fbpx

Ordinanza di ingiunzione del Garante Privacy nei confronti di TIM – 8 luglio 2021

owasp top 10
OWASP Top 10 2021 – La top list delle vulnerabilità di sicurezza
9 Agosto 2021
vulnerability management process
Vulnerability Management Process: come aumentare il livello di sicurezza
13 Settembre 2021

Ordinanza di ingiunzione del Garante Privacy nei confronti di TIM – 8 luglio 2021

ordinanza di ingiunzione

Il Garante per la Privacy ha emesso un’ordinanza di ingiunzione nei confronti di TIM a seguito del reclamo proposto da un cittadino.

Il reclamo al Garante Privacy nei confronti di TIM

Il 5 giugno 2020 il cittadino ha presentato un reclamo al Garante Privacy nei confronti di Tim per chiedere di accertare la violazione del diritto di accesso a dati di traffico telefonico e di ordinare alla medesima Società di soddisfare la richiesta di esercizio di tale diritto entro un termine congruo con le esigenze difensive invocate.

Per supportare il reclamo, cui poi è seguita l’ordinanza di ingiunzione, sono stati prodotti diversi documenti:

  • lettera raccomandata del 04/07/2019 a TIM con richiesta di acquisizione di tabulati telefonici dell’utenza mobile intestata all’interessato per un periodo di tempo di due giorni, risalente a circa un anno e mezzo prima della richiesta
  • email di TIM del 14/08/2019 che richiedeva l’uso di un apposito modulo necessario per evadere l’istanza
  • lettera raccomandata del 06/09/2019 a TIM con inoltro del modulo compilato e sottoscritto
  • diversi solleciti telefonici
  • lettera raccomandata del 17/10/2019 a TIM con riproposizione del modulo compilato e sottoscritto
  • PEC del 09/04/2020 a TIM di sollecito
  • risposta di TIM del 16/04/2020 che informava l’interessato dell’impossibilità di evadere la richiesta in ragione del fatto che i dati superavamo ormai i 24 mesi previsti dall’art. 132, comma 1, del Codice
  • ulteriore richiesta in ragione del fatto che potesse trattarsi di un disguido in quanto la richiesta era stata avanzata prima del termine di 24 mese
  • PEC del 19/05/2020 di TIM che confermava quanto scritto il 16/04/2020.

Secondo quanto dichiarato dall’interessato, l’analisi del tabulato telefonico avrebbe supportato alcuni fatti utili per la difesa.

Infatti, l’acquisizione del traffico telefonico, sia in entrata sia in uscita, e relative celle agganciate, avrebbe permesso di verificare e dimostrare che l’interessato era impossibilitato a prestare servizio, motivo per il quale c’è stato un procedimento penale.

In particolare, sarebbe stato possibile dimostrare:

  • la posizione (approssimativa) dell’interessato al momento in cui avrebbe dovuto prendere servizio
  • il percorso fatto alla volta della sede di lavoro (poi non raggiunta)
  • la premura con cui è stata allertata la centrale operativa
  • i contatti intercorsi con la moglie per accertare le sue condizioni di salute
  • gli orari in cui tutto ciò è avvenuto

Sulla base di quanto esposto, il reclamo evidenziava dunque l’avvenuta violazione dell’art. 15 del Regolamento e l’urgenza di acquisire i documenti richiesti entro una certa data.

L’attività istruttoria del Garante

A seguito di richiesta di elementi da parte del Garante, Tim ha ritenuto di non soddisfare l’istanza in questione senza smentire le circostanze fattuali rappresentate dal reclamante e senza fornire spiegazioni esaustive in merito alle precedenti risposte dilatorie e al diniego opposto.

La medesima società di telecomunicazioni ha fatto presente di non aver congelato i dati di traffico telefonico richiesti in base ad una costante prassi aziendale.

Trascorsi i 24 mesi, i dati non erano più disponibili al di fuori delle basi dati dedicate alla loro conservazione esclusivamente per il perseguimento dei particolari e gravi reati di cui all’art. 24 della legge n. 167/2017, i quali non ricorrevano nel caso di specie.

Secondo TIM l’istruttoria poteva rivelarsi utile per chiarire tali profili operativi.

Valutazioni del Garante Privacy

Il Garante ha ritenuto ammissibile il reclamo presentato dall’interessato sulla base dell’art. 132 del Codice, ricompreso nel più ampio e generale alveo dell’art. 15 del Regolamento (richiamato dall’art. 132, comma 3).

Secondo l’Autorità, risulta in atti che non vi sia stato un fattivo riscontro a ripetute richieste di accesso a dati di traffico, peraltro specifici e circoscritti.

Segnala la rilevanza non della denominazione formale della richiesta, ma il contenuto sostanziale della stessa.

Pertanto, ai sensi dell’art. 12 del Regolamento, non si può complicare l’esercizio dei diritti degli interessati, imponendo formalità o altri oneri al di fuori dei casi tassativamente previsti.

Rileva, dunque, la legittimità della richiesta del reclamante in ragione del rinvio a giudizio nel procedimento penale e della connessa esigenza di svolgere indagini difensive, nonchè della tempestività e pertinenza.

L’ordinanza di ingiunzione

Sulla base di una serie di considerazioni e in applicazione dei principi di effettività, proporzionalità e dissuasività indicati nell’art. 83, par. 1, del Regolamento, il Garante ha ritenuto di applicare una sanzione amministrativa del pagamento di una somma di euro 200.000,00 (duecentomila/00).

L’aspetto interessante ai fini dell’informatica forense è che il Garante, ai sensi dell’art. 58, par. 2, lett. c) del Regolamento, ha ordinato a TIM di fornire al reclamante i dati richiesti, senza ulteriore ritardo, e comunque entro il termine di 20 giorni dalla data di ricezione del presente provvedimento.

Questo significa che il Garante ha ordinato di scavalcare il limite di data retention dei 24 mesi, utilizzando la banca dati dei tabulati da conservare per 72 mesi che il Legislatore ha previsto di mantenere solo per alcuni specifici reati.

In conclusione, secondo tale ordinanza di ingiunzione l’interessato potrebbe così richiedere delle perizie informatiche forensi su dei tabulati non ancora forniti nonostante siano trascorsi i 24 mesi di retention.

.
.