Privacy e conservazione dati: i nuovi obblighi dei gestori tlc
U.E. - ITALIA
Dati consultabili dal solo personale incaricato, accesso selezionato ai locali in cui sono ospitati i sistemi di elaborazione, adozione di sistemi di cifratura, cancellazione immediata una volta decorso il tempo di conservazione. Sono solo alcune delle "regole base" fissate dal Garante della privacy "per la messa in sicurezza dei dati di traffico telefonico e Internet conservati dai gestori per finalita' di accertamento e repressione dei reati, e per le altre finalita' ammesse dalla normativa". In attuazione di quanto previsto dal Codice della privacy, il provvedimento generale adottato dall'Autorita' (Francesco Pizzetti, Giuseppe Chiaravalloti, Mauro Paissan, Giuseppe Fortunato), ha come obiettivo "un sistema di comunicazioni elettroniche italiane piu' sicuro e piu' protetto". "I dati di traffico telefonico e Internet, che comunque non riguardano il contenuto - premette il Garante - sono particolarmente delicati: numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete consentono di ricostruire tutte le relazioni di una persona e le sue abitudini".
E' bene ricordare che in Italia, dopo la recente proroga di fine anno del cosiddetto "pacchetto Pisanu", "il periodo di conservazione di questi dati a fini di giustizia tocchera' gli 8 anni per il traffico telefonico e quasi 4 per quello telematico". Queste nel dettaglio le prescrizioni impartite, anche alla luce dei "gravi abusi emersi in questi ultimi anni".
Accesso ai dati: e' consentito al solo "personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l'uso di dati biometrici (ad esempio, le impronte digitali)". Sono compresi nella prescrizione, salvo limitati casi di necessita', anche gli "amministratori di sistema, figure chiave della sicurezza delle banche dati, sul cui ruolo, spesso sottovalutato anche nei settori piu' delicati, il Garante prevede di iniziare una riflessione approfondita".
Accesso ai locali: quelli in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalita' di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali "ad accesso selezionato".
Sistemi di autorizzazione: le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere "rigidamente separate: i profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati".
Tracciamento attivita' personale incaricato: ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi "audit log".
Conservazione separata: i dati tenuti per esclusive finalita' di accertamento e repressione dei reati "devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (ad esempio, fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi".
Cancellazione dei dati: una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.
Controlli interni: "devono essere effettuati controlli periodici sulla legittimita' degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull'effettiva cancellazione dei dati una volta decorsi i termini di conservazione".
Sistemi di cifratura: contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalita' di giustizia vanno protetti con tecniche crittografiche. Gestori telefonici e fornitori di sistemi di comunicazione elettronica dovranno applicare tali misure "entro il 31 ottobre 2008". L'applicazione di alcune di esse viene disposta dal Garante anche alla conservazione dei dati per finalita' non di giustizia, ma di fatturazione, commercializzazione di servizi, statistica, etc. Restano esclusi dall'ambito di applicazione di queste regole - sia perche' non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici e Internet cafe', i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (ad esempio, i centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.
Il provvedimento verra' pubblicato a giorni sulla Gazzetta ufficiale.
E' bene ricordare che in Italia, dopo la recente proroga di fine anno del cosiddetto "pacchetto Pisanu", "il periodo di conservazione di questi dati a fini di giustizia tocchera' gli 8 anni per il traffico telefonico e quasi 4 per quello telematico". Queste nel dettaglio le prescrizioni impartite, anche alla luce dei "gravi abusi emersi in questi ultimi anni".
Accesso ai dati: e' consentito al solo "personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l'uso di dati biometrici (ad esempio, le impronte digitali)". Sono compresi nella prescrizione, salvo limitati casi di necessita', anche gli "amministratori di sistema, figure chiave della sicurezza delle banche dati, sul cui ruolo, spesso sottovalutato anche nei settori piu' delicati, il Garante prevede di iniziare una riflessione approfondita".
Accesso ai locali: quelli in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalita' di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali "ad accesso selezionato".
Sistemi di autorizzazione: le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere "rigidamente separate: i profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati".
Tracciamento attivita' personale incaricato: ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi "audit log".
Conservazione separata: i dati tenuti per esclusive finalita' di accertamento e repressione dei reati "devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (ad esempio, fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi".
Cancellazione dei dati: una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.
Controlli interni: "devono essere effettuati controlli periodici sulla legittimita' degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull'effettiva cancellazione dei dati una volta decorsi i termini di conservazione".
Sistemi di cifratura: contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalita' di giustizia vanno protetti con tecniche crittografiche. Gestori telefonici e fornitori di sistemi di comunicazione elettronica dovranno applicare tali misure "entro il 31 ottobre 2008". L'applicazione di alcune di esse viene disposta dal Garante anche alla conservazione dei dati per finalita' non di giustizia, ma di fatturazione, commercializzazione di servizi, statistica, etc. Restano esclusi dall'ambito di applicazione di queste regole - sia perche' non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici e Internet cafe', i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (ad esempio, i centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.
Il provvedimento verra' pubblicato a giorni sulla Gazzetta ufficiale.
ADUC è indipendente
Nessun finanziamento pubblico né pubblicità. Solo le donazioni ci rendono liberi.
Sostienici →
Potrebbe interessarti