Provvedimenti a carattere generale - 17 gennaio 2008: Sicurezza dei dati ditraffico telefonico e telematico

[v. Comunicato stampa]

Provvedimento del 17 gennaio 2008

Sicurezza dei dati di traffico telefonico e telematico
(Pubblicato sulla GU n. 30 del 5-2-2008)

GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito,"Codice");

Visti in particolare gli artt. 17, 123 e132, comma 5, del Codice;

Vista la deliberazione del 19 settembre 2007 con la qualel'Autorità ha avviato una procedura di consultazione pubblica suun documento, adottato in pari data, riguardante "Misure eaccorgimenti a garanzia degli interessati in tema di conservazione di dati ditraffico telefonico e telematico per finalità di accertamento e repressione direati" e pubblicato,unitamente alla medesima deliberazione;

Visti i commenti e le osservazionipervenuti a questa Autorità a seguito della consultazione pubblica per la qualeera stato fissato il termine del 31 ottobre 2007;

Considerate le risultanze dei diversiincontri, anche di carattere tecnico, intercorsi con alcune associazioni dicategoria che lo avevano richiesto;

Vista la documentazione in atti;

Viste le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Considerazioni preliminari Iltrattamento dei dati di traffico telefonico e telematico presenta rischispecifici per i diritti e le libertà fondamentali, nonché per la dignitàdell'interessato.

Tali informazioni hanno una naturaparticolarmente delicata e la loro impropria utilizzazione può avere importantiripercussioni sulla sfera personale di più soggetti interessati; possono avereun'"accentuata valenza divulgativa di notizie caratterizzanti lapersonalità dell'autore" e laloro conoscibilità richiede adeguate garanzie (cfr., fra l'altro, Cortecost. 11 marzo 1993, n. 81 e 14 novembre 2006 n. 372).

I dati relativi al traffico telefonico etelematico dovrebbero peraltro riguardare solo alcune caratteristiche esterioridi conversazioni, chiamate e comunicazioni, senza permettere di desumerne icontenuti.

Inoltre, le stesse caratteristicheesteriori permettono di individuare analiticamente quando, tra chi e come sonointercorsi contatti telefonici o per via telematica, o sono avvenutedeterminate attività di accesso all'informazione in rete e persino il luogodove si trovano i detentori di determinati strumenti.

L'intensità dei flussi di comunicazionecomporta la formazione e, a volte, la conservazione di innumerevoliinformazioni che consentono di ricostruire nel tempo intere sfere di relazionipersonali, professionali, commerciali e istituzionali, e di formare anchedelicati profili interpersonali. Ciò, specie quando i dati sono conservatimassivamente dai fornitori per un periodo più lungo di quello necessario perprestare servizi a utenti e abbonati, al fine di adempiere a un distintoobbligo di legge collegato a eccezionali necessità di giustizia.

Per le comunicazioni telematiche, poi, sipongono ulteriori e più specifiche criticità rispetto alle comunicazionitelefoniche tradizionalmente intese, in quanto il dato apparentemente"esterno" a una comunicazione (ad es., una pagina web visitata o un indirizzo Ip di destinazione) spessoidentifica o rivela nella sostanza anche il suo contenuto: può permettere,quindi, non solo di ricostruire relazioni personali e sociali, ma anche didesumere particolari orientamenti, convincimenti e abitudini degli interessati.

Eventuali abusi (quali quelli emersi nelrecente passato, allorché sono stati constatati gravi e diffusi fatti diutilizzazione illecita di dati), possono comportare importanti ripercussionisulla sfera privata degli individui o anche violare specifici segreti attinentia determinate attività, relazioni e professioni.

Emerge quindi la necessità, in attuazionedi quanto previsto per legge, di assicurare che la conservazione di tali datida parte dei fornitori, laddove essa sia necessaria per prestare un servizio oin quanto imposta dalla legge, avvenga comunque in termini adeguati pergarantire una tutela maggiormente efficace dei diritti e delle libertà dellepersone.

Per tali motivi, a prescindere dallegaranzie previste in termini più generali nell'ordinamento anche sul pianocostituzionale e processuale, il legislatore all'art. 132 del Codice hademandato al Garante per la protezione dei dati personali l'individuazionedelle misure e degli accorgimenti che i fornitori dei servizi di comunicazioneelettronica devono adottare a fronte della conservazione dei dati di trafficotelefonico e telematico, allo stato prescritta per finalità di accertamento erepressione dei reati.

Il presente provvedimento è rivoltoappunto a individuare le elevate cautele che devono essere osservate daifornitori nella formazione e nella custodia dei dati del traffico telefonico etelematico.

Prima di indicare quali cautele risultanonecessarie a seguito del complesso procedimento di accertamento curato dalGarante, sono opportune alcune altre premesse sull'attuale quadro normativo,sui fornitori e sui dati personali coinvolti.

2. Quadro di riferimento

2.1. Normativa comunitaria  La direttiva europea n. 2002/58/Ce, relativa al trattamento dei dati personali e allatutela della vita privata nel settore delle comunicazioni elettroniche, imponeagli Stati membri di proteggere la riservatezza delle comunicazionielettroniche e vieta la conservazione dei dati relativi al traffico generatinel corso delle comunicazioni, a eccezione della conservazione espressamenteautorizzata per i fini indicati nella direttiva medesima.

La direttiva riguarda (art. 3) iltrattamento dei dati personali connesso alla fornitura di servizi dicomunicazione elettronica accessibili al pubblico su reti pubbliche dicomunicazione. I dati relativi al traffico sono definiti, in questa sede, qualiquelli sottoposti a trattamento "ai fini della trasmissione di unacomunicazione su una rete di comunicazione elettronica o della relativafatturazione" (cfr. art. 2 econsiderando n. 15 della direttiva 2002/58/Ce).

La medesima direttiva, nell'imporre agliStati membri l'adozione di disposizioni di legge nazionali che assicurino lariservatezza delle comunicazioni effettuate tramite la rete pubblica dicomunicazione e i servizi di comunicazione elettronica accessibili al pubblico,pone l'accento sui dati di traffico generati dai servizi medesimi (art. 5);tali dati, trattati e memorizzati dal fornitore della rete pubblica o delservizio pubblico di comunicazione elettronica, devono essere cancellati o resianonimi quando non sono più necessari ai fini della trasmissione dellacomunicazione, fatte salve alcune tassative eccezioni (cfr. art. 6, par. 2 ,3 e 5 e art. 15, par. 1; v., fra gli altri, il Parere n. 1/2003 sulla memorizzazione ai fini di fatturazionedei dati relativi al traffico, adottato il 29 gennaio 2003 dal Gruppo deigaranti europei per la tutela dei dati personali).

L'art. 15, par. 1, della direttivaconsente che gli Stati membri possano adottare disposizioni legislative volte alimitare i diritti e gli obblighi di cui ai predetti articoli 5 e 6 solo quandotale restrizione costituisca "una misura necessaria, opportuna eproporzionata all'interno di una società democratica per la salvaguardia dellasicurezza nazionale (cioédella sicurezza dello Stato), della difesa, della sicurezza pubblica e laprevenzione, ricerca, accertamento e perseguimento dei reati, ovvero dell'usonon autorizzato del sistema di comunicazione elettronica". A tal fine, gli Stati membri possono, tral'altro, adottare misure legislative le quali prevedano che, per tali motivi, idati siano conservati per un periodo di tempo limitato.

2.2. Normativa nazionale  La direttiva 2002/58/Ce è stata recepita con il Codice in materia diprotezione dei dati personali (Titolo X ("Comunicazioni elettroniche"); cfr. art. 184). Nel Capo I di tale Titolo,intitolato "Servizi di comunicazione elettronica", è stata introdotta una nuova disciplina sullaconservazione dei dati di traffico telefonico.

Da un lato, l'art. 123 del Codice haridotto a sei mesi il previgente limite temporale per la conservazione dei datidi traffico telefonico per finalità di fatturazione, pagamenti in caso diinterconnessione e di commercializzazione di servizi, termine che era inprecedenza individuabile nella misura massima di cinque anni in base a quantoprevisto dal d.lg. n. 171/1998.

Dall'altro, l'art. 132 del medesimoCodice, modificato prima della sua entrata in vigore (d.l. 24 dicembre 2003,n. 354, convertito in l., con modificazioni, dall'art. 1 l. 26 febbraio 2004, n. 45) ha introdotto un distinto obbligo per i fornitoridi servizi di comunicazione elettronica di conservare per finalità diaccertamento e repressione dei reati dati di traffico telefonico relativi aiservizi offerti.

Tutto ciò, sullo sfondo del principiocardine in materia secondo cui i dati non devono essere formati se non sononecessari e proporzionati ai fini della funzionalità della rete o dellaprestazione del servizio (artt. 3 e 11 del Codice).

Dal contesto sopra riassunto emerge che èstata nel complesso vietata una conservazione generalizzata dei dati relativial traffico (art. 123, comma 1, cit.), con le seguenti eccezioni:

a. è stato consentito il trattamentodi dati strettamente necessario a fini di fatturazione per l'abbonato, ovverodi pagamenti in caso di interconnessione (nei limiti e con le modalità dicui all'art. 123, comma 2) o, previoconsenso dell'abbonato o dell'utente, a fini di commercializzazione diservizi di comunicazione elettronica o per la fornitura di servizi a valoreaggiunto (art. 123, comma 3);

b. è stata però prescritta intermini distinti la conservazione temporanea dei dati di traffico telefonicoper esclusive finalità di accertamento e repressione dei reati per due periodidi ventiquattro mesi ciascuno (art. 132 del Codice).

Un successivo provvedimento d'urgenza del2005 (d.l. 27 luglio 2005, n. 144, convertito in l., con modificazioni,dall'art. 1 della l. 31 luglio 2005, n. 155) ha poi introdotto, tra l'altro:

a) l'obbligo di conservare i dati ditraffico telematico, escludendone i contenuti, per due periodi di sei mesiciascuno;

b) l'obbligo di conservare dati relativialle chiamate telefoniche senza risposta;

c) con riferimento ai primi ventiquattromesi di conservazione dei dati del traffico telefonico e ai primi sei mesi diconservazione dei dati del traffico telematico, la previsione che la richiestagiudiziaria volta ad acquisirli, rivolta al fornitore, venga effettuata dal"pubblico ministero anche su istanza del difensore dell'imputato, dellapersona sottoposta alle indagini, della persona offesa e delle altre partiprivate e non già dal giudice su istanza del pubblico ministero";

d) un regime transitorio in virtù delquale è stata sospesa temporaneamente l'applicazione di qualunque disposizioneche prescriva o consenta la cancellazione dei dati di traffico, anche se nonsoggetti a fatturazione (termine originariamente stabilito al 31 dicembre 2007,ma successivamente prorogato al 31 dicembre 2008 con l'art. 34 del recente d.l.31 dicembre 2007, n. 248, in fase di conversione in legge);

e) per i titolari e i gestori di esercizipubblici o di circoli privati di qualsiasi specie, che si limitino a porre adisposizione del pubblico, dei clienti o dei soci apparecchi terminaliutilizzabili per le comunicazioni, anche telematiche, esclusi i telefonipubblici a pagamento abilitati esclusivamente alla telefonia vocale, alcunispecifici obblighi di identificazione e monitoraggio delle operazioni compiutedai clienti (cfr. anche il d.m. 16 agosto 2005, in G.U. 17 agosto 2005, n. 190, attuativo di taleprevisione).

Il decreto legge del 2005 ha quindi, daun lato, emendato l'art. 132 del Codice (punti a), b) e c) sopra indicati) e, dall'altro, ha introdotto un regime transitorioper la conservazione dei dati, nonché la predetta disciplina specialeapplicabile solo a determinati soggetti.

Fermo restando il predetto regime, cheprevede temporaneamente la conservazione (lett. d) sopra citata), lavigente normativa di riferimento prescrive ai fornitori di servizi dicomunicazione elettronica di conservare comunque, per finalità di accertamentoe repressione di reati, i dati relativi al traffico telefonico (inclusi quelliconcernenti le chiamate senza risposta) e quelli inerenti al trafficotelematico (esclusi i contenuti delle comunicazioni), rispettivamente perventiquattro e sei mesi (art. 132, comma 1, del Codice).

La stessa normativa prescrive inoltre, aimedesimi fornitori, di conservare tali dati per un periodo ulteriore, rispettivamentedi ventiquattro e sei mesi, per l'accertamento e la repressione dei delittitassativamente individuati dall'art. 407, comma 2, lett. a), c.p.p., nonché dei delitti in danno di sistemiinformatici o telematici (art. 132, comma 2).

Infine, prevede che la conservazione deipredetti dati sia effettuata nel rispetto di specifici accorgimenti e misure agaranzia degli interessati. L'individuazione di tali cautele, oggetto delpresente provvedimento, è stata appunto demandata al Garante per la protezionedei dati personali (cfr. artt. 17 e 132, comma 5, del Codice).

2.3. Altra disciplina comunitaria: ladirettiva 2006/24/Ce  Al fine di armonizzare le disposizioni degli Statimembri sul tema della conservazione dei dati di traffico per finalità diaccertamento e repressione di reati è poi intervenuta la direttiva n. 2006/24/Ce del Parlamento europeo e del Consiglio del 15marzo 2006, che doveva essere recepita entro il 15 settembre 2007.

Tale direttiva contiene specificheindicazioni sul risultato convenuto a livello comunitario con riferimento siaai tempi di conservazione dei dati di traffico (minimo sei mesi e massimo dueanni), sia alla corretta e uniforme individuazione delle "categorie didati da conservare" (analiticamente elencate nell'art. 5 della direttivamedesima); ciò, in relazione agli specifici servizi ivi enucleati, ovvero ditelefonia di rete fissa e di telefonia mobile, di accesso a Internet, di postaelettronica in Internet e di telefonia via Internet.

In questo quadro risulta necessariotenere conto di tali indicazioni anche nell'ambito del presente provvedimento.Ciò, anche in considerazione del fatto che nell'attuale quadro normativointerno, pur sussistendo una definizione generale di "dati relativi altraffico" (art. 4, comma 2, lett. h) del Codice), tali dati non vengono enumerati, né vengonodistinti espressamente i dati relativi al traffico "telefonico" daquelli inerenti al traffico "telematico".

Tale distinzione risulta, invece,necessaria in considerazione del fatto che il legislatore italiano,diversamente da quello comunitario, ha individuato due diversi periodi diconservazione in relazione alla natura "telefonica" o"telematica" del dato da conservare.

Ciò comporta l'esigenza di specificarel'ambito soggettivo di applicazione del presente provvedimento rispettoall'obbligo di conservazione dei dati.

3. I fornitori tenuti a conservare i datidi traffico  Il "fornitore" sul quale incombe l'obbligo diconservare i dati di traffico ai sensi del citato art. 132 del Codice è quelloche mette a disposizione del pubblico servizi di comunicazione elettronica sureti pubbliche di comunicazione; per "servizi di comunicazioneelettronica" devono intendersi quelli consistenti, esclusivamente oprevalentemente, "nella trasmissione di segnali su reti dicomunicazioni elettroniche" (art.4, comma 2, lett. d) e e), del Codice).

Ciò, deriva:

a) dalla collocazione del menzionato art.132 all'interno del titolo X, capo I, del Codice e da quanto disposto dall'art.121 del medesimo Codice il quale, nell'individuare i "Serviziinteressati", chiarisce che ledisposizioni del titolo X "si applicano al trattamento dei datipersonali connesso alla fornitura di servizi di comunicazione elettronicaaccessibili al pubblico su reti pubbliche di comunicazioni";

b) da quanto stabilisce il citato decretolegge 27 luglio 2005, n. 144 nella parte in cui, nell'imporre la conservazionedei dati per il predetto regime transitorio, si riferisce ai "fornitoridi una rete pubblica di comunicazioni o di un servizio di comunicazioneelettronica accessibile al pubblico".

