Versione HTML di base
4. "i dati sono acquisiti in maniera automatica dalla rete […] i dati oggetto di backup [sono conservati in un locale protetto e ad
accesso riservato]. L'accesso logico è impedito a tutti, eccezion fatta per il responsabile e gli incaricati [...] i quali accedono mediante
una VPN" e con proprie credenziali; "ogni accesso viene memorizzato su un log file. L'attività svolta dagli amministratori di sistema
viene registrata";
5. "l'associazione tra il mac address della postazione e del dipendente che lo utilizza non viene in alcun modo effettuata" e "il mac
address non [è] un dato identificativo tale da rendere necessaria l'informativa"; nella normale attività nessuno è in grado di associare
l'utilizzatore con il mac address. Solo l'amministratore di rete […può farlo] previa legittima richiesta" (cfr. nota del 14 ottobre 2015,
in atti);
6. il Senato accademico ed il Consiglio di amministrazione dell'Ateneo hanno approvato il "Regolamento di utilizzo della rete
internet e della posta elettronica" pubblicato sul sito web di cui è "stata data comunicazione a tutto il personale docente e non
docente";
7. l'art. 14 del menzionato regolamento prevede la registrazione delle "attività di accesso ai servizi internet" e "l'utilizzo della posta
elettronica" al fine "precipuo di garantire la integrità e disponibilità dei dati" e per "l'ulteriore fine statistico necessario a conoscere la
tipologia del traffico […] indesiderato" o "illegale" nonché "in caso di richieste investigative dell'Autorità giudiziaria";
8. le operazioni di "controllo, filtraggio, monitoraggio e tracciatura delle connessioni e dei collegamenti ai siti internet esterni" (art.
15, comma 2, Regolamento cit.) vengono svolte "su segnalazione del Network Operating Center (NOC) del Gruppo Armonizzazione
Reti della Ricerca (GARR) in caso di violazione del diritto d'autore […] di diffusione di malware ed in generale di software maligno
che possa avere ripercussioni sulla rete";
9. in tali casi si procede al "monitoraggio dei dati scambiati […] successivamente si attua un filtraggio dei dati o un loro blocco e,
quindi, si procede all'individuazione fisica della postazione sulla rete e alla sua bonifica".
2.3. Alla luce della documentazione in atti e delle dichiarazioni, talora contraddittorie, rese dal titolare del trattamento nel corso
dell'istruttoria, emerge che l'Ateneo effettua operazioni che consistono nella raccolta e conservazione, per un periodo di 5 anni
(successivamente ha dichiarato di voler ridurre tale tempo di conservazione a 12 mesi), dei file di log relativi al traffico internet contenenti,
tra gli altri, il MAC Address (Media Access Control Address), l'indirizzo IP nonché informazioni relative all'accesso ai servizi internet,
all'utilizzo della posta elettronica e alle connessioni di rete (cfr. nota 22 maggio 2015, in atti e art. 14, comma 1, Reg., cit.). Tale raccolta e
conservazione prolungata di informazioni sarebbe effettuata, asseritamente in forma anonima, per esclusive finalità "di monitoraggio del
servizio nonché di sicurezza e […] integrità dei sistemi" (art. 14, comma 3, Reg., cit.) nonché in caso di richieste investigative dell'Autorità
giudiziaria (cfr. nota 22 maggio 2015, cit.: "[…] fornire alle forze dell'ordine che su mandato della magistratura debbano compiere indagini
su attività illecite che hanno avuto come sorgente o come destinatario i sistemi informatici dell'Ateneo").
Stando a quanto dichiarato, l'associazione tra il MAC Address della postazione e il dipendente che lo utilizza non sarebbe effettuata (in fase
di raccolta e nelle successive elaborazioni) se non in relazione alle richieste dell'Autorità giudiziaria (cfr. nota 14 ottobre 2015, cit., art. 14,
comma 2, Reg., cit.).
Tramite il personale tecnico del "Settore competente" sarebbe effettuata attività di "controllo, filtraggio, monitoraggio e tracciatura delle
connessioni e dei collegamenti ai siti internet esterni" (artt. 2 e 15, comma 2, Reg. cit.).
Sebbene sia stato dichiarato nella nota dell'ottobre 2015 che le predette operazioni vengono svolte solo "su segnalazione del Network
Operating Center (NOC) del Gruppo Armonizzazione Reti della Ricerca (GARR) in caso di violazione del diritto d'autore […] di diffusione
di malware ed in generale di software maligno che possa avere ripercussioni sulla rete" (cfr. nota 14 ottobre 2015, cit.), il regolamento
evidenzia invece che le stesse vengono effettuate in modo costante e che, in presenza di "violazione delle regole" vengono informate le
Autorità competenti e successivamente consentite le operazioni di identificazione dell' "utente utilizzatore" (arg. art. 15, commi 2 e 5, Reg.,
cit.).
L'associazione tra il MAC Address della postazione (comunque raccolto e conservato, unitamente agli altri dati relativi all'utilizzo dei servizi
di rete) e la persona utilizzatrice verrebbe effettuata "esclusivamente su precisa richiesta delle Autorità competenti" e "la consultazione dei
suddetti file di tracciatura in maniera non aggregata [sarebbe] diritto esclusivo dell'Autorità giudiziaria" (art. 15, comma 5, Reg., cit.; nota del
14 ottobre 2015, ove si legge: "nella normale attività nessuno è in grado di associare l'utilizzatore con il mac address. Solo l'amministratore
di rete […può farlo] previa legittima richiesta").
RILEVATO
3. In base ad una complessiva valutazione degli elementi sopra richiamati, deve ritenersi che, contrariamente a quanto sostenuto dall'Ateneo,
le descritte operazioni di trattamento, effettuate per il tramite del personale incaricato e degli amministratori di sistema, diano luogo ad un
trattamento di dati personali, peraltro riferiti ad un novero assai ampio di soggetti definiti "utenti" della rete di Ateneo (in particolare, i
docenti, i ricercatori, il personale tecnico amministrativo e bibliotecario, gli studenti, i dottorandi, gli specializzandi e gli assegnisti di ricerca,
ma anche professori a contratto e visiting professors; cfr. artt. 2 e 3 Reg., cit.). Ciò in quanto il MAC Address della "interfaccia" di rete di
una postazione è da considerarsi "dato personale" ai sensi della disciplina comunitaria e nazionale in materia di protezione dei dati (art. 4,
comma 1, lett. b) del Codice). Infatti, il MAC Address è costituito da una sequenza numerica (48 cifre binarie) associata in modo univoco
dal produttore a ogni scheda di rete ethernet o wireless prodotta al mondo e rappresenta l'indirizzo fisico identificativo di quel particolare
dispositivo di rete da cui è possibile desumere l'identità del produttore, la tipologia di dispositivo e, in taluni casi, anche risalire all'acquirente
o utilizzatore dell'apparato: è infatti sostanzialmente immodificabile e, date le caratteristiche (in particolare, la sua univocità su scala
globale), consente di risalire, anche indirettamente, alla postazione corrispondente e di conseguenza all'utente che su di essa sta operando. Per
tutto ciò il suo trattamento impone il rispetto della normativa sulla protezione dei dati personali (cfr., Gruppo Art. 29, Parere n. 4/2007 - WP
136 sul concetto di dato personale; sul carattere di dato personale del MAC Address stante la relativa univocità, cfr. Gruppo Art. 29, Parere