obbligo di conservazione dall'art. 132 del Codice  ⁽¹¹⁾;
• i gestori di motori di ricerca; i dati di traffico telematico che essi trattano, consentendo di effettuare agevolmente il tracciamento delle operazioni compiute dall'utente in rete, sono infatti parimenti qualificabili alla stregua di "contenuti".

4. Ambito oggettivo di applicazione

L'obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, e i dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni (art. 132 del Codice). In particolare, oggetto di conservazione sono i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione (art. 4, comma 2, lett. h), del Codice).

Pertanto, i fornitori (così come individuati nel precedente paragrafo 3) devono conservare, per esclusive finalità di accertamento e repressione di reati, solo i dati di traffico che risultano nella loro disponibilità in quanto derivanti da attività tecniche strumentali alla resa di un servizio, nonché alla sua fatturazione.

In tal senso, si esprime anche il c.d. Pacchetto Pisanu che, all'art. 6, riconduce l'obbligo di conservazione alle "informazioni che consentono la tracciabilità degli accessi, nonché, qualora disponibili, dei servizi".

Ed ancora, la direttiva 2006/24/Ce ribadisce che tale obbligo sussiste soltanto se i dati sono stati "generati o trattati nel processo di fornitura di un […] servizio di comunicazione" del fornitore  ⁽¹²⁾.

L'art. 5 di tale direttiva contiene, poi, un'elencazione specifica delle informazioni da conservare e individua diverse categorie di dati di traffico, specificandone i contenuti a seconda che si tratti di traffico telefonico o telematico.

Nell'ambito dei servizi di comunicazione elettronica, occorre infatti distinguere i servizi "telefonici" da quelli "telematici".

Nei primi possono essere ricompresi:

• le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;
• i servizi supplementari, inclusi l'inoltro e il trasferimento di chiamata;
• la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms.  ⁽¹³⁾

Nei secondi possono essere ricompresi:

• l'accesso alla rete Internet;
• la posta elettronica;
• i fax e i messaggi sms e mms via Internet;
• la telefonia via Internet (cd. Voice over Internet Protocol–VoIP ).

Nell'allegato 1  sono riportati i dati di traffico che, alla luce del quadro normativo sopra descritto, devono essere oggetto di conservazione ai sensi dell'art. 132 del Codice, in relazione allo specifico servizio di comunicazione elettronica offerto.

5. Le finalità

Il vincolo secondo cui i dati conservati obbligatoriamente per legge possono essere utilizzati solo per finalità di accertamento e repressione di reati (individuati peraltro specificamente per il predetto secondo periodo di conservazione) comporta una precisa limitazione per i fornitori nell'eventualità in cui ricevano richieste volte a perseguire ulteriori scopi.

Ad esempio:

a) i medesimi fornitori non possono corrispondere ad eventuali richieste riguardanti tali dati formulate nell'ambito di una controversia civile, amministrativa e contabile;

b) sono tenuti a rispettare il predetto vincolo di finalità anche l'interessato che acceda ai dati che lo riguardano esercitando il diritto di accesso di cui all'art. 7 del Codice (e che può utilizzare quindi i dati acquisiti solo in riferimento alle predette finalità penali), nonché, nel procedimento penale, il difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private (art. 132, comma 3, del Codice).

6. Modalità di acquisizione dei dati

Il Codice individua altresì le modalità con le quali possono essere acquisiti i dati di traffico conservati dai fornitori, prescrivendo, con riferimento al primo periodo di conservazione (i primi ventiquattro mesi e sei mesi, rispettivamente per il traffico telefonico e telematico), che la richiesta sia formulata con "decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private" (art. 132, comma 3, del Codice).

Al difensore dell'imputato o della persona sottoposta alle indagini è riconosciuta la possibilità di richiedere, direttamente, al fornitore i dati di traffico limitatamente ai dati che si riferiscano "alle utenze intestate al proprio assistito". La richiesta deve essere effettuata "con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per il traffico entrante" (art. 132, comma 3, cit.). Tale ultimo riferimento ai presupposti previsti dal Codice per l'accesso alle chiamate in entrata comporta, anche, la necessaria valutazione preliminare, da parte dei fornitori, della circostanza che dalla mancata conoscenza dei dati richiesti possa derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. A tal riguardo, si richiama quanto rilevato nel provvedimento adottato dal Garante in materia il  3 novembre 2005 , consultabile sul sito dell'Autorità (doc. web n.  1189488 ).
In relazione al secondo periodo di conservazione, il comma 4 dell'art. 132 prevede che i dati conservati possano essere acquisiti soltanto in presenza di un decreto motivato del giudice, che autorizzi l'acquisizione qualora ritenga sussistenti sufficienti indizi dei delitti previsti dall'art. 407, comma 2, lettera a), c.p.p., nonché di quelli in danno di sistemi informatici o telematici.

7. Misure e accorgimenti da prescrivere

A seguito degli approfondimenti anche tecnici svolti nell'ambito e dopo diversi accertamenti ispettivi effettuati presso primari fornitori di servizi di comunicazione elettronica, sono state individuate misure e accorgimenti da porre a garanzia degli interessati nell'ambito della conservazione dei dati di traffico per finalità di accertamento e repressione di reati.

Tali cautele si pongono, ovviamente, senza pregiudizio di ogni altra misura di sicurezza che ciascun fornitore deve adottare ai sensi degli artt. 31 e ss. del Codice, e saranno oggetto di periodico aggiornamento in relazione allo sviluppo tecnologico.

Le misure e gli accorgimenti allo stato individuati dal Garante sono riportati nell' allegato 2 .

Il Garante si riserva di stabilire il termine entro il quale le prescrizioni che saranno impartite dall'Autorità dovranno essere attuate dai fornitori, termine che allo stato risulta comunque congruo prevedere in un quadrimestre (semestre). Il Garante si riserva altresì di individuare alcuni trattamenti da notificare all'Autorità ai sensi dell'art. 37, comma 2, del Codice.

 ALLEGATO 1
(Dati di traffico oggetto di conservazione alla luce della direttiva 2006/24/Ce)

Dati generati o trattati nell'ambito dei servizi telefonici
Con riferimento ai servizi telefonici, i fornitori sono tenuti a conservare i dati di traffico, compresi quelli relativi alle chiamate senza risposta, necessari a individuare:

• l'origine della comunicazione (numero telefonico chiamante, nome e indirizzo dell'abbonato o utente registrato);
• la destinazione della comunicazione (il numero o i numeri telefonici chiamati e, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata, il numero o i numeri cui la chiamata è trasmessa);
• i riferimenti temporali della comunicazione (data e ora di inizio e fine della comunicazione);
• il tipo di comunicazione effettuata (servizio telefonico utilizzato);
• le tipologie di apparecchiature per la comunicazione, anche presunte, impiegate dagli utenti nella telefonia mobile: International Mobile Subscriber Identity (IMSI) e International Mobile Equipment Identity (IMEI) del chiamante e del chiamato; nel caso di servizi prepagati anonimi, data e ora dell'attivazione iniziale della carta e etichetta di ubicazione (Cell ID) dalla quale è stata effettuata l'attivazione;
• l'ubicazione delle apparecchiature mobili impiegate per la comunicazione (etichette di ubicazione -Cell ID – all'inizio della comunicazione e dati per identificare l'ubicazione geografica delle cellule, facendo riferimento alle loro etichette di ubicazione nel periodo in cui vengono conservati i dati sulle comunicazioni).

Dati generati o trattati nell'ambito dei servizi telematici
Con riferimento ai servizi telematici, occorre distinguere:

Accesso alla rete Internet
I fornitori sono tenuti a conservare i dati necessari a individuare:

• l'origine della comunicazione, ovvero le informazioni identificative del punto di accesso: nome e indirizzo dell'abbonato o dell'utente registrato al quale, al momento della comunicazione, risultavano assegnati uno o più indirizzi di protocollo Ip, un identificativo di utente o un numero telefonico;
• la data, l'ora e la durata dell'accesso (data e ora del log-in e del log-off al servizio di accesso Internet) unitamente all'indirizzo Ip o agli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso Internet e l'identificativo dell'abbonato o dell'utente registrato; nel caso di accessi permanenti (in assenza di informazioni su log-in e log-off ), gli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso Internet o comunque in uso nelle postazioni dell'abbonato o utente;
• le attrezzature di comunicazione, anche presunte, utilizzate dagli utenti: numero della linea telefonica per l'accesso commutato tramite rete telefonica (dial-up access); digital subscriber line number (DSL) o altro identificatore di chi è all'origine della comunicazione, nel caso di collegamenti su reti di tipo xDSL.

