Il Garante Privacy ha comminato a un’azienda di messaggistica una sanzione da 80 mila euro per illegittima conservazione del contenuto dei messaggi SMS.
Per Andrea Michinelli, avvocato ed esperto di privacy, è “una lacuna di accountability”.
“Il provvedimento del Garante è dirompente per due motivi principali”, illustra Anna Cataleta, Senior Partner P4I – Partners4Innovation. Ecco quali.
Indice degli argomenti
Garante Privacy: no a conservazione contenuti messaggi SMS
Spediti da 7.250 utenze, i contenuti dei messaggi SMS erano conservati senza il consenso degli utenti.
L’Autorità ha rilevato l’illegittima conservazione nel corso di accertamenti ispettivi, effettuati dopo una segnalazione, a seguito di un reclamo.
La conservazione del contenuto integrale dei messaggi spediti da persone giuridiche è avvenuto senza che i clienti avessero espresso il loro consenso.
“Il provvedimento del Garante, in primo luogo, evidenzia come sia fondamentale all’interno delle organizzazioni che si occupano di telecomunicazioni avere delle competenze tecniche ed una conoscenza approfondita dei provvedimenti già emanati dall’Autorità, nonché del titolo X del Codice privacy e, in particolare, dell’art. 123 e 132”, evidenzia Anna Cataleta: “Nel caso di specie, infatti, il Garante sottolinea una scarsa conoscenza da parte della società del provvedimento anche del 17 gennaio 2008 in materia di sicurezza dei dati di traffico telefonico e telematico”.
I contenuti degli SMS erano comunicazioni di servizio spediti da banche, società assicurative, aziende sanitarie ai propri clienti. Contenevano anche password OTP (One time password) per accedere a servizi bancari, credenziali di autenticazione e dati sensibili sullo stato di salute o sull’appartenenza a un partito politico. Anche gli incaricati della società erano in grado di accedere ai contenuti degli SMS.
Il provvedimento del Garante è dirompente anche per un altro motivo. Infatti “+ di fondamentale importanza il passaggio in cui il Garante evidenzia che «nell’ambito dei servizi a valore aggiunto (art. 121, comma 1-bis, lett. l), del Codice), invece, è possibile la conservazione del contenuto dei messaggi ma solo con il consenso dell’utente rilasciato ai sensi dell’art. 123, comma 3, del Codice». Pertanto, la conservazione del contenuto degli SMS riguarda esclusivamente interessi del cliente e mai della società titolare”, evidenzia Cataleta.
E prosegue: “L’utente deve nominare la piattaforma come Responsabile del trattamento per il servizio aggiuntivo di conservazione dei messaggi; anche in questo caso, però, l’accesso al contenuto del messaggio deve essere consentito esclusivamente al cliente”.
Assenza di accountability
“Parrebbe un altro caso di operatività che precede il governo giuridico dei dati e dell’attività”, ci dice Andrea Michinelli, avvocato ed esperto di privacy, “quando dovrebbe essere il contrario”.
“Stoccare database – peraltro, nel caso affrontato dal Garante, contenenti dati anche delicati, come password temporanee per servizi bancari – in maniera indiscriminata o massificata, senza distinguere tra molteplici basi legali e differenti tempi di conservazione, palesa proprio questo. Una lacuna di accountability”.
“Troviamo indicazione anche sul fatto che i dati di comunicazione trattati riguardano sia i mittenti che i destinatari”, continua Michinelli, “e il Garante ci ricorda, infatti, che la tutela della Direttiva, ripresa nel nostro Codice, tutela parimenti le persone giuridiche delle comunicazioni, oltre a quelle fisiche. Tutti aspetti tutt’altro che sorprendenti o inediti”.
Non regge la giustificazione dei dati di traffico
La società ha giustificato la sua attività adducendo come scusa che il contenuto degli SMS ricadesse sotto l’ombrello dei dati di traffico. Per i dati di traffico infatti c’è l’obbligo di conservazione. “Relativamente alla conservazione dei dati di traffico per finalità di accertamento e repressione dei reati, è espressamente esclusa la possibilità di conservare il contenuto delle comunicazioni”, conclude Cataleta.
