Menu
Mostra menu

Garante della Privacy

Liceità, correttezza e pertinenza nell’attività di recupero crediti.

30 novembre 2005

Il Garante per la Protezione dei Dati Personali In data odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale; Esaminate le segnalazioni presentate da singoli ed associazioni di tutela dei consumatori concernenti il trattamento di dati personali nell’ambito dell’attività di recupero crediti; Visti gli elementi acquisiti a seguito degli accertamenti avviati ai sensi dell’art. 154, comma 1, lettere a) e b), del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Ritenuta la necessità di prescrivere ai titolari del trattamento alcune misure necessarie al fine di rendere detti trattamenti conformi alle disposizioni vigenti (art. 154, comma 1, lett. c), del Codice); Viste le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Fortunato;

Premesso:

1. Il trattamento di dati personali nelle attività di recupero crediti.

Sono pervenute a questa Autorità numerose segnalazioni concernenti trattamenti di dati personali (e comportamenti) posti in essere a danno di debitori (e, più in generale, di soggetti comunque tenuti all’adempimento) in occasione dello svolgimento di attività di recupero crediti. Tale attività può essere realizzata direttamente dal creditore come pure, nel suo interesse, da terzi, di regola operanti in virtù di contratti di collaborazione (in particolare, attraverso la figura del mandato o dell’appalto di servizi). In quest’ultima ipotesi, l’attività di recupero crediti è preceduta dalla messa a disposizione di dati personali relativi al debitore. Si tratta, per lo più, di dati anagrafici, di informazioni utili per contattarlo (quali, ad esempio, i recapiti telefonici), oltre ai dati relativi alla somma dovuta (entità della medesima causale eventualmente indicata, termini apposti all’obbligazione pecuniaria, oltre che titolo della stessa). Le risultanze hanno evidenziato l’esistenza di alcune prassi finalizzate al recupero stragiudiziale dei crediti, caratterizzate da modalità di ricerca e di presa di contatto invasive e, talora, lesive della riservatezza e della dignità personale. In particolare, le modalità di ricerca, presa di contatto, sollecitazione, o altrimenti connesse all’esazione della somma dovuta, si manifestano nelle forme più varie: visite al domicilio o sul luogo di lavoro; sollecitazioni su utenze di telefonia fissa o mobile, comprensive dell’invio di messaggi sms di sollecito; comunicazioni telefoniche il cui contenuto a carattere sollecitatorio è preregistrato, poste in essere senza intervento di un operatore (con il rischio che soggetti diversi dal destinatario vengano a conoscenza del contenuto della chiamata); invii di avvisi relativi all’apertura della procedura di recupero crediti tramite comunicazioni individualizzate, con l’inoltro di corrispondenza recante informazioni idonee a lasciar trasparire la situazione debitoria (ad esempio, plichi recanti all’esterno la scritta “recupero crediti” o locuzioni simili) relativa agli interessati o contenenti riferimenti suscettibili di indurre il destinatario in errore circa il valore e la provenienza dell’intimazione a pagare (usuale è il ricorso a formule quali “preavviso esecuzione notifica” o il richiamo di norme di rito con il riferimento alla futura attivazione di “ufficiali giudiziari”); affissioni di avvisi di mora sulla porta del debitore. Non di rado, inoltre, l’attività preordinata al recupero crediti, coinvolge non soltanto il debitore, ma anche terzi, con modalità tali da metterli a conoscenza di vicende personali riferite a quest’ultimo (ad esempio, familiari, conoscenti o vicini di casa, anche utilizzando recapiti non forniti al momento della stipula del contratto e non reperibili in pubblici elenchi). Al fine di rendere conformi alle disposizioni vigenti in materia di protezione dei dati personali i trattamenti effettuati nell’ambito dell’attività di recupero crediti il Garante, ai sensi dell’art. 154, comma 1, lett. c), del Codice, prescrive ai titolari del trattamento l’adozione delle misure necessarie di seguito specificamente indicate, evidenziando che il creditore deve comunque adoperarsi affinché i principi richiamati con il presente provvedimento siano rispettati nell’attività materiale di recupero crediti, anche se affidata a terzi, e che gli interessati, ove i comportamenti tenuti in sede di recupero crediti integrino un illecito civile (per quanto attiene al profilo del risarcimento del danno eventualmente subito) o penale (in quanto suscettibili di integrare fattispecie di reato quali le molestie o le minacce), possono ricorrere all’autorità giudiziaria ordinaria per i profili di rispettiva competenza.

