Nessuno ha digerito l’estensione di un anno delle più controverse misure del Decreto Pisanu, decisa di recente dal fu Governo Prodi e men che mai l’ha digerita il Garante per la privacy , che in una nota venerdì ha avvertito operatori telefonici e provider: chi non tiene sottochiave, al sicuro, i dati degli utenti italiani rischia grosso . Ed è sottinteso che a rischiare più di tutti sono proprio gli utenti.
Utenti che non sempre sanno quanto delle loro conversazioni e connessioni viene conservato: numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete. Informazioni riservate, anzi, riservatissime che possono consentire agli inquirenti in caso di indagine, e si spera solo a loro, di conoscere nel dettaglio la rete di relazioni dell’individuo, i suoi interessi, le sue abitudini, persino i suoi spostamenti.
Informazioni che proprio alla luce del Pisanu esteso saranno conservati per 4 anni (quelli Internet) e 8 anni (quelli telefonici). Nella prima tipologia rientrano i dati di accesso ad Internet, quelli email e i fax, gli SMS e gli MMS gestiti via Internet. Come dati telefonici si intendono tutte le chiamate, comprese messaggerie vocali, conferenze, fax, chiamate non risposte, servizi supplementari come inoltro o trasferimento di chiamata, utilizzo dei servizi di messaging o di quelli multimediali
Tutto questo non può essere preso alla leggera: con un provvedimento ad hoc richiamato venerdì scorso, il Garante ha fissato proprio in queste settimane le regole base per la messa in sicurezza dei dati che vengono conservati dai gestori “per finalità di accertamento e repressione dei reati, e per le altre finalità ammesse dalla normativa”. Un provvedimento che giunge nei giorni della presa di posizione del Garante verso gli operatori di telefonia mobile, a cui è stata contestata la conservazione non solo di tutti i dati succitati ma anche del log dei siti Internet visitati.
Entro il prossimo 31 ottobre tutti i gestori dovranno adottare le regole base e comunicare al Garante di averlo fatto, con l’eccezione degli operatori di esercizi pubblici e netcafé, i webmaster che diffondono contenuti, i motori di ricerca, le aziende pubbliche e private che mettono a disposizione del proprio personale reti telefoniche ed informatiche “o che si avvalgono di server messi a disposizione da altri soggetti”. L’esclusione dei motori di ricerca è dovuta, in quanto i dati che possono trattare, i search eseguiti appunto, sono assimilabili a contenuti la cui conservazione non è consentita. Ed è con un approccio simile che il Garante esclude anche i webmaster.
Ma ecco di seguito le regole del Garante , che saranno pubblicate nei prossimi giorni in Gazzetta Ufficiale:
Accesso ai dati
Dev’essere ristretto a personale incaricato, che può accedere ai dati solo dietro identificazione certa, e sempre con almeno un mezzo biometrico (l’esempio è quello delle impronte digitali). Il principio è quello della strong authentication , ossia dell’uso contestuale di almeno due sistemi di riconoscimento.
In questo personale vengono compresi, “salvo limitati casi di necessità”, anche gli amministratori di sistema , “figure chiave della sicurezza delle banche dati sul cui ruolo, spesso sottovalutato anche nei settori più delicati, il Garante prevede di iniziare una riflessione approfondita”.
Accesso ai locali
I server sui quali girano i dati o che li trattano devono essere installati in locali ad accesso selezionato. I sistemi di elaborazione che trattano dati telefonici “per esclusive finalità di giustizia” devono ricorrere alla biometria per consentire l’accesso ai locali.
Quando si parla di “esclusive finalità di giustizia” si parla di dati che possono essere usati solo per finalità di accertamento e repressione dei reati, e che quindi non possono essere comunicati dagli operatori in caso di controversie civili, amministrative o contabili. Si tratta di dati che come prescritto rimangono conservati oltre i primi sei mesi .
Sistemi di autorizzazione
Come impone una seria politica di sicurezza le funzioni di chi assegna le credenziali di autenticazione e quelle di chi accede fisicamente ai dati devono essere rigidamente separate.
Dovranno essere previsti livello di accesso diversificato qualora l’accesso ai dati sia dovuto alla gestione ordinaria o avvenga invece per finalità di accertamento e repressione di reati.
Tracciamento attività del personale
Poter ricostruire tutti i movimenti e tutte le operazioni che vengono compiute dal personale incaricato viene percepito come essenziale. Gli audit log per registrare le “mosse” di admin e personale sono considerati essenziali per assicurare la massima trasparenza nella gestione dei sistemi.
Conservazione separata
Stante la sicurezza fisica e di controllo degli accessi che deve essere centrale di ogni installazione, il Garante impone anche che siano mantenuti separatamente i dati usati per le funzioni aziendali quali la fatturazione, il marketing, le statistiche o l’antifrode, da quelli invece pensati per “esclusive finalità di accertamento e repressione dei reati”.
Cancellazione dei dati
L’eliminazione dei dati allo scadere del periodo di conservazione deve essere eseguita con particolare attenzione: devono essere resi cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati. Una eliminazione, evidentemente, che seppure il Garante non lo espliciti espressamente, dovrà essere eseguita in modo da rendere quei dati irrecuperabili anche in un secondo momento.
Controlli interni
Gli audit log e tutte le altre informazioni, procedure e policy posti in essere per preservare e tutelare i dati degli utenti e i sistemi di trattamento devono essere sottoposti a controlli periodici, così come è necessario verificare periodicamente che i dati che sono stati eliminati lo siano effettivamente.
Sistemi di cifratura
Com’è ovvio i dati conservati e trattati per finalità esclusive di giustizia devono essere protetti con “tecniche crittogafiche”, una misura pensata “contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software)”.
Informazioni di controllo
“I sistemi informativi utilizzati per il trattamento dei dati di traffico – prescrive il Garante – devono essere documentati in modo idoneo secondo i principi dell’ingegneria del software, evitando soluzioni documentali non corrispondenti a metodi descrittivi standard o di ampia accettazione”.
La descrizione deve comprendere, per ciascun sistema applicativo, l’architettura logico-funzionale, l’architettura complessiva e la struttura dei sistemi utilizzati per il trattamento, i flussi di input/output dei dati di traffico da e verso altri sistemi, l’architettura della rete di comunicazione, l’indicazione dei soggetti o classi di soggetti aventi legittimo accesso al sistema.
La documentazione va corredata con diagrammi di dislocazione delle applicazioni e dei sistemi , da cui deve risultare anche l’esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati.