Messa in sicurezza dei dati di traffico telefonico e internet

Con un documento nel quale indica in maniera organica le misure da rispettare per la conservazione dei dati a fini di giustizia da parte di gestori telefonici e fornitori di servizi di comunicazione elettronica, l´Autorità risponde alla necessità di assicurare una effettiva ed efficace protezione di dati personali riguardanti milioni di cittadini, sia a tutela della sfera privata di questi ultimi sia nell´interesse stesso di magistratura e forze di polizia.

Il documento è frutto di un´attività, anche ispettiva, iniziata alla fine del 2005 e portata avanti in questi due anni.

Per la complessità della questione, l´Autorità ha avviato una consultazione pubblica (www.garanteprivacy.it) con le istituzioni interessate - in particolare Ministero della Giustizia, Ministero dell´Interno e Csm - con le aziende e le relative associazioni di categorie nonché con le associazioni dei consumatori per acquisire osservazioni e commenti utili per l´adozione di un definitivo provvedimento in materia.

Sulla base del Codice della Privacy, infatti, i dati di traffico telefonico devono essere conservati a fini di lotta al crimine per un massimo di 4 anni. Il cosiddetto "pacchetto Pisanu" del 2005 ha poi introdotto un analogo obbligo di conservazione anche riguardo ai dati di traffico telematico che devono essere tenuti, esclusi comunque i contenuti, per un massimo di 1 anno. Obbligo questo previsto anche dalla direttiva europea sulla conservazione dei dati di traffico a fini di giustizia, alla quale il Governo deve dare a breve piena attuazione.

Il documento del Garante, nel chiarire i soggetti destinatari e i dati oggetto di conservazione, stabilisce prescrizioni tecnico organizzative riguardo alla loro tenuta e alla loro messa in sicurezza. In particolare prevede:

adozione di avanzati sistemi di autenticazione per gli incaricati  che possono avere accesso ai dati;

conservazione separata dei dati tenuti per finalità di accertamento e repressione dei reati  da quelli utilizzati per funzioni aziendali (es., fatturazione,  marketing, statistiche);

immediata cancellazione dei dati una volta decorso il tempo previsto di conservazione;

tracciamento di ogni accesso e operazione compiuta da parte degli incaricati;

introduzione di sistemi di segnalazione di comportamenti anomali (es., interrogazioni massive ingiustificate, interrogazioni fuori dell´orario di lavoro);

controlli interni periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle regole e delle misure organizzative tecniche e di sicurezza prescritte dal Garante;

sistemi di cifratura a protezione dei dati di traffico contro rischi di acquisizione indebita o fortuita, (es.,in caso di manutenzione degli apparati o di ordinarie operazioni da parte degli amministratori Dall´applicazione di queste regole sono esclusi - sia perché non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati - i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

La consultazione si concluderà entro il 31 ottobre e immediatamente dopo, anche sulla base degli elementi acquisiti, il Garante provvederà ad adottare in via definitiva il provvedimento.

(Giovanni Scotti)