2. Principio di liceità nel trattamento.

Chiunque effettui un trattamento di dati personali nell’ambito dell’attività di recupero crediti deve osservare il principio di liceità nel trattamento: tale precetto è violato dal comportamento (attuato da taluni operatori economici) consistente nel comunicare ingiustificatamente a soggetti terzi rispetto al debitore (quali, ad esempio, familiari, coabitanti, colleghi di lavoro o vicini di casa), informazioni relative alla condizione di inadempimento nella quale versa l’interessato (comportamento talora tenuto per esercitare indebite pressioni sul debitore al fine di conseguire il pagamento della somma dovuta). Integra, altresì, un trattamento illecito il ricorso alle descritte comunicazioni telefoniche preregistrate volte a sollecitare il pagamento, realizzate senza l’intervento di operatore, essendo tale modalità di contatto suscettibile di rendere edotti soggetti diversi dal debitore della sua asserita condizione di inadempimento. Del pari, diffusione illecita di dati personali si ha con l’affissione ad opera di incaricati del recupero crediti di avvisi di mora (o, comunque, di sollecitazioni di pagamento) sulla porta del debitore, potendo tali dati personali venire a conoscenza di una serie indeterminata di soggetti nell’intervallo di tempo (talora prolungato) in cui l’avviso risulta visibile.

3. Principio di correttezza nel trattamento.

In occasione dello svolgimento delle attività di recupero crediti deve altresì essere osservata la clausola generale di correttezza (art. 11, comma 1, lett. a), del Codice): in base ad essa sono preclusi, sia in fase di raccolta delle informazioni sul debitore, sia nel tentativo di prendere contatto con il medesimo (anche attraverso terzi), comportamenti suscettibili di incidere sulla sua dignità, qui riguardata sul solo piano della disciplina di protezione dei dati personali. Sono pertanto illecite le operazioni di trattamento consistenti nel sollecitare il pagamento con modalità che palesino ad osservatori esterni il contenuto della comunicazione: ciò può accadere nel caso di utilizzo di cartoline postali o tramite l’invio di plichi recanti all’esterno la scritta “recupero crediti” (o locuzioni simili dalle quali possa comunque desumersi l’informazione relativa all’asserito stato di inadempimento del destinatario della comunicazione). Attesa la natura delle informazioni trattate e l’elevato rischio di diffusione a terzi di informazioni personali relative al debitore, è pertanto necessario che le sollecitazioni di pagamento siano portate a conoscenza del solo debitore, ricorrendo a plichi chiusi, che riportino all’esterno le sole indicazioni necessarie ad identificare il mittente, prive di dati eccedenti rispetto a quelli necessari al recapito della comunicazione (in questo senso, al fine di evitare un’inutile divulgazione di dati personali, v. già in materia di notificazione degli atti giudiziari, Provv. 22 ottobre 1998, in Boll. n. 6/1998, p. 13; v. altresì, con riferimento ad una fattispecie particolare, Provv. 12 giugno 2000, in Boll. n. 13/2000, p. 38, 41). In tal senso, inoltre, depongono alcune innovazioni apportate al codice di procedura civile (cfr., in particolare, gli artt. 137, comma 3, 140, 250, comma 2, c.p.c., come modificati dall’art. 174 del Codice), introdotte per rendere tale disciplina compatibile con le finalità di protezione dei valori personali menzionati all’art. 2, comma 1, del Codice, come pure alcune norme (settoriali) che, disciplinando la modalità trasmissiva di intimazioni di pagamento, ne prevedono la comunicazione in plico chiuso (cfr., ad esempio, art. 26 d.P.R. 29 settembre 1973 n. 602, Disposizioni sulla riscossione delle imposte sul reddito, relativo alla notificazione della cartella di pagamento; art. 11, comma 1, d.m. 14 giugno 2004, Approvazione delle modalità di gestione del fondo di garanzia per il credito al consumo, di cui al d.m. 22 dicembre 2003; art. 4, comma 1, d.m. 9 marzo 2001 n. 124, Regolamento concernente le modalità di istituzione del Fondo di garanzia sulle operazioni di credito relative al programma “P.C. per gli studenti”).

