Garante prescrive a Telecom misure di sicurezza più rigorose dopo un caso di trattamento illecito di tabulati telefonici
A seguito di un grave caso, sottoposto alla sua
attenzione, relativo ad un’indebita consultazione di tabulati telefonici di un
abbonato e alla loro illecita comunicazione, il Garante ha prescritto a Telecom
Italia l’adozione di più rigorose misure di sicurezza allo scopo di evitare il
ripetersi di questi casi e a protezione dei dati di tutti gli abbonati e gli
utenti. Il provvedimento si è reso necessario dopo la presentazione
all’Autorità di un ricorso da parte di una persona il cui coniuge si è visto
recapitare all’indirizzo di casa, in busta anonima, un tabulato con dati di
traffico relativi a chiamate in entrata ed in uscita del cellulare, anche con
informazioni sulla localizzazione.
Gli accertamenti effettuati dal Garante hanno
appurato che riguardo alle categorie di addetti che possono avere accesso ai
dati di traffico, per alcuni soggetti che svolgono in particolare operazioni di
gestione e manutenzione dei sistemi, il sistema di controllo non è in grado di
registrare il dettaglio delle operazioni da essi svolte. Circostanza questa che
finisce per esporre maggiormente gli abbonati al rischio di gravi abusi per cio’
che concerne l’illecita acquisizione dei loro dati di traffico.
La Telecom risulta dunque aver violato l’obbligo di
adottare, in aggiunta alle ordinarie misure minime di sicurezza, una specifica
misura prevista che gli operatori tlc sono tenuti ad adottare, cioè in
particolare l’obbligo di assicurare l’identificazione di tutti gli incaricati
che accedono ai dati mediante il tracciamento sia di tale autenticazione e sia
della conseguente consultazione, in modo tale da documentare ed eventualmente
verificare i casi di abuso.
La società, a seguito del grave fatto, ha da parte
sua sostenuto di aver già avviato un processo di graduale implementazione di
nuove tecniche di sicurezza volte a ridurre la possibilità o a prevenire il
verificarsi di simili eventi, mediante l’introduzione di sistemi di progressivo
tracciamento delle operazioni svolte da tali addetti.
Il Garante ha dunque accolto il ricorso
dell’interessato impartendo specifici obblighi alla società, anche allo scopo
di garantire la massima sicurezza dei dati di tutti gli abbonati. Inoltre, con
un apposito provvedimento a carattere generale l’Autorità ha prescritto a
Telecom misure tecniche a protezione dei dati contenuti nei tabulati e volte a
rendere sicuro, trasparente e controllato l’accesso ai data base.
Il gestore telefonico dovrà pertanto adottare misure
che assicurino l’identificazione, anche
a posteriori, di chi ha avuto accesso ai dati e il controllo delle operazioni
effettuate da ciascun incaricato, quale che siano la sua
qualifica e le sue competenze.
Tutte le operazioni
compiute sui dati di traffico, anche la sola consultazione,
dovranno dunque essere registrate
in appositi registri informatici (audit log).
I profili di
autorizzazione degli incaricati dovranno essere limitati ai dati e alle operazioni
loro affidate e non dovranno consentire di trattare dati personali diversi da
quelli necessari.
Telecom avrà 120 giorni per adottare tali misure. La
mancata adozione di tali misure comporterà il divieto di consultare e
comunicare i dati.
Il provvedimento va ad aggiungersi a quello
già adottato dal Garante in materia di misure di sicurezza nel dicembre scorso
per tutti i gestori telefonici limitatamente alle attività di intercettazione
svolte per conto dell’autorità giudiziaria.
