Normativa privacy

16/06/2008

Argomenti: Codice della Privacy, Comunicazioni elettroniche e normativa Privacy 

 

Comunicazioni elettroniche più protette

Il Garante della Privacy è intervenuto dando attuazione a quanto previsto dal Codice della Privacy, per rendere più sicuro e protetto il sistema di comunicazioni elettroniche italiane. Dopo i gravi abusi emersi negli ultimi anni, quali la fuga dei contenuti dei tabulati delle intercettazioni telefoniche, il Garante con un provvedimento di carattere generale del 17 gennaio 2008 (pubblicato nella G.U. n. 30 del 5 febbraio 2008) ha imposto ai gestori di servizi telefonici e informatici di adottare misure tecniche ed organizzative che garantiscano un elevato livello di protezione, che dovranno essere attuate entro la fine di ottobre 2008. Ecco, nel dettaglio, le prescrizioni impartite.

  • Accesso ai dati

Deve essere consentito solo al personale incaricato attraverso avanzati sistemi di autenticazione, che possono comprendere anche i sistemi biometrici (es. impronte digitali).

  • Accesso ai locali

I luoghi in cui sono ospitati i sistemi che elaborano i dati del traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi; in ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.

  • Sistemi di autorizzazione

È prevista l'adozione di rigide forme di separazione funzionale tra chi assegna le credenziali di autenticazione e chi accede ai dati.

  • Tracciamento delle attività del personale incaricato

Devono essere predisposti appositi sistemi di registrazione per tenere traccia di ogni accesso effettuato ed ogni operazione compiuta, sia dagli incaricati che dagli amministratori di sistema.

  • Conservazione separata

I dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli relativi ad altre funzioni aziendali (es. fatturazione, marketing, antifrode, statistiche) e devono essere protetti con rigidi sistemi di sicurezza e controllo agli accessi.

  • Cancellazione dei dati

Decorso il periodo previsto per la conservazione, i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.

  • Controlli interni

Devono essere effettuati controlli periodici relativi alla legittimità degli accessi ai dati da parte degli incaricati, al rispetto delle norme di legge e delle misuretecniche ed organizzative di sicurezza prescritte, all'effettiva cancellazione dei dati.

  • Sistemi di cifratura

Contro i rischi di acquisizione indebita, anche fortuita, delle informazioni registrate, i dati di traffico trattati per esclusive finalità di giustizia devono essere protetti mediante ricorso a tecniche crittografiche.

Restano esclusi dall'ambito di applicazione del provvedimento i gestori di esercizi pubblici e Internet cafè, i gestori di siti internet che diffondono contenuti sulla rete, i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (ad esempio i centralini aziendali) o che si avvalgono di server di altri soggetti.

Elisa Drezza


Leggi tutte le news