Con il provvedimento n. 429 del 3 ottobre 2013 il Garante ha aggiunto un altro tassello alla sua azione di tutela dei dati di traffico telefonico e telematico.
Oggetto del provvedimento è un operatore straniero di telefonia mobile virtuale ESP che vende sim card on line e che, a seguito di un accertamento del Garante, risulta aver effettuato un trattamento sotto vari aspetti illecito dei dati di traffico.

I dati di traffico, infatti, – es. numero chiamato, data, ora e durata della chiamata, localizzazione del cellulare, indirizzi mail, data, ora, durata degli accessi alla rete – sono uno strumento importante per il rilevamento di reati e la lotta alla criminalità e secondo la normativa vigente (ovvero in ossequio ai principi di necessità, pertinenza e non eccedenza di cui al Codice Privacy) devono essere conservati e usati solo a questo scopo (non per attività di profilazione e marketing), con opportune misure di sicurezza e per dei tempi molto precisi, ovvero 2 anni per i dati di traffico telefonico e 1 anno per i dati di traffico telematico.

Il Garante ha perciò stabilito che la telco metta in atto le disposizioni contenute nel provvedimento, ovvero:

• entro sessanta giorni provveda a proteggere gli accessi ai dati di traffico con dei sistemi avanzati di autenticazione informatica (una delle autenticazioni deve necessariamente utilizzare tecniche biometriche) e ne tenga traccia in un apposito registro;

• permetta solo al personale autorizzato di compiere operazioni sui dati in questione e tenga traccia di queste operazioni in un audit log dedicato;

• separi fisicamente i sistemi informatici in cui si conservano i dati a fini di giustizia (che dovranno essere sempre crittografati) da quelli in cui sono tenuti dati per altre finalità (ad es. fatturazione);

• tenga separate le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati;

• cancelli i dati di traffico una volta trascorsi i tempi di conservazione previsti dalla legge;

• non utilizzi i dati conservati a fini di giustizia per ogni altra finalità, ivi compreso il marketing o le ricerche di mercato.

Con un altro provvedimento (n. 430 del 3 ottobre 2013) il Garante ha inoltre imposto alla telco di completare di conseguenza l’informativa sul trattamento dei dati fornita agli utenti e di rettificare anche la modulistica usata per la raccolta del consenso.

In una società sempre più digitalizzata e alla luce delle indicazioni fornite dall’Autorità Garante, questo provvedimento fa emergere una problematica molto attuale: si denota, infatti, come sempre più spesso le società che operano nel campo IT dovranno inevitabilmente dotarsi di strumenti e meccanismi che evitino non solo la perdita di dati e informazioni, ma anche la loro modifica o la loro alterazione, e che invece mantengano la stabilizzazione temporale e l’integrità complessiva dei documenti e permettano di risalire al loro titolare.