Riferimenti normativi: artt. 17, 123, 132 del Codice in materia di protezione dei dati personali; Cass. Civ. Sez. lav. 12 luglio 2010, n. 16320
Fatto
Il nucleo speciale privacy della Guardia di Finanza aveva svolto degli accertamenti nei confronti di una Società che svolgeva attività di operatore telefonico e di internet services provider, erogando servizi di telefonia e di connettività internet, al fine di accertare il rispetto della normativa in materia di protezione dei dati personali.
Più precisamente la Società in questione nell’espletamento della propria attività trattava dati di traffico telefonico e telematico, nonché conservava i predetti dati per finalità di fatturazione e di accertamento e repressione dei reati.
In particolare dalle indagini condotte dalla Guardia di finanza era emerso che la Società, ai fini della fatturazione, conservava i dati di traffico telefonico per un periodo superiore a 6 mesi, contrariamente a quanto stabilito nel codice per il trattamento dei dati personali, in specie la Guardia di Finanza aveva recuperato una fattura risalente al 2012 dove era allegato un documento riportante il dettaglio delle chiamate contenente il numero chiamato, con le ultime cifre asteriscate, data ora e durata della chiamata. Era inoltre emerso che i dati di traffico telefonico relativo alle chiamate senza risposta erano conservati per un periodo superiore a 30 giorni.
Sempre in fase di accertamento era stato poi verificato che la Società per finalità di accertamento e repressione dei reati conservava i dati di traffico telefonico e telematico per un periodo superiore a quello stabilito dalla norma legale in materia, ovvero oltre il termine di 24 mesi. Omettendo, altresì, di adottare la procedura di strong authentication con riferimento all’utilizzo della tecnologia basata sull’elaborazione di caratteristiche biometriche di colui che vi accede.
La Società di fronte a tali contestazioni aveva reso le proprie giustificazioni, smentendo in prima battuta che i dati raccolti fossero qualificabili quali dati telematici relativi a clienti ma meri dati i rete, ovverosia dati radio relativi alla connessione degli apparati di rete, la cui conservazione era necessaria ai fini di un corretto funzionamento della rete stessa. Secondo le specifiche fornite dalla Società il database contenente i dati, identificava l’indirizzo di connessione alla rete e comprendeva gli indirizzi della scheda di rete router assegnati, come i primi, a più utenti. Da ciò la Società ne faceva discendere l’esclusione della identificazione di questi come dati sensibili, ma, viceversa, come informazioni del traffico di rete. Questi dati non erano in grado di identificare l’identità degli utenti non consentendo la profilazione di questi ultimi né la tracciabilità dei contenuti o delle preferenze di navigazione.
In secondo luogo la Società evidenziava la sua buona fede nel non aver provveduto all’adozione di strong authentication e di cifratura dei dati, ritenendo questi come meri dati telematici, sostenendo altresì di aver adottato misure più che adeguate a garantire la sicurezza e protezione dei dati, avendo introdotto un triplice livello di sicurezza attraverso l’inserimento di più password di accesso e avendo introdotto i c.d privilegi elevati per garantire l’inaccessibilità dei dati di rete raccolti.
La decisione del Garante
Il Garante, valutate le dichiarazioni della Società, ha confermato le contestazioni mosse dalla Guardia di Finanza, riconoscendo nel trattamento dei dati personali operato dalla stessa un trattamento illecito, avendo essa conservato i dati di traffico telefonico trattati per finalità di fatturazione per un periodo superiore a 6 mesi, nonché per aver conservato i dati telefonici e telematici trattati per finalità di accertamento e repressione dei reati per un periodo superiore a 24 mesi. Confermando altresì l’illecita conservazione per più di 30 giorni dei dati di traffico telefonico relativi alle chiamate senza risposta.
Il Garante nella sua disamina ha smentito la tesi della Società che escludeva la definizione di dato personale del dato da essa trattato riconducendolo ad un mero dato di rete, evidenziando che i cartellini di traffico conservati dalla Società contenevano le informazioni relative alla numerazione delle chiamate, alla numerazione del chiamato, alla data e all’ora della chiamata. Gli stessi cartellini, poi, contenevano, altresì, le informazioni relative all’indirizzo IP e MAC del dispositivo connesso, oltre che quelle relative all’inizio della connessione. Tali informazioni, secondo il Garante sono idonee ad identificare univocamente il soggetto che ha effettuato la connessione, potendo risalire all’utenza anche dalla data e ora della connessione.
In riferimento alla conservazione dei dati per finalità di accertamento e repressione dei reati, il Garante, escludendo la possibilità di far valere l’esimente della buona fede, per cui occorre un elemento positivo idoneo ad indurre un errore non ovviabile dall’interessato con l’ordinaria diligenza, elemento questo che non emerge nel caso di specie, ha ricordato la necessità di adottare tecniche di strong authentication basate sull’elaborazione di caratteristiche biometriche dell’incaricato in modo tale da assicurare la presenza fisica di quest’ultimo presso la postazione di lavoro utilizzata per il trattamento.
Volume consigliato
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)
Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale.
Stefano Comellini | 2018 Maggioli Editore
Scrivi un commento
Accedi per poter inserire un commento