Posta elettronica
Relativamente ai messaggi spediti da propri utenti o abbonati, i fornitori di servizi di posta elettronica accessibili al pubblico sono tenuti a conservare i dati necessari a individuare:

• l'origine della comunicazione (identificativo dell'utente o dell'abbonato al servizio, indirizzo Ip utilizzato dalla postazione mittente e indirizzo di posta elettronica del mittente);
• la destinazione della comunicazione (indirizzo di posta elettronica del destinatario del messaggio e indirizzo Ip e nome a dominio pienamente qualificato del mail exchanger host a cui è stato trasmesso il messaggio, nel caso della tecnologia SMTP);
• la data e l'ora della comunicazione.

Telefonia, invio di fax, sms e mms via Internet
I fornitori sono tenuti a conservare i dati necessari a individuare:

• la fonte della comunicazione: indirizzo Ip ed eventuale identificativo dell'utente registrato; eventuale numero telefonico e dati anagrafici dell'utente registrato;
• la destinazione della comunicazione: numero chiamato e, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata, numero o numeri a cui la chiamata è trasmessa;
• la data, l'ora e la durata della comunicazione: data e ora di inizio e fine della comunicazione;
• il tipo di comunicazione effettuata: il servizio utilizzato. 

ALLEGATO 2
Prescrizioni tecnico-organizzative

Sistemi di autenticazione
Il trattamento dei dati di traffico telefonico e telematico oggetto delle prescrizioni del Garante è consentito agli incaricati solo previo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso combinato di almeno due differenti tecnologie di autenticazione. Una di tali tecnologie deve essere inoltre basata sull'elaborazione di caratteristiche biometriche.

Si può eventualmente prescindere da tali sistemi solo per i trattamenti effettuati nello svolgimento di mansioni tecniche di gestione dei sistemi e delle apparecchiature informatiche, per i quali resta fermo l'obbligo di assicurare le misure in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali.

Sistemi di autorizzazione
Relativamente ai sistemi di autorizzazione devono essere adottate specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati. Tali differenti funzioni non possono essere attribuite contestualmente a uno stesso soggetto o, comunque, nell'ambito della stessa unità organizzativa.

I profili di autorizzazione da definire e da attribuire agli incaricati devono differenziare le funzioni di trattamento dei dati per finalità di accertamento e repressione dei reati distinguendo, al loro interno, incaricati abilitati al trattamento dei dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma 1, del Codice), dagli incaricati abilitati al trattamento dei dati di cui al secondo periodo di conservazione obbligatoria (art. 132, comma 2, del Codice) e, infine, dalle funzioni di trattamento dei dati in caso di esercizio dei diritti dell'interessato (art. 7 del Codice).

Conseguentemente, un incaricato cui è attribuito un profilo di autorizzazione abilitante ad esempio al trattamento dei dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma 1, del Codice) non può accedere, per ciò stesso e direttamente, a dati il cui trattamento richieda il possesso del profilo di autorizzazione relativo al secondo periodo di conservazione obbligatoria (art. 132, comma 2, del Codice).

Conservazione separata
I dati di traffico conservati per finalità di accertamento e repressione di reati vanno gestiti tramite sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage).

Più specificamente, i dati di traffico, i sistemi informatici e gli apparati di rete utilizzati per i trattamenti devono essere separati da quelli utilizzati per le altre funzioni aziendali ed essere altresì protetti contro il rischio di intrusione mediante idonei strumenti di protezione perimetrale.

Le attrezzature informatiche utilizzate per le finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato e controllato. L'accesso a tali aree deve avvenire previa identificazione e registrazione delle persone ammesse, con indicazione dei motivi dell'accesso e dei relativi riferimenti temporali, anche mediante l'utilizzo di sistemi elettronici.
Nell'ambito dei trattamenti per scopi di accertamento e repressione di reati, una volta decorso il termine di cui al comma 1 dell'art. 132 del Codice, i dati di traffico devono essere trattati con modalità che consentano l'accesso differenziato su base temporale, provvedendo a forme di separazione dei dati che garantiscano il rispetto del principio di finalità dei trattamenti.

La differenziazione può essere ottenuta:

• mediante separazione fisica, predisponendo sistemi del tutto separati nelle componenti di elaborazione e di archiviazione, oppure:
• mediante misure e accorgimenti informatici, intervenendo sulla struttura delle basi di dati, sui sistemi di indicizzazione e sui metodi di accesso (separazione logica).

Devono essere adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e non superiori a sette giorni.

Incaricati del trattamento
Gli incaricati che accedono ai dati di traffico conservati per le finalità di cui all'art. 132 del Codice, anche per consentire l'esercizio dei diritti di cui all'art. 7 del Codice, devono essere designati specificamente.

Il processo di designazione deve prevedere la frequenza di una periodica attività formativa concernente l'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e le relative responsabilità. La partecipazione al corso deve essere documentata.

Per quanto riguarda le richieste per l'esercizio dei diritti di cui all'art. 7 del Codice che comportano l'estrazione dei dati di traffico, nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2, lettera f) del Codice, il titolare del trattamento deve conservare in forma specifica la documentazione comprovante l'idonea verifica dell'identità del richiedente ai sensi dell'art. 9 del Codice, e adottare opportune cautele per comunicare i dati al solo soggetto legittimato in base al medesimo articolo.

Cancellazione dei dati
Allo scadere dei termini previsti dalle disposizioni vigenti, i dati di traffico sono resi immediatamente non disponibili per le elaborazioni dei sistemi informativi; sono altresì cancellati o resi anonimi senza ritardo, in tempi tecnicamente compatibili con l'esercizio delle procedure per la realizzazione di copie di sicurezza (backup e disaster recovery ) adottate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, entro trenta giorni successivi alla scadenza dei termini di cui all'art. 132 del Codice.

Altre misure

Audit log
Devono essere adottate soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti su singoli elementi di informazione presenti sui diversi database utilizzati.

Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici.

I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di scrittura non alterabili su dispositivi di tipo WORM (write once/read many). Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche e di firma digitale.

Audit interno–Report periodici
La gestione dei dati di traffico per finalità di accertamento e repressione di reati deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati di traffico previste dalle norme vigenti e dal provvedimento del Garante, anche per ciò che riguarda la verifica della particolare selettività degli incaricati legittimati.

L'attività di controllo deve essere demandata ad un'unità organizzativa diversa rispetto a quella cui è affidato il trattamento dei dati per la finalità di accertamento e repressione dei reati.

I controlli devono comprendere anche verifiche sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati del trattamento utilizzando, a tale scopo, strumenti di analisi dei log registrati, anche tramite l'introduzione di sistemi di segnalazione automatica di comportamenti "anomali" rispetto al normale profilo di utilizzo del sistema da parte degli operatori (es.: interrogazioni massive non giustificate, reiterate interrogazioni nei confronti di una medesima anagrafica in un limitato lasso di tempo, interrogazioni effettuate al di fuori del normale orario di servizio). Sono svolte, altresì, verifiche periodiche sull'effettiva cancellazione dei dati decorso i periodi di conservazione.

L'attività di controllo deve essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate.

L'esito dell'attività di controllo deve essere:

• comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della società;
• richiamato nell'ambito del documento programmatico sulla sicurezza (quando deve essere redatto come misura minima di sicurezza) nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;
• messo, a richiesta, a disposizione del Garante o dell'autorità giudiziaria.

Documentazione dei sistemi informativi
I sistemi informativi utilizzati per il trattamento dei dati di traffico devono essere documentati in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione.

La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'elenco di tutti i soggetti aventi legittimo accesso al sistema.

La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati.

La documentazione tecnica deve essere aggiornata costantemente e messa a disposizione dell'Autorità su sua eventuale richiesta.

Cifratura e protezione dei dati
I dati di traffico vanno protetti con strumenti di cifratura, in particolare contro rischi di acquisizione fortuita derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. In particolare, devono essere adottate soluzioni basate su tecnologie crittografiche che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, nella loro interezza o in forma parziale, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei.

Tale misura deve essere efficace per evitare che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, data base administrator e manutentori hardware e software ) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere.

I flussi di trasmissione dei dati di traffico tra sistemi informatici devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche.