• Approfondimenti » Internet e Tecnologia - Approfondimenti

E' stato approvato venerdì scorso un importante regolamento dal Garante della privacy italiano che fissa le regole di base per la messa in sicurezza dei dati sul traffico telefonico e internet che vengono raccolti e conservati dai gestori. Questo dopo un lungo percorso di polemiche e paure legate ai comportamenti poco trasparenti proprio di questi ultimi che ha visto una svolta già a fine febbraio quando si è chiarito quale debba essere il comportamento di ogni carrier telefonico.

Traffico telefonico e internet in primo piano: i dati legati a queste attività sono i più delicati e possono disegnare la vita degli utenti nei minimi particolari. Attraverso il telefonino si può conoscere la localizzazione delle persone, attraverso gli orari delle chiamate o degli sms e mms se ne conoscono le abitudini.

E poi ci sono le chiamate effettuate e ricevute o gli indirizzi di posta elettronica con cui si ha a che fare. Un piccolo universo di informazioni che, con la proroga del pacchetto Pisanu può essere conservato anche per 8 anni nel caso di traffico telefonico e 4 nel caso di internet. Precisiamo però che i dati non riguardano mai i contenuti.

Il Garante per la privacy ha stabilito alcune direttive fondamentali da applicare entro la fine del prossimo ottobre. Esse riguardano la conservazione dei dati sia a fini di giustizia che per tutti gli altri motivi. Tutti sono tenuti a rispettarle, fatta eccezione per gli internet cafè e per i gestori di siti internet che diffondono contenuti in Rete

Ecco tutte le novità del nuovo regolamento del Garante della Privacy per la conservazione dei dati sensibili degli utenti

Accesso ai dati: l'accesso ai dati è consentito solo al personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l'uso di dati biometrici (es., impronte digitali). Sono compresi nella prescrizione, salvo limitati casi di necessità, anche gli amministratori di sistema, figure chiave della sicurezza delle banche dati., sul cui ruolo, spesso sottovalutato anche nei settori più delicati, il Garante prevede di iniziare una riflessione approfondita.

Accesso ai locali: i locali in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.

Sistemi di autorizzazione: le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere rigidamente separate. I profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati.

Tracciamento dell'attività del personale incaricato: ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi audit log.

Conservazione separata: i dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (es., fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi.

Cancellazione dei dati: una volta decorso il tempo previsto di conservazione i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.

Controlli interni: devono essere effettuati controlli periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull'effettiva cancellazione dei dati una volta decorsi i termini di conservazione.

Sistemi di cifratura: contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche.