Garante Privacy , le Tlc devono mettersi in regola entro fine ottobre

Autorità e normativeNormativa

Tabulati sotto chiave con le nuove prescrizioni. Le misure riguardano: accesso, conservazione e cancellazione dei dati, autorizzazioni, tracciamento delle attività, sistemi di cifratura

Il Garante per la privacy Francesco Pizzett i ha di recente imposto la cancellazione di informazioni, illegittimamente conservate , riguardanti i siti Internet visitati dagli utenti. In seguito a ispezioni, a Vodafone, H3G e Wind è stata impartita l’adozione di specifiche misure tecniche per la messa in sicurezza dei dati personali conservati a fini di giustizia.

Ora i gestori telefonici e fornitori di sistemi di comunicazione elettronica

entro il 31 ottobre 2008 dovranno applicare le misure tecniche e organizzative che garantiscano un elevato livello di protezione, comune a tutto il settore dei servizi di comunicazione elettronica.

Restano esclusi dall’ambito di applicazione di queste regole i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (“content provider”), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

Il provvedimento verrà pubblicato a giorni sulla Gazzetta Ufficiale.

Ecco le regole che metteranno i tabulati sotto chiave. Le prescrizioni impartite sono, in particolare:accesso dati, ai locali, sistemi di autorizzazione, tracciamento dell’attività del personale incaricato, conservazione separata, cancellazione dei dati, controlli interni e sistemi di cifratura.

Vediamo nei dettagli cosa significa la decisione del Garante. L’accesso ai dati è consentito solo al personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l’uso di dati biometrici (es., impronte digitali).

I locali in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.

Le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere rigidamente separate. I profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati.

Ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi audit log.

I dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (es., fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi.

Una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.

Devono essere effettuati controlli periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull’effettiva cancellazione dei dati una volta decorsi i termini di conservazione.

Contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche.

I dati di traffico telefonico e Internet, che comunque non riguardano il contenuto, sono particolarmente delicati: numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete consentono di ricostruire tutte le relazioni di una persona e le sue abitudini.

In Italia, dopo la recente proroga di fine anno del cosiddetto “pacchetto Pisanu”, il periodo di conservazione di questi dati a fini di giustizia toccherà gli 8 anni per il traffico telefonico e quasi 4 per quello telematico.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore