Le regole per la sicurezza dei dati del traffico telefonico e telematico

Con un provvedimento di carattere generale il garante della privacy ha dettato le regole di base per garantire la sicurezza dei dati del traffico telefonico e telematico, conservati per finalità di accertamento e repressione dei reati e per le altre finalità previste dalla vigente normativa.

Considerata la delicatezza dei dati in gioco ed i lunghi periodi di conservazione che, a seguito delle recenti modifiche del decreto Pisanu, possono raggiungere gli otto anni per il traffico telefonico ed i quattro per quello telematico, il provvedimento specifica le misure tecniche ed organizzative, comuni a tutto il settore delle comunicazioni elettroniche, idonee a garantire un elevato livello di protezione dei dati stessi.

Le misure che dovranno essere applicate da gestori telefonici e fornitori di servizi di comunicazione entro il 31 ottobre 2008 riguardano, in particolare, i seguenti aspetti:

• accesso ai dati: deve essere consentito al personale incaricato, compresi gli amministratori di sistema, attraverso sistemi avanzati di autenticazione che possono ricomprendere anche i sistemi biometrici;
• accesso ai locali: i locali nei quali sono ospitati i sistemi con cui si elaborano i dati del traffico oggetto di conservazione devono disporre di meccanismi biometrici di controllo degli accessi;
  
• sistemi di autorizzazione: oltre ad una opportuna differenziazione dei profili autorizzativi è prevista l'adozione di forme di separazione funzionale tra chi assegna le credenziali di autenticazione e chi accede ai dati;
  
• tracciamento delle attività: devono essere predisposti appositi sistemi di logging per tenere traccia degli accessi e delle altre operazioni effettuate sia dagli incaricati che dagli amministratori di sistema;
  
• conservazione separata: i dati conservati per finalità di repressione dei reati vanno separati da quelli relativi ad altre funzioni aziendali;
  
• cancellazione: decorso il periodo di conservazione i dati vanno immediatamente cancellati, anche dalle copie di backup, oppure resi anonimi;
  
• controlli interni: periodicamente devono essere compiuti degli audit relativamente alla legittimità degli accessi, al rispetto delle norme di legge e delle misure tecniche ed organizzative ed alla cancellazione dei dati;
  
• crittografia: i dati trattati per finalità di giustizia devono essere ulteriormente protetti, contro il rischio di accessi illegittimi, mediante il ricorso a tecniche crittografiche;