Le informazioni relative all’indirizzo IP e MAC del dispositivo connesso costituiscono dati personali

Riferimenti normativi: artt. 17, 123, 132 del Codice in materia di protezione dei dati personali; Cass. Civ. Sez. lav. 12 luglio 2010, n. 16320

Fatto

Il nucleo speciale privacy della Guardia di Finanza aveva svolto degli accertamenti nei confronti di una Società che svolgeva attività di operatore telefonico e di internet services provider, erogando servizi di telefonia e di connettività internet, al fine di accertare il rispetto della normativa in materia di protezione dei dati personali.

Più precisamente la Società in questione nell’espletamento della propria attività trattava dati di traffico telefonico e telematico, nonché conservava i predetti dati per finalità di fatturazione e di accertamento e repressione dei reati.

In particolare dalle indagini condotte dalla Guardia di finanza era emerso che la Società, ai fini della fatturazione, conservava i dati di traffico telefonico per un periodo superiore a 6 mesi, contrariamente a quanto stabilito nel codice per il trattamento dei dati personali, in specie la Guardia di Finanza aveva recuperato una fattura risalente al 2012 dove era allegato un documento riportante il dettaglio delle chiamate contenente il numero chiamato, con le ultime cifre asteriscate, data ora e durata della chiamata. Era inoltre emerso che i dati di traffico telefonico relativo alle chiamate senza risposta  erano conservati per un periodo superiore a 30 giorni.

Sempre in fase di accertamento era stato poi verificato che la Società per finalità di accertamento e repressione dei reati conservava i dati di traffico telefonico e telematico per un periodo superiore a quello stabilito dalla norma legale in materia, ovvero oltre il termine di 24 mesi. Omettendo, altresì, di adottare la procedura di strong authentication con riferimento all’utilizzo della tecnologia basata sull’elaborazione di caratteristiche biometriche di colui che vi accede.

La Società di fronte a tali contestazioni aveva reso le proprie giustificazioni, smentendo in prima battuta che i dati raccolti fossero qualificabili quali dati telematici relativi a clienti ma meri dati i rete, ovverosia dati radio relativi alla connessione  degli apparati di rete, la cui conservazione era necessaria ai fini di un corretto funzionamento della rete stessa. Secondo le specifiche fornite dalla Società il database contenente i dati, identificava  l’indirizzo di connessione alla rete e comprendeva gli indirizzi della scheda di rete router assegnati, come i primi, a più utenti. Da ciò la Società ne faceva discendere l’esclusione della identificazione di questi come dati sensibili, ma, viceversa, come informazioni del traffico di rete. Questi dati non erano in grado di identificare l’identità degli utenti non consentendo la profilazione di questi ultimi né la tracciabilità dei contenuti o delle preferenze di navigazione.

In secondo luogo la Società evidenziava la sua buona fede nel non aver provveduto all’adozione di strong authentication e di cifratura dei dati, ritenendo questi come meri dati telematici, sostenendo altresì di aver adottato misure più che adeguate a garantire la sicurezza e protezione dei dati, avendo introdotto un triplice livello di sicurezza attraverso l’inserimento di più password di accesso e avendo introdotto i c.d privilegi elevati per garantire l’inaccessibilità dei dati di rete raccolti.

La decisione del Garante

Il Garante, valutate le dichiarazioni della Società, ha confermato le contestazioni mosse dalla Guardia di Finanza, riconoscendo nel trattamento dei dati personali operato dalla stessa un trattamento illecito, avendo essa conservato i dati di traffico telefonico trattati per finalità di fatturazione per un periodo superiore a 6 mesi, nonché per aver conservato i dati telefonici e telematici trattati per finalità di accertamento e repressione dei reati per un periodo superiore a 24 mesi. Confermando altresì l’illecita conservazione per più di 30 giorni dei dati di traffico telefonico relativi alle chiamate senza risposta.

Il Garante nella sua disamina ha smentito la tesi della Società che escludeva la definizione di dato personale del dato da essa trattato riconducendolo ad un mero dato di rete, evidenziando che i cartellini di traffico conservati dalla Società contenevano le informazioni relative alla numerazione delle chiamate, alla numerazione del chiamato, alla data e all’ora della chiamata. Gli stessi cartellini, poi, contenevano, altresì, le informazioni relative all’indirizzo IP e MAC del dispositivo connesso, oltre che quelle relative all’inizio della connessione. Tali informazioni, secondo il Garante sono idonee ad identificare univocamente il soggetto che ha effettuato la connessione, potendo risalire all’utenza anche dalla data e ora della connessione.

In riferimento alla conservazione dei dati per finalità di accertamento e repressione dei reati, il Garante, escludendo la possibilità di far valere l’esimente della buona fede, per cui occorre un elemento positivo idoneo ad indurre un errore non ovviabile dall’interessato con l’ordinaria diligenza, elemento questo che non emerge nel caso di specie, ha ricordato la necessità di adottare tecniche di strong authentication basate sull’elaborazione di caratteristiche biometriche dell’incaricato in modo tale da assicurare la presenza fisica di quest’ultimo presso la postazione di lavoro utilizzata per il trattamento.

Volume consigliato