Italia
L’Autorità per la privacy ha fissato le regole di base per rendere più sicuri e protetti i dati di traffico telefonico e internet alla luce delle gravi e ripetute violazioni compiute da tutti i gestori della telefonia nostrana negli ultimi anni.
Il provvedimento dà attuazione a quanto previsto dal Codice privacy in fatto di messa in sicurezza dei dati del traffico che vengono conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre finalità ammesse dalla normativa e dovrà essere applicato entro il 31 ottobre 2008.
In base a quanto riscontrato nel corso delle ispezioni condotte per verificare l’effettiva attuazione del Codice privacy e delle prescrizioni impartite nel dicembre 2005, tutti i dati relativi alla navigazione internet da rete mobile “in qualsiasi forma e grado di dettaglio” sono stati conservati in maniera illecita.
L’Authority, dopo aver imposto la cancellazione di questi dati, i quali talvolta comprendevano perfino le interrogazioni ai motori di ricerca effettuate dagli utenti, ha quindi stabilito una serie di misure per salvaguardare queste delicate informazioni – numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi eMail contattati, data, ora e durata degli accessi alla rete – attraverso cui si può facilmente risalire alle relazioni personali e sociali, al credo religioso, agli orientamenti politici, alle abitudini sessuali e allo stato di salute degli utenti.
Il nostro Paese, infatti, non ha ancora recepito la direttiva europea – la cosiddetta ‘direttiva Frattini‘ – adottata a febbraio 2006, secondo la quale i dati relativi al traffico telefonico e alle comunicazioni via internet devono essere conservati per un periodo da
Il decreto è stato per fortuna limitato nel tempo – valido fino a dicembre del 2007 è stato comunque esteso di un anno – ma c’era, secondo il Garante, chi voleva estenderlo ulteriormente, con la scusa di prevenire o reprimere atti terroristici.
Per porre fine agli abusi su informazioni così delicate il Garante ha fissato una serie di misure relative all’accesso ai dati, all’accesso ai locali, ai sistemi di autorizzazione, al controllo dell’attività del personale incaricato all’amministrazione del sistema ai controlli e ai sistemi di cifratura.
In sostanza, l’accesso ai dati sarà consentito solo al personale autorizzato, attraverso “avanzati sistemi di autenticazione informatica, anche con l’uso di dati biometrici”.
Dovranno inoltre essere “rigidamente separate” le funzioni di chi assegna le credenziali di autenticazione e chi accede ai dati, mentre ogni accesso alle informazioni e ogni operazione compiuta dagli incaricati e dagli amministratori di sistema dovrà essere scrupolosamente registrato in appositi audit log.
Il Garante ha quindi previsto la separazione tra i dati conservati per finalità di accertamento e repressione dei reati e quelli utilizzati per funzioni aziendali (fatturazione, marketing, antifrode, statistiche).
“I sistemi di elaborazione che li trattano – sottolinea il Garante – vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi”.
I dati, aggiunge l’Authority, dovranno essere cancellati – anche dalle copie di backup – o resi anonimi appena concluso il periodo di conservazione previsto dalla legge e in ogni caso dovranno essere protetti da tecniche crittografiche per evitare rischi di acquisizione indebita, anche fortuita.
Alcune di queste disposizioni, ha sottolineato il Garante, devono essere applicate “anche alla conservazione dei dati per finalità non di giustizia, ma di fatturazione, commercializzazione di servizi, statistica etc., al fine di favorire un quadro più ampio di sicurezza di dati e sistemi”.
Restano comunque esclusi dal provvedimento i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (“content provider”), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.
La presa di posizione dell’Authority è stata apprezzata dalle associazioni a tutela de consumatori, che sottolineano però “l’anticostituzionalità” del cosiddetto ‘decreto Pisanu‘ che obbliga i gestori a conservare i dati relativi ai movimenti telefonici per 8 anni e 4 per i dati telematici.
“Così – ha commentato il presidente Adoc Carlo Pileri – ci troviamo ad essere 58 milioni di italiani sotto un controllo dei nostri movimenti molto peggiore di quello che poteva ottenere l’OVRA fascista. Non è un buon servizio per la democrazia ed è la premessa agli abusi sulla violazione della corrispondenza e delle telefonate che certamente l’Assemblea Costituente non voleva si verificasse più in Italia”.
