Si  sono conclusi gli accertamenti avviati dall'Autorità Garante, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato,  nei confronti dei principali gestori di telefonia fissa e mobile riguardo alle modalità con cui essi adempiono alle richieste dell'autorità giudiziaria in materia di intercettazioni. L'indagine, partita il 2 agosto 2005, è stata seguita da un supplemento di istruttoria disposto il 7 ottobre.

Sulla base della documentazione pervenuta, gli accertamenti hanno messo in luce che i gestori non vengono a conoscenza dei contenuti delle intercettazioni, limitandosi a duplicare la linea di comunicazione dell'indagato e instradando la linea duplicata verso il Centro intercettazioni telefoniche indicato dall'autorità giudiziaria.

Pur tuttavia, i gestori raccolgono, selezionano, elaborano e utilizzano una notevole quantità di dati personali riferibili agli indagati e ai terzi con i quali questi comunicano. Si tratta di dati personali riservati e particolarmente delicati che riguardano l'identità dei soggetti sottoposti ad intercettazione, l'arco temporale di svolgimento dell'intercettazione ai dati di traffico telefonico o telematico (data, ora, numero chiamato e durata della comunicazione). In alcuni casi, tali dati sono integrati da informazioni aggiuntive relative alle chiamate entranti, ai tentativi di chiamata e ai dati di localizzazione geografica dell'utenza intercettata.

Gli ulteriori servizi svolti dai gestori a supporto dell'attività investigativa possono riguardare anche aspetti diversi dalle intercettazioni e comprendono anche interrogazioni anagrafiche, localizzazione dell'utenza, tracciamento e sospensione dei servizi agli utenti, documentazione del traffico storico. A differenza di quanto avviene con le conservazioni telefoniche intercettate, i gestori hanno anche la possibilità di conoscere le informazioni derivanti dall'attivazione di questi servizi, in quanto sono essi stessi ad estrarre i dati, a selezionarli secondo i criteri richieste dall'autorità giudiziaria e ad organizzarli in tabulati.

I servizi sms ed mms sono compresi nell'attività di intercettazione.

Dagli accertamenti non emergono profili di illiceità nel trattamento dei dati personali. Tuttavia, è risultato necessario incrementare sotto vari profili il livello di sicurezza riguardo ad alcune criticità. Inoltre, l'interscambio di informazioni con l'autorità giudiziaria deve avvenire evitando canali non affidabili e con modalità che garantiscano maggiormente la riservatezza delle informazioni.

L'Autorità Garante ha, dunque, prescritto ai gestori di adottare alcuni accorgimenti e misure ulteriori rispetto a quelle già adottate. Le misure riguardano gli aspetti organizzativi, la sicurezza dei flussi informativi con l'autorità giudiziaria, la protezione dei dati trattati a scopo di giustizia.

Gli accorgimenti prescritti dal Garante ai gestori riguardano in particolare:

• l'individuazione più selettiva del ristretto numero di incaricati designati a trattare i dati;
• la separazione tra i dati di carattere contabile e i dati documentali prodotti nel corso delle attività svolte su richiesta dell'autorità giudiziaria;
• l'adozione di procedure di autenticazione robuste per l'accesso informatico da parte del personale incaricato ai dati trattati, con il ricorso anche a caratteristiche biometriche;
• l'adozione di sistemi di comunicazione con l'autorità giudiziaria basati su aggiornati strumenti telematici e tecniche di firma digitale, evitando l'uso di sistemi meno sicuri (es.telefax);
• la maggiore protezione dei dati, per il periodo di presenza nei data base dei gestori, con strumenti avanzati di cifratura;
• la cancellazione immediata dei dati dopo la loro comunicazione all'autorità giudiziaria.

I gestori telefonici avranno 180 giorni per adeguarsi alle prescrizioni del Garante. Questo termine tiene in debito conto anche la necessità che l'evoluzione e l'aggiornamento tecnologico in corso negli uffici giudiziaria avvengano secondo modalità coerenti con le prescrizioni indicate.

Vedi provvedimento integrale

Roma, 22 dicembre 2005

Fonte Garante Privacy