Devono ritenersi quindi tenuti allaconservazione dei dati ai sensi del medesimo art. 132 i soggetti che realizzanoesclusivamente, o prevalentemente, una trasmissione di segnali su reti dicomunicazioni elettroniche, a prescindere dall'assetto proprietario della rete,e che offrono servizi a utenti finali secondo il principio di nondiscriminazione (cfr. anche direttiva 2002/21/Ce del Parlamento europeo e del Consiglio, cheistituisce un quadro normativo comune per le reti e i servizi di comunicazioneelettronica (c.d. direttiva quadro) e d.lg. n. 259/2003 recante il Codice dellecomunicazioni elettroniche).

Al contrario non rientrano, ad esempio,nell'ambito applicativo del presente provvedimento:

a. i soggetti che offronodirettamente servizi di comunicazione elettronica a gruppi delimitati dipersone (come, a titolo esemplificativo, i soggetti pubblici o privati checonsentono soltanto a propri dipendenti e collaboratori di effettuarecomunicazioni telefoniche o telematiche). Tali servizi, pur rientrando nelladefinizione generale di "servizi di comunicazione elettronica", nonpossono essere infatti considerati come "accessibili al pubblico".Qualora la comunicazione sia instradata verso un utente che si trovi al difuori della c.d. "rete privata", i dati di traffico generati da talecomunicazione sono invece oggetto di conservazione (ad es., da parte delfornitore di cui si avvale il destinatario della comunicazione, qualora sitratti di un messaggio di posta elettronica; cfr. documento di lavoro "Tutela della vita privata suInternet–Un approccio integrato dell'EU alla protezione dei dation-line", adottato dal Gruppo di lavoro per la tutela dei dati personaliil 21 novembre 2000);

b. i soggetti che, pur offrendoservizi di comunicazione elettronica accessibili al pubblico, non generano otrattano direttamente i relativi dati di traffico;

c. i titolari e i gestori diesercizi pubblici o di circoli privati di qualsiasi specie che si limitino aporre a disposizione del pubblico, di clienti o soci apparecchi terminaliutilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso aInternet utilizzando tecnologia senza fili, esclusi i telefoni pubblici apagamento abilitati esclusivamente alla telefonia vocale;

d. i gestori dei siti Internet chediffondono contenuti sulla rete (c.d. "content provider"). Essi non sono, infatti, fornitori di un"servizio di comunicazione elettronica" come definito dall'art. 4,comma 2, lett. e) del Codice.Tale norma, infatti, nel rinviare, per i casi di esclusione, all'art. 2, lett. c) della direttiva 2002/21/Ce cit., esclude essa stessa i "serviziche forniscono contenuti trasmessi utilizzando reti e servizi di comunicazioneelettronica […]". Deverilevarsi, inoltre, che i dati di traffico relativi alla comunicazione (come,ad esempio, la c.d. "navigazione web" e le pagine visitate di un sito Internet) spesso identificano orivelano nella sostanza anche il suo contenuto e pertanto l'eventualeconservazione di tali dati si porrebbe, in violazione di quanto dispostodall'art. 132 del Codice (come modificato dal citato d.l. n. 144/2005), laddoveesclude dalla conservazione per finalità di giustizia i "contenuti"della comunicazione (cfr., in talsenso, anche l'art. 1, comma 2, della direttiva 2006/24/Ce, nella parte in cui esclude dal proprio ambito diapplicazione la conservazione del "contenuto delle comunicazionielettroniche, ivi incluse le informazioni consultate utilizzando una rete dicomunicazioni elettroniche");

e. i gestori di motori di ricerca. Idati di traffico telematico che essi trattano, consentendo di tracciareagevolmente le operazioni compiute dall'utente in rete, sono, comunque,parimenti qualificabili alla stregua di "contenuti".

4. I dati di traffico che devono essereconservati  L'obbligo di conservazione riguarda i dati relativi altraffico telefonico, inclusi quelli concernenti le chiamate senza risposta,nonché i dati inerenti al traffico telematico, esclusi comunque i contenutidelle comunicazioni (art. 132 del Codice). In particolare, sono oggetto diconservazione i dati che i fornitori sottopongono a trattamento per latrasmissione della comunicazione o per la relativa fatturazione (art. 4,comma 2, lett. h), del Codice).

Pertanto, i fornitori (come individuatinel precedente paragrafo 3) devono conservare, per esclusive finalità diaccertamento e repressione di reati, solo i dati di traffico che risultinonella loro disponibilità in quanto derivanti da attività tecniche strumentalialla resa dei servizi offerti dai medesimi, nonché alla loro fatturazione. Ciò,in ossequio anche ai princìpi di pertinenza e non eccedenza stabiliti dagliartt. 3 e 11 del Codice.

In tal senso, si esprime anche il citatodecreto legge 27 luglio 2005, n. 144 che, all'art. 6, riconduce l'obbligo di conservazionealle "informazioni che consentono la tracciabilità degli accessi,nonché, qualora disponibili, dei servizi". La direttiva 2006/24/Ce ribadisce che tale obbligo sussiste soltanto sei dati sono stati "generati o trattati nel processo di fornitura dei […] servizi di comunicazione" del fornitore (cfr. considerando 23 e art. 3,par. 1, della direttiva 2006/24/Ce cit.).

L'art. 5 di tale direttiva contiene, poi,un'elencazione specifica delle informazioni da conservare e individua diversecategorie di dati di traffico, specificandone i contenuti a seconda che sitratti di traffico telefonico o telematico.

Nell'ambito dei servizi di comunicazioneelettronica, occorre infatti distinguere i servizi "telefonici" daquelli "telematici".

Nei primi sono ricompresi:

a. le chiamate telefoniche, inclusele chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione datitramite telefax;

b. i servizi supplementari, inclusil'inoltro e il trasferimento di chiamata;

c. la messaggeria e i servizimultimediali, inclusi i servizi di messaggeria breve-sms.

Nei secondi sono ricompresi:

a. l'accesso alla rete Internet;

b. la posta elettronica;

c. i fax (nonché i messaggi sms e mms)via Internet;

d. la telefonia via Internet (cd. Voiceover Internet Protocol–VoIP).

Per quanto concerne specificamente laconservazione dei dati di traffico telefonico relativo alle "chiamatesenza risposta", fermo restando allo stato quanto indicato dalla direttiva 2006/24/Ce al considerando 12 (laddove esclude dal proprioambito di applicazione i "tentativi di chiamata non riusciti"), il fornitore, in forza delle modificheapportate dal d.l. n. 144/2005 all'art. 132 del Codice, deve conservare solo idati generati da chiamate telefoniche che sono state collegate con successo, manon hanno ottenuto risposta oppure in cui vi è stato un intervento del gestoredella rete (cfr. art. 2, comma 2, lett. f), direttiva 2006/24/Ce).

5. Finalità perseguibili  Il vincolosecondo cui i dati conservati obbligatoriamente per legge possono essereutilizzati solo per finalità di accertamento e repressione di reati(individuati specificamente per legge in riferimento al predetto, secondoperiodo di conservazione) comporta una precisa limitazione per i fornitorinell'eventualità in cui essi ricevano richieste volte a perseguire scopidiversi.

Ad esempio:

a) i medesimi fornitori non possonocorrispondere a eventuali richieste riguardanti tali dati formulate nell'ambitodi una controversia civile, amministrativa e contabile;

b) sono tenuti a rispettare il menzionatovincolo di finalità anche l'interessato che acceda ai dati che lo riguardanoesercitando il diritto di accesso di cui all'art. 7 del Codice (e che puòutilizzare quindi i dati acquisiti solo in riferimento alle predette finalitàpenali), nonché, nel procedimento penale, il difensore dell'imputato, dellapersona sottoposta alle indagini, della persona offesa e delle altre partiprivate (art. 132, comma 3, del Codice).

6. Modalità di acquisizione dei dati  IlCodice individua le modalità con le quali possono essere acquisiti i dati ditraffico conservati dai fornitori prescrivendo, con riferimento al primoperiodo di conservazione (i primi ventiquattro mesi e sei mesi, rispettivamenteper il traffico telefonico e telematico), che la richiesta sia formulata con"decreto motivato del pubblico ministero anche su istanza del difensoredell'imputato, della persona sottoposta alle indagini, della persona offesa edelle altri parti private"(art. 132, comma 3, del Codice).

Al difensore dell'imputato o dellapersona sottoposta alle indagini è riconosciuta la facoltà di richiedere,direttamente, al fornitore i dati di traffico limitatamente ai dati che siriferiscano "alle utenze intestate al proprio assistito". La richiestadeve essere effettuata "con le modalità indicate dall'articolo391-quater del codice di procedura penale, ferme restando le condizioni di cuiall'articolo 8, comma 2, lettera f), per il traffico entrante" (art. 132, comma 3, cit.). Tale ultimo riferimentoai presupposti previsti dal Codice per l'accesso alle chiamate in entratacomporta, anche per i fornitori, la necessaria valutazione preliminare dellacircostanza che dalla mancata conoscenza dei dati richiesti possa derivare unpregiudizio effettivo e concreto per lo svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n. 397. A tale riguardo sirichiama quanto rilevato nel provvedimento adottato dal Garante in materia il 3novembre 2005.

In relazione al secondo periodo diconservazione, l'art. 132, comma 4, prevede che i dati conservati possanoessere acquisiti soltanto in presenza di un decreto motivato del giudice cheautorizzi l'acquisizione qualora ritenga sussistenti sufficienti indizi di unoo più delitti previsti dall'art. 407, comma 2, lettera a), c.p.p. o in danno di sistemi informatici otelematici.

7. Misure e accorgimenti da prescrivere  Comepremesso, il Garante è stato preposto per disposizione di legge a individuareaccorgimenti e misure da porre a garanzia degli interessati nell'ambito dellaconservazione dei dati di traffico telefonico e telematico per finalità diaccertamento e repressione di reati (art. 132, comma 5, del Codice).

A tal fine, il Garante ha curatopreliminarmente diversi approfondimenti tecnici con esperti del settore, nonchénumerosi accertamenti ispettivi presso primari fornitori di servizi dicomunicazione elettronica; ha, infine, indetto una specifica consultazionepubblica su un articolato documento indicante le misure e gli accorgimentiritenuti idonei per la conservazione dei dati di traffico per finalità digiustizia.

Le cautele ipotizzate in sede diconsultazione pubblica hanno trovato conforto all'esito della stessa, nonessendo pervenuti all'Autorità sostanziali rilievi critici da parte deisoggetti interessati.

Tutte le riflessioni e commenti pervenutisono stati comunque oggetto di specifica analisi e considerazionenell'elaborazione del presente provvedimento.

Nell'individuare le seguenti cautele cheil Garante prescrive ai fornitori interessati al presente provvedimento,l'Autorità ha tenuto conto dei parametri indicati negli artt. 17 e 132, comma5, del Codice, nonché:

a) dell'esigenza normativa volta aprevedere specifiche cautele rapportate alla quantità e qualità dei dati daproteggere e ai rischi indicati nell'art. 31 del Codice, rischi che i fornitoridevono già oggi prevenire rispettando i comuni obblighi di sicurezza collegatialle misure non solo minime previste dal Codice (artt. 31 e ss.; AllegatoB);

b) dell'opportunità di individuare, allostato, misure protettive per i trattamenti svolti da tutti i fornitoriinteressati che siano verificabili anche in sede ispettiva, ai fini di una piùincisiva messa in sicurezza dei dati di traffico telefonico e telematico;

c) della necessità di tenere inconsiderazione i costi derivanti dall'adozione delle misure e degliaccorgimenti prescritti con il presente provvedimento, anche in ragione dellavariegata capacità tecnica ed economica dei soggetti interessati;

d) del contesto europeo di riferimento,specie alla luce dei pareri resi dal Gruppo per la tutela dei dati personali (cfr. pareri nn. 4/2005 sulla proposta di direttiva del Parlamentoeuropeo e del Consiglio riguardante la conservazione di dati trattatinell'ambito della fornitura di servizi pubblici di comunicazione elettronica eche modifica la direttiva 2002/58/Ce; 3/2006 sulla direttiva 2006/24/Ce del Parlamentoeuropeo e del Consiglio riguardante la conservazione di dati generati otrattati nell'ambito della fornitura di servizi di comunicazione elettronicaaccessibili al pubblico o di reti pubbliche di comunicazione che modifica ladirettiva 2002/58/Ce; 8/2006 sulla revisione del quadro normativo per lereti ed i servizi di comunicazione elettronica, con particolare attenzione alladirettiva relativa alla vita privata e alle comunicazioni elettroniche) ;

e) dello stato dell'evoluzionetecnologica, alla luce del quale le seguenti prescrizioni devono pertantoritenersi soggette ad aggiornamento periodico.

Di seguito, sono indicati gliaccorgimenti e le misure prescritti dal Garante.

Per effetto del presente provvedimento:

7.1. Sistemi di autenticazione  Iltrattamento dei dati di traffico telefonico e telematico da parte dei fornitorideve essere consentito solo agli incaricati del trattamento e unicamente sullabase del preventivo utilizzo di specifici sistemi di autenticazione informaticabasati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno duedifferenti tecnologie di autenticazione, qualunque sia la modalità, locale oremota, con cui si realizzi l'accesso al sistema di elaborazioneutilizzato per il trattamento, evitando che questo possa aver luogo senza che l'incaricatoabbia comunque superato una fase di autenticazione informatica nei terminianzidetti.

Per i dati di traffico conservati peresclusive finalità di accertamento e repressione dei reati (cioè quelligenerati da più di sei mesi, oppure la totalità dei dati trattati per questefinalità se conservati separatamente dai dati trattati per le altre finalitàfin dalla loro generazione), una di tali tecnologie deve essere basatasull'elaborazione di caratteristiche biometriche dell'incaricato, in modo taleda assicurare la presenza fisica di quest'ultimo presso la postazione di lavoroutilizzata per il trattamento.

Tali modalità di autenticazione devonoessere applicate anche a tutti gli addetti tecnici (amministratori di sistema,di rete, di data base) chepossano accedere ai dati di traffico custoditi nelle banche dati del fornitore.

Limitatamente a tali addetti tecnici,circostanze legate a indifferibili interventi per malfunzionamenti, guasti,installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi,possono determinare la necessità di accesso informatico a sistemi dielaborazione che trattano dati di traffico in assenza di autenticazionebiometrica o di strong-authentication per operazioni che comportano la presenza fisica dell'addetto cheprocede all'intervento in prossimità del sistema di elaborazione (per esempio,per lo svolgimento di operazioni di amministrazione da console locale che implichino la disabilitazione dei servizidi rete e l'impossibilità di gestire operazioni di input/output tramite dispositivi accessori come quelliutilizzabili per la strong authentication).

In caso di accesso da parte degli addettitecnici nei termini anzidetti, fermo restando l'obbligo di assicurare le misureminime in tema di credenziali di autenticazione previste dall'Allegato B) alCodice e, per quanto concerne i trattamenti di dati di traffico telefonico peresclusive finalità di giustizia, quanto specificato al successivo paragrafo7.3, dovrà essere tenuta preventivamente traccia in un apposito "registrodegli accessi" dell'evento, nonché delle motivazioni che lo hannodeterminato, con una successiva descrizione sintetica delle operazioni svolte,anche mediante l'utilizzo di sistemi elettronici. Tale registro deve esserecustodito dal fornitore presso le sedi di elaborazione e messo a disposizionedel Garante nel caso di ispezioni o controlli, unitamente a un elenconominativo dei soggetti abilitati all'accesso ai diversi sistemi dielaborazione con funzioni di amministratore di sistema, che deve essere formatoe aggiornato costantemente dal fornitore.

7.2. Sistemi diautorizzazione  Relativamente ai sistemi di autorizzazione devono essereadottate specifiche procedure in grado di garantire la separazione rigida dellefunzioni tecniche di assegnazione di credenziali di autenticazione e diindividuazione dei profili di autorizzazione rispetto a quelle di gestionetecnica dei sistemi e delle basi di dati. Tali differenti funzioni non possonoessere attribuite contestualmente a uno stesso soggetto.

