Garante per la protezione
    dei dati personali

[v. Allegato A)]

RECEPIMENTO NORMATIVOIN TEMA DI DATI DI TRAFFICO TELEFONICO E TELEMATICO
(Pubblicato sulla G.U. n. 189 del 13 agosto 2008)

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, e del dott. Giuseppe Fortunato, componente e del dott. GiovanniButtarelli, segretario generale;

VISTO il Codice in materia di protezionedei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito,"Codice") e, in particolare, gli artt. 17 e 132, comma 5, del Codicemedesimo;

VISTO il provvedimento generale del 17 gennaio 2008 conil quale il Garante ha prescritto ai fornitori di servizi di comunicazioneelettronica accessibili al pubblico, ai sensi degli artt. 17, 123 e 132 delCodice, l'adozione di specifici accorgimenti e misure a garanzia dei dati ditraffico conservati sia per finalit di accertamento e repressione di reati,sia per finalit ordinarie (in G.U.5 febbraio 2008 n. 30);

VISTA la legge 18 marzo 2008, n. 48, diratifica della Convenzione del Consiglio d'Europa sulla criminalitinformatica, fatta a Budapest il 23 novembre 2001; visto in particolare, l'art.10 di tale legge che, nel modificare il menzionato art. 132, ha previsto unaspecifica ipotesi di temporanea conservazione dei dati relativi al trafficotelematico a fini di svolgimento di investigazioni preventive o di accertamentoe repressione di reati;

VISTO il decreto legislativo 30 maggio2008, n. 109, di recepimento della direttiva 2006/24/Ce del Parlamento europeoe del Consiglio del 15 marzo 2006 riguardante la conservazione di dati generatio trattati nell'ambito della fornitura di servizi di comunicazione elettronicaaccessibili al pubblico o di reti pubbliche di comunicazione e che modifica ladirettiva 2002/58/Ce; visto, in particolare, l'art. 2 di tale decreto che hamodificato nuovamente l'art. 132 del Codice;

CONSIDERATO che ora previsto un periodounico di conservazione pari a 24 mesi per i dati di traffico telefonico, a 12mesi per i dati di traffico telematico e a 30 giorni per i dati relativi allechiamate senza risposta, senza distinzioni in base al tipo di reato;

RILEVATA la necessit di apportare almenzionato provvedimento generale alcune modifiche strettamente necessarie inragione delle suindicate novit di carattere normativo riguardanti la duratadella conservazione dei dati, nei termini di cui al seguente dispositivo, dandoatto che il medesimo provvedimento del 17 gennaio 2008 restaimmutato per ogni altro profilo;

VISTE  la note inoltrate da Asstel,da Vodafone Italia N.V. e da Telecom Italia S.p.A., rispettivamente l'8, il 1e il 22 luglio 2008, con le quali stato chiesto un differimento del terminedel 31 ottobre 2008 previsto dal menzionato provvedimento del 17 gennaio perattuare i predetti accorgimenti e misure; richiesta giustificata in base allacomplessit degli interventi necessari per adeguare i sistemi informativi deifornitori alle prescrizioni del suddetto provvedimento;

VISTA l'audizione del 23 luglio 2008 nelcorso della quale l'associazione Asstel ha chiesto, in considerazione dellerecenti modifiche normative apportate dal d.lg. 109/2008 e dalla legge 48/2008,un differimento del termine dal 31 ottobre 2008 al 30 aprile 2009 per adempierealle nove prescrizioni previste per i trattamenti di dati per finalit diaccertamento e repressione dei reati, nonch alle cinque prescrizioni relativeai trattamenti di dati ai sensi dell'art. 123 del Codice (salvo per quantoriguarda la sola strong authentication riferita agli incaricati che accedono ai dati di traffico nell'ambitodell'attivit di call center, perla quale chiede di differire l'adeguamento alla medesima prescrizione al 30giugno 2009);

RILEVATO che tale richiesta, consideratele ragioni addotte e gli elementi prodotti a sostegno, pu essere accoltadisponendo un differimento del termine per tutte le suddette prescrizioni cherisulta congruo contenere in un periodo non superiore a sei mesi, ovvero sinoal 30 aprile 2009, salvo per quanto riguarda la strong authentication riferita agli incaricati che accedono ai dati ditraffico nell'ambito dell'attivit di call center, per la quale appare giustificato disporre undifferimento per l'adeguamento alla medesima prescrizione al 30 giugno 2009;

RILEVATO che le misure e gli accorgimentiprescritti con il predetto provvedimento generale devono essere adottati daifornitori anche in ogni ipotesi di conservazione temporanea dei dati relativial traffico telematico ai sensi del menzionato art. 132, comma 4 ter, delCodice e per tutta la sua durata;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000;

RELATORE il prof. Francesco Pizzetti;

