Garante per la protezione
    dei dati personali

Newsletter

IL GARANTE A UNA TELCO: PIU'SICUREZZA SUI DATI DI TRAFFICO

No a conservazione oltre i limiti e a usi impropri

 

Continua l'azione del Garanteprivacy per la messa in sicurezza dei dati di traffico telefonico e telematico.Sotto la lente una società estera che vende sim card on line alla quale l'Autoritàha vietato alcuni trattamenti di dati risultati illeciti ed ha prescritto unaserie di misure tecniche e organizzative.

Dagli accertamenti ispettivi sonoemerse infatti numerose criticità sulla gestione dei dati di trafficoconservati a fini di giustizia.

I dati di traffico conservati peraccertamento e repressione dei reati - numero chiamato, data, ora, durata dellachiamata, localizzazione del cellulare, indirizzi mail, data, ora, durata degliaccessi alla rete - anche se non riguardano il contenuto, consentono comunquedi ricostruire fino a due anni di relazioni di una persona e delle sueabitudini.

Si tratta quindi di informazioniparticolarmente delicate che devono essere protette da adeguate misure disicurezza, non possono essere utilizzate per altri scopi (ad es. profilazione,marketing, etc.) e non devono essere conservate oltre i tempi stabiliti dallalegge: 2 anni per il traffico telefonico e 1anno per quello telematico.

Comerichiesto dal Garante, entro sessanta giorni la società dovrà "blindare" gliaccessi ai dati di traffico con avanzati sistemi di autenticazione informatica(una necessariamente basata sull'uso di dati biometrici) e tenere un registroad hoc in cui registrarli.

Ognioperazione sui dati, inoltre, effettuata solo da personale autorizzato, dovràessere tracciata in un apposito audit log.

Lasocietà dovrà garantire, poi, la separazione fisica dei sistemi informatici incui si conservano i dati per l'accertamento e la repressione dei reati, chedovranno essere sempre crittografati, da quelli in cui sono tenuti per altrefinalità (ad es. fatturazione).

Cosìcome dovrà garantire la separazione delle funzioni tra chi assegna le credenzialidi autenticazione e chi accede ai dati. Trascorsi i tempi di conservazioneprevisti dalla legge i dati di traffico dovranno essere cancellati.

Allasocietà stato anche vietato l'uso dei dati conservati a fini di giustizia perogni altra finalità, ivi compreso il marketing o le ricerche di mercato. Conun secondo provvedimento, il Garante ha infine prescritto alla società diintegrare l'informativa data agli utenti, ora priva di alcuni elementiessenziali, e riformulare correttamente la modulistica per la raccolta delconsenso. I dati fin qui raccolti a fini di profilazione e marketing nonpotranno più essere utilizzati.