4. Principi di pertinenza e finalità.

Il trattamento delle informazioni personali effettuato nell’ambito delle attività di recupero crediti deve svolgersi, altresì, nel rispetto dei principi di pertinenza, finalità e qualità dei dati (artt. 11 del Codice). A tal fine possono formare oggetto di trattamento i soli dati necessari all’esecuzione dell’incarico, con particolare riferimento ai dati anagrafici riferiti al debitore, codice fiscale (o partita Iva del medesimo), ammontare del credito vantato (unitamente alle condizioni del pagamento) e recapiti (anche telefonici), di norma forniti dall’interessato in sede di conclusione del contratto o comunque desumibili da elenchi o registri pubblici. Salvo l’assolvimento di specifici obblighi di legge (ad esempio, per rendere conto delle attività svolte), che può richiedere una conservazione prolungata dei dati raccolti, una volta portato a termine l’incarico, i medesimi non devono formare oggetto di ulteriore trattamento. La loro eventuale conservazione ulteriore deve essere realizzata con modalità comunque tali da precluderne agli incaricati del trattamento la normale consultabilità (con l’adozione di opportune misure logiche o provvedendo alla trasposizione dei dati in archivi separati).

5. Informativa agli interessati.
 
In attuazione dei principi di protezione dei dati personali, il titolare del trattamento deve rendere edotti gli interessati (di norma in sede di conclusione del contratto) delle informazioni previste all’art. 13 del Codice, con particolare riferimento all’indicazione degli eventuali responsabili del trattamento ai quali è rimesso l’incarico di procedere al recupero crediti (se del caso, ai sensi dell’art. 13, comma 1, lett. f), del Codice, indicandoli nel proprio sito Internet e facendo ad esso espresso riferimento nell’informativa resa). Ove i dati vengano raccolti presso terzi trova applicazione l’art. 13, comma 4, del Codice. Tutto ciò premesso, il Garante prescrive, ai sensi dell’art. 154, comma 1, lett. c), del Codice, ai titolari di trattamenti di dati personali nell’ambito dell’attività di recupero crediti le misure necessarie ed opportune di cui ai punti da 1 a 5 del presente provvedimento al fine di rendere il trattamento conforme alle disposizioni vigenti.

________________________________________________________________

Nuove misure di sicurezza presso i gestori per le intercettazioni.

15 dicembre 2005

Il Garante per la Protezione dei Dati Personali nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale; Visti gli accertamenti disposti dal Garante per verificare la liceità e la correttezza dei trattamenti di dati personali effettuati da fornitori di servizi di comunicazione elettronica per dare esecuzione a provvedimenti di intercettazione telefonica e telematica adottati dall’autorità giudiziaria; vista la documentazione in atti; viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti;

Premesso

Il 2 agosto 2005 il Garante ha avviato accertamenti nei confronti dei principali fornitori di servizi di comunicazione elettronica (di seguito, “fornitori”) sulle modalità con le quali essi adempiono ai provvedimenti dell’autorità giudiziaria in materia di intercettazioni. Ciò, al fine di verificare la liceità e la correttezza dei trattamenti di dati in riferimento alla disciplina rilevante in materia di protezione dei dati personali, con particolare riguardo alle disposizioni a garanzia della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione. Nell’ambito degli accertamenti, effettuati in conformità al predetto Codice con richiesta ai sensi del relativo art. 157, sono stati acquisiti presso i fornitori vari elementi necessari per il controllo sulle attività dagli stessi svolte a qualunque titolo per eseguire intercettazioni lecite (telefoniche, informatiche, telematiche o ambientali, anche di tipo preventivo: artt. 266 ss. e 226 disp. att. c.p.p.), o comunque correlate con le intercettazioni medesime. Il 7 ottobre 2005 è stato disposto un supplemento di istruttoria, anche in riferimento alle operazioni svolte a supporto di attività investigative o di indagine in attuazione del recente d.l. n. 144/2005 sul contrasto al terrorismo. In questo quadro, sono stati esaminati anche i dati numerici delle richieste provenienti dall’autorità giudiziaria, inerenti al numero di intercettazioni che hanno avuto inizio e alla loro durata media, espressa in giorni, nonché al numero di tabulati forniti per la documentazione del traffico c.d. “storico”.

Osserva

1. Intercettazioni telefoniche e telematiche.

Il tema del trattamento dei dati connessi alle intercettazioni presso i fornitori riveste particolare delicatezza con riferimento alla sfera personale degli indagati (e delle altre persone estranee alle indagini, ma coinvolte nelle comunicazioni e conversazioni) e alla segretezza delle indagini. L’esame dei vari profili, compreso quello della riservatezza dei dati e della sicurezza dei sistemi utilizzati per trattarli, è stato quindi condotto con particolare attenzione in considerazione dei diritti fondamentali delle persone interessate e degli interessi pubblici coinvolti. Dagli elementi acquisiti e che i fornitori hanno prodotto sotto la propria responsabilità, anche penale, con riguardo alla genuinità di quanto attestato o documentato (art. 168 del Codice - Falsità nelle dichiarazioni e notificazioni al Garante), emerge che l’attività dei medesimi fornitori resta caratterizzata da una funzione strumentale rispetto a quanto disposto dall’autorità giudiziaria penale. I fornitori hanno attestato di limitarsi a svolgere i soli adempimenti di carattere tecnico necessari a porre in essere le attività richieste dall’autorità giudiziaria (intercettazioni; fornitura di flussi di linee e circuiti; interruzione o sospensione di servizi; supporti tecnici per servizi di emergenza). I medesimi fornitori hanno altresì attestato di non avere alcun accesso ai contenuti delle comunicazioni e delle conversazioni, anche temporaneo o mediante trascrizioni, a livello centrale o locale. Ciò, anche in quanto le medesime comunicazioni e conversazioni sono effettuate duplicando la linea di comunicazione dell’indagato e instradando la linea duplicata verso un c.d. Cit (Centro intercettazioni telefoniche), indicato dall’autorità giudiziaria richiedente e connesso ad una rete fissa. Le predette attività sono svolte senza intermediazione di terzi e - salvo che in alcuni casi di roaming - nei confronti solo degli utenti dei fornitori medesimi. Pur non venendo a conoscenza dei predetti “contenuti”, i fornitori raccolgono, selezionano, elaborano e trattano con altre operazioni una notevole quantità di dati personali riferibili agli indagati e ai terzi con i quali essi comunicano. Si tratta di dati personali riservati e delicati che attengono, in particolare, all’identità dei soggetti sottoposti ad intercettazione, all’arco temporale di svolgimento dell’intercettazione e ai dati di traffico telefonico o telematico inerenti alle linee intercettate (data, ora, numero chiamato e durata della comunicazione o conversazione). A seconda dei casi, tenendo conto delle specifiche richieste dell’autorità giudiziaria, i medesimi dati sono integrati da informazioni tecniche aggiuntive relative ai dettagli delle chiamate entranti, ai tentativi di chiamata in entrata o in uscita e ai i dati di localizzazione geografica dell’utenza intercettata. I fornitori di telefonia mobile tengono traccia anche dell’identificativo numerico della stazione base impegnata dall’utenza intercettata. I servizi di messaggistica del tipo sms/mms sono compresi nelle attività di intercettazione; i fornitori hanno specificamente attestato di non avere alcuna possibilità di accedere, anche retroattivamente, al loro contenuto. Tuttavia, una società (TIM Italia S.p.a.) ha espressamente specificato che, nei casi in cui il Cit non è dotato di risponditore idoneo a ricevere tali messaggi (risulta che ad oggi solo il 7% dei Cit ne disponga), alla documentazione di traffico viene abbinata la registrazione del testo del messaggio, per un tempo determinato. In tali casi, i messaggi vengono a volte archiviati dal fornitore, in forma cifrata, e successivamente trasmessi all’autorità giudiziaria richiedente. In questi stessi casi, il fornitore ha la materiale possibilità di entrare a contatto con il contenuto delle comunicazioni, la cui concreta riservatezza dipende dalle misure tecniche messe in atto e dal controllo esercitato sugli incaricati del trattamento. Le intercettazioni telematiche sono quantitativamente meno rilevanti rispetto a quelle telefoniche e riguardano in prevalenza sia il traffico Ip sviluppato su linee telefoniche o collegamenti a larga banda (Internet Protocol), sia comunicazioni tramite posta elettronica. Queste ultime vengono realizzate predisponendo un inoltro automatico della corrispondenza ricevuta e spedita dall’intercettato mediante un’utenza di posta elettronica fornita dal fornitore.

2. Ulteriori servizi.
 
Le operazioni svolte a supporto dell’attività investigativa possono riguardare aspetti diversi dalle intercettazioni. Si tratta di operazioni che coincidono con quelle elencate nel listino di cui al decreto interministeriale 26 aprile 2001 (“Approvazione del listino relativo alle prestazioni obbligatorie per gli organismi di telecomunicazione”), in attesa dell’approvazione in proposito del “Repertorio” previsto dal Codice delle comunicazioni (art. 96, comma 2). Tra tali operazioni sono comprese le interrogazioni anagrafiche, la localizzazione dell’utenza, l’identificazione della linea chiamante o della linea connessa, il tracciamento, la sospensione o la limitazione dei servizi agli utenti, la documentazione del traffico pregresso contabilizzato e la documentazione integrale del traffico storico. A differenza di quanto avviene in occasione delle conversazioni telefoniche intercettate, i fornitori hanno la possibilità di conoscere tali informazioni prodotte o raccolte nel compimento delle predette operazioni. Sono i fornitori, infatti, ad estrarre i dati, a selezionarli secondo i criteri richiesti dall’autorità giudiziaria, ad organizzarli in tabulati e a spedirli al richiedente. In tutte queste fasi, i dati restano nella disponibilità del fornitore e non può essere escluso che gli incaricati operanti in ambito aziendale debbano poterli conoscere, anche in parte, per svolgere alcune tra le operazioni medesime. In alcuni casi, inoltre, i fornitori sono chiamati a prestare un supporto tecnico alla realizzazione di intercettazioni ambientali o di operazioni di videosorveglianza investigativa. Quest’ultima risulta svolta utilizzando la rete telefonica fissa per convogliare verso il centro indicato dall’autorità giudiziaria le immagini riprese da apposite telecamere.

3. Profili critici e prescrizioni del Garante.

Dagli accertamenti svolti non emergono profili di illiceità nel trattamento dei dati personali. In termini generali, le modalità esecutive previste dai diversi fornitori per le varie fasi di svolgimento dei servizi garantiscono un primo livello di sicurezza dei dati personali, con procedure sottoposte a un processo di certificazione di regola secondo standard internazionali di sicurezza. In base agli elementi acquisiti va però constatata la necessità di incrementare sensibilmente tale livello di sicurezza, in particolare per quanto riguarda le diverse interazioni tra i fornitori e l’autorità giudiziaria. Il Garante rileva quindi la necessità di prescrivere ai fornitori di adottare alcuni accorgimenti e misure, ulteriori rispetto a quelle minime di cui agli artt. 33 ss. del Codice in materia di protezione dei dati personali e al disciplinare tecnico allegato, atti a garantire maggiormente la protezione dei dati. Tali prescrizioni riguardano la forma e l’autenticità dei decreti di inizio attività che pervengono ai fornitori, le modalità di invio e di ricezione della relativa documentazione, la gestione dei profili di autorizzazione e l’attribuzione dei diritti di accesso alle risorse informatiche, anche con riferimento a singoli incaricati. Non sono oggetto di prescrizione i profili concernenti più direttamente la conservazione dei dati di traffico per finalità di accertamento e repressione dei reati, che saranno oggetto dell’apposito provvedimento del Garante da adottare ai sensi dell’art. 132, comma 5, del Codice. 3.1 Aspetti organizzativi della sicurezza Profili esaminati L’organizzazione delle funzioni aziendali dedicate ai servizi di supporto all’autorità giudiziaria, come attestata dai fornitori, risulta nel suo complesso sufficiente, rispondendo in termini generali a criteri di suddivisione delle competenze e di accentramento della responsabilità. Devono essere tuttavia perseguiti, con idonei strumenti organizzativi, livelli di sicurezza più elevati, limitando in particolare la conoscibilità delle informazioni comunque attinenti all’attività svolta per scopi di giustizia. Prescrizione Le funzioni aziendali cui compete lo svolgimento di servizi per conto dell’autorità giudiziaria devono adottare un modello organizzativo che limiti al minimo la conoscibilità delle informazioni relative alle attività svolte per esigenze di giustizia, con una rigida partizione della visibilità dei dati su base organizzativa, funzionale e di area geografica di competenza. Il personale che a qualsiasi titolo tratti questi dati deve essere designato in termini selettivi quale incaricato del trattamento. Deve essere garantito ogni scrupolo nella gestione e nel mantenimento della qualità delle credenziali di autenticazione per l’accesso informatico ai dati trattati, conformando le procedure di gestione delle credenziali e i sistemi di autorizzazione a principi rigidi di coerenza delle abilitazioni nei sistemi informativi con i ruoli e le funzioni assegnate agli incaricati designati. I mutamenti di ruolo o di funzione di un incaricato devono essere pertanto recepiti immediatamente, con le conseguenti opportune variazioni dei relativi profili di autorizzazione. Deve essere realizzata, anche attraverso l’opportuna configurazione dei sistemi informatici utilizzati nel processo di gestione delle attività, una separazione marcata tra i dati di carattere amministrativo-contabile e i dati documentali prodotti nel corso delle attività svolte su richiesta dell’a.g., inibendo la possibilità per un operatore amministrativo-contabile di accedere ai dati documentali prodotti nell’ambito dell’attività svolta. L’accesso ai sistemi informatici di protocollazione ed archiviazione dei documenti scambiati con l’a.g. deve essere controllato tramite procedure di autenticazione robuste, con il ricorso anche a caratteristiche biometriche, in sintonia con le previsioni di cui alla regola n. 2 del predetto disciplinare tecnico in materia di misure minime di sicurezza. 3.2 Sicurezza dei flussi informativi con l’autorità giudiziaria Profili esaminati La gestione da parte del fornitore dei provvedimenti di intercettazione o che richiedono altri tipi di servizio sempre per conto dell’autorità giudiziaria è articolata in varie fasi, che comprendono: - la ricezione in copia, con differenti modalità (posta ordinaria, messaggio telefax, posta elettronica o consegna diretta), del decreto di inizio attività; - la verifica dell’autenticità e dell’esistenza dei requisiti formali della richiesta, nonché della loro completezza; - gli accertamenti e le attività tecniche strumentali che portano a svolgere, anche attraverso flussi di informazioni interni al fornitore ed eventuali contatti con l’autorità giudiziaria, la vera e propria azione di intercettazione, per consentire la conoscenza delle conversazioni e delle comunicazioni da parte dei Cit; - la trasmissione all’autorità giudiziaria dei dati accessori (dati di traffico, localizzazione, altre informazioni), utilizzando un mezzo di comunicazione concordato con la medesima autorità; - la fatturazione e la cancellazione dei dati trattati (eccetto quelli necessari per scopi contabili e di documentazione delle attività svolte, che vengono custoditi con particolari modalità). Dall’analisi dei vari flussi informativi si evidenzia la necessità di un rigoroso controllo, per evitare che venga dato seguito ad ipotetiche richieste da parte di soggetti non legittimati. Sono altresì necessarie modalità di comunicazione tra i fornitori e l’autorità giudiziaria che garantiscano maggiormente la riservatezza delle informazioni scambiate. Va in proposito constatata favorevolmente la messa a disposizione per questi scopi, da parte di alcuni fornitori, di servizi e-mail con interfaccia