Il Garante per la Privacy si esprime a riguardo. Il Garante per la privacy, in una nota del primo febbraio, ha avvertito sia gli operatori telefonici, sia i provider: chi non tiene sottochiave i dati degli utenti italiani rischia grosso.
Gli abbonati infatti non sempre sono consapevoli di quanto delle loro conversazioni e connessioni venga conservato: numero chiamato, data, ora, durata della telefonata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete. Tutti dati riservati che possono consentire agli inquirenti in caso di indagine, e si spera solo a loro, di conoscere nel dettaglio la rete di relazioni dell’individuo, i suoi interessi, le sue abitudini, persino i suoi spostamenti. Informazioni che, proprio alla luce del Decreto Pisanu, saranno conservate per quattro anni (quelli di Internet) e otto anni (quelli telefonici). Nella prima tipologia rientrano i dati di accesso ad Internet, quelli relativi alle e-mail, i fax, gli sms e gli mms gestiti via Internet. Come dati telefonici si intendono tutte le chiamate, comprese messaggerie vocali, conferenze, fax, chiamate “non risposte”, servizi supplementari come inoltro o trasferimento di chiamata, utilizzo dei servizi di messaging o di quelli multimediali. Tutto questo non può essere preso alla leggera: con un provvedimento ad hoc, il Garante ha fissato proprio in queste settimane le regole base per rendere sicuri i dati che vengono conservati dai gestori “per finalità di accertamento e repressione dei reati, e per le altre finalità ammesse dalla normativa” (come da regolamento Agcom). Un provvedimento che giunge nei giorni della presa di posizione del Garante verso gli operatori di telefonia mobile, a cui è stata contestata la conservazione non solo di tutti i dati succitati ma anche del log dei siti Internet visitati. Dati dei clienti telefonici quindi a prova di violazione della privacy. E’ quanto prevede il suddetto regolamento del Garante per la messa in sicurezza dei dati di traffico telefonico e internet in attuazione di quanto previsto dal Codice privacy e alle normative in materia di sicurezza più recentemente introdotte. Con un documento nel quale indica in maniera organica le misure da rispettare per la conservazione dei dati a fini di giustizia da parte di gestori telefonici e fornitori di servizi di comunicazione elettronica, l’Autorità risponde alla necessità di assicurare un’effettiva ed efficace protezione di dati personali riguardanti milioni di cittadini, sia a tutela della sfera privata di questi ultimi, sia nell’interesse stesso di magistratura e forze di polizia. Il documento, nel chiarire i soggetti destinatari e i dati oggetto di conservazione, stabilisce prescrizioni tecnico organizzative riguardo alla loro conservazione e alla loro sicura archiviazione. In particolare si prevede:
1)adozione di sistemi avanzati di autenticazione per gli incaricati che possono accedere ai dati;
2)conservazione separata dei dati conservati per finalità di accertamento e repressione dei reati, da quelli utilizzati per funzioni aziendali (fatturazione, marketing, statistiche ecc.);
3)immediata cancellazione dei dati, quando e se decorso il tempo previsto di conservazione;
4)tracciamento di ogni accesso e operazione compiuta da parte degli incaricati;
5)introduzione di sistemi di segnalazione di comportamenti anomali (per esempio interrogazioni massive ingiustificate, interrogazioni fuori dell’orario di lavoro);
6)controlli interni e periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle regole e delle misure organizzative tecniche e di sicurezza prescritte dal Garante;
7)sistemi di cifratura a protezione dei dati di traffico contro rischi di acquisizione indebita o fortuita (come nel caso di manutenzione degli apparati o di ordinarie operazioni da parte degli amministratori di sistema).
Sono esclusi dall’ambito di applicazione di queste regole – sia perché non assimilabili a veri e propri gestori di servizi di tlc e di comunicazione elettronica, sia per evitare ingiustificate conservazioni di dati – i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (content provider, ndr), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti. Sul documento è stata avviata una consultazione pubblica con gli interessati che si concluderà entro il 31 ottobre e immediatamente dopo, anche sulla base degli elementi acquisiti, il Garante provvederà ad adottare in via definitiva il provvedimento. (M.P. per NL)
1)adozione di sistemi avanzati di autenticazione per gli incaricati che possono accedere ai dati;
2)conservazione separata dei dati conservati per finalità di accertamento e repressione dei reati, da quelli utilizzati per funzioni aziendali (fatturazione, marketing, statistiche ecc.);
3)immediata cancellazione dei dati, quando e se decorso il tempo previsto di conservazione;
4)tracciamento di ogni accesso e operazione compiuta da parte degli incaricati;
5)introduzione di sistemi di segnalazione di comportamenti anomali (per esempio interrogazioni massive ingiustificate, interrogazioni fuori dell’orario di lavoro);
6)controlli interni e periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle regole e delle misure organizzative tecniche e di sicurezza prescritte dal Garante;
7)sistemi di cifratura a protezione dei dati di traffico contro rischi di acquisizione indebita o fortuita (come nel caso di manutenzione degli apparati o di ordinarie operazioni da parte degli amministratori di sistema).
Sono esclusi dall’ambito di applicazione di queste regole – sia perché non assimilabili a veri e propri gestori di servizi di tlc e di comunicazione elettronica, sia per evitare ingiustificate conservazioni di dati – i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (content provider, ndr), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti. Sul documento è stata avviata una consultazione pubblica con gli interessati che si concluderà entro il 31 ottobre e immediatamente dopo, anche sulla base degli elementi acquisiti, il Garante provvederà ad adottare in via definitiva il provvedimento. (M.P. per NL)