I profili di autorizzazione da definire eda attribuire agli incaricati devono differenziare le funzioni di trattamentodei dati di traffico per finalità di ordinaria gestione da quelle per finalitàdi accertamento e repressione dei reati distinguendo, tra queste ultime, gliincaricati abilitati al solo trattamento dei dati di cui al primo periodo diconservazione obbligatoria (art. 132, comma 1, del Codice), dagli incaricatiabilitati anche al trattamento dei dati di cui al secondo periodo diconservazione obbligatoria (art. 132, comma 2, del Codice) e, infine, dallefunzioni di trattamento dei dati in caso di esercizio dei dirittidell'interessato (art. 7 del Codice).

Conseguentemente, un incaricato cui siaattribuito un profilo di autorizzazione abilitante ad esempio al trattamentodei dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma1, del Codice) non può accedere, per ciò stesso e direttamente, a dati il cuitrattamento richieda il possesso del profilo di autorizzazione relativoall'intero periodo di conservazione obbligatoria (art. 132, comma 2, delCodice).

Questa suddivisione non implica lamoltiplicazione degli addetti ai servizi per scopi di giustizia; i fornitorihanno infatti la facoltà di utilizzare, per i loro incaricati, il profilodi autorizzazione che abilita al trattamento dei dati relativi al primo periodoo quello che abilita al trattamento dei dati relativi all'intero periodo diconservazione per scopi di giustizia.

7.3. Conservazione separata  I datidi traffico conservati per esclusive finalità di accertamento e repressione direati vanno trattati necessariamente tramite sistemi informatici distintifisicamente da quelli utilizzati per gestire dati di traffico anche per altrefinalità, sia nelle componenti di elaborazione, sia nell'immagazzinamento deidati (storage).

Più specificamente, i sistemi informaticiutilizzati per i trattamenti di dati di traffico conservati per esclusivafinalità di giustizia devono essere differenti da quelli utilizzati anche peraltre funzioni aziendali (come fatturazione, marketing, antifrode) ed essere, altresì, protetti contro ilrischio di intrusione mediante idonei strumenti di protezione perimetrale asalvaguardia delle reti di comunicazione e delle risorse di memorizzazione impiegatenei trattamenti.

I dati di traffico conservati per unperiodo non superiore a sei mesi dalla loro generazione possono, invece, esseretrattati per le finalità di giustizia sia prevedendone il trattamento con imedesimi sistemi di elaborazione e di immagazzinamento utilizzati per lageneralità dei trattamenti, sia provvedendo alla loro duplicazione, conconservazione separata rispetto ai dati di traffico trattati per le ordinariefinalità, per l'elaborazione con sistemi dedicati a questo specifico trattamento.

Questa prescrizione lascia ai fornitorila facoltà di scegliere, sulla base di propri modelli organizzativi e dellapropria dotazione tecnologica, l'architettura informatica più idonea per laconservazione obbligatoria dei dati di traffico e per le ordinarie elaborazioniaziendali; permette infatti che i dati di traffico conservati sino a sei mesidalla loro generazione possano essere trattati, per finalità di giustizia, consistemi informatici non riservati esclusivamente a tali elaborazioni; oppure,che gli stessi dati vengano duplicati per effettuare un trattamento dedicatoesclusivamente al perseguimento delle finalità di giustizia. In quest'ultimocaso le misure e gli accorgimenti prescritti per i dati conservati peresclusive finalità di giustizia si applicano sin dall'inizio del trattamento.

Le attrezzature informatiche utilizzateper i trattamenti di dati di traffico per le esclusive finalità di giustizia dicui sopra devono essere collocate all'interno di aree ad accesso selezionato(ovvero riservato ai soli soggetti legittimati ad accedervi per l'espletamentodi specifiche mansioni) e munite di dispositivi elettronici di controllo o diprocedure di vigilanza che comportino la registrazione dei dati identificatividelle persone ammesse, con indicazione dei relativi riferimenti temporali.

Nel caso di trattamenti di dati ditraffico telefonico per esclusive finalità di giustizia, il controllo degliaccessi deve comprendere una procedura di riconoscimento biometrico.

Nell'ambito dei trattamenti per finalitàdi accertamento e repressione di reati, una volta decorso il termine di cui alcomma 1 dell'art. 132 del Codice, i dati di traffico devono essere trattati conmodalità che consentano l'accesso differenziato su base temporale, provvedendoa forme di separazione dei dati che garantiscano il rispetto del principio difinalità dei trattamenti e l'efficacia dei profili di autorizzazione definiti.

La differenziazione può essere ottenuta:

a. mediante separazione fisica,predisponendo sistemi del tutto separati nelle componenti di elaborazione e diarchiviazione, oppure

b. mediante separazione logica,ovvero intervenendo sulla struttura delle basi di dati e/o sui sistemi diindicizzazione e/o sui metodi di accesso e/o sui profili di autorizzazione.

Devono essere adottate misure idonee agarantire il ripristino dell'accesso ai dati in caso di danneggiamento deglistessi o degli strumenti elettronici in tempi compatibili con i diritti degliinteressati e comunque non superiori a sette giorni.

7.4. Incaricati del trattamento  Gliincaricati che accedono ai dati di traffico conservati per le finalità di cuiall'art. 132 del Codice, anche per consentire l'esercizio dei diritti di cuiall'art. 7 del Codice medesimo, devono essere designati specificamente inrapporto ai dati medesimi.

Il processo di designazione deveprevedere la frequenza di una periodica attività formativa concernentel'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e lerelative responsabilità. L'effettiva partecipazione al corso deve esseredocumentata.

Per quanto riguarda le richieste perl'esercizio dei diritti di cui all'art. 7 del Codice che comportanol'estrazione dei dati di traffico (menzionate anche nell'art. 132, comma 5,lett. c)), nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2,lettera f) del Codice, iltitolare del trattamento deve conservare in forma specifica la documentazionecomprovante l'idonea verifica dell'identità del richiedente ai sensi dell'art.9 del Codice stesso, e adottare opportune cautele per comunicare i dati al solosoggetto legittimato in base al medesimo articolo.

7.5. Cancellazione dei dati  Alloscadere dei termini previsti dalle disposizioni vigenti, i dati di trafficosono resi non disponibili per le elaborazioni dei sistemi informativi e lerelative consultazioni; sono altresì cancellati o resi anonimi senza alcunritardo, in tempi tecnicamente compatibili con l'esercizio delle relativeprocedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti, nonché neisistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione dimisure previste dalla normativa vigente, documentando tali operazioni al piùtardi entro trenta giorni successivi alla scadenza dei termini di cui all'art.132 del Codice.

7.6. Altre misure  Auditlog Devono essere adottatesoluzioni informatiche idonee ad assicurare il controllo delle attività svoltesui dati di traffico da ciascun incaricato del trattamento, quali che siano lasua qualifica, le sue competenze e gli ambiti di operatività e le finalità deltrattamento. Il controllo deve essere efficace e dettagliato anche per itrattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati.

Tali soluzioni comprendono laregistrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati ditraffico e sugli altri dati personali a essi connessi, sia quando consistono oderivano dall'uso interattivo dei sistemi, sia quando sono svolte tramitel'azione automatica di programmi informatici.

I sistemi di audit log devono garantire la completezza, l'immodificabilitàe l'autenticità delle registrazioni in essi contenute, con riferimento a tuttele operazioni di trattamento e a tutti gli eventi relativi alla sicurezzainformatica sottoposti ad auditing.A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto dielaborazione o per datacenter,sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura,i dati o i raggruppamenti di dati devono essere sottoposti a procedureinformatiche per attestare la loro integrità, basate sull'utilizzo ditecnologie crittografiche.

Le misure di cui al presente paragrafosono adottate nel rispetto dei princìpi in materia di controllo dei lavoratorisull'uso di strumenti elettronici, con particolare riguardo all'informativaagli interessati (cfr. Provv. 1°marzo 2007).

7.7. Audit interno– Rapporti periodici La gestionedei dati di traffico per finalità di accertamento e repressione di reati deveessere oggetto, con cadenza almeno annuale, di un'attività di controllo internoda parte dei titolari del trattamento, in modo che sia verificata costantementela rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti itrattamenti dei dati di traffico previste dalle norme vigenti e dalprovvedimento del Garante, anche per ciò che riguarda la verifica della particolareselettività degli incaricati legittimati.

L'attività di controllo deve esseredemandata a un'unità organizzativa o, comunque, a personale diverso rispetto aquelli cui è affidato il trattamento dei dati per la finalità di accertamento erepressione dei reati.

