Con del 13/07/2016 il Garante della Privacy ha dichiarato illegittimo il trattamento dei dati posto in essere dall'Università di Chieti e Pescara che tracciava e conservava diversi dati relativi all'utilizzo dei servizi internet e di posta elettronica da parte degli utenti dei propri sistemi.
| Sabato 17 Settembre 2016 |
La vicenda nasce dalle doglianze del personale dell'Ateneo che, rilevando profili di illiceità in relazione alle norme in materia di Privacy, ha sottoposto la questione al Garante per la Protezione dei Dati Personali.
Mentre da un lato è stata accertata la totale regolarità del sistema di video sorveglianza, dall'altro il Garante ha decretato l'illegittimità delle modalità di conservazione dei dati relativi ai sistemi di comunicazione elettronica in uso presso l'Ateneo.
Il sistema informativo dell'Ateneo infatti si era dotato di un sistema in grado di tracciare e conservare per 5 anni tutte le operazioni elettroniche effettuate dai dipendenti e dagli studenti, con particolare riguardo alla posta elettronica e alla navigazione in internet, motivando tale decisione, come si legge nel provvedimento, con la necessità di garantire la sicurezza del sistema informatico e individuare eventuali operazioni illecite, quali ad esempio l'introduzione di software malevolo o la violazione del diritto d'autore.
Tuttavia, come riconosciuto dallo stesso Ateneo, tra i dati registrati e conservati nell'archivio elettronico (pur senza riferimenti espliciti ai nominativi o ad altri dati sensibili degli utilizzatori) troviamo anche il cosiddetto MAC address (acronimo per Media Access Control address) detto anche “indirizzo MAC”.
Tale indirizzo, da non confondere con l'indirizzo IP che viene associato dinamicamente al nostro computer ogni volta che accendiamo il router per la connessione ad internet, identifica univocamente ed in modo permanente qualsiasi dispositivo fisico in grado di connettersi ad una rete informatica tramite un'interfaccia di rete (scheda di rete) e non può essere modificato.
L'univocità di tale codice è garantita a livello mondiale tramite specifici accordi presi dai produttori di hardware, motivo per cui non potranno mai esistere due dispositivi di rete con lo stesso indirizzo MAC (computer, tablet, palmari, web-tv ecc.).
L'Ateneo dal canto suo ha spiegato nell'istruttoria che l'associazione tra le operazioni effettuate dagli utenti del sistema e l'indirizzo MAC sarebbe stata fornita esclusivamente dietro richiesta delle Autorità competenti in caso di illeciti e violazioni.
Tuttavia il Garante, ponendo l'accento sull'identificabilità dei soggetti coinvolti, ha rilevato che la conservazione dell'indirizzo MAC da parte del personale informatico e degli amministratori del sistema dà luogo ad un vero e proprio trattamento di dati personali per il fatto che il MAC address, per le caratteristiche sopra descritte, va considerato un “dato personale” perché consente in ogni momento di risalire all'utente che sta operando su una determinata postazione di lavoro.
Ecco quindi la motivazione che ha fatto rientrare l'archiviazione dei dati da parte dell'Ateneo nell'ambito della disciplina sul trattamento dei dati personali (D.L. 196/2003) con conseguente accertamento di diverse violazioni:
Carenza nell'informativa resa ai dipendenti ove si indicava tra l'altro che il trattamento sarebbe avvenuto in “forma anonima”, argomento che di fatto viene a cadere in ragione della presenza dell'indirizzo MAC.
Possibilità di ricostruire ex post l'attività degli utenti per diversi anni, in contrasto con il principio di liceità e in violazione della disciplina di settore in materia di lavoro, che prevede altre modalità nonché diverse tempistiche per la conservazione dei dati.
Violazione dei principi di necessità, pertinenza e non eccedenza che “non consentono controlli massivi prolungati, costanti e indiscriminati, quali, come nel caso di specie, la registrazione sistematica dei dati relativi al MAC Address e i dati relativi alla connessione ai servizi di rete”.
Di conseguenza il Garante ha dichiarato illecito il trattamento in violazione degli articoli 3, 11, 13 e 114 del D.L. 196/2003 nonché dell'art. 4, L. 300/1970 con la conseguente inutilizzabilità dei dati trattati in violazione di legge, ai sensi dell'art. 11, comma 2 del citato D.L.