web di tipo Ssl (Secure Socket Layer-connessione cifrata), o anche di più articolati strumenti software basati sullo stesso tipo di interfaccia, che evitano la circolazione in rete di messaggi, con relativi allegati, ancorché protetti da forme di cifratura, che potrebbero andare incontro a tutti gli ordinari inconvenienti che possono interessare i sistemi di posta Smtp: ritardate consegne, mancate consegne a causa di errori di indirizzo o di condizioni di traffico sulla rete, fino al caso più preoccupante di possibile erronea consegna a un destinatario diverso da quello legittimo. Prescrizione I fornitori devono provvedere affinché l’interscambio di informazioni con l’autorità giudiziaria avvenga evitando il ricorso a canali non affidabili, o affidabili solo parzialmente, sia dal punto di vista delle prestazioni, sia da quello della sicurezza, adottando a tal fine sistemi di comunicazione basati su aggiornati strumenti telematici sviluppati con protocolli di rete sicuri. In questo ambito devono essere adottate tecniche di firma digitale evitando la cifratura dei documenti con strumenti tecnicamente deboli a livello applicativo, ed altre prassi inidonee, come la negoziazione di chiavi crittografiche simmetriche in modo informale su canali insicuri. La comunicazione all’autorità giudiziaria dei risultati dell’attività strumentale svolta (tramite tabulati elettronici o in altro formato informatico), deve quindi avvenire esclusivamente in modo cifrato con strumenti di firma digitale che assicurino l’identificazione delle parti comunicanti, l’integrità e la protezione dei dati, nonché la completezza e la correttezza delle informazioni temporali (date ed orari di formazione dei documenti o della loro trasmissione e consegna). Queste forme più sicure di comunicazione possono essere realizzate con tecnologie di rete disponibili anche in forma di applicazioni web oriented dedicate, accessibili ai soli utenti legittimati e che consentano anche l’interscambio di messaggi tra i fornitori e l’autorità giudiziaria. La posta elettronica Internet può essere utilizzata esclusivamente nella forma della posta elettronica certificata (Pec) di cui al d.P.R. 11 febbraio 2005, n. 68 e relative regole tecniche di attuazione. Sia il ricevimento delle richieste, sia la comunicazione dei risultati, possono avvenire anche mediante consegna manuale della documentazione, da effettuarsi tramite soggetti delegati dall’autorità giudiziaria. I fornitori, al momento della consegna, dovranno acquisire i dati identificativi del latore della comunicazione e annotare in un apposito registro gli estremi della comunicazione (data, ora, identità del messo, ecc.). Durante il decorso del termine di seguito stabilito per adempiere al presente provvedimento, i mezzi di comunicazione meno sicuri, come ad esempio il telefax analogico, vanno utilizzati soltanto in caso di impossibilità tecnica di utilizzare i canali sicuri eventualmente già disponibili. 3.3 Protezione dei dati trattati per scopi di giustizia Profili esaminati Come già rilevato, nel prestare altri servizi a supporto di indagini giudiziarie oltre alle intercettazioni, i fornitori vengono a conoscenza di una notevole mole di informazioni personali collegate alle modalità di comunicazione della persona sottoposta ad intercettazione con i propri interlocutori. Queste informazioni vengono elaborate e raccolte dal fornitore, per essere successivamente consegnate all’autorità giudiziaria che le ha richieste. Almeno per il lasso di tempo intercorrente tra la loro raccolta e la comunicazione all’autorità giudiziaria, queste stesse informazioni possono essere trattate lecitamente tramite i sistemi tecnologici e le funzioni aziendali preposte dal fornitore, il quale rimane però investito della responsabilità di proteggerle in modo idoneo a prevenire, per quanto tecnicamente possibile, ogni forma di abuso. Prescrizione Il Garante ritiene necessario che i fornitori sviluppino o integrino nei propri sistemi informativi rivolti al trattamento dei dati personali acquisiti o formati per scopi di giustizia strumenti informatici idonei ad assicurare il controllo sulle attività svolte da ciascun incaricato sui singoli elementi di informazione presenti nei database utilizzati. Ogni accesso a dati personali relativi a persone sottoposte ad intercettazione o a persone che comunicano con esse deve essere tracciato tramite una registrazione in un apposito audit log che consenta di verificare a posteriori il corretto utilizzo delle informazioni. Tutti i dati personali acquisiti o formati per scopi di giustizia devono essere protetti con moderni strumenti di cifratura precludendo la loro conoscibilità da parte di soggetti non legittimati -dipendenti del fornitore, addetti alla manutenzione, ecc.- nel periodo di loro presenza nel sistema informativo del fornitore. La persistenza di dati personali nei sistemi informativi dei fornitori, se imposta da ragioni tecniche, deve essere comunque strettamente limitata a quanto necessario per attuare i provvedimenti dell’autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la loro corretta comunicazione all’a.g. richiedente. Le prescrizioni di cui al presente punto 3 sono impartite prevedendo un termine di adeguamento di 180 giorni decorrenti dalla data di ricezione del presente provvedimento, termine che tiene in debito conto anche la necessità che l’evoluzione e l’aggiornamento tecnologico in corso negli uffici giudiziari avvengano secondo modalità coerenti con le prescrizioni suindicate. Entro tale termine, i singoli fornitori oggetto degli accertamenti dovranno fornire al Garante un dettagliato riscontro sulle misure e sugli accorgimenti adottati in attuazione del presente provvedimento, anche in relazione alle attività pianificate e al loro stato di avanzamento.

