Provvedimento Sicurezza dei dati di traffico telefonico e telematico e gestione dei log

Articoli

  • compliance normativa
  • log
  • log management

Provvedimento Sicurezza dei dati di traffico telefonico e telematico e gestione dei log

Il Provvedimento “Sicurezza dei dati di traffico telefonico e telematico” del 27 Gennaio 2008 è un provvedimento del Garante Privacy. Ha come obiettivo quello di individuare delle misure e degli accorgimenti per i fornitori di servizi di comunicazione elettronica da adottare nella conservazione dei dati di traffico telefonico e telematico. Perché questo? Il trattamento di questi dati presenta rischi specifici per i diritti, le libertà fondamentale e la dignità dell’interessato che il Garante vuole proteggere.

Il provvedimento Sicurezza dei dati di traffico telefonico e telematico – 17 gennaio 2008

Il Provvedimento si articola in più sezioni:

  1. Considerazioni preliminari
  2. Quadro di riferimento
  3. I fornitori tenuti a conservare i dati di traffico
  4. I dati di traffico che devono essere conservati
  5. Le finalità perseguibili
  6. Le modalità di acquisizione dei dati
  7. Misure e accorgimenti prescritti
  8. Applicazione di alcune misure a dati trattati per altre finalità

In questo articolo tratteremo solo alcuni punti, specifici per il log management.

2 Quadro di riferimento

La vigente normativa prescrive ai fornitori di servizi di comunicazione elettronica la conservazione i dati di traffico telefonico e telematico rispettivamente per 24 e 6 mesi. Questo periodo di retention può essere aumentato, rispettivamente di 24 e 6 mesi, nei casi di accertamento e repressione dei delitti dell’art 407, comma 2, lett. a), c.p.p. e dei delitti in danno a sistemi informatici o telematici. Viene identificato da subito il tempo minimo necessario per la conservazione dei dati.

3 I fornitori tenuti a conservare i dati di traffico

I soggetti tenuti a conservare i dati di traffico sono i fornitori di servizi comunicazione elettronica su reti pubbliche di comunicazione, da cui vanno escluse alcune categorie come:

  • i soggetti che offrono direttamente servizi di comunicazione elettronica a gruppi delimitati di persone;
  • I soggetti che non generano o trattano i dati di traffico relativi;
  • i titolari e i gestori di esercizi pubblici o di circoli privati di qualsiasi specie che si limitino a porre a disposizione del pubblico, di clienti o soci apparecchi terminali utilizzabili per le comunicazioni, anche telematiche, ovvero punti di accesso a Internet utilizzando tecnologia senza fili, esclusi i telefoni pubblici a pagamento abilitati esclusivamente alla telefonia vocale;
  • i gestori dei siti Internet che diffondono contenuti sulla rete (c.d. “content provider“);
  • i gestori di motori di ricerca.

4 I dati di traffico che devono essere conservati

L’obbligo di conservazione riguarda i dati relativi al traffico telefonico, inclusi quelli concernenti le chiamate senza risposta, nonché i dati inerenti al traffico telematico, esclusi i contenuti delle comunicazioni e in particolare, sono oggetto di conservazione i dati che i fornitori sottopongono a trattamento per la trasmissione della comunicazione o per la relativa fatturazione.

Ma in che cosa si differenziano i dati di servizi telematici e telefonici? I primi racchiudono al loro interno:

  • l’accesso alla rete Internet;
  • la posta elettronica;
  • i fax (nonché i messaggi sms e mms) via Internet;
  • la telefonia via Internet (VoIP).

Mentre i dati di traffico telefonico sono:

  • le chiamate telefoniche, incluse le chiamate vocali, di messaggeria vocale, in conferenza e di trasmissione dati tramite telefax;
  • i servizi supplementari, inclusi l’inoltro e il trasferimento di chiamata;
  • la messaggistica e i servizi multimediali, inclusi i servizi di messaggeria breve-sms.

7 Misure e accorgimenti prescritti

Questa è una delle sezioni più interessanti poiché richiama esplicitamente alla gestione dei log e alla stesura di reportistica per verifiche ispettive o di controllo periodico.

7.1. Sistemi di autenticazione

Il trattamento dei dati, oggetto del provvedimento, deve essere consentito solo agli incaricati del trattamento ed effettuato attraverso sistemi di autenticazione basati sulla strong authentication (formata da almeno due differenti tecnologie di autenticazione da usare in contemporanea)

In particolare per i dati di traffico conservati per finalità di accertamento e repressione dei reati una delle tecnologie di autenticazione deve basarsi sulle caratteristiche biometriche dell’individuo in modo che si possa accertare la presenza fisica al terminale della persona.

Queste modalità valgono non solo per gli incaricati al trattamento ma anche per tutti gli addetti tecnici che possono accedere ai dati, ad esempio Amministratori di Sistema, Amministratori di rete e amminsitratori di database.

Inoltre per tutte le attività di questi addetti tecnici dovrà essere tenuto un registro degli accessi e degli eventi per monitorare le loro attività sopratutto quando effettuano interventi non diretti sui dati oggetto del provvedimento come sistemazione di malfunzionamenti e guasti oppure installazioni, aggiornamenti e riconfigurazioni.

7.5. Cancellazione dei dati

Allo scadere del periodo di conservazione dei dati (i 24 e i 6 mesi del punto 2) si deve procedere alla cancellazione del dato senza ritardi.

7.6. Altre misure

Audit log

Per assicurare il controllo delle attività sui dati di traffico di ogni incaricato al trattamento, devono essere registrate in un apposito audit log le operazioni compiute direttamente o indirettamente sui dati di traffico e sugli altri dati personali connessi.

I sistemi di audit log devono garantire la completezza, l’immodificabilità e l’autenticità delle registrazioni che contengono e con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing.

Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull´utilizzo di tecnologie crittografiche.

7.7. Audit interno–Rapporti periodici

Con cadenza almeno annuale deve essere svolta un’attività di controllo interno dai titolari del trattamento demandata ad un’unità organizzativa diversa o a personale a cui non è affidati il trattamento dei dati oggetto di questo provvedimento.

I controlli devono comprendere anche verifiche a posteriori su alert e riscontro di anomalie.

L’attività deve essere accuratamente documentata e l’esito del controllo deve essere:

  • comunicato alle persone e agli organi legittimati ad adottare decisioni e a esprimere, a vari livelli in base al proprio ordinamento interno, la volontà della società;
  • richiamato nell´ambito del documento programmatico sulla sicurezza nel quale devono essere indicati gli interventi eventualmente necessari per adeguare le misure di sicurezza;
  • messo, a richiesta, a disposizione del Garante o dell´autorità giudiziaria.

In chiusura

A chiusura di questo articolo va specificato che i seguenti provvedimenti e regolamenti successivi hanno integrato, sosttuito o retificato il provvedimento tema di questo articolo:

E’ possibile richiedere maggiori informazioni sul Provvedimento “Sicurezza dei dati di traffico telefonico e telematico” e sul log management compilando il form qui sotto.