[doc. web n. 3136961]

Prescrizione a un fornitore di servizi telefonici e telematici - 20 marzo 2014

Registro dei provvedimenti
n. 137 del 20 marzo 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»);

VISTO il provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico (pubblicato nel sito istituzionale www.garanteprivacy.it; doc. web n. 1482111), successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in G.U. del 13 agosto 2008, n. 189; doc. web n. 1538237; di seguito "Provvedimento"), resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO che il suddetto d.lgs. n. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi, per il traffico telefonico e dodici mesi per il traffico telematico;

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. provv. del 21 ottobre 2009, doc web n. 1683093 e del 19 novembre 2009, doc. web nn. 1695393 e 1695368);

VISTO che il Garante ha deliberato, come già avvenuto nel 2012, anche nel 2013 di delegare al Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato otto società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Fontel S.p.A. (di seguito «Fontel»), in data 6 giugno 2013, società di piccole dimensioni, che opera principalmente in qualità di "reseller" e, dal 2011, anche in qualità di operatore telefonico e che fornisce servizi telefonici e telematici, per la maggior parte, a una clientela aziendale, avendo in totale circa 600 clienti;

CONSIDERATO che con il Provvedimento il Garante ha stabilito una serie di prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito «fornitori») devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato sui dati di traffico, anche mediante la registrazione delle operazioni compiute in un apposito audit log, (cfr. lettera a), punto 6, del dispositivo del Provvedimento);

- di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

- di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivo del Provvedimento);

- di adottare tutte le misure prescritte, dandone conferma al Garante (cfr. lettera b) del dispositivo del Provvedimento);

VISTO che nel corso del citato accertamento ispettivo, rispetto all´adozione delle prescrizioni contenute nel Provvedimento, la società ha dichiarato che (cfr. verbale del 6 giugno 2013, pag. 4-6):

- «al momento non è stata predisposta alcuna tecnica crittografica o forma di offuscamento riguardo ai dati conservati per finalità di giustizia»;

-  «al momento sono state previste soluzioni informatiche che non consentono di assicurare il controllo delle attività svolte sui dati di traffico, in quanto le operazioni effettuate dagli incaricati non vengono registrate dal file di log poiché non configurato per tale attività», specificando che «di contro, l´accesso alla macchina era tracciato», e che tuttavia, «da oggi, il file di log è stato abilitato a registrare tutte le operazioni effettuate sui database utilizzati per la conservazione dei dati di traffico telefonico e telematico». A tal proposito, la società dichiara altresì che «attesa la complessità di lettura del file di log generato con le modifiche apportate oggi, ci riserviamo di inviare apposita documentazione intellegibile»;

- «l´attività di controllo non è cadenzata in modo periodico, in quanto si cerca di adempiere a tutte le direttive poste a tutela dei dati di traffico con tempi ridottissimi» e, quindi, «non viene redatta alcuna documentazione inerente all´audit interno»

- con riferimento all´obbligo di comunicazione al Garante, «non è stata effettuata detta comunicazione» e che, la medesima, sarebbe stata effettuata «ad avvenuta attuazione esatta del provvedimento del Garante in tema di conservazione di dati di traffico telefonico»;

VISTA la nota ulteriore, datata 17 giugno 2013 e inviata da Fontel ad integrazione di quanto dichiarato in sede ispettiva, nella quale vengono solo indicate la "specifica dei contratti di assistenza delle macchine interessate dalla memorizzazione dei dati traffico" e le "procedure per la consultazione dati di traffico, back up, log";

CONSIDERATO che, in tale nota, nulla si dice in merito al dettaglio del contenuto dei file di log conservati nel relativo database;

CONSIDERATO che il Nucleo Speciale Privacy ha provveduto a contestare a Fontel la violazione amministrativa di cui all´art. 162, comma 2 bis del Codice (contestazione di violazione amministrativa n. 35/2013 del 1 luglio 2013, notificata il 18 settembre 2013), con riferimento alla mancata adozione della prescrizione, contenuta nel Provvedimento, relativa all´adozione di soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, attraverso la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico;

