Italia
Hanno tre mesi di tempo gli operatori telefonici italiani per ultimare le misure di sicurezza imposte a dicembre dal Garante privacy al fine di assicurare un livello più elevato di tutela dei dati nei flussi informativi tra gestori e uffici giudiziari.
L’Authority ha infatti riscontrato che, scaduti i 180 giorni previsti per la completa adozione, il quadro complessivo evidenzia una concretizzazione “mancata, parziale o ritardata” delle misure prescritte.
Di fronte al polverone scatenato dai più recenti fatti di cronaca e alla delicatezza dell’argomento in discussione, il Garante ha quindi imposto altri 90 giorni per mettersi in linea con le richieste. Scaduto questo termine, “l’Autorità potrà vietare, ai gestori che non risulteranno in regola, le operazioni di trattamento dei dati riferite alle attività in materia di intercettazioni”.
Lo scorso dicembre, il Garante aveva appurato che gli operatori in effetti garantiscono un primo livello di sicurezza dei dati personali, tramite l’effettuazione di procedure sottoposte a un processo di certificazione di regola secondo standard di sicurezza internazionali.
Allo stesso tempo, però, l’Authority aveva constatato la necessità di aumentare il livello di sicurezza – con particolare riferimento alla sfera personale degli indagati (e delle altre persone estranee alle indagini, ma coinvolte nelle comunicazioni e conversazioni) e alla segretezza delle indagini – prescrivendo le ulteriori misure che, secondo le ultime rilevazioni, non sarebbero state ancora messe in atto dai gestori.
In particolare, per quanto riguarda gli aspetti organizzativi della sicurezza, gli operatori sono tenuti ad adottare un modello organizzativo che limiti al minimo la conoscibilità delle informazioni trattate, ad attuare una rigida selezione degli incaricati al trattamento dei dati, a controllare rigorosamente la qualità e la coerenza delle credenziali di autenticazione per l’accesso informatico ai dati trattati e ad attuare procedure di autenticazione robuste, con il ricorso anche a caratteristiche biometriche.
Per quel che concerne la sicurezza dei flussi informativi con l’autorità giudiziaria, l’Authority ha disposto tra le altre cose l’adozione di sistemi di comunicazione basati su strumenti telematici aggiornati e protocolli di rete sicuri, nonché di tecniche di firma digitale per la cifratura dei documenti e la comunicazione all’autorità giudiziaria dei risultati dell’attività strumentale svolta, anche via email.
Gli operatori erano inoltre tenuti a sviluppare entro 180 giorni gli strumenti informatici idonei a controllare l’attività di ogni incaricato, attraverso la registrazione delle operazioni compiute in un apposito audit log e a limitare la persistenza dei dati personali a quanto strettamente necessario per attuare i provvedimenti dell’autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la loro corretta comunicazione all’autorità giudiziaria.
Tutti gli operatori, ha reso noto ieri il Garante, hanno confermato di essere in procinto di ultimare le procedure di attuazione delle richieste, alcune delle quali – a detta delle aziende interessate – risultano di difficile implementazione se non adottate anche dagli uffici giudiziari.
Questi ultimi, fa sapere ancora l’Autorità, sono stati già sollecitati attraverso richieste rivolte al Ministro della giustizia e al Csm, ad aggiornare le loro dotazioni tecnologiche e le strutture organizzative per armonizzarsi con le attività di salvaguardia dei dati personali imposte agli operatori.
Per questo si è ritenuto opportuno concedere un seppur breve rinvio, che risponde altresì alla necessità di non compromettere le attività di intercettazione legale in corso.
Ricordiamo che già nei giorni scorsi, il garante è intervenuto sullo scottante argomento delle intercettazioni illegali, che ha gettato nuove ombre sulla gestione evidentemente poco onesta dei dati personali degli utenti telefonici, richiamando tutte la parti coinvolte al “rigoroso rispetto dei diritti e delle libertà di cittadini che in questa vicenda sono innanzitutto vittime di reati gravissimi”.
