Legali.com
il sito degli avvocati italiani

Sito per gli avvocati italiani, per tenersi aggiornati, sfruttare le nuove tecnologie, dialogare con i colleghi, sottoporre quesiti giuridici, fare ricerche in ambito legale.
I giuristi che vogliono inviare articoli o notizie, si possono registrare online inserendo i propri dati dal link "Connettersi", posto in fondo alla pagina a sinistra. Clicca qui per vedere il video con le istruzioni per la pubblicazione degli articoli.

Sicurezza e conservazione dei dati del traffico telefonico e telematico: le nuove prescrizioni del garante
Articolo pubblicato online il 28 settembre 2007
Ultima modifica il 27 settembre 2007

di Stefano Bendandi
Stampare logo imprimer

Con un comunicato stampa del 25 settembre 2007 il Garante della privacy ha reso noto di aver adottato un nuovo provvedimento (http://www.garanteprivacy.it/garante/document?ID=1442463) avente ad oggetto "Misure ed accorgimenti a garanzia degli interessati in tema di conservazione di dati del traffico telefonico e telematico per finalit di accertamento e repressione dei reati".

Si tratta dei dati che, per effetto delle disposizioni dell’art. 132 del D.Lgs 196/03, cos come modificato dalla legge 31 luglio 2005, nr. 155 (cd. pacchetto Pisanu), devono essere conservati per un periodo massimo di 24 o 6 mesi a seconda che si tratti, rispettivamente, di traffico telefonico o telematico, periodo ulteriormente prorogabile per altri 24/6 mesi per la sola repressione dei delitti di cui all’art. 407, comma 2, lett. a) cpp e dei delitti in danno di sistemi informatici e telematici.

In relazione alla vigenza di tale obbligo il Garante intervenuto per indicare una serie di stringenti misure, tecniche ed organizzative, idonee a garantire un elevato livello di protezione sul quale deve essere fondata la custodia ed il trattamento di questo genere di informazioni.

Il provvedimento si compone di una parte generale e di due allegati concernenti, rispettivamente, l’indicazione esplicita dei dati da conservare, per le varie tipologie di traffico, e l’individuazione dei criteri tecnici ed organizzativi di protezione.

1) Dati da conservare

Data la mancanza nel nostro ordinamento di una distinzione tra dati di traffico telefonico e dati di traffico telematico e l’inesistenza di una chiara esemplificazione a tal fine, il garante reputa opportuno richiamare la direttiva 2006/24/CE, relativa all’armonizzazione delle disposizioni degli stati membri sul tema della conservazione dei dati del traffico a fini di indagine, accertamento e perseguimento di reati.
L’art. 5 della predetta direttiva individua le categorie di dati da conservare in relazione ai vari servizi di telefonia di rete, fissa e mobile, accesso Internet, posta elettronica e telefonia via Internet.

Nell’ambito dei servizi telefonici sono riconducibili:

1. le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;

2. i servizi supplementari, inclusi l’inoltro e il trasferimento di chiamata;

3. la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms;

mentre nei servizi telematici si ricomprendono:

1. l’accesso alla rete Internet;

2. la posta elettronica;

3. i fax e i messaggi sms/mms via Internet;

4. la telefonia via Internet (VoIP);

In relazione a tale schema di classificazione l’allegato 1 del provvedimento contiene la specifica delle caratteristiche delle singole informazioni per le quali operano i suddetti obblighi.

2) Ambito di applicazione soggettivo

Destinatari dell’obbligo di conservazione e, quindi, delle misure previste sono i soggetti che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione.
Alla luce di quanto previsto dall’art. 4, comma 2, lett. d) ed e), del Codice si ritiene che tali siano quei soggetti che realizzano, esclusivamente o prevalentemente, una trasmissione di segnali su reti di comunicazione elettroniche, a prescindere dall’assetto proprietario della rete, e che offrono tali servizi ad utenti finali secondo un principio di non discriminazione (cio potenzialmente a tutti gli utenti).

Da questo ambito di applicazione sarebbero esclusi:

1. i soggetti che offrono servizi di comunicazioni elettronica a gruppi delimitati di persone (dipendenti, collaboratori, ecc...);

2. i soggetti che, pur offrendo servizi di comunicazione al pubblico, non generano o trattano direttamente i dati relativi al traffico (costoro dovranno per conservare idonea documentazione attestante che gli obblighi di conservazione, adempiuti per loro conto presso terzi, siano conformi a quanto previsto);

3. i titolari ed i gestori di esercizi pubblici o circoli privati di qualsiasi specie quando si limitano a porre a disposizione del pubblico, della clientela o dei soci apparecchi terminali per le comunicazioni, anche telematiche, ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale ;

4. i gestori dei siti Internet che diffondono contenuti sulla rete;

5. i gestori dei motori di ricerca;

3) Ambito di applicazione oggettivo

I dati da conservare sono quelli relativi al traffico telefonico, incluse le chiamate senza risposta, e quelli relativi al traffico telematico ma con l’esclusione, comunque, dei contenuti, in base a quanto prescritto dall’art. 132 del Codice.
In pratica deve trattarsi di dati che risultano nella disponibilit diretta dei fornitori in quanto derivanti dall’insieme delle attivit tecniche strumentali alla resa dei servizi citati (il pacchetto Pisanu usa al riguardo la dicitura di "informazioni che consentono la tracciabilit degli accessi, nonch, qualora disponibili, dei servizi" mentre la direttiva 2006/24/CE si riferisce ai dati "generati o trattati nel processo di fornitura di un [...] servizio di comunicazione").

4) Finalit e modalit di acquisizione

Le finalit possono essere esclusivamente quelle previste e cio quelle di accertamento e repressione dei reati.
Quanto alle modalit di acquisizione vengono richiamate le disposizioni di cui all’art. 132, commi 3 e 4, del Codice.

5) Le specifiche misure di protezione

Si tratta di misure particolarmente stringenti che vengono ad aggiungersi a quanto gi previsto dal Codice della privacy e che possono essere ulteriormente distinte in funzione della loro natura, tecnica od organizzativa, ed in rapporto alle specifiche esigenze di sicurezza che intendono tutelare:

1. autenticazione: con la sola eccezione dei trattamenti effettuati nello svolgimento di mansioni tecniche di gestione dei sistemi e delle apparecchiature, in tutti gli altri casi l’accesso ai dati da parte degli incaricati deve avvenire sulla base di tecniche di autenticazione "forte", cio di tecniche che impiegano pi fattori di autenticazione di cui, almeno uno, deve essere fondato sulla elaborazione di caratteristiche biometriche.

2. autorizzazione: i sistemi utilizzati a tal fine devono essere in grado di garantire una adeguata profilatura degli utenti, separando le funzioni di assegnazione delle credenziali di autenticazione e di individuazione dei profili da quelle di gestione tecnica dei sistemi e delle relative basi dati (entrambe queste funzioni non possono essere attribuite allo stesso soggetto od alla stessa unit organizzativa). Inoltre i profili di autorizzazione, relativi agli incaricati del trattamento dei dati per finalit di accertamento e repressione dei reati, devono essere ulteriormente distinti nel seguente modo:

a) profili concernenti gli incaricati abilitati al trattamento nel primo periodo di conservazione;

b) profili concercenti gli incaricati abilitati al trattamento nell’eventuale secondo periodo di conservazione;

c) profili concernenti gli incaricati al trattamento nel caso di esercizio dei diritti dell’interessato;

3. separazione fisica e segregazione: i dati in oggetto, insieme con i sistemi informatici e gli apparati di rete utilizzati per il loro trattamento, devono essere fisicamente separati da quelli impiegati per altre funzioni aziendali ed adeguatamente protetti, contro il rischio di indebito accesso, mediante l’utilizzo di idonei strumenti di protezione perimetrale. Tutte le attrezzature utilizzate per tali particolari finalit vanno collocate in aree controllate alle quali possono accedere, previa identificazione e registrazione, le sole persone ammesse, con l’indicazione dei motivi che giustificano l’accesso ed i relativi riferimenti temporali. Infine le modalit di trattamento dei dati devono consentire un accesso differenziato su base temporale nel rispetto della finalit del trattamento stesso.

4. ripristino: devono essere impiegate tutte le misure idonee a garantire il ripristino dell’accesso ai dati in termini compatibili con i diritti dell’interessato e comunque non superiori a sette giorni.

5. scelta, formazione degli incaricati ed altri obblighi: gli incaricati al trattamento devono essere designati in modo specifico e sottoposti ad una attivit formativa periodica la cui partecipazione deve essere documentata. In relazione alle richieste di esercizio dei diritti, di cui all’art. 7 del Codice, il titolare del trattamento deve conservare la documentazione specifica comprovante l’adozione di idonee verifiche dell’identit del richiedente ed adottare tutte le cautele per la comunicazione dei dati al solo soggetto legittimato.

6. cancellazione dei dati: devono essere adottati sistemi per la cancellazione automatica dei dati allo scadere dei termini previsti. Tale obbligo si estende anche alle copie di sicurezza, in tempi compatibili con la prevista esecuzione delle procedure di backup/disaster recovery e, comunque, entro un massimo di 30 giorni dalla scadenza dei termini previsti.

7. logging: tutte le operazioni compiute sui dati di traffico e su quelli connessi dagli incaricati, sia direttamente che indirettamente, devono essere registrate elettronicamente, in modo efficace e dettagliato, anche quando riguardano singoli elementi di informazione memorizzati nei diversi database. I sistemi di logging devono garantire la completezza, l’integrit e l’autenticit delle registrazioni tramite l’adozione, anche in forma centralizzata, di meccanismi di scrittura non alterabili su supporti di tipo WORM (write once/read many), previa applicazione ai dati di tecniche crittografiche e di firma digitale.

8. attivit di audit: l’intera gestione dei dati del traffico deve essere sottoposta, con cadenza almeno annuale, ad una attivit di auditing interno, demandata ad una unit organizzativa diversa rispetto a quella cui affidato il trattamento. L’attivit deve essere specificamente documentata ed avere per oggetto in particolare:

a) la verifica della rispondenza dei trattamenti alle misure di sicurezza tecniche ed organizzative previste;

b) la verifica della selettivit degli incaricati;

c) la verifica della legittimit e liceit degli accessi ai dati ( possibile usare strumenti di analisi dei log oppure prevedere l’utilizzo di sistemi di monitoraggio e segnalazione automatica di comportamenti anomali);

d) le verifiche periodiche sull’effettiva cancellazione dei dati;

9. documentazione: i sistemi informatici utilizzati per il trattamento dei dati del traffico devono essere adeguatamente documentati in osservanza dei principi relativi all’ingegneria del software; le descrizioni devono comprendere l’architettura complessiva, la struttura dei sistemi impiegati, il flusso di input/output dei dati, l’architettura della sottostante rete di comunicazione e l’elenco di tutti i soggetti aventi accesso ad ogni sistema. A supporto vanno prodotti anche i diagrammi di mappatura e dislocazione dei vari sistemi.

10. crittografia: i flussi di trasmissione dei dati tra i vari sistemi informatici devono essere protetti mediante protocolli sicuri di comunicazione basati sull’impiego di tecniche crittografiche. Analogamente, sempre mediante il ricorso alla crittografia, i dati memorizzati nei database devono essere resi non intelligibili a chi sia privo dei diritti di accesso e di adeguati profili di autorizzazione.

Sebbene non siano ancora certi i tempi entro i quali i soggetti destinatari dovranno mettersi in regola con le prescrizioni anzidette, il Garante ritiene congrua una indicazione temporale nell’ordine del quadrimestre/semestre.

Data comunque la delicatezza della materia l’Autorit ha aperto sull’argomento una consultazione pubblica destinata ad esaurirsi il 31 ottobre prossimo in modo da sollecitare un dialogo con le associazioni di categoria e le istituzioni interessate.



Sito realizzato con SPIP
con il modello ESCAL-V3
Versione: 3.79.33