Garante per la protezione
    dei dati personali


Comunicato Stampa

TABULATI SOTTO CHIAVE: IL GARANTE DETTA AI GESTORI LE REGOLE PER LA TENUTA DEI DATI DITRAFFICO TELEFONICO E INTERNET

Un sistema dicomunicazioni elettroniche italiane piŁ sicuro e piŁ protetto. Con un provvedimento generale il Garante per laprotezione dei dati personali (Francesco Pizzetti, Giuseppe Chiaravalloti,Mauro Paissan, Giuseppe Fortunato), dando attuazione a quanto previsto dalCodice privacy, ha fissato  le regole di base per la messa in sicurezzadei dati di traffico telefonico e Internet che vengono conservati dai gestoriper finalitł di accertamento e repressione dei reati, e per le altre finalitłammesse dalla normativa.

Dopo i gravi abusiemersi in questi ultimi anni, con un provvedimento di cui Ć stato relatoreFrancesco Pizzetti, l'Autoritł ha imposto ai gestori di servizi telefonici etelematici le misure tecniche e organizzative che garantiscano un elevatolivello di protezione, comune a tutto il settore dei servizi di comunicazioneelettronica. I dati di traffico telefonico e Internet, che comunque nonriguardano il contenuto, sono particolarmente delicati: numero chiamato, data,ora, durata della chiamata, localizzazione del chiamante nel caso delcellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, orae durata degli accessi alla rete consentono di ricostruire tutte le relazionidi una persona e le sue abitudini.

â bene ricordare,peraltro, che in Italia, dopo la recente proroga di fine anno del cosiddetto"pacchetto Pisanu", il periodo di conservazione di questi dati a finidi giustizia toccherł gli 8 anni per il traffico telefonico e quasi  4 perquello telematico.

Le prescrizioniimpartite sono, in particolare:

Accesso ai dati: l'accesso ai dati Ć consentitosolo al personale incaricato mediante avanzati sistemi di autenticazioneinformatica, anche con l'uso di dati biometrici (es., impronte digitali). Sonocompresi nella prescrizione, salvo limitati casi di necessitł, anche gliamministratori di sistema, figure chiave della sicurezza delle banche dati, sulcui ruolo, spesso sottovalutato anche nei settori piŁ delicati, il Garanteprevede di iniziare una riflessione approfondita.

Accesso ai locali: i locali in cui sono ospitati isistemi di elaborazione che trattano dati di traffico telefonico per esclusivefinalitł di giustizia devono disporre di sistemi biometrici di controllo degliaccessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasinatura vanno installati in locali ad accesso selezionato.

Sistemi diautorizzazione:le funzioni tra chi assegna le credenziali di autenticazione e chi accede aidati devono essere rigidamente separate. I profili di autorizzazione daattribuire agli incaricati devono essere differenziati a seconda che iltrattamento dei dati di traffico sia effettuato per scopi di ordinaria gestioneo per quelli di accertamento e repressione dei reati.

Tracciamentodell'attivitł del personale incaricato: ogni accesso effettuato e ogni operazione compiuta daparte degli incaricati e degli amministratori di sistema devono essereregistrati in appositi audit log.

Conservazioneseparata: i datitenuti per esclusive finalitł di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioniaziendali (es., fatturazione,  marketing, antifrode, statistiche) e isistemi di elaborazione che li trattano vanno sottoposti a rigide misure disicurezza fisica e controllo degli accessi.

Cancellazione deidati: una voltadecorso il tempo previsto di conservazione i dati devono essere immediatamentecancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio deidati.

Controlli interni: devono essere effettuaticontrolli periodici sulla legittimitł degli accessi ai dati da parte degliincaricati, sul rispetto delle norme di legge e delle misure organizzativetecniche e di sicurezza prescritte dal Garante, sull'effettiva cancellazionedei dati una volta decorsi i termini di conservazione.

Sistemi dicifratura: controrischi di acquisizione indebita, anche fortuita, delle informazioni registrateda parte di incaricati di mansioni tecniche (amministratori di sistema,amministratori di data base, manutentori hardware e software) i dati ditraffico trattati per esclusive finalitł di giustizia vanno protetti contecniche crittografiche.

Gestori telefonici efornitori di servizi di comunicazione elettronica dovranno applicare talimisure entro il 31 ottobre 2008. L'applicazione di alcune di esse viene dispostadal Garante anche alla conservazione dei dati per finalitł non di giustizia, madi fatturazione, commercializzazione di servizi, statistica etc., al fine difavorire un quadro piŁ ampio di sicurezza di dati e sistemi.

Restano esclusidall'ambito di applicazione di queste regole - sia perchÄ non assimilabili averi e propri gestori di servizi tlc e di comunicazione elettronica sia perevitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici eInternet cafÄ, i gestori di siti Internet che diffondono contenuti sulla rete("content provider"), i gestori dei motori di ricerca, le aziende ole amministrazioni pubbliche che mettono a disposizione del personale retitelefoniche e informatiche (es. centralini aziendali) o che si avvalgono di servermessi a disposizione da altri soggetti.

Il provvedimento verrłpubblicato a giorni sulla Gazzetta Ufficiale.

Roma,  1febbraio 2008

 

 

Altri riferimenti

a.      Intercettazioni telefoniche:monito del Garante - 20 settembre 2006

b.      Tabulati telefonici e misure disicurezza - 1 giugno 2006

c.      Misure di sicurezza per iltrattamento dei dati di traffico - 1 giugno 2006

d.      Provvedimento del 7 dicembre 2006

e.      Nuove misure di sicurezza presso igestori per le intercettazioni -  15 dicembre 2005

f.      Prescrizioni impartite con ilProvvedimento del 15 dicembre 2005 relativo a "nuove misure di sicurezzapresso i gestori per le intercettazioni"

g.      Intercettazioni: il Garante aigestori telefonici, maggiore sicurezza - 22 dicembre 2005

h.      Nuove misure di sicurezza presso igestori per le intercettazioni'': prescrizioni impartite - 19 settembre 2006

i.      Direttiva 2006/24/CE delParlamento europeo e del Consiglio del 15 marzo 2006 riguardante laconservazione di dati generati o trattati nell'ambito della fornitura diservizi di comunicazione elettronica accessibili al pubblico o di retipubbliche di comunicazione e che modifica la direttiva 2002/58/CE