Italia
L’operatore mobile virtuale Lycamobile è finito nel mirino del Garante Privacy per le criticità emerse nell’ambito della gestione dei dati di traffico conservati a fini di giustizia.
All’azienda – che fa capo alla Hasting Trading con sede a Funchal in Portogallo e ha lanciato i propri servizi di telefonia mobile in Italia il 15 giugno 2009 sulla rete di H3G – l’Autorità ha vietato alcuni trattamenti di dati risultati illeciti ed ha disposto una serie di “misure tecniche e organizzative” volte a migliorare e rendere più sicura la conservazione di questo specifico set di dati, necessari ai fini dell’accertamento e della repressione dei reati.
Questi ‘metadati’, che includono numero chiamato, data, ora, durata della chiamata, localizzazione del cellulare, indirizzi mail, data, ora, durata degli accessi alla rete – ma non il contenuto delle chiamate – sono molto importanti, poiché permettono di ricostruire le relazioni e le abitudini di un utente, andando a ritroso nel tempo di due anni.
Si tratta, è ovvio, di dati anche molto delicati, che vanno pertanto protetti in maniera adeguata anche attraverso l’utilizzo di sistemi informatici distinti da quelli per conservare i dati usati per altre finalità (profilazione, marketing) e che non devono essere conservate oltre i tempi stabiliti dalla legge: 2 anni per il traffico telefonico e 1anno per quello telematico.
Secondo quanto disposto dal garante, dunque, Lycamobile dovrà approntare una serie di procedure atte a ‘blindare’ i dati: tra queste, l’utilizzo di specifici sistemi di autenticazione informatica (una necessariamente basata sull’uso di dati biometrici), la separazione fisica dei sistemi informatici in cui si conservano i dati per l’accertamento e la repressione dei reati e la predisposizione di un apposito “registro degli accessi” ad hoc in cui registrarli. La società, cui è stato anche fatto divieto di usare i dati conservati a fini di giustizia per qualsiasi altra finalità, dovrà poi mettere in atto soluzioni informatiche atte ad assicurare il controllo delle attività svolte da ciascun incaricato sui dati di traffico, attività di controllo interne adeguatamente documentate, utilizzo di tecniche crittografiche volte a proteggere i dati di traffico trattati per esclusive finalità di giustizia.
Dovrà inoltre essere garantita la separazione delle funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati.
Con un provvedimento a parte, infine, il Garante ha imposto a Lycamobile di modificare di modificare il testo dell’informativa agli utenti per renderla conforme a quanto indicato nell’art. 13 del Codice in materia di protezione dei dati personali. L’informativa dovrà pertanto contenere chiaramente l’indicazione: delle finalità e le modalità del trattamento cui sono destinati i dati; della natura obbligatoria o facoltativa del conferimento dei dati; dei soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati.
