Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Il Garante definisce le regole per la messa in sicurezza dei dati di traffico telefonico e internet e avvia una consultazione

Comunicato stampa del Garante

Il Garante per la privacy, dando attuazione a quanto previsto dal Codice privacy e alle normative in materia di sicurezza più recentemente introdotte, individua le regole essenziali per la messa in sicurezza dei dati di traffico telefonico e Internet conservati a fini di accertamento e repressione dei reati e avvia una consultazione pubblica . 

Con un documento nel quale indica in maniera organica le misure da rispettare per la conservazione dei dati a fini di giustizia da parte di gestori telefonici e fornitori di servizi di comunicazione elettronica, l’Autorità risponde alla necessità di assicurare una effettiva ed efficace protezione di dati personali riguardanti milioni di cittadini, sia a tutela della sfera privata di questi ultimi sia nell’interesse stesso di magistratura e forze di polizia. 

Il documento, del quale  è stato relatore Francesco Pizzetti, è frutto di un’attività, anche ispettiva molto articolata, iniziata alla fine del 2005 e portata avanti in questi due anni. Proprio considerata la complessità della questione, l’Autorità ha deciso di avviare una  consultazione pubblica  (www.garanteprivacy.it) con le istituzioni interessate (in particolare Ministero della giustizia, Ministero dell’interno e Csm), con le aziende e le relative associazioni di categorie nonché con le associazioni dei consumatori. Lo scopo è quello di acquisire osservazioni e commenti utili per l’adozione di un definitivo provvedimento in materia.

Come è noto, sulla base del Codice privacy i dati di traffico telefonico devono essere conservati a fini di lotta al crimine per un massimo di  4 anni. Il cosiddetto “pacchetto Pisanu” del 2005 ha poi introdotto un analogo obbligo di conservazione anche riguardo ai dati di traffico telematico che devono essere tenuti, esclusi comunque i contenuti, per un massimo di 1 anno. Obbligo questo previsto anche dalla direttiva europea sulla conservazione dei dati di traffico a fini di giustizia, alla quale il Governo deve dare a breve piena attuazione.

Il documento, nel chiarire i soggetti destinatari e i dati oggetto di conservazione, stabilisce prescrizioni tecnico organizzative riguardo alla loro tenuta e alla loro messa in sicurezza. In particolare prevede:

  • adozione di avanzati sistemi di autenticazione per gli incaricati  che possono avere accesso ai dati;
  • conservazione separata dei dati tenuti per finalità di accertamento e repressione dei reati  da quelli utilizzati per funzioni aziendali (es., fatturazione,  marketing, statistiche);
  • immediata cancellazione dei dati una volta decorso il tempo previsto di conservazione;
  • tracciamento di ogni accesso e operazione compiuta da parte degli incaricati;
  • introduzione di sistemi di segnalazione di comportamenti anomali (es., interrogazioni massive ingiustificate, interrogazioni fuori dell’orario di lavoro);
  • controlli interni periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle regole e delle misure organizzative tecniche e di sicurezza prescritte dal Garante;
  • sistemi di cifratura a protezione dei dati di traffico contro rischi di acquisizione indebita o fortuita, (es.,in caso di manutenzione degli apparati o di ordinarie operazioni da parte degli amministratori di sistema).

Sono esclusi dall’ambito di applicazione di queste regole – sia perché non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati – i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (“content provider”), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

La consultazione si concluderà entro il 31 ottobre e immediatamente dopo, anche sulla base degli elementi acquisiti, il Garante provvederà ad adottare in via definitiva il provvedimento. Sarà questa una tappa essenziale per rendere anche il sistema delle telecomunicazioni italiane più sicuro e più protetto.

Roma,  25 settembre 2007

IL DOCUMENTO

Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati – 19 settembre 2007

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito, “Codice”) e, in particolare, i relativi articoli 17 e 132, comma 5;

CONSIDERATO che l’Autorità ha concluso i primi approfondimenti inerenti alle misure e agli accorgimenti che il Garante deve prescrivere in base al Codice in riferimento ai dati del traffico telefonico e telematico che devono essere conservati, in base alla legge, dai fornitori di servizi di comunicazione elettronica, per esclusive finalità di accertamento e repressione di reati;

RILEVATA l’opportunità che la prescrizione di tali misure ed accorgimenti, che allo stato sono individuati dal Garante nell’unito documento, sia preceduta da una consultazione pubblica, in particolare dei predetti fornitori, di organismi rappresentativi di utenti e abbonati interessati, nonché del Ministero della giustizia, del Ministero dell’interno e del Consiglio superiore della magistratura, anche al fine di acquisire ulteriori riscontri sull’adeguatezza delle medesime prescrizioni, nonché sulle relative modalità attuative;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

DELIBERA:

a) di adottare l’ unito documento  che forma parte integrante della presente deliberazione (“Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati” );

b) di avviare una  consultazione pubblica  sul documento di cui alla lettera a).

L’obiettivo della consultazione è quello di acquisire osservazioni e commenti, in particolare da parte di fornitori di servizi di comunicazione elettronica, loro organismi rappresentativi e analoghi organismi relativi a utenti e abbonati interessati, nonché del Ministero della giustizia, del Ministero dell’interno e del Consiglio superiore della magistratura.

Osservazioni e commenti potranno pervenire entro il 31 ottobre 2007 all’indirizzo dell’Autorità di Piazza di Monte Citorio n. 121, 00186 Roma, ovvero all’indirizzo di posta elettronica

datiditraffico@garanteprivacy.it.

La presente deliberazione verrà pubblicata sul sito web del Garante www.garanteprivacy.it e verrà inviato un avviso all’Ufficio pubblicazione leggi e decreti del Ministero della giustizia affinché sia riportato sulla Gazzetta ufficiale della Repubblica italiana.

Roma, 19 settembre 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli