|
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, e del
dott. Giuseppe Fortunato, componente e del dott. Giovanni Buttarelli, segretario
generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno
2003, n. 196, di seguito, "Codice") e, in particolare, gli artt. 17 e
132, comma 5, del Codice medesimo;
VISTO il provvedimento generale del 17 gennaio 2008 con
il quale il Garante ha prescritto ai fornitori di servizi di comunicazione
elettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 del
Codice, l'adozione di specifici accorgimenti e misure a garanzia dei dati di
traffico conservati sia per finalità di accertamento e repressione di reati,
sia per finalità ordinarie (in G.U. 5 febbraio 2008 n. 30, nonché in www.garanteprivacy.it,
doc. web n. 1482111);
VISTA la legge 18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio
d'Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001;
visto in particolare, l'art. 10 di tale legge che, nel modificare il menzionato
art. 132, ha previsto una specifica ipotesi di temporanea conservazione dei dati
relativi al traffico telematico a fini di svolgimento di investigazioni
preventive o di accertamento e repressione di reati;
VISTO il decreto legislativo 30 maggio 2008, n. 109, di recepimento della
direttiva 2006/24/Ce del Parlamento europeo e del Consiglio del 15 marzo 2006
riguardante la conservazione di dati generati o trattati nell'ambito della
fornitura di servizi di comunicazione elettronica accessibili al pubblico o di
reti pubbliche di comunicazione e che modifica la direttiva 2002/58/Ce; visto,
in particolare, l'art. 2 di tale decreto che ha modificato nuovamente l'art. 132
del Codice;
CONSIDERATO che è ora previsto un periodo unico di conservazione pari a 24 mesi
per i dati di traffico telefonico, a 12 mesi per i dati di traffico telematico e
a 30 giorni per i dati relativi alle chiamate senza risposta, senza distinzioni
in base al tipo di reato;
RILEVATA la necessità di apportare al menzionato provvedimento generale alcune
modifiche strettamente necessarie in ragione delle suindicate novità di
carattere normativo riguardanti la durata della conservazione dei dati, nei
termini di cui al seguente dispositivo, dando atto che il medesimo provvedimento
del 17 gennaio 2008 resta immutato per ogni altro profilo;
VISTE la note inoltrate da Asstel, da Vodafone Italia N.V. e da Telecom
Italia S.p.A., rispettivamente l'8, il 1° e il 22 luglio 2008, con le quali è
stato chiesto un differimento del termine del 31 ottobre 2008 previsto dal
menzionato provvedimento del 17 gennaio per attuare i predetti accorgimenti e
misure; richiesta giustificata in base alla complessità degli interventi
necessari per adeguare i sistemi informativi dei fornitori alle prescrizioni del
suddetto provvedimento;
VISTA l'audizione del 23 luglio 2008 nel corso della quale l'associazione Asstel
ha chiesto, in considerazione delle recenti modifiche normative apportate dal
d.lg. 109/2008 e dalla legge 48/2008, un differimento del termine dal 31 ottobre
2008 al 30 aprile 2009 per adempiere alle nove prescrizioni previste per i
trattamenti di dati per finalità di accertamento e repressione dei reati,
nonché alle cinque prescrizioni relative ai trattamenti di dati ai sensi
dell'art. 123 del Codice (salvo per quanto riguarda la sola strong
authentication riferita agli incaricati che accedono ai dati di traffico
nell'ambito dell'attività di call center, per la quale chiede di
differire l'adeguamento alla medesima prescrizione al 30 giugno 2009);
RILEVATO che tale richiesta, considerate le ragioni addotte e gli elementi
prodotti a sostegno, può essere accolta disponendo un differimento del termine
per tutte le suddette prescrizioni che risulta congruo contenere in un periodo
non superiore a sei mesi, ovvero sino al 30 aprile 2009, salvo per quanto
riguarda la strong authentication riferita agli incaricati che accedono
ai dati di traffico nell'ambito dell'attività di call center, per la
quale appare giustificato disporre un differimento per l'adeguamento alla
medesima prescrizione al 30 giugno 2009;
RILEVATO che le misure e gli accorgimenti prescritti con il predetto
provvedimento generale devono essere adottati dai fornitori anche in ogni
ipotesi di conservazione temporanea dei dati relativi al traffico telematico ai
sensi del menzionato art. 132, comma 4 ter, del Codice e per tutta la sua
durata;
VISTA la documentazione in atti;
VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
a) ai sensi degli artt. 17 e 132 del Codice in materia di protezione dei
dati personali dispone di apportare al proprio provvedimento generale
del 17 gennaio 2008 in tema di trattamento dei dati di traffico le
seguenti modifiche:
al paragrafo 2.2, settimo capoverso, è soppressa la parola "vigente",
mentre le parola "prevede" e "prescrive" sono sostituite con
le parole "prevedeva" e "prescriveva"; all'ottavo capoverso
la parola "prescrive" è sostituita con la parola
"prescriveva"; al nono capoverso la parola "prevede" è
sostituita dalle parole "introduceva la prescrizione, tutt'ora
vigente", mentre la parola "sia" è sostituita dalla parola
"fosse";
alla fine del paragrafo 2.3 (Altra disciplina comunitaria: la direttiva
2006/24/Ce) sono aggiunti i seguenti periodi: "La direttiva è stata
recepita con il d.lg. 30 maggio 2008, n. 198, che ha previsto un periodo unico
di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12 mesi per
i dati di traffico telematico e a 30 giorni per i dati relativi alle chiamate
senza risposta, senza ulteriori distinzioni in base al tipo di reato. La legge
18 marzo 2008, n. 48, di ratifica della Convenzione del Consiglio d'Europa sulla
criminalità informatica fatta a Budapest il 23 novembre 2001 ha poi previsto
una specifica ipotesi di conservazione temporanea dei dati relativi al traffico
telematico a fini di svolgimento di investigazioni preventive o di accertamento
e repressione di reati.";
al paragrafo 5 (Finalità perseguibili), sono soppresse le parole da:
"(individuati specificamente" fino a:
"conservazione)";
al paragrafo 6 (Modalità di acquisizione dei dati), sono soppresse le parole
da: ", con riferimento" fino a: "e telematico)," nonché il
secondo capoverso;
al paragrafo 7 (Misure e accorgimenti da prescrivere) tra le parole:
"prescritti dal Garante." e: "Per effetto del presente
provvedimento", è inserito il seguente capoverso: "Tali misure e
accorgimenti devono essere adottati dai fornitori di comunicazione elettronica
anche in caso di conservazione temporanea dei dati relativi al traffico
telematico a fini di svolgimento di investigazioni preventive o di accertamento
e repressione di reati, ai sensi del menzionato art. 132, comma 4 ter, del
Codice.";
al paragrafo 7.1 (Sistemi di autenticazione) dopo il primo periodo è aggiunto
il seguente capoverso: "Tale fase di autenticazione può essere realizzata
con procedure strettamente integrate alle applicazioni informatiche con cui il
fornitore tratta i dati di traffico, oppure con procedure per la protezione
delle singole postazioni di lavoro che si integrino alle funzioni di
autenticazione proprie dei sistemi operativi utilizzati. Nel secondo caso, il
fornitore deve assicurare che non esistano modalità di accesso alle
applicazioni informatiche da parte dei propri incaricati di trattamento che
consentano di eludere le procedure di strong authentication predisposte per
l'accesso alla postazione di lavoro.";
al paragrafo 7.2 (Sistemi di autorizzazione), primo capoverso, sono soppresse le
parole da: "distinguendo" fino a: "comma 2, del Codice)",
nonché il secondo e il terzo capoverso;
al paragrafo 7.3 (Conservazione separata), sono soppressi il sesto e il settimo
capoverso;
al paragrafo 7.10 (Tempi di adozione delle misure e degli accorgimenti) le
parole "31 ottobre 2008", sono sostituite dalle parole: "30
aprile 2009, ovvero per quanto riguarda la strong authentication riferita agli
incaricati che accedono ai dati di traffico nell'ambito dell'attività di call
center, al 30 giugno 2009.";
alla lettera a), punto 2. del dispositivo, sono soppresse le parole da:
"distinguendo," fino a: "comma 2, del Codice";
alla lettera a), punto 3. del dispositivo, sono soppresse le parole da:
"Inoltre," fino a: "profili di autorizzazione.";
b) in accoglimento delle richieste di cui in motivazione volte ad accordare
ai fornitori di servizi di comunicazione elettronica un differimento del termine
del 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio 2008,
dispone altresì che, a modifica di tale provvedimento:
alla lettera b) del dispositivo le parole: "31 ottobre 2008", sono
sostituite dalle parole: "30 aprile 2009";
alla lettera c) del dispositivo le parole "31 ottobre 2008", sono
sostituite dalle parole: "30 aprile 2009, ovvero per quanto riguarda la
strong authentication riferita agli incaricati che accedono ai dati di traffico
nell'ambito dell'attività di call center, 30 giugno 2009";
Fino al decorso di tali termini, i dati personali devono essere custoditi in
maniera tale da evitare un incremento dei rischi derivanti dal trattamento;
c) ai sensi dell'art. 154, comma 1, lett. h), del Codice dà atto che nell'allegato
A) della presente deliberazione figura, a scopo conoscitivo, il testo
aggiornato del menzionato provvedimento del 17 gennaio 2008, quale
risultante dalle integrazioni e dalle modifiche apportate con la presente
deliberazione.
Roma, 24 luglio 2008
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
Buttarelli
|
Pagina stampabile
