la gestione dei dati di traffico telefonico e telematico da parte delle
Transcript
la gestione dei dati di traffico telefonico e telematico da parte delle
LA GESTIONE DEI DATI DI TRAFFICO TELEFONICO E TELEMATICO DA PARTE DELLE TELCO Norme privacy, prescrizioni del Garante, misure di sicurezza Stefano Tagliabue Telecom Italia - Funzione Privacy Relatore Stefano Tagliabue lavora dal 2003 nella Funzione Privacy di Telecom Italia, dove si occupa di tutte le tematiche relative al trattamento dei dati personali: aspetti privacy di progetti e servizi innovativi (geolocalizzazione, telemedicina, firma biometrica, …); gestione dei dati di traffico; rapporti con clienti e fornitori; trasferimento di dati all’estero; adozione delle misure di sicurezza previste dal codice privacy; ecc. In precedenza, ha lavorato per oltre dieci anni nell’ambito dell’auditing in diverse strutture del Gruppo Telecom Italia. E’ in possesso di certificazioni professionali nel campo dell’auditing, dell’information security e della privacy (CISA, CISSP e CIPP/E) ed è membro di AIEA, CLUSIT e IAPP. E’ Co-chair del Knowledgenet di Milano della International Association of Privacy Professionals. [email protected] Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 2 Agenda Quadro normativo e principali definizioni Conservazione dei dati di traffico Misure di sicurezza specifiche per dati di traffico Richieste di dati di traffico Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 3 Quadro normativo Normativa comunitaria Direttiva 2002/58/CE - Trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche (modificata dalla Dir. 2006/24/CE e dalla Dir. 2009/136/CE) Direttiva 2006/24/CE - Conservazione ai fini di giustizia di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico Normativa nazionale D.Lgs. 196/2003 («Codice Privacy») - Disciplina le comunicazioni elettroniche al Titolo X, artt. da 121 a 134, in recepimento della Dir. 2002/58/CE. L. 48/2008 («Legge sul cybercrime») – All’art. 10 prevede una specifica conservazione del traffico telematico, su ordine del Min. Interno o di specifici organismi di polizia giudiziaria D.Lgs. 109/2008 («Decreto Frattini») – In recepimento della Dir. 2006/24/CE disciplina la conservazione dei dati relativi al traffico per finalità di giustizia Provvedimenti del Garante Privacy Provv. 3/11/05 – Accesso ai dati telefonici: garanzie per le chiamate in entrata Provv. 15/12/05 – Misure di sicurezza obbligatorie per le intercettazioni Provv. 17/1/08 (e succ. modifiche) – Sicurezza dei dati di traffico telefonico e telematico Provv. 13/3/08 – Fatturazione dettagliata nelle bollette telefoniche Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 4 Principali definizioni «Dati relativi al traffico» Qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica (n.d.r. telefonica o telematica) o della relativa fatturazione [art. 4, co. 2, lett. h) Codice Privacy], “compresi i dati necessari per identificare l’abbonato o l’utente” [art. 1 D.Lgs. 109/08]. Altre definizioni di interesse contenute nell’art. 4 del Codice Privacy Servizio di comunicazione elettronica: i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall’art. 2, lett. c), della dir. 2002/21/CE Dati relativi all’ubicazione: ogni dato trattato in una rete di comunicazione elettronica o da un servizio di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico Servizio a valore aggiunto: il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 5 Principali definizioni (segue) Ulteriori definizioni contenute nell’art. 1 del D.Lgs 109/2008 Traffico telefonico: chiamate telefoniche, incluse quelle basate su trasmissione dati, purché fornite da un gestore di telefonia, i servizi supplementari, inclusi inoltro e trasferimento di chiamata, la messaggeria e i servizi multimediali. Chiamate senza risposta: connessione non seguita da un'effettiva comunicazione, in quanto il destinatario non ha risposto ovvero vi è stato un intervento del gestore della rete (es. distacco temporaneo della linea per morosità o per guasto). Identificativo dell’utente: identificativo unico assegnato a una persona al momento dell'abbonamento o iscrizione presso un servizio di accesso o di comunicazione internet. Indirizzo di protocollo IP univocamente assegnato: indirizzo IP che consente l'identificazione diretta dell'abbonato o utente che effettua comunicazioni sulla rete pubblica. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 6 Agenda Quadro normativo e principali definizioni Conservazione dei dati di traffico Misure di sicurezza specifiche per dati di traffico Richieste di dati di traffico Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 7 Conservazione dei DDT La conservazione dei dati di traffico telefonico e telematico (DDT) è disciplinata dal Codice Privacy, agli articoli 123 (“Dati relativi al traffico”) e 132 (“Conservazione dei dati di traffico per altre finalità”). A fini operativi, è possibile suddividere la conservazione dei dati di traffico nelle seguenti macro finalità: Art. 123 Conservazione per finalità di fatturazione e commerciali Art. 132 Conservazione per finalità di accertamento e repressione dei reati Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 8 Conservazione dei DDT per finalità di fatturazione e commerciali PRINCIPIO GENERALE: i dati di traffico sono cancellati quando non sono più necessari ai fini della trasmissione della comunicazione (art. 123 co. 1) ma, per contestazione fattura o pretesa di pagamento, i DDT (telefonico o telematico) se presupposto di fatturazione possono essere conservati al massimo per sei mesi dalla data della comunicazione o generazione, dopodiché vanno cancellati o resi irreversibilmente anonimi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale (art. 123 co. 2). Pertanto, è consentita la conservazione oltre i 6 mesi nei seguenti casi: mancato pagamento della fattura alla scadenza e/o a seguito del verificarsi di un traffico anomalo e/o connesso ad una possibile frode da parte di terzi; contestazione formale della fattura da parte del titolare dell’utenza (reclamo) o formalizzazione della pretesa di pagamento da parte dell’operatore (sollecito di pagamento); dilazione e/o rateizzazione del pagamento di una fattura rimasta non pagata. In tali casi, i DDT devono essere cancellati dopo la risoluzione definitiva della controversia oppure, ove sia pendente un procedimento giudiziario, dopo il passaggio in giudicato della sentenza. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 9 Conservazione dei DDT per la commercializzazione di servizi Previo consenso specifico del cliente, i DDT telefonico e telematico possono essere conservati oltre i 6 mesi anche nella misura e per la durata necessaria ai fini della commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto (art. 123, co. 3). In questa seconda fattispecie ricadono i casi di clienti Business/Top che richiedono all’Operatore (nel contratto o con comunicazione scritta a parte) una fatturazione personalizzata basata su modalità e tempistiche differenti da quelle bimestrali (semestrale, annuale, a conguaglio, ecc.). Fatturazione dettagliata Ai sensi dell’articolo 124, l’abbonato ha diritto di ricevere in dettaglio, senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono la fattura dei consumi (es. data e ora di inizio conversazione, numero selezionato, tipo di numerazione, località, durata e numero di scatti addebitati per ciascuna conversazione). Nella documentazione inviata all’abbonato non devono essere evidenziate le ultime tre cifre dei numeri chiamati, ad eccezione dei casi di specifica contestazione dell'esattezza di addebiti determinati o riferiti a periodi limitati. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 10 Fatturazione dettagliata (segue): il Provvedimento del Garante del 13 marzo 2008 Provvedimento che autorizza, dal 1° luglio 2008, i fornitori di servizi di comunicazione elettronica accessibili al pubblico ad indicare nella fatturazione dettagliata i numeri completi delle comunicazioni, sempreché essi: a) abbiano abilitato i propri utenti a effettuare comunicazioni e a richiedere servizi da qualsiasi terminale avvalendosi per il pagamento di modalità alternative alla fatturazione; b) forniscano ai propri abbonati un’idonea informativa da inserire in almeno due fatture e nel proprio sito web invitando coloro che hanno chiesto la fatturazione dettagliata “in chiaro” ad informare a loro volta gli utilizzatori dell’utenza; c) dichiarino nella suddetta informativa di avvalersi dell’autorizzazione, specificando che tutti gli abbonati che abbiano chiesto o chiederanno la fatturazione dettagliata la riceveranno “in chiaro”, salvo che non richiedano il mascheramento delle ultime tre cifre. Si tratta quindi di una facoltà e non di un obbligo per i fornitori. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 11 Conservazione dei DDT per finalità di giustizia Ai sensi dell’articolo 132, i DDT devono essere conservati per i seguenti periodi, dalla data della loro generazioine: a) Traffico telefonico 24 mesi, esclusi i contenuti delle comunicazioni (art. 132, co. 1). b) Chiamate senza risposta 30 giorni [*] (occupato, libero non risponde, non raggiungibile, ecc.) (art. 132, co. 1-bis). c) Traffico telematico 12 mesi, esclusi i contenuti delle comunicazioni (art. 132, co. 1). [*] Per effetto delle modifiche apportate al D.Lgs 109/08 dall’art. 12-ter della L. 38/09: per chiamate senza risposta originate da rete mobile e terminate su rete mobile o fissa: i DDT relativi alla non risposta dovevano essere resi disponibili dagli operatori di rete mobile a far data dal 31/12/09; per chiamate originate da rete fissa e terminate su reti fisse o mobile: i dati relativi alle chiamate senza risposta generate dalle reti fisse in tecnologia IP dovevano essere rese disponibili dagli operatori di rete fissa gradualmente e compatibilmente con le caratteristiche tecniche delle reti e comunque non oltre il 31/12/10. Questa conservazione non è aggiuntiva, ma distinta e autonoma rispetto a quella prevista dall’art. 123 (finalità di fatturazione e commerciali). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 12 Conservazione dei DDT per finalità di giustizia (segue): particolari disposizioni per il traffico telematico La Legge 48/2008 sul cybercrime prevede, inoltre, una specifica conservazione e protezione dei dati di traffico telematico (c.d. “congelamento”) per un periodo non superiore a 90 giorni, prorogabile fino ad un massimo di 180 giorni, su ordine del Ministero dell’Interno o dei soggetti da questo delegati. In tale ultimo caso, vi è l’obbligo di mantenere il segreto relativamente all’ordine ricevuto e alle attività svolte, nonché di osservare le eventuali modalità di custodia contenute nel provvedimento e fornire all’Autorità richiedente l’assicurazione dell’adempimento. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 13 Il D.Lgs. 109/2008 (c.d. Decreto Frattini) L’art. 3 del D.Lgs. 109/2008 elenca in modo analitico le categorie di dati da conservare per le finalità di cui all'art. 132 del Codice Privacy, con riferimento ai dati necessari per: rintracciare e identificare la fonte di una comunicazione (es. numero telefonico chiamante; nome/indirizzo dell'abbonato o utente registrato, indirizzo IP utilizzato e indirizzo di posta elettronica del mittente); rintracciare e identificare la destinazione di una comunicazione (es. numeri chiamati, indirizzo di posta elettronica del destinatario); determinare la data, l'ora e la durata di una comunicazione; determinare il tipo di comunicazione (servizio telefonico o internet utilizzato); determinare le attrezzature di comunicazione degli utenti o quello che si presume essere le loro attrezzature (es. numeri telefonici chiamanti e chiamati, IMSI, IMEI); determinare l'ubicazione delle apparecchiature di comunicazione mobile (es. cell ID). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 14 I soggetti tenuti a conservare i dati Come chiarito anche dal Provv. Garante 17/01/08, devono conservare i dati ai sensi dell’art. 132 i soggetti che realizzano esclusivamente, o prevalentemente, una trasmissione di segnali su reti di comunicazioni elettroniche, a prescindere dall'assetto proprietario della rete, e che offrono servizi a utenti finali secondo il principio di non discriminazione. Non rientrano quindi, nell'ambito applicativo dell’art. 132, ad esempio: coloro che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone (es. centralini e reti aziendali); i soggetti che, pur offrendo servizi di comunicazione elettronica accessibili al pubblico, non generano o trattano direttamente i relativi dati di traffico; i titolari e i gestori di esercizi pubblici o di circoli privati che si limitino a porre a disposizione del pubblico, apparecchi terminali utilizzabili per comunicazioni, anche telematiche, o punti di accesso a Internet utilizzando tecnologia senza fili; i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. content provider); i gestori di motori di ricerca (che trattano dati qualificabili come «contenuti»). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 15 Agenda Quadro normativo e principali definizioni Conservazione dei dati di traffico Misure di sicurezza specifiche per dati di traffico Richieste di dati di traffico Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 16 Provv. Garante 15/12/05: Misure di sicurezza per le prestazioni per l’AG - Aspetti generali Provvedimento a carattere generale. Si applica ai fornitori di servizi di comunicazione elettronica che svolgono le attività su richiesta dell’A.G. A seguito di accertamenti effettuati nel corso del 2005, il Garante, pur non rilevando profili di illiceità, ha constatato la necessità di incrementare sensibilmente il livello di sicurezza, in particolare per quanto riguarda le diverse interazioni tra i fornitori e l’AG. Con questo Provvedimento il Garante prescrive quindi ai fornitori una serie di accorgimenti e misure, ulteriori rispetto alle misure minime di sicurezza previste dal Codice Privacy. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 17 Provv. Garante 15/12/05 – Le prescrizioni a) Aspetti organizzativi 1. 2. 3. 4. 5. modello organizzativo con rigida partizione della visibilità dei dati su base organizzativa, funzionale e geografica; designazione selettiva degli incaricati, a qualsiasi titolo, del trattamento; rigoroso controllo delle credenziali di autenticazione per l'accesso informatico; separazione tra dati amministrativi-contabili e dati documentali prodotti; autenticazione robusta, con il ricorso anche a caratteristiche biometriche. b) Flussi di comunicazione con la AG 1. 2. 3. 4. 5. 6. sistemi di comunicazione basati su protocolli di rete sicuri; firma digitale per la cifratura dei documenti; cifratura basata su firma digitale per comunicare all‘A.G. i risultati dell'attività svolta; utilizzo di posta elettronica esclusivamente in forma di PEC; consegna manuale esclusivamente a delegati dall’A.G. con tenuta di apposito registro; uso di mezzi di comunicazione meno sicuri nei soli casi di impossibilità tecnica. c) Protezione dei dati trattati per scopi di giustizia 1. 2. 3. registrazione delle operazioni compiute in apposito audit log; cifratura dei dati nel periodo di loro presenza nei sistemi del fornitore; cancellazione dei dati immediatamente dopo la corretta comunicazione all’A.G. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 18 Provv. Garante 17/01/08: Sicurezza dati di traffico telefonico e telematico - Aspetti generali Provvedimento a carattere generale, modificato dal successivo Provv. del 24/07/08. Si applica al trattamento di DDT telefonico e telematico da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico. Prescrive misure diversificate in base alla finalità del trattamento dei DDT: accertamento e repressione di reati (art. 132) oppure altre finalità, es. fatturazione e commerciali (art. 123). Termini per l’adeguamento: entro il 30/4/2009 per alcune prescrizioni relative ai trattamenti per l’AG; entro il 15/12/2009 per le altre prescrizioni (es. strong authentication nei call center). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 19 Provv. Garante 17/01/08 – Le prescrizioni Finalità di giustizia Quadro di sintesi Strong authentication Separazione funzioni (gestione accessi/gestione tecnica) X (biometrico) X Fatturazione, commercializz. commercializz. X (NON biometrico) X Sistemi separati fisicamente, in aree con controllo biometrico dell’accesso fisico X Ripristino dell'accesso ai dati in caso di incidente entro 7 giorni X Designazione specifica e formazione periodica per gli incaricati X Inibizione accesso ai dati e cancellazione documentata allo scadere dei termini X X Audit log per utenti e addetti IT Audit interni e report periodici X X Documentazione dei sistemi informativi X Protezione dei DDT con tecniche crittografiche X X Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue X 20 Agenda Quadro normativo e principali definizioni Conservazione dei dati di traffico Misure di sicurezza specifiche per dati di traffico Richieste di dati di traffico Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 21 Principali soggetti legittimati a richiedere i DDT 1) Pubblico Ministero, Min. Interno e Polizia postale 2) Giudice civile, amministrativo o contabile, AGCOM e CONSOB 3) Interessato o soggetto delegato 4) Difensore dell’interessato Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 22 Richieste del PM, Min. Interno, Polizia Postale Pubblico Ministero Può acquisire con proprio decreto motivato, anche su istanza del difensore dell'imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private, tutto il traffico telefonico, le chiamate senza risposta ed il traffico telematico conservato (art. 132, c. 3). Ministero dell’Interno Il Min. Interno e, su sua delega, altri organismi di PG, possono richiedere la conservazione dei dati di traffico telematico fino ad un massimo di 180 gg. (cfr. slide 13). Tali richieste devono essere comunicate senza ritardo al PM per la convalida, altrimenti perdono di efficacia (art. 132, c. 4-ter, quater e quinquies). Polizia Postale e delle Comunicazioni La Polizia Postale è legittimata a richiedere il traffico telematico conservato per il periodo di 12 mesi (art. 1, c. 2 del DM 16/8/05), previa autorizzazione dell’AG. Le richieste devono riportare in allegato copia della predetta autorizzazione, o richiamarne gli estremi (es. autorità emittente, data e luogo di emissione, numero di protocollo o eventuale numero di iscrizione a ruolo, tipologia di dati e relativo periodo). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 23 Richieste del giudice civile, amministrativo o contabile, AGCOM, CONSOB Giudice civile, amministrativo o contabile Può richiedere il traffico telefonico uscente (entrante se presupposto di fatturazione, es. numeri verdi, roaming, pay for me) e telematico conservato per 6 mesi per finalità di fatturazione o commerciali (art. 123), con le modalità previste dal cod. procedura civile. AGCOM Può ottenere i dati relativi alla fatturazione o al traffico telefonico/telematico se presupposto di fatturazione, necessari ai fini della risoluzione di controversie attinenti all’interconnessione o alla fatturazione (art. 123, c. 6) CONSOB Previa autorizzazione del Procuratore della Repubblica, può richiedere i dati relativi al traffico telefonico, telematico ed alle chiamate senza risposta (conservati per finalità penali) per l’accertamento di abuso di informazioni privilegiate e manipolazione del mercato (art.187octies co. 4, lett. b) del D.Lgs. 58/98, T.U. in materia di intermediazione finanziaria). La richiesta deve riportare in allegato copia della predetta autorizzazione, o richiamarne gli estremi (Procura emittente, data e luogo di emissione, numero di protocollo o numero di iscrizione a ruolo, riferimenti dei reati, tipologia di dati e relativo periodo). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 24 Richieste dell’interessato o soggetto delegato L’interessato o suo delegato (es. avvocato, associazione consumatori) ha diritto di richiedere i propri DDT telefonico e telematico nei seguenti casi, in relazione a specifici articoli del Codice Privacy: art. 7 per qualsiasi motivazione, solo con riferimento ai DDT telefonico (uscente ed entrante se presupposto di fatturazione) e telematico che NON eccedono i 6 mesi previsti dall’art. 123; per finalità penali, con riferimento ai DDT telefonico uscente e telematico fino ai 24/12 mesi rispettivamente art. 8 c.2 lett. f) Con riferimento anche ai DDT telefonico entrante non presupposto di fatturazione per l’intero periodo di 24 mesi dalla generazione/comunicazione, con le limitazioni previste dallo stesso art. 8 e dal Provv. Garante 3/11/05 (pregiudizio effettivo e concreto nell’ambito di indagini investigative o preventive di natura penale – cfr. slide 28). art. 123 c.2 art. 124 Per richiesta dettaglio fattura e per contestazione addebiti, con riferimento ai DDT telefonico (uscente ed entrante se presupposto di fatturazione) e telematico che NON eccedono i 6 mesi previsti dall’art. 123. art. 127 In relazione a chiamate di disturbo, l’abbonato può richiedere che per la propria utenza venga resa identificabile (per 15 giorni) la linea del chiamante quando questi oscura il suo numero. L’attivazione di tale procedura comporta la conservazione dei relativi DDT entrante al fine di renderli disponibili all’abbonato stesso, dietro richiesta (cfr. slide 31) Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 25 Richieste del difensore dell’interessato Ai sensi della legge 397/2000, il difensore può effettuare attività investigative, anche preventive, per il proprio assistito. Il difensore dell’imputato/indagato, con il mandato dell’assistito, è legittimato a richiedere direttamente tutto il traffico telefonico uscente (entrante se presupposto di fatturazione), le chiamate senza risposta ed il traffico telematico conservato (art. 132, c. 3). Inoltre, il difensore dell’imputato/indagato può richiedere il traffico telefonico entrante non presupposto di fatturazione, solo se sussiste il requisito del “pregiudizio effettivo e concreto” come previsto dall’art. 8, c. 2, lettera f) e nel rispetto del Provv. Garante 3/11/05 (cioè qualora il mancato ottenimento dei dati possa causare un pregiudizio reale e specifico per lo svolgimento di tali indagini, che dovrà in ogni caso essere dimostrato). Il difensore, anche se nell’ambito delle attività ex Legge 397/2000, NON è legittimato a richiedere i dati di traffico entrante o uscente della persona offesa da reato o delle altre parti private (art. 132 c. 3). In tali casi il difensore deve farsi autorizzare la richiesta dal PM. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 26 Richieste del difensore dell’interessato (segue) Il difensore può avvalersi anche di un investigatore privato per richiedere i DDT al fornitore. In questo caso, oltre a tutti gli altri requisiti di legge previsti per il difensore, è necessario che: a) l’investigatore privato abbia ricevuto un incarico ad hoc ex art. 327-bis c.p.p. da parte del difensore, di cui una copia deve essere allegata alla richiesta di DDT; b) dalla richiesta o dall’incarico si evinca che il difensore assiste un imputato o una persona sottoposta alle indagini (art. 132, c. 3). NON può essere accolta la richiesta presentata da un investigatore privato che abbia ricevuto l’incarico direttamente dall’interessato, in quanto in tal caso l’investigatore non assume la veste di ausiliario del difensore. Eventuali richieste così formulate vanno trattate come quelle presentate da un delegato dell’interessato ai sensi degli artt. 7 e 8 (cfr. slide 25). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 27 Particolari disposizioni per il traffico entrante Come previsto dal Provv. Garante 3/11/05, prima di riscontrare le richieste relative al traffico entrante il fornitore di servizi di comunicazioni elettroniche deve: accertare l’identità e la legittimazione dell’interessato richiedente. Per interessato si intende: a) il titolare dell’utenza; b) l’utente non abbonato (familiare, dipendente, ecc.); c) il possessore di scheda prepagata di telefonia mobile; accertare, sulla base degli elementi forniti dal richiedente, che la richiesta sia adeguatamente documentata in merito all’esistenza del pregiudizio effettivo e concreto che deriverebbe allo svolgimento di indagini difensive in corso dalla mancata fornitura dei dati (art. 8, c. 2, lettera f); operare con una “maggiore, specifica, diligenza nel riscontrare la pertinenza dei dati al soggetto richiedente” quando il richiedente è l’utente non abbonato (familiare, dipendente, ecc.) o il possessore di scheda prepagata di telefonia mobile; acquisire una dichiarazione sottoscritta dal richiedente o dal difensore dotato di mandato per le indagini difensive, nella quale si attesti, sotto la propria responsabilità, la veridicità di quanto prospettato e si manifesti l’impegno a non utilizzare i dati per finalità e in ambiti non consentiti. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 28 Alcuni casi particolari: 1) Identificazione della linea chiamante (art. 125) Se è disponibile la presentazione della linea chiamante, il fornitore del servizio di comunicazioni elettroniche deve assicurare, con funzioni semplici e gratuite: al chiamante la possibilità di impedire la presentazione della linea chiamante, chiamata per chiamata e per ogni singola linea; al chiamato la possibilità: o di impedire l’identificazione delle linee chiamanti in entrata; o di respingere le chiamate entranti se l’identificazione della linea chiamante è stata eliminata. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 29 Alcuni casi particolari: 2) Dati relativi all’ubicazione diversi dai dati relativi al traffico (art. 126) Sono dati idonei a rilevare la posizione geografica di un terminale (cellulare o altro terminale dotato di SIM) tramite cella di rete mobile, es. per controllo automezzi o vagoni ferroviari. Non è necessario che il terminale stia comunicando ma è sufficiente che sia accesso e raggiungibile dal segnale, perciò tali dati di localizzazione non rientrano nei dati di traffico ma costituiscono una fattispecie a sé. Il fornitore del servizio deve: fornire all’utilizzatore una informativa adeguata e richiedere il relativo consenso; garantire all’utilizzatore la disattivazione temporanea dei servizi di localizzazione, con una funzione semplice e gratuita; notificare il trattamento al Garante ai sensi dell’art. 37 del Codice Privacy. Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 30 Alcuni casi particolari: 3) Chiamate di disturbo e di emergenza (art. 127) L'abbonato che riceve chiamate di disturbo può richiedere all’Operatore di riferimento di rendere temporaneamente visibile l'identificazione della linea chiamante e di conservare i dati relativi alla provenienza della chiamata ricevuta. Tale identificazione può essere disposta per i soli orari durante i quali si verificano le chiamate di disturbo e per un periodo non superiore a quindici giorni. La richiesta formulata per iscritto dall'abbonato deve specificare le modalità di ricezione delle chiamate di disturbo e, nel caso in cui sia preceduta da una richiesta telefonica, deve essere inoltrata entro quarantotto ore. Inoltre, l’Operatore predispone procedure per rendere visibile l'identificazione della linea chiamante e per assicurare la localizzazione dell’utente, anche senza il consenso dello stesso, ai servizi abilitati a ricevere chiamate di emergenza (individuati con decreto del Ministero delle Comunicazioni). Gestione dei dati di traffico da parte delle Telco – Stefano Tagliabue 31