Protezione dei dati personali

Dati del traffico: le nuove "misure" del Garante - 1

di Gloria Marcoccio* – 14.02.08

Per inciso, va ricordato che il nostro Garante il 15 gennaio scorso ha scritto  al Palamento e al Governo per sollecitare il recepimento, mettendo in evidenza le grandi disparità esistenti tra i limiti massimi di conservazione indicati dalla direttiva e quelli esistenti oggi in Italia, peraltro modificati dal "decreto milleproroghe" di fine anno.

A oggi la situazione in Italia per la data retention può essere così schematizzata:

A: a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, è consentito al fornitore, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale (Art. 123 comma 2 Codice D.Lgs 196/03)

B: per finalità di accertamento e repressione dei reati (Art 132 comma 1 D.Lgs 196/03)

C: per esclusive finalità di accertamento e repressione dei delitti di cui all'articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici (Art 132 comma 2 Codice D.Lgs 196/03)

D: debbono essere conservati fino a quella data dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, fatte salve le disposizioni vigenti che prevedono un periodo di conservazione ulteriore. I dati del traffico conservati oltre i limiti previsti dall'art. 132 del decreto legislativo 30 giugno 2003, n. 196, possono essere utilizzati
esclusivamente per le finalità del decreto-legge, salvo l'esercizio dell'azione penale per i reati comunque perseguibili (Art. 6.
Nuove norme sui dati del traffico telefonico e telematico Legge 31 Luglio 2005 n155 (Pisanu), comma 1come modificato dal decreto n. 248 del 31.12.2007)

Tanto per fare un confronto: la normativa di recepimento in Latria (Lettonia) prevede un periodo massimo di conservazione di 18 mesi: la strada per il raggiungimento di equilibrio ed uniformità tra i limiti imposti nei vari Paesi membri sembra, tanto per cambiare, tortuosa e lunga.

Vediamo ora il nuovo provvedimento, che presenta un quadro corposo e complesso di misure sia di natura tecnica sia di natura organizzativa/procedurale. Anche alla prima lettura, il documento si mostra come conclusione di un lavoro difficile e lungo e risultato di compromessi tra esigenze di attori diversissimi tra loro. Vediamo allora di evidenziare alcuni punti, rimandando un prossimo articolo alcune approfondite dei vari aspetti che caratterizzano il documento.

I destinatari del provvedimento sono i fornitori di servizi di comunicazione elettronica al pubblico su reti pubbliche di comunicazioni (lettera a) del provvedimento). E’ importare evidenziare che da tale categoria sono senz’altro esclusi, come riportato al paragrafo 3:
- soggetti pubblici e privati che mettono a disposizione dei propri collaboratori servizi di comunicazione elettroniche per esigenze aziendali;
- soggetti che offrono servizi di comunicazione elettronica al pubblico, ma non generano o trattano direttamente i dati di traffico;
- titolari e gestori di esercizi pubblici e privati che si limitano e mettere a disposizione del pubblico gli apparati terminali di comunicazione;
- gestori di siti Internet che diffondono contenuti;
- gestori di motori di ricerca (su Internet);

I destinatari del provvedimento hanno tempo fino al 31 ottobre di quest’anno per mettersi in regola: entro lo stesso termine ne devono dare comunicazione di conferma al Garante, attestando l’integrale adempimento (prescrizioni lettere b) e c) del provvedimento).

Le misure sono graduate in funzione delle finalità e scopi dei trattamenti dei dati di traffico telefonico e telematico (prescrizioni lettere a) e c) del provvedimento): all’attenzione del Garante non solo i trattamenti ai fini di repressione ed accertamento dei reati. ma anche i trattamenti per le finalità “usuali”, individuate all’art.123 del DLGV 196/03 (ai fini di fatturazione all’abbonato e pagamenti in caso di interconnessione; commercializzazione di servizi ed erogazione di servizi a valore aggiunto, previo consenso da parte dell’abbonato o utente).

Tra le misure è interessante mettere in evidenza l’attenzione del Garante per gli interventi tecnici di amministrazione e/o di manutenzione ordinaria o straordinaria dei sistemi informativi e delle basi dati (prescrizioni lettera a) punto 1 e lettera c) punto 1 del provvedimento). Quando in tali casi è impossibile controllare l’accesso ai dati tramite le tecniche richieste come standard nel provvedimento ( le cosiddette strong authentication techniques), i tecnici possono accedere ferma restando l’applicazione delle misure minime di sicurezza (allegato B del DLGV 196/03) e l’utilizzo di un “apposito registro di accessi” da compilare per gli accessi fisici ai locali ove sono i sistemi oggetto di intervento.

Tale registro deve contenere vari dati descrittivi, incluse le sintesi delle operazioni compiute con i sistemi elettronici utilizzati. A cura del titolare il registro deve essere conservato presso i locali fisici ove avvengono gli interventi ed essere messo a disposizione del Garante in caso di controlli, insieme all’elenco dei soggetti che possono accedere ai sistemi con funzioni di amministratori. Da notare che nel comunicato stampa che ha accompagnato la pubblicazione del provvedimento sul sito del Garante si sottolineano prossime ”approfondite riflessioni” da parte della stessa autorità sulla figura degli amministratori di sistema.