TUTTO CI PREMESSO ILGARANTE:

a) ai sensi degli artt. 17 e 132 delCodice in materia di protezione dei dati personali dispone di apportare alproprio provvedimento generale del 17 gennaio 2008 intema di trattamento dei dati di traffico le seguenti modifiche:

     al paragrafo 2.2, settimo capoverso, soppressa la parola "vigente", mentre le parola "prevede" e"prescrive" sono sostituite con le parole "prevedeva" e"prescriveva"; all'ottavo capoverso la parola "prescrive" sostituita con la parola "prescriveva"; al nono capoverso la parola"prevede" sostituita dalle parole "introduceva laprescrizione, tutt'ora vigente", mentre la parola "sia" sostituita dalla parola "fosse";

     alla fine del paragrafo 2.3 (Altradisciplina comunitaria: la direttiva 2006/24/Ce) sono aggiunti i seguentiperiodi: "La direttiva stata recepita con il d.lg. 30 maggio 2008, n.198, che ha previsto un periodo unico di conservazione pari a 24 mesi per idati di traffico telefonico, a 12 mesi per i dati di traffico telematico e a 30giorni per i dati relativi alle chiamate senza risposta, senza ulterioridistinzioni in base al tipo di reato. La legge 18 marzo 2008, n. 48, diratifica della Convenzione del Consiglio d'Europa sulla criminalit informaticafatta a Budapest il 23 novembre 2001 ha poi previsto una specifica ipotesi diconservazione temporanea dei dati relativi al traffico telematico a fini disvolgimento di investigazioni preventive o di accertamento e repressione direati.";

     al paragrafo 5 (Finalit perseguibili),sono soppresse le parole da: "(individuati specificamente" finoa:  "conservazione)";

     al paragrafo 6 (Modalit di acquisizionedei dati), sono soppresse le parole da: ", con riferimento" fino a:"e telematico)," nonch il secondo capoverso;

     al paragrafo 7 (Misure e accorgimenti daprescrivere) tra le parole: "prescritti dal Garante." e: "Pereffetto del presente provvedimento", inserito il seguente capoverso:"Tali misure e accorgimenti devono essere adottati dai fornitori dicomunicazione elettronica anche in caso di conservazione temporanea dei datirelativi al traffico telematico a fini di svolgimento di investigazionipreventive o di accertamento e repressione di reati, ai sensi del menzionatoart. 132, comma 4 ter, del Codice.";

     al paragrafo 7.1 (Sistemi diautenticazione) dopo il primo periodo aggiunto il seguente capoverso:"Tale fase di autenticazione pu essere realizzata con procedurestrettamente integrate alle applicazioni informatiche con cui il fornitoretratta i dati di traffico, oppure con procedure per la protezione delle singolepostazioni di lavoro che si integrino alle funzioni di autenticazione propriedei sistemi operativi utilizzati. Nel secondo caso, il fornitore deveassicurare che non esistano modalit di accesso alle applicazioni informaticheda parte dei propri incaricati di trattamento che consentano di eludere leprocedure di strong authentication predisposte per l'accesso alla postazione dilavoro.";

     al paragrafo 7.2 (Sistemi diautorizzazione), primo capoverso, sono soppresse le parole da:"distinguendo" fino a: "comma 2, del Codice)", nonch ilsecondo e il terzo capoverso;

     al paragrafo 7.3 (Conservazioneseparata), sono soppressi il sesto e il settimo capoverso;

     al paragrafo 7.10 (Tempi di adozionedelle misure e degli accorgimenti) le parole "31 ottobre 2008", sonosostituite dalle parole: "30 aprile 2009, ovvero per quanto riguarda lastrong authentication riferita agli incaricati che accedono ai dati di trafficonell'ambito dell'attivit di call center, al 30 giugno 2009.";

     alla lettera a), punto 2. deldispositivo, sono soppresse le parole da: "distinguendo," fino a:"comma 2, del Codice";

     alla lettera a), punto 3. deldispositivo, sono soppresse le parole da: "Inoltre," fino a:"profili di autorizzazione.";

b) in accoglimento delle richiestedi cui in motivazione volte ad accordare ai fornitori di servizi dicomunicazione elettronica un differimento del termine del 31 ottobre 2008previsto dal menzionato provvedimento del 17 gennaio 2008, dispone altres che,a modifica di tale provvedimento:

     alla lettera b) del dispositivo leparole: "31 ottobre 2008", sono sostituite dalle parole: "30aprile 2009";

     alla lettera c) del dispositivo leparole "31 ottobre 2008", sono sostituite dalle parole: "30aprile 2009, ovvero per quanto riguarda la strong authentication riferita agliincaricati che accedono ai dati di traffico nell'ambito dell'attivit di callcenter, 30 giugno 2009";

Fino al decorso di tali termini, i datipersonali devono essere custoditi in maniera tale da evitare un incremento deirischi derivanti dal trattamento;

c) ai sensi dell'art. 154, comma 1,lett. h), del Codice d atto che nell'allegato A) dellapresente deliberazione figura, a scopo conoscitivo, il testo aggiornato delmenzionato provvedimento del 17 gennaio 2008, qualerisultante dalle integrazioni e dalle modifiche apportate con la presentedeliberazione.

Roma, 24 luglio 2008

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Buttarelli