I controlli devono comprendere ancheverifiche a posteriori, a campione o su eventuale allarme derivante da sistemidi Alerting e di AnomalyDetection, sulla legittimità eliceità degli accessi ai dati effettuati dagli incaricati, sull'integrità deidati e delle procedure informatiche adoperate per il loro trattamento. Sonosvolte, altresì, verifiche periodiche sull'effettiva cancellazione dei datidecorsi i periodi di conservazione.

L'attività di controllo deve essereadeguatamente documentata in modo tale che sia sempre possibile risalire aisistemi verificati, alle operazioni tecniche su di essi effettuate, allerisultanze delle analisi condotte sugli accessi e alle eventuali criticitàriscontrate.

L'esito dell'attività di controllo deveessere:

a. comunicato alle persone e agliorgani legittimati ad adottare decisioni e a esprimere, a vari livelli in baseal proprio ordinamento interno, la volontà della società;

b. richiamato nell'ambito deldocumento programmatico sulla sicurezza nel quale devono essere indicati gliinterventi eventualmente necessari per adeguare le misure di sicurezza;

c. messo, a richiesta, adisposizione del Garante o dell'autorità giudiziaria.

7.8. Documentazione dei sistemiinformativi  I sistemi informativi utilizzati per il trattamento dei datidi traffico devono essere documentati in modo idoneo secondo i princìpidell'ingegneria del software,evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione.

La descrizione deve comprendere, perciascun sistema applicativo, l'architettura logico-funzionale, l'architetturacomplessiva e la struttura dei sistemi utilizzati per il trattamento, i flussidi input/output dei dati ditraffico da e verso altri sistemi, l'architettura della rete di comunicazione,l'indicazione dei soggetti o classi di soggetti aventi legittimo accesso alsistema.

La documentazione va corredata condiagrammi di dislocazione delle applicazioni e dei sistemi, da cui deverisultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati idati per le finalità di accertamento e repressione di reati.

La documentazione tecnica deve essereaggiornata e messa a disposizione dell'Autorità su sua eventuale richiesta,unitamente a informazioni di dettaglio sui soggetti aventi legittimo accesso aisistemi per il trattamento dei dati di traffico.

7.9. Cifratura e protezione deidati  I dati di traffico trattati per esclusive finalità di giustiziavanno protetti con tecniche crittografiche, in particolare contro rischi diacquisizione fortuita o di alterazione accidentale derivanti da operazioni dimanutenzione sugli apparati informatici o da ordinarie operazioni diamministrazione di sistema. In particolare, devono essere adottate soluzioniche rendano le informazioni, residenti nelle basi di dati a servizio delleapplicazioni informatiche utilizzate per i trattamenti, non intelligibili a chinon disponga di diritti di accesso e profili di autorizzazione idonei,ricorrendo a forme di cifratura od offuscamento di porzioni dei database o degli indici o ad altri accorgimenti tecnicibasati su tecnologie crittografiche.

Tale misura deve essere efficace perridurre al minimo il rischio che incaricati di mansioni tecniche accessorie aitrattamenti (amministratori di sistema, data base administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anchefortuitamente, acquisendone conoscenza nel corso di operazioni di accesso aisistemi o di manutenzione di altro genere, oppure che possano intenzionalmenteo fortuitamente alterare le informazioni registrate.

Eventuali flussi di trasmissione dei datidi traffico tra sistemi informatici del fornitore devono aver luogo tramiteprotocolli di comunicazione sicuri, basati su tecniche crittografiche, ocomunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocollidi comunicazione sicuri devono essere adottati anche per garantire, più ingenerale, la sicurezza dei sistemi, evitando di esporli a vulnerabilità e arischio di intrusione (a titolo esemplificativo, l'accesso interattivo inmodalità "emulazione di terminale", anche per scopi tecnici, non deveessere consentito su canali non sicuri, così come deve essere evitatal'attivazione di servizi di rete non necessari che si possono prestare allarealizzazione di forme di intrusione).

7.10. Tempi di adozione delle misure edegli accorgimenti  Valutato il complesso delle misure e degliaccorgimenti, tenuto conto del quadro delle cautele che emergono dallerisultanze ispettive essere già in atto presso i fornitori, nonché dei tempitecnici necessari per completarne l'attuazione, anche alla luce di quantoemerso dalla consultazione pubblica, risulta dagli atti congruo fissare untermine transitorio per i trattamenti di dati in essere, prevedendo che tuttigli adempimenti di cui al presente punto 7 siano completati al più presto edentro, e non oltre, il termine che è parimenti congruo stabilire per tutti ifornitori al 31 ottobre 2008. Entro tale termine, i fornitori dovranno dareconferma al Garante attestando formalmente l'integrale adempimento al presenteprovvedimento.

8. Applicazione di alcune misure a datitrattati per altre finalità  Le considerazioni svolte sulla naturaparticolarmente delicata dei dati di traffico, sulla necessità di garantire unatutela maggiormente efficace dei diritti e delle libertà delle persone e diprescrivere una più incisiva messa in sicurezza di dati rilevano anche per ognialtro trattamento di dati di traffico telefonico e telematico effettuato daifornitori di cui al paragrafo 3.

Ciò, comporta l'improrogabile esigenza diassicurare che almeno alcuni tra gli accorgimenti e le misure di cui alprecedente punto 7, limitatamente a quelli adattabili al caso di specie, sianoapplicati comunque dai predetti fornitori nell'ambito di analoghi trattamentidi dati di traffico telefonico e telematico effettuati per finalità non digiustizia, ma di fatturazione, pagamento in caso di interconnessione ecommercializzazione di servizi, nel più breve periodo temporale indicato nelmenzionato art. 123.

Per tali ragioni il Garante,contestualmente e distintamente da quanto va disposto ai sensi dell'art. 132,comma 5, del Codice, prescrive ai fornitori di cui al paragrafo 3, ai sensidell'art. 17 del medesimo Codice, di adottare nel termine e con la modalità dicui al paragrafo 7.10. le misure e gli accorgimenti indicati nella lettera c)del seguente dispositivo.

Copia del presente provvedimento verràtrasmessa al Ministero della giustizia, anche ai fini della sua pubblicazionesulla Gazzetta Ufficiale dellaRepubblica italiana a cura dell'Ufficio pubblicazione leggi e decreti, nonché,per opportuna conoscenza, all'Autorità per le garanzie nelle comunicazioni.

TUTTO CIÒ PREMESSO ILGARANTE:

a) ai sensi degli artt. 17, 123 e 132,comma 5, del Codice, prescrive ai fornitori di servizi di comunicazioneelettronica individuati nel paragrafo 3 di adottare nel trattamento dei dati ditraffico telefonico e telematico di cui al paragrafo 4 le misure e gliaccorgimenti a garanzia degli interessati individuate nel presenteprovvedimento, provvedendo a (par. 7):

1. adottare specifici sistemi di autenticazioneinformatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno duedifferenti tecnologie di autenticazione, che si applichino agli accessi aisistemi di elaborazione da parte di tutti gli incaricati di trattamento, nonchédi tutti gli addetti tecnici (amministratori di sistema, di rete, di database) che possano accedere ai datidi traffico custoditi nelle banche dati del fornitore, qualunque sia lamodalità, locale o remota, con cui si realizzi l'accesso al sistema dielaborazione utilizzato per il trattamento, evitando che questo possa averluogo senza che l'incaricato abbia comunque superato una fase di autenticazioneinformatica nei termini anzidetti. Per i dati di traffico trattati peresclusive finalità di accertamento e repressione dei reati, una di talitecnologie deve essere basata sull'elaborazione di caratteristiche biometrichedell'incaricato, in modo tale da assicurare la presenza fisica di quest'ultimopresso la postazione di lavoro utilizzata per il trattamento. Tali modalità diautenticazione devono essere applicate anche a tutti gli addetti tecnici(amministratori di sistema, di rete, di data base) che possano accedere ai datidi traffico custoditi nelle banche dati del fornitore. Relativamente ai soliaddetti tecnici indicati al presente punto 1, qualora circostanze legate aindifferibili interventi per malfunzionamenti, guasti, installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi, determinino la necessitàdi accesso informatico a sistemi di elaborazione che trattano dati di trafficoin assenza di strong authentication,fermo restando l'obbligo di assicurare le misure minime in tema di credenzialidi autenticazione previste dall'Allegato B) al Codice, deve essere tenuta tracciadell'evento in un apposito "registro degli accessi", nonché dellemotivazioni che li hanno determinati, con una successiva descrizione sinteticadelle operazioni svolte, anche mediante l'utilizzo di sistemi elettronici. Taleregistro deve essere custodito dal fornitore presso le sedi di elaborazione emesso a disposizione del Garante nel caso di ispezioni o controlli, unitamentea un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi dielaborazione con funzioni di amministratore di sistema, che deve essere formatoe aggiornato costantemente dal fornitore.

