Provvedimento dati di traffico telefonico e telematico

 

 

Per i “fornitori di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni” esiste l’obbligo di conservazione dei dati di traffico telematico e telefonico, incluse le chiamate senza risposta , per finalità di accertamento e repressione dei reati. (d.lgs. 196/03  Titolo X – Comunicazioni elettroniche).  

I tempi di conservazione sono definiti dalla normativa stessa in modo preciso: 24 mesi dalla data della comunicazione per i dati di traffico telefonico, 12 mesi per i dati di traffico telematico e 30 giorni per le chiamate senza risposta.

Gli stessi dati possono essere conservati fino a 6 mesi anche per altre finalità legate alla fornitura dei servizi (es: fatturazione)

Il provvedimento del Garante Privacy del 17/01/2008 “Sicurezza dei dati di traffico telefonico e telematico” contiene sia le indicazioni necessarie ad un corretto recepimento delle direttive europee in tale materia e sia la previsione di ulteriori misure tecniche e organizzative necessarie per un corretto trattamento dei dati di traffico telefonico e telematico conservati sia per finalità di erogazione dei servizi e sia per le finalità di accertamento e repressione dei reati (c.d. finalità di giustizia).

Il provvedimento impone misure di sicurezza sia di tipo organizzativo che tecnico tra cui gli obblighi di acquisizione e conservazione sicura dei log relativi agli accessi e alle attività svolte sui dati di traffico.

Audit log:

“Devono essere adottate soluzioni informatiche idonee ad assicurare il controllo delle attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento. Il controllo deve essere efficace e dettagliato anche per i trattamenti condotti sui singoli elementi di informazione presenti sui diversi database utilizzati.

Tali soluzioni comprendono la registrazione, in un apposito audit log, delle operazioni compiute, direttamente o indirettamente, sui dati di traffico e sugli altri dati personali a essi connessi, sia quando consistono o derivano dall'uso interattivo dei sistemi, sia quando sono svolte tramite l'azione automatica di programmi informatici.

I sistemi di audit log devono garantire la completezza, l'immodificabilità e l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi devono essere adottati, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche.

Le misure di cui al presente paragrafo sono adottate nel rispetto dei principi in materia di controllo dei lavoratori sull'uso di strumenti elettronici, con particolare riguardo all'informativa agli interessati”

Il provvedimento impone di conservare i log delle attività svolte sui dati di traffico; tali log devono riferirsi non solo all’accesso di tutti gli incaricati (addetti tecnici compresi) ma alle singole operazioni compiute sui dati o sui singoli elementi di informazione di un database sia quando sono fatte direttamente e sia quando le operazioni sui dati sono il risultato di un’azione automatica di programmi informatici. Chiaramente i log devono contenere i riferimenti temporali e l’indicazione del soggetto che ha effettuato l’operazione e devono comprendere anche le informazioni su eventi legati alla sicurezza.

Operativamente, oltre ad adeguare e configurare i sistemi affinchè generino tutti i log richiesti, la parte che richiede una analisi approfondita è quella su come garantire le caratteristiche di “completezza, immodificabilità e autenticità”.

Il concetto di completezza impone che la soluzione di log management, oltre a garantire che i log presenti siano conformi all’originale, consenta di garantire che “ci siano tutti i log” ossia che non manchino informazioni a causa di cancellazioni successive all’acquisizione o per disabilitazione dei sistemi di acquisizione non documentate.

Le difficoltà di garantire le caratteristiche di sicurezza sui log, sono aumentate dal fatto che in molti casi le operazioni sui dati di traffico e la gestione delle soluzioni di log management sono svolte anche da personale tecnico qualificato che utilizza credenziali con diritti amministrativi e pertanto in possesso di strumenti e capacità idonei ad alterare i log stessi; la soluzione di log management dovrà essere pensata in origine per limitare le possibilità di intervento degli amministratori stessi e/o di documentare le operazioni da questi svolte all’interno della soluzione stessa di log management e/o di registrare le interruzioni di servizio.

Sistemi di autenticazione: utilizzare tecniche di strong authentication ( basate su almeno 2 tecnologie) per l’autenticazione di tutti gli incaricati che possono avere accesso ai dati di traffico; per l’accesso ai dati conservati per le sole finalità di accertamento e repressione dei reati (finalità di giustizia), la strong authentication deve prevedere anche un riconoscimento biometrico dell’incaricato per garantire la sua presenza fisica al momento dell’autenticazione e dell’accesso ai dati

Sistemi di autorizzazione: è richiesto al momento di valutare gli incaricati e gli addetti da autorizzare all’accesso ai dati, di differenziare i loro profili di accesso in modo che sia possibile distinguere le varie funzioni per cui essi accedono ai dati. Tali differenziazioni devono essere applicate sia a livello informatico che documentale (nomine, dps, ecc.).

Gli addetti tecnici e sistemisti, le persone che normalmente operano per la gestione dei sistemi e dei database non devono essere in grado di cambiarsi in autonomia i profili di accesso o di creare nuove credenziali di accesso.

Conservazione separata dei dati di traffico: è richiesta la separazione fisica dei sistemi di storage e di elaborazione dei dati di traffico conservati per finalità di fatturazioneed erogazione dei servizi da quelli conservati per esclusive finalità di accertamento e repressione dei reati. La separazione può essere fatta già dal momento della generazione o acquisizione dei dati di traffico oppure allo scadere dei 6 mesi. I sistemi e le attrezzature informatiche usate per i trattamenti di dati di traffico per le esclusive finalità di giustizia, devono esser collocate in locali  in cui possono accedere solo persone autorizzate e dotati di controlli elettronici di accesso o di  procedure di vigilanza con registrazione degli accessi. Nel caso di sistemi che trattano dati di traffico telefonico per esclusive finalità di giustizia, il controllo di accesso fisico deve essere di tipo biometrico.

Ripristino accesso ai dati: “Devono essere adottate misure idonee a garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni.”

Cancellazione dei dati: adozione di proceduredi cancellazione di tutte le copie di dati presenti nei vari sistemi e nelle varie copie dei dati e dei database secondo i tempi di conservazione imposti dalla stessa normativa; a livello pratico le procedure di cancellazione dovranno essere automatizzate vista la continua necessità di cancellare i dati che hanno superato i termini di retention.

Le procedure di cancellazione dovranno anche eliminare i campi eccedenti dei dati di traffico prima della eventuale archiviazione sui sistemi dedicati alla conservazione per esclusive finalità di giustizia.

Cifratura dei dati: “I dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche, in particolare contro rischi di acquisizione fortuita o di alterazione accidentale derivanti da operazioni di manutenzione sugli apparati informatici o da ordinarie operazioni di amministrazione di sistema. (…).

Eventuali flussi di trasmissione dei dati di traffico tra sistemi informatici del fornitore devono aver luogo tramite protocolli di comunicazione sicuri, basati su tecniche crittografiche, o comunque evitando il ricorso alla trasmissione in chiaro dei dati. Protocollidi comunicazione sicuri devono essere adottati anche per garantire, più in generale, la sicurezza dei sistemi, evitando di esporli a vulnerabilità e a rischio di intrusione.

Altre indicazioni di tipo organizzativi:il provvedimentoimpone anche altre misure che sono principalmente di carattere organizzativo e che qui si richiamano solo a titolo informativo:  documentazione dei sistemi informativi utilizzati per la gestione dei dati di traffico - previsione di attività di verifiche almeno annuali con audit interni e controlli a campione sull’applicazione del provvedimento e sulla conformità dei vari sistemi - nomina specifica degli incaricati per accesso a dati di traffico e previsione di interventi di formazione periodica con documentazione della frequenza ai corsi; -predisposizione di procedure per eventuali estrazioni di dati in caso di esercizio dell’art. 7 da parte di utenti al fine di garantire la consegna dei dati ai soli utenti identificati e autorizzati.

Riferimento normativo:

Provvedimento a carattere generale del Garante per la protezione dei dati personali del 17 gennaio 2008 e successive modificazioni del 24 luglio 2008 – “Sicurezza dei dati di traffico telefonico e telematico”