6. Modalità di acquisizione dei dati
Il Codice individua altresì le modalità con le quali possono essere acquisiti i dati di traffico conservati dai fornitori, prescrivendo, con riferimento al primo periodo di conservazione (i primi ventiquattro mesi e sei mesi, rispettivamente per il traffico telefonico e telematico), che la richiesta sia formulata con "decreto motivato del pubblico ministero anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altri parti private" (art. 132, comma 3, del Codice).
Al difensore dell'imputato o della persona sottoposta alle indagini è riconosciuta la possibilità di richiedere, direttamente, al fornitore i dati di traffico limitatamente ai dati che si riferiscano "alle utenze intestate al proprio assistito". La richiesta deve essere effettuata "con le modalità indicate dall'articolo 391-quater del codice di procedura penale, ferme restando le condizioni di cui all'articolo 8, comma 2, lettera f), per il traffico entrante" (art. 132, comma 3, cit.). Tale ultimo riferimento ai presupposti previsti dal Codice per l'accesso alle chiamate in entrata comporta, anche, la necessaria valutazione preliminare, da parte dei fornitori, della circostanza che dalla mancata conoscenza dei dati richiesti possa derivare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397. A tal riguardo, si richiama quanto rilevato nel provvedimento adottato dal Garante in materia il 3 novembre 2005 , consultabile sul sito dell'Autorità (doc. web n. 1189488 ).
In relazione al secondo periodo di conservazione, il comma 4 dell'art. 132 prevede che i dati conservati possano essere acquisiti soltanto in presenza di un decreto motivato del giudice, che autorizzi l'acquisizione qualora ritenga sussistenti sufficienti indizi dei delitti previsti dall'art. 407, comma 2, lettera a), c.p.p., nonché di quelli in danno di sistemi informatici o telematici.
7. Misure e accorgimenti da prescrivere
A seguito degli approfondimenti anche tecnici svolti nell'ambito e dopo diversi accertamenti ispettivi effettuati presso primari fornitori di servizi di comunicazione elettronica, sono state individuate misure e accorgimenti da porre a garanzia degli interessati nell'ambito della conservazione dei dati di traffico per finalità di accertamento e repressione di reati.
Tali cautele si pongono, ovviamente, senza pregiudizio di ogni altra misura di sicurezza che ciascun fornitore deve adottare ai sensi degli artt. 31 e ss. del Codice, e saranno oggetto di periodico aggiornamento in relazione allo sviluppo tecnologico.
Le misure e gli accorgimenti allo stato individuati dal Garante sono riportati nell' allegato 2 .
Il Garante si riserva di stabilire il termine entro il quale le prescrizioni che saranno impartite dall'Autorità dovranno essere attuate dai fornitori, termine che allo stato risulta comunque congruo prevedere in un quadrimestre (semestre). Il Garante si riserva altresì di individuare alcuni trattamenti da notificare all'Autorità ai sensi dell'art. 37, comma 2, del Codice.
ALLEGATO 1
(Dati di traffico oggetto di conservazione alla luce della direttiva 2006/24/Ce)
Dati generati o trattati nell'ambito dei servizi telefonici
Con riferimento ai servizi telefonici, i fornitori sono tenuti a conservare i dati di traffico, compresi quelli relativi alle chiamate senza risposta, necessari a individuare:
l'origine della comunicazione (numero telefonico chiamante, nome e indirizzo dell'abbonato o utente registrato);
la destinazione della comunicazione (il numero o i numeri telefonici chiamati e, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata, il numero o i numeri cui la chiamata è trasmessa);
i riferimenti temporali della comunicazione (data e ora di inizio e fine della comunicazione);
il tipo di comunicazione effettuata (servizio telefonico utilizzato);
le tipologie di apparecchiature per la comunicazione, anche presunte, impiegate dagli utenti nella telefonia mobile: International Mobile Subscriber Identity (IMSI) e International Mobile Equipment Identity (IMEI) del chiamante e del chiamato; nel caso di servizi prepagati anonimi, data e ora dell'attivazione iniziale della carta e etichetta di ubicazione (Cell ID) dalla quale è stata effettuata l'attivazione;
l'ubicazione delle apparecchiature mobili impiegate per la comunicazione (etichette di ubicazione -Cell ID – all'inizio della comunicazione e dati per identificare l'ubicazione geografica delle cellule, facendo riferimento alle loro etichette di ubicazione nel periodo in cui vengono conservati i dati sulle comunicazioni).