2. adottare specifiche procedure ingrado di garantire la separazione rigida delle funzioni tecniche diassegnazione di credenziali di autenticazione e di individuazione dei profilidi autorizzazione rispetto a quelle di gestione tecnica dei sistemi e dellebasi di dati. Il fornitore deve definire e attribuire agli incaricati specificiprofili di autorizzazione differenziando le funzioni di trattamento dei dati ditraffico per finalità di ordinaria gestione da quelle per finalità diaccertamento e repressione dei reati e distinguendo, tra queste ultime, gliincaricati abilitati al solo trattamento dei dati di cui al primo periodo diconservazione obbligatoria (art. 132, comma 1, del Codice) dagli incaricatiabilitati anche al trattamento dei dati di cui al secondo periodo diconservazione obbligatoria (art. 132, comma 2, del Codice) e, infine, dallefunzioni di trattamento dei dati in caso di esercizio dei dirittidell'interessato (art. 7 del Codice);

3. adottare, per la conservazionedei dati di traffico per esclusive finalità di accertamento e repressione direati, sistemi informatici distinti fisicamente da quelli utilizzati pergestire dati di traffico anche per altre finalità, sia nelle componenti dielaborazione, sia di immagazzinamento dei dati (storage). I dati di traffico conservati per un periodo nonsuperiore ai sei mesi dalla loro generazione possono, invece, essere trattatiper le finalità di giustizia sia prevedendone il trattamento con i medesimisistemi di elaborazione e di immagazzinamento utilizzati per la generalità deitrattamenti, sia provvedendo alla loro duplicazione, con conservazione separatarispetto ai dati di traffico trattati per le ordinarie finalità. Le attrezzatureinformatiche utilizzate per i trattamenti di dati di traffico per le esclusivefinalità di giustizia di cui sopra devono essere collocate all'interno di areead accesso selezionato (ovvero riservato ai soli soggetti legittimati adaccedervi per l'espletamento di specifiche mansioni) e munite di dispositivielettronici di controllo o di procedure di vigilanza che comportino laregistrazione dei dati identificativi delle persone ammesse, con indicazionedei relativi riferimenti temporali. Nel caso di trattamenti di dati di trafficotelefonico per esclusive finalità di giustizia, il controllo degli accessi devecomprendere una procedura di riconoscimento biometrico. Inoltre,nell'ambito dei trattamenti per finalità di accertamento e repressione direati, una volta decorso il termine di cui al comma 1 dell'art. 132 del Codice,il fornitore deve trattare tali dati con modalità che consentano l'accessodifferenziato su base temporale, tramite forme di separazione dei dati chegarantiscano il rispetto del principio di finalità dei trattamenti el'efficacia dei profili di autorizzazione definiti. Tale differenziazione puòessere ottenuta mediante separazione fisica, predisponendo sistemi del tuttoseparati nelle componenti di elaborazione e di archiviazione, oppure medianteseparazione logica, ovvero intervenendo sulla struttura delle basi di dati e/osui sistemi di indicizzazione e/o sui metodi di accesso e/o sui profili diautorizzazione. Infine, il fornitore deve adottare misure idonee a garantire ilripristino dell'accesso ai dati in caso di danneggiamento degli stessi o deglistrumenti elettronici in tempi compatibili con i diritti degli interessati ecomunque non superiori a sette giorni;

4. designare specificamente gliincaricati che possono accedere ai dati di traffico conservati per le finalitàdi cui all'art. 132 del Codice, anche per consentire l'esercizio dei diritti dicui all'art. 7 del Codice medesimo. Il processo di designazione deve prevederela documentata frequenza di una periodica attività formativa concernentel'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e lerelative responsabilità. Per quanto riguarda le richieste per l'esercizio deidiritti di cui all'art. 7 del Codice che comportano l'estrazione dei dati ditraffico, nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2,lettera f) del Codice, ilfornitore deve conservare in forma specifica la documentazione comprovantel'idonea verifica dell'identità del richiedente ai sensi dell'art. 9 del Codicestesso, e adottare opportune cautele per comunicare i dati al solo soggettolegittimato in base al medesimo articolo;

5. rendere i dati di trafficoimmediatamente non disponibili per le elaborazioni dei sistemi informativi alloscadere dei termini previsti dalle disposizioni vigenti. Il fornitore devecancellare o rendere anonimi senza ritardo tali dati, in tempi tecnicamentecompatibili con l'esercizio delle relative procedure informatiche, nei database e nei sistemi dielaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti perla realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione dimisure previste dalla normativa vigente e, al più tardi, documentando taleoperazione entro i trenta giorni successivi alla scadenza dei termini di cuiall'art. 132 del Codice;

6. adottare soluzioni informaticheidonee ad assicurare il controllo delle attività svolte sui dati di traffico daciascun incaricato del trattamento, quali che siano la sua qualifica, le suecompetenze e gli ambiti di operatività e le finalità del trattamento. Ilcontrollo deve essere efficace e dettagliato anche per i trattamenti condottisui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono laregistrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati ditraffico e sugli altri dati personali a essi connessi, sia quando consistono oderivano dall'uso interattivo dei sistemi, sia quando sono svolte tramitel'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità,l'autenticità delle registrazioni in essi contenute, con riferimento a tutte leoperazioni di trattamento e a tutti gli eventi relativi alla sicurezzainformatica sottoposti ad auditing.A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto dielaborazione o per datacenter,sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura,i dati o i raggruppamenti di dati devono essere sottoposti a procedureinformatiche per attestare la loro integrità, basate sull'utilizzo ditecnologie crittografiche;

7. svolgere, con cadenza almenoannuale, un'attività di controllo interno per verificare costantemente larispondenza alle misure organizzative, tecniche e di sicurezza riguardanti itrattamenti dei dati di traffico previste dalle norme vigenti e dalprovvedimento del Garante, anche per ciò che riguarda la verifica dellaparticolare selettività degli incaricati legittimati. Tale attività dicontrollo deve essere demandata a un'unità organizzativa o, comunque, apersonale diverso rispetto a quelli cui è affidato il trattamento dei dati perla finalità di accertamento e repressione dei reati. I controlli devonocomprendere anche verifiche a posteriori, a campione o su eventuale allarmederivante da sistemi di Alertinge di Anomaly Detection, sullalegittimità e liceità degli accessi ai dati effettuati dagli incaricati,sull'integrità dei dati e delle procedure informatiche adoperate per il lorotrattamento. Sono svolte, altresì, verifiche periodiche sull'effettivacancellazione dei dati decorsi i periodi di conservazione. L'attività dicontrollo deve essere adeguatamente documentata in modo tale che sia semprepossibile risalire ai sistemi verificati, alle operazioni tecniche su di essieffettuate, alle risultanze delle analisi condotte sugli accessi e alleeventuali criticità riscontrate. L'esito dell'attività di controllo deveessere: comunicato alle persone e agli organi legittimati ad adottare decisionie ad esprimere, a vari livelli in base al proprio ordinamento interno, lavolontà della società; richiamato nell'ambito del documento programmatico sullasicurezza nel quale devono essere indicati gli interventi eventualmentenecessari per adeguare le misure di sicurezza; messo, a richiesta, adisposizione del Garante o dell'autorità giudiziaria;

8. documentare i sistemi informativiutilizzati per il trattamento dei dati di traffico in modo idoneo secondo iprincìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivistandard o di ampia accettazione.La descrizione deve comprendere, per ciascun sistema applicativo,l'architettura logico-funzionale, l'architettura complessiva e la struttura deisistemi utilizzati per il trattamento, i flussi di input/outputdei dati di traffico da e verso altri sistemi, l'architettura della rete dicomunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimoaccesso al sistema. La documentazione va corredata con diagrammi didislocazione delle applicazioni e dei sistemi, da cui deve risultare anchel'esatta ubicazione dei sistemi nei quali vengono trattati i dati per lefinalità di accertamento e repressione di reati. La documentazione tecnica deveessere aggiornata e messa a disposizione dell'Autorità su sua eventualerichiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimoaccesso ai sistemi per il trattamento dei dati di traffico;

9. proteggere i dati di trafficotrattati per esclusive finalità di giustizia con tecniche crittografiche, inparticolare contro rischi di acquisizione fortuita o di alterazione accidentalederivanti da operazioni di manutenzione sugli apparati informatici o daordinarie operazioni di amministrazione di sistema. Il fornitore deve adottaresoluzioni che rendano le informazioni residenti nelle basi di dati a serviziodelle applicazioni informatiche utilizzate per i trattamenti, non intelligibilia chi non disponga di diritti di accesso e profili di autorizzazione idonei,ricorrendo a forme di cifratura od offuscamento di porzioni dei data base odegli indici o ad altri accorgimenti tecnici basati su tecnologiecrittografiche. Tale misura deve essere efficace per ridurre al minimo ilrischio che incaricati di mansioni tecniche accessorie ai trattamenti(amministratori di sistema, database administrator e manutentori hardware e software) possano accedere indebitamente alle informazioni registrate, anchefortuitamente, acquisendone conoscenza nel corso di operazioni di accesso aisistemi o di manutenzione di altro genere, oppure che possano intenzionalmenteo fortuitamente alterare le informazioni registrate. Eventuali flussi ditrasmissione dei dati di traffico tra sistemi informatici del fornitore devonoaver luogo tramite protocolli di comunicazione sicuri, basati su tecnichecrittografiche, o comunque evitando il ricorso alla trasmissione in chiaro deidati. Protocolli di comunicazione sicuri devono essere adottati anche pergarantire più in generale la sicurezza dei sistemi evitando di esporli avulnerabilità e a rischio di intrusione;

b) ai sensi dei medesimi artt. 17, 123 e132, comma 5 del Codice, nonché dell'art. 157 del Codice, prescrive ai predettifornitori titolari del trattamento di effettuare tutti gli adempimenti di cuialla precedente lett. a) al più presto e, comunque, entro e non oltre iltermine del 31 ottobre 2008, dandone conferma al Garante attestando entro lostesso termine l'integrale adempimento;

c) ai sensi dell'art. 17 del Codiceprescrive ai medesimi fornitori titolari del trattamento di adottare, rispettoai dati di traffico trattati per le finalità di cui all'art. 123 del Codice,entro e non oltre il termine del 31 ottobre 2008, dandone ai sensi dell'art.157 del Codice conferma al Garante e attestando entro lo stesso terminel'integrale adempimento, i seguenti accorgimenti e misure (par. 8):

1. adottare specifici sistemi diautenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso contestuale di almeno duedifferenti tecnologie di autenticazione, che si applichino agli accessi aisistemi di elaborazione da parte di tutti gli incaricati di trattamento nonchédi tutti gli addetti tecnici (amministratori di sistema, di rete, di database) che abbiano la possibilitàconcreta di accedere ai dati di traffico custoditi nelle banche dati delfornitore, qualunque sia la modalità, locale o remota, con cui si realizzil'accesso al sistema di elaborazione utilizzato per il trattamento, evitandoche questo possa aver luogo senza che l'incaricato abbia comunque superato unafase di autenticazione informatica nei termini anzidetti. Qualora circostanzeeccezionali, legate a indifferibili interventi per malfunzionamenti, guasti,installazione hardware e software, aggiornamento e riconfigurazione dei sistemi,determinino la necessità di accesso a sistemi di elaborazione che trattano datidi traffico da parte di addetti tecnici in assenza di strong authentication, fermo restando l'obbligo di assicurare le misureminime in tema di credenziali di autenticazione previste dall'Allegato B) alCodice in materia di protezione dei dati personali, deve essere tenuta tracciain un apposito "registro degli accessi" dell'eventuale accesso fisicoai locali in cui sono installati i sistemi di elaborazione oggetto diintervento e dell'accesso logico ai sistemi, nonché delle motivazioni che lihanno determinati, con una descrizione sintetica delle operazioni svolte, anchemediante l'utilizzo di sistemi elettronici. Tale registro deve essere custoditodal fornitore presso le sedi di elaborazione e messo a disposizione del Garantenel caso di ispezioni o controlli, unitamente a un elenco nominativo deisoggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzionidi amministratore di sistema, che deve essere formato e aggiornatocostantemente dal fornitore;

2. adottare procedure in gradodi garantire la separazione rigida delle funzioni tecniche di assegnazione dicredenziali di autenticazione e di individuazione dei profili di autorizzazionerispetto a quelle di gestione tecnica dei sistemi e delle basi di dati;

3. rendere i dati ditraffico immediatamente non disponibili per le elaborazioni dei sistemiinformativi allo scadere dei termini previsti dalle disposizioni vigenti,provvedendo alla loro cancellazione o trasformazione in forma anonima, in tempitecnicamente compatibili con l'esercizio delle relative procedure informatiche,nei data base e nei sistemi dielaborazione utilizzati per i trattamenti nonché nei sistemi e nei supporti perla realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione dimisure previste dalla normativa vigente e, al più tardi, documentando taleoperazione entro i trenta giorni successivi alla scadenza dei termini diconservazione (art. 123 del Codice);

4. adottare soluzioni informaticheidonee ad assicurare il controllo delle attività svolte sui dati di traffico daciascun incaricato del trattamento, quali che siano la sua qualifica, le suecompetenze e gli ambiti di operatività e le finalità del trattamento. Ilcontrollo deve essere efficace e dettagliato anche per i trattamenti condottisui singoli elementi di informazione presenti sui diversi database utilizzati. Tali soluzioni comprendono laregistrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati ditraffico e sugli altri dati personali a essi connessi, sia quando consistono oderivano dall'uso interattivo dei sistemi, sia quando sono svolte tramitel'azione automatica di programmi informatici. I sistemi di audit log devono garantire la completezza, l'immodificabilità,l'autenticità delle registrazioni in essi contenute, con riferimento a tutte leoperazioni di trattamento e a tutti gli eventi relativi alla sicurezzainformatica sottoposti ad auditing.A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto dielaborazione o per datacenter,sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura,i dati o i raggruppamenti di dati devono essere sottoposti a procedure informaticheper attestare la loro integrità, basate sull'utilizzo di tecnologiecrittografiche;

5. documentare i sistemi informativiutilizzati per il trattamento dei dati di traffico in modo idoneo secondo iprincìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivistandard o di ampia accettazione.La descrizione deve comprendere, per ciascun sistema applicativo,l'architettura logico-funzionale, l'architettura complessiva e la struttura deisistemi utilizzati per il trattamento, i flussi di input/outputdei dati di traffico da e verso altri sistemi, l'architettura della rete dicomunicazione, l'indicazione dei soggetti o classi di soggetti aventi legittimoaccesso al sistema. La documentazione va corredata con diagrammi didislocazione delle applicazioni e dei sistemi, da cui deve risultare anchel'esatta ubicazione dei sistemi nei quali vengono trattati i dati per lefinalità di accertamento e repressione di reati. La documentazione tecnica deveessere aggiornata e messa a disposizione dell'Autorità su sua eventualerichiesta, unitamente a informazioni di dettaglio sui soggetti aventi legittimoaccesso ai sistemi per il trattamento dei dati di traffico;

d) dispone che copia del presenteprovvedimento sia trasmessa al Ministero della giustizia anche ai fini dellasua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana a cura dell'Ufficio pubblicazione leggie decreti, nonché, per opportuna conoscenza, all'Autorità per le garanzie nellecomunicazioni.

Roma, 17 gennaio 2008

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Buttarelli