Legali.com

il sito degli avvocati italiani

Home > Diritto civile > Sicurezza e conservazione dei dati del traffico telefonico e telematico: le (...)

Sicurezza e conservazione dei dati del traffico telefonico e telematico: le nuove prescrizioni del garante

venerdì 28 settembre 2007, di Stefano Bendandi

Con un comunicato stampa del 25 settembre 2007 il Garante della privacy ha reso noto di aver adottato un nuovo provvedimento (http://www.garanteprivacy.it/garante/document?ID=1442463) avente ad oggetto "Misure ed accorgimenti a garanzia degli interessati in tema di conservazione di dati del traffico telefonico e telematico per finalità di accertamento e repressione dei reati".

Si tratta dei dati che, per effetto delle disposizioni dell’art. 132 del D.Lgs 196/03, così come modificato dalla legge 31 luglio 2005, nr. 155 (cd. pacchetto Pisanu), devono essere conservati per un periodo massimo di 24 o 6 mesi a seconda che si tratti, rispettivamente, di traffico telefonico o telematico, periodo ulteriormente prorogabile per altri 24/6 mesi per la sola repressione dei delitti di cui all’art. 407, comma 2, lett. a) cpp e dei delitti in danno di sistemi informatici e telematici.

In relazione alla vigenza di tale obbligo il Garante è intervenuto per indicare una serie di stringenti misure, tecniche ed organizzative, idonee a garantire un elevato livello di protezione sul quale deve essere fondata la custodia ed il trattamento di questo genere di informazioni.

Il provvedimento si compone di una parte generale e di due allegati concernenti, rispettivamente, l’indicazione esplicita dei dati da conservare, per le varie tipologie di traffico, e l’individuazione dei criteri tecnici ed organizzativi di protezione.

1) Dati da conservare

Data la mancanza nel nostro ordinamento di una distinzione tra dati di traffico telefonico e dati di traffico telematico e l’inesistenza di una chiara esemplificazione a tal fine, il garante reputa opportuno richiamare la direttiva 2006/24/CE, relativa all’armonizzazione delle disposizioni degli stati membri sul tema della conservazione dei dati del traffico a fini di indagine, accertamento e perseguimento di reati.
L’art. 5 della predetta direttiva individua le categorie di dati da conservare in relazione ai vari servizi di telefonia di rete, fissa e mobile, accesso Internet, posta elettronica e telefonia via Internet.

Nell’ambito dei servizi telefonici sono riconducibili:

1. le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;

2. i servizi supplementari, inclusi l’inoltro e il trasferimento di chiamata;

3. la messaggeria e i servizi multimediali, inclusi i servizi di messaggeria breve-sms;

mentre nei servizi telematici si ricomprendono:

1. l’accesso alla rete Internet;

2. la posta elettronica;

3. i fax e i messaggi sms/mms via Internet;

4. la telefonia via Internet (VoIP);

In relazione a tale schema di classificazione l’allegato 1 del provvedimento contiene la specifica delle caratteristiche delle singole informazioni per le quali operano i suddetti obblighi.

2) Ambito di applicazione soggettivo

Destinatari dell’obbligo di conservazione e, quindi, delle misure previste sono i soggetti che mettono a disposizione del pubblico servizi di comunicazione elettronica su reti pubbliche di comunicazione.
Alla luce di quanto previsto dall’art. 4, comma 2, lett. d) ed e), del Codice si ritiene che tali siano quei soggetti che realizzano, esclusivamente o prevalentemente, una trasmissione di segnali su reti di comunicazione elettroniche, a prescindere dall’assetto proprietario della rete, e che offrono tali servizi ad utenti finali secondo un principio di non discriminazione (cioè potenzialmente a tutti gli utenti).