Inoltre “stesso discorso per ciò che va inteso come ‘dati di traffico'”, avverte Michinelli: “Per chi opera nel settore delle comunicazioni elettroniche dovrebbe esserne chiara l’interpretazione (peraltro di norme risalenti alla Direttiva 2002/58) e la disciplina, da distinguere a seconda della finalità (passiamo da 6 mesi per la fatturazione fino a ben 72 mesi per fini di pubblica sicurezza, cose ben diverse con diverse esigenze di sicurezza)”.
L’Autorità ha ricordato che ogni attività è espressamente vietata a meno che non abbia l’autorizzazione dell’utente con consenso libero e ad hoc, al fine di servizi a valore aggiunto.
“Il Garante”, dunque, “ha ben precisato l’applicazione del principio di minimizzazione: ovvero che il contenuto testuale di un SMS è cosa diversa da un dato di traffico. Visto che contestualizzandone le finalità per esempio di fatturazione, si evince che non è necessario affatto conservare tale contenuto, bastano i metadati”, spiega Michinelli.
“Sui dati di traffico e loro conservazione per fini di pubblica sicurezza”, anche se non c’entra cl caso concreto, Michinelli ricorda ancora una volta “che è almeno dai tempi della sentenza CGUE nel caso Digital Rights Ireland del 2014 (che ha dichiarato invalida propria la conservazione indiscriminata di dati di traffico, figlia della Direttiva 2006/24) e della legge nazionale 167/2017 sull’estensione della retention fino a 72 mesi che il Garante invoca una riforma in merito. Auspichiamo che questo provvedimento possa aiutare in qualche modo a riporre l’attenzione, di chi di dovere, su questa esigenza”.
Garante Privacy: le altre gravi mancanze nella conservazione SMS
Le attività ispettive hanno messo in luce anche altre violazioni, come per esempio la conservazione dei dati di traffico senza distinzione tra la conservazione dei dati per motivi di giustizia e quelli per altre finalità (fatturazione/consultazione da parte del cliente) e l’assenza di una distinzione dei tempi di data retention sulla base delle finalità.
“Un sistema di gestione dei dati – e relative procedure – deve oggi essere in grado di discernere questi aspetti, per esesempio segregando i dataset non omogenei, proprio per evitare la mancanza di un supporto giuridico al proprio operare o di confondere diversi regimi di tutela e trattamento”, continua Andrea Michinelli.
Inoltre, la società aveva automatizzato controlli preventivi, per antifrode, sul contenuto degli sms spediti dai propri clienti per prevenire attività di phishing, ma senza una base giuridica per procedere.
“Idem per quanto segnalato dal Garante sul trattamento dei contenuti dei messaggi (scansionati in via automatizzata) a fini antifrode: sì ammissibile per interesse pubblico ma solo se in presenza di una normativa, assente nel caso di specie”, mette in guardia Michinelli: “L’uso del legittimo interesse sarebbe sì papabile, a fronte di una LIA (valutazione del bilanciamento di interessi, di nuovo assente nel caso in esame), ma il Garante fornisce utili suggerimenti, tali da far ritenere improbabile un suo esito positivo per questa attività”.
“In aggiunta”, conclude Michinelli, “si sono rilevate gravi mancanze sulla sicurezza dei dati, sia a riposo che in transito, quanto ad es. al possibile uso di crittografia per occultare la lettura dei dati ai non autorizzati, oppure di log di tracciamento delle operazioni. Oltre alla mancanza di mezzi specifici – persino biometrici! – che lo stesso Garante ha prescritto (fin dal 2008) agli operatori per l’accesso ai dati per fini di accertamento e repressione dei reati. Insomma, anche qui va dimostrato di sapere differenziare e ben gestire la sicurezza “scalabile” dei dati, al pari della ‘scalabile’ conservazione e amministrazione degli altri adempimenti”.
