STUDIO
LEGALE
Avv.
STEFANO COMELLINI
Via Bocca di Lupo, 19
- 40123 BOLOGNA
“Provvedimento
del Garante per la Privacy sulle comunicazioni captate su reti wi-fi: blocco dei dati e trasmissione degli atti alla
magistratura (caso <Google Street View>)”
GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI
NELLA
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato,
componenti e del dott. Daniele De Paoli, segretario generale;
VISTO
il Codice in materia di protezione dei dati personali (d.lg.
30 giugno 2003, n. 196, di seguito “Codice”);
VISTE
le note del 27 aprile e del 14 maggio 2010 inviate da Google Italy S.r.l., con le quali l'Autorità è stata informata che
Google Inc., durante il passaggio nel territorio
italiano delle vetture che acquisivano immagini per il servizio Street View, ha raccolto sia dati relativi alla presenza di reti
Wi-Fi (wireless fidelity) sia frammenti di comunicazioni elettroniche
trasmesse dagli utenti su alcune reti Wi-Fi non protette da protocolli sicuri e
da cifratura (c.d. payload data);
VISTA
la nota di questa Autorità del 17 maggio 2010, con la quale è stato comunicato
l'avvio di un procedimento amministrativo nei confronti di Google, teso alla
verifica della liceità e correttezza dei trattamenti ed avente ad oggetto
l'osservanza delle disposizioni in materia di protezione dei dati personali
nell'ambito del servizio Street View;
CONSIDERATO
che, con la medesima nota, l'Autorità ha chiesto alla predetta società di
fornire elementi utili alla valutazione complessiva dei trattamenti dei dati
personali effettuati tramite il richiamato servizio Street View,
invitando contestualmente la società a non effettuare alcun ulteriore
trattamento dei payload data fino a
diversa direttiva del Garante;
VISTA
la nota del 1° giugno 2010, con la quale Google Inc.,
elettivamente domiciliata presso lo Studio legale Hogan
Lovells in Roma, ha fornito i primi riscontri in
relazione alla raccolta dei dati relativi alla presenza di reti Wi-Fi e ha
confermato di aver raccolto, a partire dal mese di aprile 2008, payload data durante il passaggio delle
vetture di Street View nel territorio italiano
utilizzando antenne Wi-Fi e appositi software;
CONSIDERATO
che la società ha dichiarato di ritenere che i payload
data siano estremamente frammentati, dal momento che "le vetture
Google Street View sono costantemente in movimento e
l'impianto WiFi cambia automaticamente canale cinque
volte al secondo", ma che "sussiste la teorica possibilità che
i payload data contengano dati personali nel caso in
cui un utente, al momento della raccolta, abbia trasmesso alcune informazioni
personali";
CONSIDERATO
che, secondo le dichiarazioni della società, tali dati sono stati raccolti
erroneamente, non sono mai stati utilizzati per alcun tipo di servizio, non
sono mai stati comunicati a terzi e attualmente sono conservati su server
localizzati negli Stati Uniti, in una banca dati separata ad accesso limitato
ai soli soggetti appositamente incaricati da Google Inc.
per la protezione dei dati;
CONSIDERATO
che Google Inc. ha raccolto i payload
data per un considerevole periodo di tempo (aprile 2008 - maggio 2010), in
modo sistematico e nell'ambito di un'attività svolta su tutto il territorio
nazionale e che, quindi, vi è la concreta possibilità che alcune fra le
informazioni raccolte abbiano natura di dati personali;
RITENUTO
che all'eventuale trattamento di dati personali posto in essere, in quanto
effettuato mediante strumenti situati nel territorio dello Stato, si applichino
le norme del Codice (art. 5 del Codice);
VISTO
l'art. 11, comma 1, lett. a) e b) del
Codice, ai sensi del quale i dati personali devono essere trattati in modo
lecito e secondo correttezza e devono essere raccolti e registrati per scopi
determinati, espliciti e legittimi;
VISTO
l'art. 15 della Costituzione che sancisce l'inviolabilità della libertà e della
segretezza della corrispondenza e di ogni altra forma di comunicazione e che
stabilisce che "la loro limitazione può avvenire soltanto per atto
motivato dell'autorità giudiziaria con le garanzie stabilite dalla legge";
VISTO
l'art. 617-quater, comma 1, del codice penale, che punisce "chiunque
fraudolentemente intercetta comunicazioni relative ad un sistema informatico o
telematico o intercorrenti tra più sistemi (…)";
VISTO
l'art. 617-quinquies, comma 1, del codice penale, che punisce
"chiunque, fuori dai casi consentiti dalla legge, installa apparecchiature
atte ad intercettare, impedire od interrompere comunicazioni relative ad un
sistema informatico o telematico ovvero intercorrenti tra più sistemi (…)";
RITENUTO,
sulla base degli elementi acquisiti nel corso dell'istruttoria, che il
trattamento realizzato da Google Inc., per quanto
concerne in particolare i payload data,
possa porsi in contrasto con le richiamate norme del codice penale e che
pertanto debba essere disposta la trasmissione degli atti del presente
procedimento all'Autorità giudiziaria per le valutazioni di competenza;
CONSIDERATO
che l'art. 11, comma 2, del Codice prevede che i dati personali trattati in
violazione della disciplina rilevante in materia di dati personali non possono
essere utilizzati;
RITENUTA
la necessità che i payload data
raccolti non vengano per il momento cancellati dai server sui quali sono
conservati, in quanto gli stessi potrebbero costituire elementi di prova in
caso di un eventuale intervento da parte dell'Autorità giudiziaria;
CONSIDERATO
che il Garante, ai sensi degli artt. 143, comma 1, lett.
c) e 154, comma 1, lett. d), del
Codice, ha il compito di disporre il blocco anche d'ufficio del trattamento
illecito o non corretto dei dati e di adottare, altresì, gli altri
provvedimenti previsti dalla disciplina applicabile al trattamento dei dati
personali;
RILEVATA
pertanto la necessità di adottare nei confronti di Google Inc.
un provvedimento di blocco del trattamento ritenuto illecito ai sensi dell'art.
154, comma 1, lett. d), del Codice correlato
alla raccolta di payload data
effettuata durante il passaggio delle vetture di Street View
nel territorio italiano;
TENUTO
CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non
osserva il presente provvedimento di blocco è punito con la reclusione da tre
mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice,
in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede
amministrativa, in ogni caso, la sanzione del pagamento di una somma da
trentamila euro a centottantamila euro;
RISERVATO
ogni ulteriore accertamento e intervento in merito al trattamento di dati
relativi alla presenza di reti Wi-Fi effettuato da Google Inc.
e all'acquisizione di immagini per il servizio Street View,
profili rispetto ai quali è tuttora in corso l'istruttoria dell'Autorità;
VISTA
la documentazione in atti;
VISTE
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.
15 del regolamento del Garante n. 1/2000;
RELATORE
il prof. Francesco Pizzetti;
TUTTO CIÒ PREMESSO IL
GARANTE:
A)
dispone nei confronti di Google Inc., ai sensi degli
artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, il blocco di qualsiasi
trattamento dei payload data raccolti
sul territorio italiano.
B)
dispone la trasmissione di copia degli atti del procedimento e del presente
provvedimento all'Autorità giudiziaria per le valutazioni di competenza in
ordine agli illeciti penali che riterrà eventualmente configurabili.
Roma, 9 settembre 2010
IL
PRESIDENTE
Pizzetti
IL
RELATORE
Pizzetti
IL
SEGRETARIO
De
Paoli