RILEVATO che, a seguito della citata contestazione della violazione amministrativa, Fontel ha inviato al Garante, in data 17 ottobre 2013 un "ricorso", nel quale, ricordando le piccole dimensioni dell´azienda, la società:

- ha ribadito, con riferimento alla sanzione di cui sopra, la dichiarazione resa a verbale, secondo cui "l´accesso alla macchina era tracciato";

- ha dichiarato che "i controlli biometrici e digitali (strong authentication), le password di accesso, i firewall e le procedure interne di sicurezza impediscono l´arbitrario ed illecito utilizzo dei dati dei clienti, trattati dalla Fontel nel rispetto della normativa vigente";

CONSIDERATO che la circostanza che l´accesso alla macchina fosse tracciato non esclude la violazione contestata dal Nucleo Speciale Privacy che ha un oggetto differente e cioè non il tracciamento di accesso alla macchina, bensì il tracciamento delle operazioni compiute una volta effettuato l´accesso, il cui scopo è quello di poter controllare, ex post, le attività svolte;

CONSIDERATO che, alla luce di quanto sopra e da tutte le dichiarazioni rese, risulta che Fontel non abbia rispettato alcune delle prescrizioni contenute nel Provvedimento e sopra richiamate relative al controllo interno almeno annuale volto alla verifica delle misure organizzative adottate dalla società per la conservazione dei dati di traffico; alla crittografia dei dati conservati e all´obbligo di comunicazione al Garante;

CONSIDERATO che, riguardo alle procedure di audit log, non è stata data alcuna assicurazione in merito alla loro effettiva adozione, non avendo il Garante ricevuto alcuna comunicazione in merito, essendo insufficiente, in tal senso, la comunicazione inviata in data 17 giugno 2013, ad integrazione delle operazioni compiute;

RILEVATO inoltre che, in base a quanto emerso, Fontel non ha effettuato la comunicazione al Garante relativa agli adempimenti, come prescritto nel Provvedimento;

CONSIDERATO che il trattamento effettuato da Fontel, come emerso dagli atti dell´istruttoria, risulta non conforme alla disciplina in materia di conservazione dei dati di traffico;

RILEVATA, pertanto, alla luce di quanto sopra, la necessità di adottare nei confronti di Fontel, ai sensi dell´art. 154, comma 1, lett. c) del Codice, un provvedimento prescrittivo, volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 162, comma 2 ter, del Codice, in caso di inosservanza delle misure prescrittive contenute nel presente provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;

RILEVATA la sussistenza dei presupposti per contestare a Fontel la sanzione amministrativa di cui agli artt. 162 comma 2 bis e 164 del Codice, per la violazione, rispettivamente, delle misure e degli accorgimenti prescritti, ai sensi degli artt. 17 e 132, comma 5 del Codice (lettera a) del Provvedimento) e dell´obbligo di comunicazione al Garante, ai sensi anche dell´art. 157 del Codice (lettera b) del Provvedimento);

FERMO RESTANDO il procedimento sanzionatorio già avviato mediante la contestazione sopra citata;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE la prof.ssa Licia Califano;

TUTTO CIÒ PREMESSO IL GARANTE

I. prescrive a Fontel S.p.A., con sede legale in Napoli, Via Toledo n. 329, ai sensi dell´art.154, comma 1, lett. c) del Codice:

a) di adottare tutte le prescrizioni contenute nel Provvedimento e, in particolare:

1. soluzioni informatiche idonee ad assicurare il controllo delle attività svolte da ciascun incaricato sui dati di traffico, anche mediante la registrazione delle operazioni compiute in un apposito audit log (cfr. lettera a), punto 6. del dispositivo del Provvedimento);

2. di svolgere, con cadenza almeno annuale, un´attività di controllo interna, adeguatamente documentata (cfr. lettera a), punto 7, del dispositivo del Provvedimento);

3. di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9, del dispositivo del Provvedimento);

b) di adottare le misure di cui alla lettera a) entro il termine di sessanta giorni dal ricevimento del presente provvedimento;

II. richiede a Fontel S.p.A., ai sensi dell´art. 157 del Codice, di comunicare entro settanta giorni a questa Autorità le misure poste in essere ai fini di quanto indicato alle lettere a) e b) del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 20 marzo 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia