Sicurezza dei dati del traffico telefonico e telematico: le regole

il garante della privacy ha dettato le regole di base per garantire la sicurezza dei dati del traffico telefonico e telematico, conservati per finalità di accertamento e repressione dei reati e per le altre finalità previste dalla vigente normativa.

Considerata la delicatezza dei dati in gioco ed i lunghi periodi di conservazione che, a seguito delle recenti modifiche del decreto Pisanu, possono raggiungere gli otto anni per il traffico telefonico ed i quattro per quello telematico, il provvedimento specifica le misure tecniche ed organizzative, comuni a tutto il settore delle comunicazioni elettroniche, idonee a garantire un elevato livello di protezione dei dati stessi.

Le misure che dovranno essere applicate da gestori telefonici e fornitori di servizi di comunicazione entro il 31 ottobre 2008 riguardano, in particolare, i seguenti aspetti:

  • accesso ai dati: deve essere consentito al personale incaricato, compresi gli amministratori di sistema, attraverso sistemi avanzati di autenticazione che possono ricomprendere anche i sistemi biometrici;
  • accesso ai locali: i locali nei quali sono ospitati i sistemi con cui si elaborano i dati del traffico oggetto di conservazione devono disporre di meccanismi biometrici di controllo degli accessi;
  • sistemi di autorizzazione: oltre ad una opportuna differenziazione dei profili autorizzativi è prevista l'adozione di forme di separazione funzionale tra chi assegna le credenziali di autenticazione e chi accede ai dati;
  • tracciamento delle attività: devono essere predisposti appositi sistemi di logging per tenere traccia degli accessi e delle altre operazioni effettuate sia dagli incaricati che dagli amministratori di sistema;
  • conservazione separata: i dati conservati per finalità di repressione dei reati vanno separati da quelli relativi ad altre funzioni aziendali;
  • cancellazione: decorso il periodo di conservazione i dati vanno immediatamente cancellati, anche dalle copie di backup, oppure resi anonimi;
  • controlli interni: periodicamente devono essere compiuti degli audit relativamente alla legittimità degli accessi, al rispetto delle norme di legge e delle misure tecniche ed organizzative ed alla cancellazione dei dati;
  • crittografia: i dati trattati per finalità di giustizia devono essere ulteriormente protetti, contro il rischio di accessi illegittimi, mediante il ricorso a tecniche crittografiche;
Sono invece esclusi dall'ambito di applicazione del provvedimento i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete ("content provider"), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

Fonte: Sicurezza dei dati del traffico telefonico e telematico.

2 commenti:

Wave ha detto...

Ciao ti chiedo scusa x il disturbo, mi serve un'altra informazione
stanno facendo girare una circolare interna, che dobbiamo firmare per presa visione, dove si comunica che il traffico internet è monitorato (dicono rispettando la privacy), il tutto sarà controllato dall'amministratore di sistema, però nessuno sà chi è questa figura, è un nostro diritto saperlo ??

Stefano Bendandi ha detto...

Non necessariamente. Un regime di conoscibilità è previsto solo se l'attività dell'amministratore riguarda, anche indirettamente, sistemi con i quali si trattano dati personali dei lavoratori. Qui trovi una sintesi dei punti saliente del provvedimento del garante http://tinyurl.com/y3qn5jz