g-docweb-display Portlet

Prescrizione del Garante ad una società che fornisce servizi telematici - 21 febbraio 2103 [2338534]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 2338534]

Prescrizione del Garante ad una società che fornisce servizi telematici - 21 febbraio 2103

Registro dei provvedimenti
n. 74 del 21 febbraio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTO il provvedimento generale del 17 gennaio 2008 concernente la sicurezza dei dati di traffico telefonico e telematico [doc. web in www.gpdp.it n. 1482111], successivamente integrato con il provvedimento generale del 24 luglio 2008 (pubblicato in Gazzetta Ufficiale del 13 agosto 2008, n. 189) [doc. web n. 1538237], resosi necessario in virtù del recepimento della direttiva 2006/24/CE, riguardante la conservazione dei dati generati o trattati nell´ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione, avvenuto con il d.lgs. 30 maggio 2008, n. 109;

CONSIDERATO ch e il suddetto d.lgs. 109/2008 ha modificato alcune disposizioni del Codice e, in particolare, l´art. 132, stabilendo che, per finalità di accertamento e repressione dei reati, i dati relativi sono conservati rispettivamente, per ventiquattro mesi, per il traffico telefonico e dodici mesi per il traffico telematico;

CONSIDERATO che con il provvedimento del 17 gennaio 2008, così come modificato dal provvedimento del 24 luglio 2008 (di seguito "Provvedimento"), il Garante ha stabilito una serie di prescrizioni che i fornitori di servizi di comunicazione elettronica accessibili al pubblico (di seguito "fornitori") devono rispettare in materia di conservazione di dati di traffico telefonico e telematico;

RILEVATO che, tra le varie prescrizioni impartite con il Provvedimento, vi è l´obbligo per i fornitori:

- di adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" (cfr. lettera a), punto 1. del dispositivo del Provvedimento);

- di proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche (cfr. lettera a), punto 9. del dispositivo del Provvedimento);

- di adottare tutte le misure prescritte, dandone conferma al Garante (cfr. lettera b) del dispositivo del Provvedimento);

CONSIDERATO che sono stati svolti nei mesi di settembre e ottobre 2009, nonché nel corso del 2010 alcuni accertamenti ispettivi, volti a verificare il rispetto della citata normativa (accertamenti che hanno portato all´adozione di provvedimenti da parte del Garante nei confronti di diversi fornitori, cfr. doc. web nn. 1695393, 1683093, 1695368);

VISTO che il Garante ha deliberato, nel corso del 2012, di delegare al Nucleo Speciale Privacy della Guardia di Finanza, un ciclo di accertamenti ispettivi da effettuarsi nei confronti di alcuni fornitori di servizi di comunicazione elettronica accessibili al pubblico di piccole e medie dimensioni, al fine di verificare il rispetto delle prescrizioni impartite dal Garante con il citato Provvedimento;

CONSIDERATO che tale ciclo di accertamenti ispettivi è risultato alquanto complesso, in quanto ha riguardato undici società e, in alcuni casi, l´analisi delle attività istruttorie si è dovuta ampliare comprendendo anche società collegate a quelle ispezionate;

VISTO che nell´ambito di tale ciclo di accertamenti è stata sottoposta ad ispezione Dada S.p.A. (di seguito "Dada"), in data 27 giugno 2012, società facente parte di un Gruppo internazionale che in Italia fornisce servizi telematici (quali e-mail, hosting e posta elettronica certificata), tramite la propria controllata Register.it S.p.A. (di seguito "Register") e che le società hanno la medesima sede legale;

VISTO che, pertanto, è Register la titolare del trattamento per quanto attiene alla conservazione dei dati di traffico telematico;

VISTO che Register, in tale veste, ha designato quale responsabile esterno del trattamento la capogruppo Dada per gli aspetti amministrativi (cfr. allegato 2 al verbale del 27 giugno 2012);

RILEVATO che tale designazione non corrisponde alla reale qualifica delle società, in quanto sia Dada che Register, ciascuna per gli aspetti di propria competenza, sono entrambe titolari del trattamento (cfr. art. 28 del Codice); 

VISTA la nota inviata in data 11 luglio 2012 da Register, a scioglimento delle riserve formulate in sede ispettiva, nella quale la società conferma quanto dichiarato in tale contesto e cioè di aver deciso di esternalizzare a BT Italia S.p.A. (di seguito "BT") "la gestione tecnica e la compliance alla normativa privacy con riferimento alla conservazione dei dati di traffico" (cfr. verbale del 27 giugno 2012, pag. 2 nonché nota dell´11 luglio 2012);

