(vedi prima parte ) – Per affrontare nello specifico le problematiche relative alla generazione ed alla conservazione dei log occorre tener ben presente la finalità delle norme appena approvate che è quella di consentire all’Autorità Giudiziaria di associare un “volto” ad ogni attività compiuta su Internet originata nel nostro Paese. In realtà tale attività – anche se ad un’ analisi superficiale potrebbe sembrare non particolarmente complessa, presenta alcune problematiche di difficile risoluzione, anche perché le modalità tecniche di collegamento ad Internet sono le più varie e per di più sono in continua evoluzione. Nel prosieguo, dunque, analizzeremo alcune situazioni che, in un certo senso, sfuggono alle recenti disposizioni anti-terrorismo: preliminarmente, tuttavia, forniremo una panoramica delle novità apportate dalle stesse nel campo del trattamento dei dati personali e, più in generale, nella raccolta dei dati relativi al traffico.
Occorre innanzitutto effettuare una distinzione tra i log di “accesso” ed i log di “attività” Internet: benché non vi sia una definizione univoca, per semplificare è possibile affermare che, mentre i primi consistono nell’associazione tra un indirizzo IP ed utente (ad es. log radius) in un determinato istante temporale, i secondi registrano nel dettaglio l’attività Internet compiuta da un determinato utente in un certo arco temporale. Il primo tipo di log consente perciò di rintracciare un utente che abbia compiuto una determinata attività sulla rete solo se questo sia collegato con un indirizzo IP pubblico assegnato ad esso in esclusiva in quel dato istante, il secondo consente di conoscere quale, tra “n” utenti collegati ad Internet con lo stesso indirizzo pubblico (es. più PC collegati ad Internet in NAT tramite router), abbia compiuto una certa attività in un determinato istante.
Questa distinzione sembra essere stata tenuta in considerazione dal legislatore, non si sa quanto volontariamente.
I log di accesso
Con riferimento ai log di “accesso”, le norme odierne modificano le disposizioni già introdotte con il codice della privacy: il comma 1 dell’art. 6 della legge 155 del 2005, innanzitutto, sospende l’applicazione delle disposizioni di legge che prescrivono o consentono la cancellazione dei dati del traffico telefonico o telematico (restano comunque esclusi i contenuti delle comunicazioni), limitatamente alle informazioni che consentono la tracciabilità degli accessi (nonchè, qualora disponibili, dei servizi) sino al 31 dicembre 2007. Tali dati devono essere conservati dai fornitori di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (quindi, essenzialmente, dagli ISP).
Questa disposizione incide profondamente sull’impianto normativo dell’art. 123 del D.Lgs. 196 del 2003 (Codice della privacy), che dispone invece che i dati siano solo cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica.
Il comma 2 dell’art. 6, poi, modifica l’art. 132 del Codice della Privacy (Conservazione di dati di traffico per altre finalità). L’articolo, nella versione precedente (peraltro già risultato di una precedente modifica, apportata dal decreto legge n° 354 del 2003), disponeva la conservazione dei dati relativi al traffico telefonico per finalità di accertamento e repressione dei reati per 24 mesi, nonché la conservazione degli stessi per ulteriori 24 mesi per l’accertamento e la repressione dei delitti di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici. Le norme anti-terrorismo hanno esplicitamente esteso l’applicazione di tali norme anche al traffico telematico (che si aggiunge dunque a quello telefonico); per quest’ultimo, tuttavia, sono previsti tempi di conservazione di 6 mesi + 6 mesi (invece dei 24 + 24 previsti per il traffico telefonico).
Il monitoraggio delle attività in rete
Quanto ai log “di attività”, occorre dire che, mentre le modifiche agli articoli 123 e 132 del codice della privacy interessano soprattutto i fornitori di reti pubbliche di comunicazioni e di servizi di comunicazione elettronica accessibile al pubblico, la disciplina del monitoraggio dell’attività in rete riguarda invece i soggetti che offrono connettività in locali pubblici quali Internet Point con la predisposizione di misure che questi ultimi sono tenuti ad adottare per monitorare l’attività in rete della clientela. L’articolo 2 del recente decreto ministeriale, infatti, obbliga i titolari o gestori di un esercizio pubblico o di un circolo privato di qualsiasi specie, nel quale sono poste a disposizione del pubblico, dei clienti o dei soci, apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ad adottare le misure necessarie a memorizzare e mantenere i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, abbinabili univocamente al terminale utilizzato dall’utente, esclusi comunque i contenuti delle comunicazioni effettuate dal cliente.
Tale misura si è evidentemente resa necessaria poiché, di norma, nei locali quali gli Internet Point il traffico Internet viene effettuato “uscendo” sulla rete attraverso un unico indirizzo IP pubblico (quello del router che consente la navigazione alla rete interna), che dunque risulta essere l’unico visibile dall’esterno. Gli indirizzi IP dei singoli PC utilizzati dai clienti rimangono dunque “mascherati” e, in caso di mancato monitoraggio dell’attività dei singoli PC, sarebbe impossibile risalire, ad es., all’autore di un messaggio di rivendicazione di un attentato inviato ad un “web forum”: si individuerebbe solo l’Internet Point, ma non il PC da cui è partito il messaggio.
E’ bene ricordare che il monitoraggio, tuttavia, deve riguardare solo i dati relativi alla data ed ora della comunicazione e alla tipologia del servizio utilizzato, mentre resta escluso il contenuto della comunicazione. Una volta individuato il PC da cui è partito il messaggio grazie ai log di monitoraggio, sarà dunque possibile identificare chi lo stava utilizzando in quel momento grazie al sistema di identificazione e registrazione degli accessi che i gestori sono tenuti ad approntare ai sensi dell’art. del D.M. 16 agosto 2005.
Il trattamento dei dati personali
E’ innegabile che molte delle disposizioni contenute nelle norme poc’anzi citate, seppur giustificate dalla situazione contingente, suscitino qualche perplessità, soprattutto considerando le caratteristiche di molti Internet Point: di sovente nati in corrispondenza di “phone center”, destinati ad un pubblico straniero e gestiti da stranieri; ci si chiede ad esempio se un’attività così delicata di trattamento di dati personali e di identificazione degli avventori possa essere effettuata senza problemi di sorta.
Alcuni problemi sono già stati evidenziati dagli operatori (si veda Punto Informatico del 7 settembre ) altri inevitabilmente si presenteranno con la prassi.
L’aspetto più delicato della questione riguarda sicuramente il trattamento dei dati personali: non solo, infatti, i soggetti interessati dalle nuove norme saranno tenuti a trattare tutti i dati di navigazione dei loro utenti (con tutto quello che ne consegue dal punto di vista della profilazione e della riservatezza in generale) e a conservarli e trattarli in conformità con quanto prescritto dal codice della privacy, ma i gestori dovranno, come si è già evidenziato in precedenza, anche identificare i clienti acquisendo copia del documento di identità e “certificare” che un PC, in un determinato lasso di tempo, è stato utilizzato da un certo cliente e non da un altro.
Più in generale, poi, gli adempimenti relativi alla protezione dei dati personali a carico dei gestori divengono molteplici e possono comportare, tra l’altro, la notificazione del trattamento all’Autorità Garante, l’obbligo di redazione del Documento Programmatico sulla Sicurezza, la richiesta di consenso al trattamento dei dati, nonché la resa di un’adeguata informativa.
D’altro lato le norme presentano l’innegabile merito di riproporre l’urgenza di disporre di sistemi informatici sicuri e compatibili con la disciplina del trattamento dei dati personali, che quasi tutti gli operatori, siano essi provider o titolari di internet point, o gestori di biblioteche, etc. e molti utenti dimostrano di non volere in alcun modo applicare.
Questo stato di cose non può essere protratto ulteriormente poiché l’attuale situazione di emergenza rende necessari sistemi di protezione delle infrastrutture ed un’organizzazione della sicurezza informatica molto più elevati che in passato.
Occorre ora focalizzare l’attenzione sugli obblighi e responsabilità dei gestori di connettività internet senza fili. (continua)
Fulvio Sarzana di S.Ippolito e Guido Villa
www.lidis.it