SCUOLA FORENSE
Comunicazioni captate su reti wi-fi -
Garante privacy - Comunicazioni captate su reti wi-fi - Google Street View - I payload data captati dalle vetture di Street View - blocco dei dati (il comunicato stampa ed il provvedimento del garante della privacy)
Garante privacy - Comunicazioni "captate" su reti wi-fi - Google Street View - I "payload data" captati dalle vetture di Street View - blocco dei dati (il comunicato stampa ed il provvedimento del garante della privacy)
Comunicazioni "captate" su reti wi-fi: il Garante ordina a Google Street View il blocco dei dati e trasmette gli atti alla magistratura
Il Garante privacy ha imposto a Google di bloccare qualsiasi trattamento sui cosiddetti "payload data" captati dalle vetture di Street View, e ha inviato gli atti all'autorità giudiziaria perché valuti gli eventuali profili penali derivanti dalla raccolta di questo tipo di dati.
L'Autorità aveva avviato un'istruttoria nei confronti della società di Mountain View nel maggio di quest'anno quando era venuta a conoscenza della circostanza che le "Google car", girando sul territorio italiano, oltre a raccogliere immagini avevano anche "catturato" a partire dall'aprile 2008, tramite appositi software, frammenti di comunicazioni elettroniche - i "payload data" appunto - trasmesse da utenti che utilizzavano reti Wi-Fi non protette.
Nel corso del procedimento Google, fornendo i riscontri richiesti dal Garante, ha confermato la raccolta dei dati durante il passaggio delle vetture di Street View, specificando tuttavia che essa era avvenuta erroneamente e che i dati raccolti erano comunque talmente frammentati da non per poter essere considerate informazioni personali. Secondo le dichiarazioni delle società, i dati sono attualmente conservati su server negli Stati Uniti e non sono mai stati utilizzati, né comunicati a terzi.
Ad avviso dell'Autorità italiana, invece, una tale raccolta di informazioni, essendo stata effettuata in modo sistematico e per un considerevole periodo di tempo (fino al maggio 2010), comporta la concreta possibilità che alcune delle informazioni "catturate" abbiano natura di dati personali: consentano cioè di risalire a persone identificate o identificabili. Google, pertanto, potrebbe aver compiuto un grave illecito, violando non solo il Codice privacy, ma anche alcune norme del codice penale, come quelle che puniscono le intercettazioni fraudolente di comunicazioni effettuate su un sistema informatico o telematico (art.617-quater) e l'installazione, fuori dai casi consentiti dalla legge, di "apparecchiature atte ad intercettare, impedire o interrompere" comunicazioni relative ad un sistema informatico o telematico" (art.617-quinquies).
Alla luce di tutto ciò il Garante ha ritenuto di trasmettere gli atti all'autorità giudiziaria perché accerti gli eventuali illeciti penali che possono configurarsi. Considerato inoltre che i "payload data" possono costituire elementi di prova delle eventuali violazioni che spetterà alla magistratura valutare, il Garante ha ritenuto di conseguenza che essi non debbano essere cancellati dai server nei quali sono conservati e ne ha disposto il blocco, imponendo a Google di sospendere qualunque trattamento.
Roma, 21 settembre 2010
Comunicazioni "captate" su reti wi-fi: il Garante ordina a Google Street View il blocco dei dati e trasmette gli atti alla magistratura - 9 settembre 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito “Codice”);
VISTE le note del 27 aprile e del 14 maggio 2010 inviate da Google Italy S.r.l., con le quali l'Autorità è stata informata che Google Inc., durante il passaggio nel territorio italiano delle vetture che acquisivano immagini per il servizio Street View, ha raccolto sia dati relativi alla presenza di reti Wi-Fi (wireless fidelity) sia frammenti di comunicazioni elettroniche trasmesse dagli utenti su alcune reti Wi-Fi non protette da protocolli sicuri e da cifratura (c.d. payload data);
VISTA la nota di questa Autorità del 17 maggio 2010, con la quale è stato comunicato l'avvio di un procedimento amministrativo nei confronti di Google, teso alla verifica della liceità e correttezza dei trattamenti ed avente ad oggetto l'osservanza delle disposizioni in materia di protezione dei dati personali nell'ambito del servizio Street View;
CONSIDERATO che, con la medesima nota, l'Autorità ha chiesto alla predetta società di fornire elementi utili alla valutazione complessiva dei trattamenti dei dati personali effettuati tramite il richiamato servizio Street View, invitando contestualmente la società a non effettuare alcun ulteriore trattamento dei payload data fino a diversa direttiva del Garante;
VISTA la nota del 1° giugno 2010, con la quale Google Inc., elettivamente domiciliata presso lo Studio legale Hogan Lovells in Roma, ha fornito i primi riscontri in relazione alla raccolta dei dati relativi alla presenza di reti Wi-Fi e ha confermato di aver raccolto, a partire dal mese di aprile 2008, payload data durante il passaggio delle vetture di Street View nel territorio italiano utilizzando antenne Wi-Fi e appositi software;
CONSIDERATO che la società ha dichiarato di ritenere che i payload data siano estremamente frammentati, dal momento che "le vetture Google Street View sono costantemente in movimento e l'impianto WiFi cambia automaticamente canale cinque volte al secondo", ma che "sussiste la teorica possibilità che i payload data contengano dati personali nel caso in cui un utente, al momento della raccolta, abbia trasmesso alcune informazioni personali";
CONSIDERATO che, secondo le dichiarazioni della società, tali dati sono stati raccolti erroneamente, non sono mai stati utilizzati per alcun tipo di servizio, non sono mai stati comunicati a terzi e attualmente sono conservati su server localizzati negli Stati Uniti, in una banca dati separata ad accesso limitato ai soli soggetti appositamente incaricati da Google Inc. per la protezione dei dati;
CONSIDERATO che Google Inc. ha raccolto i payload data per un considerevole periodo di tempo (aprile 2008 - maggio 2010), in modo sistematico e nell'ambito di un'attività svolta su tutto il territorio nazionale e che, quindi, vi è la concreta possibilità che alcune fra le informazioni raccolte abbiano natura di dati personali;
RITENUTO che all'eventuale trattamento di dati personali posto in essere, in quanto effettuato mediante strumenti situati nel territorio dello Stato, si applichino le norme del Codice (art. 5 del Codice);
VISTO l'art. 11, comma 1, lett. a) e b) del Codice, ai sensi del quale i dati personali devono essere trattati in modo lecito e secondo correttezza e devono essere raccolti e registrati per scopi determinati, espliciti e legittimi;
VISTO l'art. 15 della Costituzione che sancisce l'inviolabilità della libertà e della segretezza della corrispondenza e di ogni altra forma di comunicazione e che stabilisce che "la loro limitazione può avvenire soltanto per atto motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge";
VISTO l'art. 617-quater, comma 1, del codice penale, che punisce "chiunque fraudolentemente intercetta comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi (…)";
VISTO l'art. 617-quinquies, comma 1, del codice penale, che punisce "chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature atte ad intercettare, impedire od interrompere comunicazioni relative ad un sistema informatico o telematico ovvero intercorrenti tra più sistemi (…)";
RITENUTO, sulla base degli elementi acquisiti nel corso dell'istruttoria, che il trattamento realizzato da Google Inc., per quanto concerne in particolare i payload data, possa porsi in contrasto con le richiamate norme del codice penale e che pertanto debba essere disposta la trasmissione degli atti del presente procedimento all'Autorità giudiziaria per le valutazioni di competenza;
CONSIDERATO che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in violazione della disciplina rilevante in materia di dati personali non possono essere utilizzati;
RITENUTA la necessità che i payload data raccolti non vengano per il momento cancellati dai server sui quali sono conservati, in quanto gli stessi potrebbero costituire elementi di prova in caso di un eventuale intervento da parte dell'Autorità giudiziaria;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha il compito di disporre il blocco anche d'ufficio del trattamento illecito o non corretto dei dati e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA pertanto la necessità di adottare nei confronti di Google Inc. un provvedimento di blocco del trattamento ritenuto illecito ai sensi dell'art. 154, comma 1, lett. d), del Codice correlato alla raccolta di payload data effettuata durante il passaggio delle vetture di Street View nel territorio italiano;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di blocco è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;
RISERVATO ogni ulteriore accertamento e intervento in merito al trattamento di dati relativi alla presenza di reti Wi-Fi effettuato da Google Inc. e all'acquisizione di immagini per il servizio Street View, profili rispetto ai quali è tuttora in corso l'istruttoria dell'Autorità;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL GARANTE:
A) dispone nei confronti di Google Inc., ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, il blocco di qualsiasi trattamento dei payload data raccolti sul territorio italiano.
B) dispone la trasmissione di copia degli atti del procedimento e del presente provvedimento all'Autorità giudiziaria per le valutazioni di competenza in ordine agli illeciti penali che riterrà eventualmente configurabili.
Roma, 9 settembre 2010
IL PRESIDENTE
Pizzetti
IL RELATORE
Pizzetti
IL SEGRETARIO GENERALE
De Paoli