Tutto ciò premesso il Garante

ai sensi dell’articolo 154, comma 1, lett. c), del Codice prescrive ai fornitori di servizi di comunicazione elettronica che svolgono le attività su richiesta dell’autorità giudiziaria di adottare, nei termini di cui in motivazione, le misure e gli accorgimenti indicati al punto 3, in particolare per quanto riguarda: a) aspetti organizzativi della sicurezza 1. adozione di un modello organizzativo che limiti al minimo la conoscibilità delle informazioni trattate, con una rigida partizione della visibilità dei dati su base organizzativa, funzionale e di area geografica di competenza; 2. designazione selettiva degli incaricati, a qualsiasi titolo, del trattamento di dati personali; 3. rigoroso controllo della qualità e della coerenza delle credenziali di autenticazione per l’accesso informatico ai dati trattati; 4. separazione tra i dati di carattere amministrativo- contabile e i dati documentali prodotti; 5. procedure di autenticazione robuste, con il ricorso anche a caratteristiche biometriche; b) sicurezza dei flussi informativi con l’autorità giudiziaria 1. adozione di sistemi di comunicazione basati su aggiornati strumenti telematici sviluppati con protocolli di rete sicuri; 2. adozione di tecniche di firma digitale per la cifratura dei documenti; 3. utilizzo di strumenti di cifratura basati su firma digitale per la comunicazione all’autorità giudiziaria dei risultati dell’attività strumentale svolta; 4. utilizzo della posta elettronica Internet esclusivamente nella forma della posta elettronica certificata (Pec); 5. ricorso alla consegna manuale di documenti esclusivamente tramite soggetti delegati dall’autorità giudiziaria, provvedendo alla tenuta di un apposito registro delle consegne; 6. limitazione dell’uso dei mezzi di comunicazione meno sicuri ai soli casi di impossibilità tecnica di utilizzare i canali sicuri eventualmente già disponibili; c) protezione dei dati trattati per scopi di giustizia 1. sviluppo di strumenti informatici idonei ad assicurare il controllo delle attività svolte da ciascun incaricato sui singoli elementi di informazione presenti nei database utilizzati, con registrazione delle operazioni compiute in un apposito audit log; 2. adozione di moderni strumenti di cifratura per la protezione dei dati nel periodo di loro presenza nel sistema informativo del fornitore; 3. limitazione della persistenza dei dati personali a quanto strettamente necessario per attuare i provvedimenti dell’autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la loro corretta comunicazione all’autorità giudiziaria richiedente; d) integrale adeguamento entro 180 giorni decorrenti dalla data di ricezione del presente provvedimento e riscontro al Garante sulle misure e sugli accorgimenti adottati, termine che tiene in debito conto anche la necessità che l’evoluzione e l’aggiornamento tecnologico in corso negli uffici giudiziari avvengano secondo modalità coerenti con le prescrizioni suindicate.

Provvedimenti tratti dal sito www.garanteprivacy.it