Il ricorso ai sistemi biometrici per l’autenticazione utenti e il controllo accessi fisici è uno degli elementi caratterizzanti delle misure individuate dal Garante (prescrizione lettera a) punti 1 e 3 del provvedimento). Le tecniche basate sull’uso delle caratteristiche biometriche di un individuo sono da anni presenti sul mercato, con diversi prodotti di varia qualità e costo. Lo stesso Garante si è già più volte occupato nel passato delle misure ed accorgimenti che i titolari devono attuare per utilizzare sistemi biometrici, con vari provvedimenti specifici per singole aziende. Queste misure ed accorgimenti sono stati poi ribaditi, per altro come unica effettiva prescrizione, nel provvedimento generale Linee-guida per il trattamento di dati dei dipendenti privati.

A tal proposito si ricorda che l’incaricato che deve fornire al sistema i suoi dati biometrici per avere accesso ad una risorsa, in qualità di "interessato" ha facoltà di opporsi a tali trattamenti, comportando per l’azienda la necessità di mettere in essere mezzi alternativi per consentire comunque l’accesso (vedasi il paragrafo 4.2 dell’allegato 1 al citato provvedimento ed anche gli specifici provvedimenti per singole aziende richiamate in tale allegato1).

Il Garante individua poi le tecniche crittografiche come necessarie per proteggere i dati di traffico trattati per esclusive finalità di giustizia, per contrastare i rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema (prescrizione lettera a) punto 9 del provvedimento). L’adozione di protocolli sicuri è richiesta per i flussi informativi tra i sistemi informativi dei fornitori: in questo caso l’effettivo requisito della prescrizione sembra però “non trasmettere in chiaro i dati”.

Altra novità rispetto al passato è il requisito che il Garante pone sulla documentazione tecnica che i titolari devono approntare e mantenere aggiornata per descrivere i sistemi utilizzati nei trattamenti dei dati di traffico (prescrizioni lettera a) punto 8 e lettera c) punto 5 del provvedimento). La documentazione deve seguire i correnti standard tecnico/documentali per il software. Per i sistemi utilizzati nel trattamento di dati di traffico per accertamento e repressione dei reati deve essere anche inclusa la loro esatta ubicazione. La documentazione tecnica deve essere messa a disposizione del Garante, a sua richiesta.

Un attenzione a parte meriterà il complesso di misure richieste dal Garante per la conservazione dei dati di traffico per le sole finalità di accertamento e repressione dei reati, con il ricorso anche a distinti sistemi informativi, diversi da quelli utilizzati per trattamenti di dati di traffico per altre finalità (prescrizione lettera ) punto 3 del provvedimento).
Un tale approccio alle misure di sicurezza, intanto, induce subito lo stesso Garante a consentire ai titolari di scegliere come affrontare il caso di dati di traffico conservati per un periodo non superiore ai sei mesi dalla loro generazione che devono essere disponibili anche per finalità di giustizia. Per essi è possibile sia effettuare il trattamento con i medesimi sistemi di elaborazione e di immagazzinamento utilizzati per la generalità dei trattamenti sia provvedendo alla loro duplicazione, con conservazione separata rispetto ai dati di traffico trattati per le ordinarie finalità.

Si pongono subito all’attenzione questioni rilevanti in termini di costi di acquisto e di esercizio dei sistemi, con la speranza di non dover essere gli unici ad essere chiamati per coprire tali costi, con il nostro contributo di modesti abbonati.
Vengono ribaditi, con apposite prescrizioni, l’importanza degli audit log sui sistemi informativi e basi dati come strumento di verifica ma anche di alerting riguardo comportamenti anomali (prescrizioni lettera a) punto 6 e lettera c) punto 4 del provvedimento), e le attività di audit interni alle aziende (prescrizioni lettera a) punto 7 del provvedimento).

In tale contesto torneranno sicuramente in auge tutte le problematiche inerenti il controllo sui lavoratori, già affrontate a più riprese del Garante stesso anche nel provvedimento generale sull’uso di e-mail ed accesso ad Internet aziendali.
Il Garante poi rafforza con apposita prescrizione il vincolo già esistente per i titolari di cancellare o rendere anonimi i dati di traffico una volta venuti meno i presupposti per il loro trattamento (prescrizioni lettera a) punto 5 e lettera c) punto 3 del provvedimento): scaduti i termini di legge previsti per la conservazione, tali operazioni devono essere compiute in modo completo (agendo anche sulle copie di sicurezza effettuate dal titolare in base a misure di legge). Tali operazioni devono essere documentate entro i 30 giorni successivi alla scadenza dei termini).

(Continua sul prossimo numero)
 

* Ingegnere, esperto tecnico-legale ICT - glory @ glory.it