Da questo ambito di applicazione sarebbero esclusi:

1. i soggetti che offrono servizi di comunicazioni elettronica a gruppi delimitati di persone (dipendenti, collaboratori, ecc...);

2. i soggetti che, pur offrendo servizi di comunicazione al pubblico, non generano o trattano direttamente i dati relativi al traffico (costoro dovranno però conservare idonea documentazione attestante che gli obblighi di conservazione, adempiuti per loro conto presso terzi, siano conformi a quanto previsto);

3. i titolari ed i gestori di esercizi pubblici o circoli privati di qualsiasi specie quando si limitano a porre a disposizione del pubblico, della clientela o dei soci apparecchi terminali per le comunicazioni, anche telematiche, ovvero punti di accesso ad Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale ;

4. i gestori dei siti Internet che diffondono contenuti sulla rete;

5. i gestori dei motori di ricerca;

3) Ambito di applicazione oggettivo

I dati da conservare sono quelli relativi al traffico telefonico, incluse le chiamate senza risposta, e quelli relativi al traffico telematico ma con l’esclusione, comunque, dei contenuti, in base a quanto prescritto dall’art. 132 del Codice.
In pratica deve trattarsi di dati che risultano nella disponibilità diretta dei fornitori in quanto derivanti dall’insieme delle attività tecniche strumentali alla resa dei servizi citati (il pacchetto Pisanu usa al riguardo la dicitura di "informazioni che consentono la tracciabilità degli accessi, nonchè, qualora disponibili, dei servizi" mentre la direttiva 2006/24/CE si riferisce ai dati "generati o trattati nel processo di fornitura di un [...] servizio di comunicazione").

4) Finalità e modalità di acquisizione

Le finalità possono essere esclusivamente quelle previste e cioè quelle di accertamento e repressione dei reati.
Quanto alle modalità di acquisizione vengono richiamate le disposizioni di cui all’art. 132, commi 3 e 4, del Codice.

5) Le specifiche misure di protezione

Si tratta di misure particolarmente stringenti che vengono ad aggiungersi a quanto già previsto dal Codice della privacy e che possono essere ulteriormente distinte in funzione della loro natura, tecnica od organizzativa, ed in rapporto alle specifiche esigenze di sicurezza che intendono tutelare:

1. autenticazione: con la sola eccezione dei trattamenti effettuati nello svolgimento di mansioni tecniche di gestione dei sistemi e delle apparecchiature, in tutti gli altri casi l’accesso ai dati da parte degli incaricati deve avvenire sulla base di tecniche di autenticazione "forte", cioè di tecniche che impiegano più fattori di autenticazione di cui, almeno uno, deve essere fondato sulla elaborazione di caratteristiche biometriche.

2. autorizzazione: i sistemi utilizzati a tal fine devono essere in grado di garantire una adeguata profilatura degli utenti, separando le funzioni di assegnazione delle credenziali di autenticazione e di individuazione dei profili da quelle di gestione tecnica dei sistemi e delle relative basi dati (entrambe queste funzioni non possono essere attribuite allo stesso soggetto od alla stessa unità organizzativa). Inoltre i profili di autorizzazione, relativi agli incaricati del trattamento dei dati per finalità di accertamento e repressione dei reati, devono essere ulteriormente distinti nel seguente modo:

a) profili concernenti gli incaricati abilitati al trattamento nel primo periodo di conservazione;

b) profili concercenti gli incaricati abilitati al trattamento nell’eventuale secondo periodo di conservazione;

c) profili concernenti gli incaricati al trattamento nel caso di esercizio dei diritti dell’interessato;

3. separazione fisica e segregazione: i dati in oggetto, insieme con i sistemi informatici e gli apparati di rete utilizzati per il loro trattamento, devono essere fisicamente separati da quelli impiegati per altre funzioni aziendali ed adeguatamente protetti, contro il rischio di indebito accesso, mediante l’utilizzo di idonei strumenti di protezione perimetrale. Tutte le attrezzature utilizzate per tali particolari finalità vanno collocate in aree controllate alle quali possono accedere, previa identificazione e registrazione, le sole persone ammesse, con l’indicazione dei motivi che giustificano l’accesso ed i relativi riferimenti temporali. Infine le modalità di trattamento dei dati devono consentire un accesso differenziato su base temporale nel rispetto della finalità del trattamento stesso.

4. ripristino: devono essere impiegate tutte le misure idonee a garantire il ripristino dell’accesso ai dati in termini compatibili con i diritti dell’interessato e comunque non superiori a sette giorni.

5. scelta, formazione degli incaricati ed altri obblighi: gli incaricati al trattamento devono essere designati in modo specifico e sottoposti ad una attività formativa periodica la cui partecipazione deve essere documentata. In relazione alle richieste di esercizio dei diritti, di cui all’art. 7 del Codice, il titolare del trattamento deve conservare la documentazione specifica comprovante l’adozione di idonee verifiche dell’identità del richiedente ed adottare tutte le cautele per la comunicazione dei dati al solo soggetto legittimato.

6. cancellazione dei dati: devono essere adottati sistemi per la cancellazione automatica dei dati allo scadere dei termini previsti. Tale obbligo si estende anche alle copie di sicurezza, in tempi compatibili con la prevista esecuzione delle procedure di backup/disaster recovery e, comunque, entro un massimo di 30 giorni dalla scadenza dei termini previsti.

7. logging: tutte le operazioni compiute sui dati di traffico e su quelli connessi dagli incaricati, sia direttamente che indirettamente, devono essere registrate elettronicamente, in modo efficace e dettagliato, anche quando riguardano singoli elementi di informazione memorizzati nei diversi database. I sistemi di logging devono garantire la completezza, l’integrità e l’autenticità delle registrazioni tramite l’adozione, anche in forma centralizzata, di meccanismi di scrittura non alterabili su supporti di tipo WORM (write once/read many), previa applicazione ai dati di tecniche crittografiche e di firma digitale.

8. attività di audit: l’intera gestione dei dati del traffico deve essere sottoposta, con cadenza almeno annuale, ad una attività di auditing interno, demandata ad una unità organizzativa diversa rispetto a quella cui è affidato il trattamento. L’attività deve essere specificamente documentata ed avere per oggetto in particolare:

a) la verifica della rispondenza dei trattamenti alle misure di sicurezza tecniche ed organizzative previste;

b) la verifica della selettività degli incaricati;

c) la verifica della legittimità e liceità degli accessi ai dati (è possibile usare strumenti di analisi dei log oppure prevedere l’utilizzo di sistemi di monitoraggio e segnalazione automatica di comportamenti anomali);

d) le verifiche periodiche sull’effettiva cancellazione dei dati;

9. documentazione: i sistemi informatici utilizzati per il trattamento dei dati del traffico devono essere adeguatamente documentati in osservanza dei principi relativi all’ingegneria del software; le descrizioni devono comprendere l’architettura complessiva, la struttura dei sistemi impiegati, il flusso di input/output dei dati, l’architettura della sottostante rete di comunicazione e l’elenco di tutti i soggetti aventi accesso ad ogni sistema. A supporto vanno prodotti anche i diagrammi di mappatura e dislocazione dei vari sistemi.

10. crittografia: i flussi di trasmissione dei dati tra i vari sistemi informatici devono essere protetti mediante protocolli sicuri di comunicazione basati sull’impiego di tecniche crittografiche. Analogamente, sempre mediante il ricorso alla crittografia, i dati memorizzati nei database devono essere resi non intelligibili a chi sia privo dei diritti di accesso e di adeguati profili di autorizzazione.

Sebbene non siano ancora certi i tempi entro i quali i soggetti destinatari dovranno mettersi in regola con le prescrizioni anzidette, il Garante ritiene congrua una indicazione temporale nell’ordine del quadrimestre/semestre.

Data comunque la delicatezza della materia l’Autorità ha aperto sull’argomento una consultazione pubblica destinata ad esaurirsi il 31 ottobre prossimo in modo da sollecitare un dialogo con le associazioni di categoria e le istituzioni interessate.