Dati generati o trattati nell'ambito dei servizi telematici
Con riferimento ai servizi telematici, occorre distinguere:
Accesso alla rete Internet
I fornitori sono tenuti a conservare i dati necessari a individuare:
l'origine della comunicazione, ovvero le informazioni identificative del punto di accesso: nome e indirizzo dell'abbonato o dell'utente registrato al quale, al momento della comunicazione, risultavano assegnati uno o più indirizzi di protocollo Ip, un identificativo di utente o un numero telefonico;
la data, l'ora e la durata dell'accesso (data e ora del log-in e del log-off al servizio di accesso Internet) unitamente all'indirizzo Ip o agli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso Internet e l'identificativo dell'abbonato o dell'utente registrato; nel caso di accessi permanenti (in assenza di informazioni su log-in e log-off ), gli indirizzi Ip, dinamici o statici, assegnati dal fornitore di accesso Internet o comunque in uso nelle postazioni dell'abbonato o utente;
le attrezzature di comunicazione, anche presunte, utilizzate dagli utenti: numero della linea telefonica per l'accesso commutato tramite rete telefonica (dial-up access); digital subscriber line number (DSL) o altro identificatore di chi è all'origine della comunicazione, nel caso di collegamenti su reti di tipo xDSL.
Posta elettronica
Relativamente ai messaggi spediti da propri utenti o abbonati, i fornitori di servizi di posta elettronica accessibili al pubblico sono tenuti a conservare i dati necessari a individuare:
l'origine della comunicazione (identificativo dell'utente o dell'abbonato al servizio, indirizzo Ip utilizzato dalla postazione mittente e indirizzo di posta elettronica del mittente);
la destinazione della comunicazione (indirizzo di posta elettronica del destinatario del messaggio e indirizzo Ip e nome a dominio pienamente qualificato del mail exchanger host a cui è stato trasmesso il messaggio, nel caso della tecnologia SMTP);
la data e l'ora della comunicazione.
Telefonia, invio di fax, sms e mms via Internet
I fornitori sono tenuti a conservare i dati necessari a individuare:
la fonte della comunicazione: indirizzo Ip ed eventuale identificativo dell'utente registrato; eventuale numero telefonico e dati anagrafici dell'utente registrato;
la destinazione della comunicazione: numero chiamato e, nei casi di servizi supplementari come l'inoltro o il trasferimento di chiamata, numero o numeri a cui la chiamata è trasmessa;
la data, l'ora e la durata della comunicazione: data e ora di inizio e fine della comunicazione;
il tipo di comunicazione effettuata: il servizio utilizzato.
ALLEGATO 2
Prescrizioni tecnico-organizzative
Sistemi di autenticazione
Il trattamento dei dati di traffico telefonico e telematico oggetto delle prescrizioni del Garante è consentito agli incaricati solo previo utilizzo di specifici sistemi di autenticazione informatica basati su tecniche di strong authentication, consistenti nell'uso combinato di almeno due differenti tecnologie di autenticazione. Una di tali tecnologie deve essere inoltre basata sull'elaborazione di caratteristiche biometriche.
Si può eventualmente prescindere da tali sistemi solo per i trattamenti effettuati nello svolgimento di mansioni tecniche di gestione dei sistemi e delle apparecchiature informatiche, per i quali resta fermo l'obbligo di assicurare le misure in tema di credenziali di autenticazione previste dall'Allegato B) al Codice in materia di protezione dei dati personali.
Sistemi di autorizzazione
Relativamente ai sistemi di autorizzazione devono essere adottate specifiche procedure in grado di garantire la separazione rigida delle funzioni tecniche di assegnazione di credenziali di autenticazione e di individuazione dei profili di autorizzazione rispetto a quelle di gestione tecnica dei sistemi e delle basi di dati. Tali differenti funzioni non possono essere attribuite contestualmente a uno stesso soggetto o, comunque, nell'ambito della stessa unità organizzativa.
I profili di autorizzazione da definire e da attribuire agli incaricati devono differenziare le funzioni di trattamento dei dati per finalità di accertamento e repressione dei reati distinguendo, al loro interno, incaricati abilitati al trattamento dei dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma 1, del Codice), dagli incaricati abilitati al trattamento dei dati di cui al secondo periodo di conservazione obbligatoria (art. 132, comma 2, del Codice) e, infine, dalle funzioni di trattamento dei dati in caso di esercizio dei diritti dell'interessato (art. 7 del Codice).
Conseguentemente, un incaricato cui è attribuito un profilo di autorizzazione abilitante ad esempio al trattamento dei dati di cui al primo periodo di conservazione obbligatoria (art. 132, comma 1, del Codice) non può accedere, per ciò stesso e direttamente, a dati il cui trattamento richieda il possesso del profilo di autorizzazione relativo al secondo periodo di conservazione obbligatoria (art. 132, comma 2, del Codice).
Conservazione separata
I dati di traffico conservati per finalità di accertamento e repressione di reati vanno gestiti tramite sistemi informatici distinti fisicamente da quelli utilizzati per gestire dati di traffico per altre finalità, sia nelle componenti di elaborazione, sia di immagazzinamento dei dati (storage).
Più specificamente, i dati di traffico, i sistemi informatici e gli apparati di rete utilizzati per i trattamenti devono essere separati da quelli utilizzati per le altre funzioni aziendali ed essere altresì protetti contro il rischio di intrusione mediante idonei strumenti di protezione perimetrale.
Le attrezzature informatiche utilizzate per le finalità di giustizia di cui sopra devono essere collocate all'interno di aree ad accesso selezionato e controllato. L'accesso a tali aree deve avvenire previa identificazione e registrazione delle persone ammesse, con indicazione dei motivi dell'accesso e dei relativi riferimenti temporali, anche mediante l'utilizzo di sistemi elettronici.
Nell'ambito dei trattamenti per scopi di accertamento e repressione di reati, una volta decorso il termine di cui al comma 1 dell'art. 132 del Codice, i dati di traffico devono essere trattati con modalità che consentano l'accesso differenziato su base temporale, provvedendo a forme di separazione dei dati che garantiscano il rispetto del principio di finalità dei trattamenti.
La differenziazione può essere ottenuta:
mediante separazione fisica, predisponendo sistemi del tutto separati nelle componenti di elaborazione e di archiviazione, oppure:
mediante misure e accorgimenti informatici, intervenendo sulla struttura delle basi di dati, sui sistemi di indicizzazione e sui metodi di accesso (separazione logica).
Devono essere adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e non superiori a sette giorni.
Incaricati del trattamento
Gli incaricati che accedono ai dati di traffico conservati per le finalità di cui all'art. 132 del Codice, anche per consentire l'esercizio dei diritti di cui all'art. 7 del Codice, devono essere designati specificamente.
Il processo di designazione deve prevedere la frequenza di una periodica attività formativa concernente l'illustrazione delle istruzioni, il rispetto delle misure di sicurezza e le relative responsabilità. La partecipazione al corso deve essere documentata.
Per quanto riguarda le richieste per l'esercizio dei diritti di cui all'art. 7 del Codice che comportano l'estrazione dei dati di traffico, nei limiti in cui ciò è consentito ai sensi dell'art. 8, comma 2, lettera f) del Codice, il titolare del trattamento deve conservare in forma specifica la documentazione comprovante l'idonea verifica dell'identità del richiedente ai sensi dell'art. 9 del Codice, e adottare opportune cautele per comunicare i dati al solo soggetto legittimato in base al medesimo articolo.
Cancellazione dei dati
Allo scadere dei termini previsti dalle disposizioni vigenti, i dati di traffico sono resi immediatamente non disponibili per le elaborazioni dei sistemi informativi; sono altresì cancellati o resi anonimi senza ritardo, in tempi tecnicamente compatibili con l'esercizio delle procedure per la realizzazione di copie di sicurezza (backup e disaster recovery ) adottate dal titolare anche in applicazione di misure previste dalla normativa vigente e, al più tardi, entro trenta giorni successivi alla scadenza dei termini di cui all'art. 132 del Codice.
**Altre misure
** Audit log
Devono essere adottate soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti su singoli elementi di informazione presenti sui diversi database utilizzati.
Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici.
I sistemi di audit log devono garantire la completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di scrittura non alterabili su dispositivi di tipo WORM (write once/read many). Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche e di firma digitale.
Audit interno–Report periodici
La gestione dei dati di traffico per finalità di accertamento e repressione di reati deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento, in modo che sia verificata costantemente la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati di traffico previste dalle norme vigenti e dal provvedimento del Garante, anche per ciò che riguarda la verifica della particolare selettività degli incaricati legittimati.
L'attività di controllo deve essere demandata ad un'unità organizzativa diversa rispetto a quella cui è affidato il trattamento dei dati per la finalità di accertamento e repressione dei reati.
I controlli devono comprendere anche verifiche sulla legittimità e liceità degli accessi ai dati effettuati dagli incaricati del trattamento utilizzando, a tale scopo, strumenti di analisi dei log registrati, anche tramite l'introduzione di sistemi di segnalazione automatica di comportamenti "anomali" rispetto al normale profilo di utilizzo del sistema da parte degli operatori (es.: interrogazioni massive non giustificate, reiterate interrogazioni nei confronti di una medesima anagrafica in un limitato lasso di tempo, interrogazioni effettuate al di fuori del normale orario di servizio). Sono svolte, altresì, verifiche periodiche sull'effettiva cancellazione dei dati decorso i periodi di conservazione.
L'attività di controllo deve essere adeguatamente documentata in modo tale che sia sempre possibile risalire ai sistemi verificati, alle operazioni tecniche su di essi effettuate, alle risultanze delle analisi condotte sugli accessi e alle eventuali criticità riscontrate.
L'esito dell'attività di controllo deve essere:
comunicato alle persone e agli organi legittimati ad adottare decisioni e ad esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della società;
richiamato nell'ambito del documento programmatico sulla sicurezza (quando deve essere redatto come misura minima di sicurezza) nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;
messo, a richiesta, a disposizione del Garante o dell'autorità giudiziaria.
Documentazione dei sistemi informativi
I sistemi informativi utilizzati per il trattamento dei dati di traffico devono essere documentati in modo idoneo secondo i princìpi dell'ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione.
La descrizione deve comprendere, per ciascun sistema applicativo, l'architettura logico-funzionale, l'architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l'architettura della rete di comunicazione, l'elenco di tutti i soggetti aventi legittimo accesso al sistema.
La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi, da cui deve risultare anche l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati.
La documentazione tecnica deve essere aggiornata costantemente e messa a disposizione dell'Autorità su sua eventuale richiesta.
Cifratura e protezione dei dati
I dati di traffico vanno protetti con strumenti di cifratura, in particolare contro rischi di acquisizione fortuita derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. In particolare, devono essere adottate soluzioni basate su tecnologie crittografiche che rendano le informazioni residenti nelle basi di dati a servizio delle applicazioni informatiche utilizzate per i trattamenti, nella loro interezza o in forma parziale, non intelligibili a chi non disponga di diritti di accesso e profili di autorizzazione idonei.
Tale misura deve essere efficace per evitare che incaricati di mansioni tecniche accessorie ai trattamenti (amministratori di sistema, data base administrator e manutentori hardware e software ) possano accedere indebitamente alle informazioni registrate, anche fortuitamente, acquisendone conoscenza nel corso di operazioni di accesso ai sistemi o di manutenzione di altro genere.
I flussi di trasmissione dei dati di traffico tra sistemi informatici devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche.
(1) Corte cost. 26 febbraio-11 marzo 1993, n. 81.
(2) Ciò, a prescindere dalle garanzie previste dall'art. 15 della Costituzione che, secondo la menzionata giurisprudenza costituzionale, operano comunque, anche fuori dei casi di intercettazione legale.
(3) Cfr. Considerando 15 direttiva n. 2002/58/Ce: "Una comunicazione può comprendere qualsiasi informazione relativa al nome, al numero e all'indirizzo fornita da chi emette la comunicazione o dall'utente di un collegamento al fine di effettuare la comunicazione. I dati relativi al traffico possono comprendere qualsiasi traslazione dell'informazione da parte della rete sulla quale la comunicazione è trasmessa allo scopo di effettuare la trasmissione. I dati relativi al traffico possono tra l'altro consistere in dati che si riferiscono all'instradamento, alla durata, al tempo o al volume di una comunicazione, al protocollo usato, all'ubicazione dell'apparecchio terminale di chi invia o riceve, alla rete sulla quale la comunicazione si origina o termina, all'inizio, alla fine o alla durata di un collegamento. Possono anche consistere nel formato in cui la comunicazione è trasmessa dalla rete".
(4) Cfr. art. 5, paragrafo 1, direttiva n. 2002/58/Ce: "Gli Stati membri assicurano, mediante disposizioni di legge nazionali, la riservatezza delle comunicazioni effettuate tramite la rete pubblica di comunicazione e i servizi di comunicazione elettronica accessibili al pubblico, nonché dei relativi dati sul traffico (...)".
(5) Art. 6, paragrafo 2, direttiva n. 2002/58/Ce: "I dati relativi al traffico che risultano necessari ai fini della fatturazione per l'abbonato e dei pagamenti di interconnessione possono essere sottoposti a trattamento. Tale trattamento è consentito solo sino alla fine del periodo durante il quale può essere legalmente contestata la fattura o preteso il pagamento".
(6) Art. 6, paragrafo 3, direttiva n. 2002/58/Ce: "Ai fini della commercializzazione dei servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, il fornitore di un servizio di comunicazione elettronica accessibile al pubblico ha facoltà di sottoporre a trattamento i dati di cui al paragrafo 1 nella misura e per la durata necessaria per siffatti servizi, o per la commercializzazione, sempre che l'abbonato o l'utente a cui i dati si riferiscono abbia dato il proprio consenso. Gli abbonati o utenti hanno la possibilità di ritirare il loro consenso al trattamento dei dati relativi al traffico in qualsiasi momento".
(7) Art. 6, paragrafo 5, direttiva n. 2002/58/Ce: "Il trattamento dei dati relativi al traffico ai sensi dei paragrafi da 1 a 4 deve essere limitato alle persone che agiscono sotto l'autorità dei fornitori della rete pubblica di comunicazione elettronica e dei servizi di comunicazione elettronica accessibili al pubblico che si occupano della fatturazione o della gestione del traffico, delle indagini per conto dei clienti, dell'accertamento delle frodi, della commercializzazione dei servizi di comunicazione elettronica o della prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto è strettamente necessario per lo svolgimento di tali attività".
(8) Tale articolo integra le previsioni dell'articolo 6 della direttiva 95/46/Ce, che stabilisce: "Gli Stati membri dispongono che i dati personali devono essere: (…) e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici".
(9) Cfr. il considerando 23 della direttiva 2006/24/Ce.
(10) Essi sono comunque tenuti al rispetto delle specifiche misure e degli accorgimenti prescritti dal d.l. n. 144/2005, nonché dal decreto ministeriale 16 agosto 2005, in G.U. 17 agosto 2005, n. 190. Ciò, con riferimento ai dati registrati per il monitoraggio delle operazioni degli utenti previsto dall'art. 2 del predetto decreto ministeriale.
(11) Cfr. anche il considerando 13 e art. 1, comma 2, direttiva 2006/24/Ce, a mente del quale tale direttiva "non si applica al contenuto delle comunicazioni elettroniche, ivi incluse le informazioni consultate utilizzando una rete di comunicazione elettronica".
(12) Cfr. il considerando n. 23, direttiva 2006/24/Ce, cit.
(13) Cfr. art. 2, comma 2, lett. c9, direttiva 2006/24/Ce.