CONSIDERATO che, tuttavia, il contratto con BT è stato stipulato da Dada quale capogruppo (cui sono demandate le funzioni amministrative delle società controllate) e che la stessa Dada ha designato quale responsabile esterno del trattamento BT (cfr. verbale del 27 giugno 2012, pag. 2 e relativo allegato 1, nonché nota dell´11 luglio 2012);

CONSIDERATO che le disposizioni del Codice non prevedono che un responsabile del trattamento (Dada) possa designare a sua volta un altro responsabile del trattamento (BT) (cfr. artt. 28 e 29 del Codice);

CONSIDERATO che, pertanto, anche per questa ragione Dada e Register sono da considerarsi entrambe titolari del trattamento;

VISTO che, come detto, i servizi telematici offerti all´utenza dal Gruppo Dada sono forniti da Register;

VISTE le dichiarazioni rese secondo cui:

- "il sistema di mail server degli utenti invia i dati di traffico telematico all´unico sistema ArcSight atto a gestire e consultare i dati di traffico presente presso la server farm di BT" a cui possono accedere tre dipendenti; nel momento in cui arriva una richiesta da parte dell´Autorità giudiziaria, l´ufficio legale provvede, in base a procedure aziendali, a contattare uno dei soggetti incaricati e gli consegna, brevi manu, un token d´accesso che genera una "one-time-password", attraverso la quale, unitamente a una user id, l´incaricato può accedere ai dati di traffico (cfr. verbale del 27 giugno 2012, pagg. 4 e 5);

- "non sono stati previsti profili diversi di autorizzazione" (cfr. verbale del 27 giugno 2012, pag. 5);

- "atteso che la conservazione avviene per mere finalità di giustizia, all´atto dell´accesso (…) i dati ovviamente non sono offuscati" (cfr. verbale del 27 giugno 2012, pag. 5);

- le verifiche svolte non hanno permesso di rinvenire evidenze o documentazioni relative alla comunicazione che obbligatoriamente i fornitori dovevano effettuare entro il 30 aprile 2009 (cfr. nota dell´11 luglio 2012);

RILEVATO che, in base a quanto emerso, Dada e Register non utilizzano, nell´ambito della strong authentication, almeno una procedura di tipo biometrico, né è stata effettuata la comunicazione relativa agli adempimenti, come prescritto nel Provvedimento;

VISTO che, per questi due profili, in data 23 ottobre 2012, sono state contestate a Dada le violazioni di cui agli artt. 162, comma 2 ter e 164 del Codice per un totale di € 40.000,00;

VISTO che Dada ha provveduto al pagamento della predetta sanzione in data 19 dicembre 2012;

RILEVATO tuttavia che, allo stato, non risulta che Dada e Register abbiano modificato le procedure aziendali per renderle conformi alle prescrizioni contenute nel Provvedimento;

RILEVATA, pertanto, la necessità di adottare nei confronti di Dada e Register, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, un provvedimento prescrittivo volto a rendere il trattamento dei dati conforme alla normativa richiamata in materia di protezione dei dati personali;

TENUTO CONTO che, ai sensi dell´art. 162, comma 2 ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

RELATORE il dott. Antonello Soro;

TUTTO CIÒ PREMESSO IL GARANTE

prescrive, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice a Dada S.p.A. e a Register.it S.p.A., entrambe con sede legale in Firenze, Piazza Annigoni, 9/b, ciascuna per quanto di propria competenza, di:

1. rimodulare la distribuzione delle qualifiche di titolare e responsabile, rendendole conformi alle disposizioni del Codice, così come specificato in motivazione;

2. adottare specifici sistemi di autenticazione informatica, fondati su tecniche di strong authentication, di cui una necessariamente basata sull´elaborazione di caratteristiche biometriche dell´incaricato, nonché di tenere un apposito "registro degli accessi" così come previsto dalla lettera a), punto 1. del dispositivo del Provvedimento;

3. proteggere i dati di traffico trattati per esclusive finalità di giustizia attraverso tecniche crittografiche o di cifratura, così come previsto dalla lettera a), punto 9. del dispositivo del Provvedimento;

4. adottare le misure e gli accorgimenti di cui ai punti precedenti entro il termine di sessanta giorni dalla data di ricezione del presente provvedimento, dando riscontro entro lo stesso termine a questa Autorità dell´avvenuto adempimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 21 febbraio 2013

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia