Si sono conclusi gli accertamenti avviati dall'Autorità Garante, composta da Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, nei confronti dei principali gestori di telefonia fissa e mobile riguardo alle modalità con cui essi adempiono alle richieste dell'autorità giudiziaria in materia di intercettazioni. L'indagine, partita il 2 agosto 2005, è stata seguita da un supplemento di istruttoria disposto il 7 ottobre.
Sulla base della documentazione pervenuta, gli accertamenti hanno messo in luce che i gestori non vengono a conoscenza dei contenuti delle intercettazioni, limitandosi a duplicare la linea di comunicazione dell'indagato e instradando la linea duplicata verso il Centro intercettazioni telefoniche indicato dall'autorità giudiziaria.
Pur tuttavia, i gestori raccolgono, selezionano, elaborano e utilizzano una notevole quantità di dati personali riferibili agli indagati e ai terzi con i quali questi comunicano. Si tratta di dati personali riservati e particolarmente delicati che riguardano l'identità dei soggetti sottoposti ad intercettazione, l'arco temporale di svolgimento dell'intercettazione ai dati di traffico telefonico o telematico (data, ora, numero chiamato e durata della comunicazione). In alcuni casi, tali dati sono integrati da informazioni aggiuntive relative alle chiamate entranti, ai tentativi di chiamata e ai dati di localizzazione geografica dell'utenza intercettata.
Gli ulteriori servizi svolti dai gestori a supporto dell'attività investigativa possono riguardare anche aspetti diversi dalle intercettazioni e comprendono anche interrogazioni anagrafiche, localizzazione dell'utenza, tracciamento e sospensione dei servizi agli utenti, documentazione del traffico storico. A differenza di quanto avviene con le conservazioni telefoniche intercettate, i gestori hanno anche la possibilità di conoscere le informazioni derivanti dall'attivazione di questi servizi, in quanto sono essi stessi ad estrarre i dati, a selezionarli secondo i criteri richieste dall'autorità giudiziaria e ad organizzarli in tabulati.
I servizi sms ed mms sono compresi nell'attività di intercettazione.
Dagli accertamenti non emergono profili di illiceità nel trattamento dei dati personali. Tuttavia, è risultato necessario incrementare sotto vari profili il livello di sicurezza riguardo ad alcune criticità. Inoltre, l'interscambio di informazioni con l'autorità giudiziaria deve avvenire evitando canali non affidabili e con modalità che garantiscano maggiormente la riservatezza delle informazioni.
L'Autorità Garante ha, dunque, prescritto ai gestori di adottare alcuni accorgimenti e misure ulteriori rispetto a quelle già adottate. Le misure riguardano gli aspetti organizzativi, la sicurezza dei flussi informativi con l'autorità giudiziaria, la protezione dei dati trattati a scopo di giustizia.
Gli accorgimenti prescritti dal Garante ai gestori riguardano in particolare:
-
l'individuazione più selettiva del ristretto numero di incaricati designati a trattare i dati;
-
la separazione tra i dati di carattere contabile e i dati documentali prodotti nel corso delle attività svolte su richiesta dell'autorità giudiziaria;
-
l'adozione di procedure di autenticazione robuste per l'accesso informatico da parte del personale incaricato ai dati trattati, con il ricorso anche a caratteristiche biometriche;
-
l'adozione di sistemi di comunicazione con l'autorità giudiziaria basati su aggiornati strumenti telematici e tecniche di firma digitale, evitando l'uso di sistemi meno sicuri (es.telefax);
-
la maggiore protezione dei dati, per il periodo di presenza nei data base dei gestori, con strumenti avanzati di cifratura;
-
la cancellazione immediata dei dati dopo la loro comunicazione all'autorità giudiziaria.
I gestori telefonici avranno 180 giorni per adeguarsi alle prescrizioni del Garante. Questo termine tiene in debito conto anche la necessità che l'evoluzione e l'aggiornamento tecnologico in corso negli uffici giudiziaria avvengano secondo modalità coerenti con le prescrizioni indicate.
Vedi provvedimento integrale
Roma, 22 dicembre 2005
Fonte Garante Privacy