Dati del traffico: le nuove "misure" del Garante - 2

di Gloria Marcoccio* - 05.03.08

Rispetto al punto di partenza, dal quale il Garante si è mosso per l’emissione del provvedimento in questione (Art. 132 comma 5 del codice, con specifico riferimento alle finalità di accertamento e repressione dei reati), le misure per le “altre finalità”, diverse da quelle di giustizia, rappresentano, in un certo senso, un ampliamento del raggio di azione, anche alla luce di quanto era stato oggetto della recente consultazione pubblica in proposito.
In particolare al paragrafo 8 della premessa del provvedimento è chiarito che le considerazioni spese nell’ambito del provvedimento stesso, sulla natura particolarmente delicata dei dati di traffico, rileva anche per “ogni altro trattamento telefonico e telematico effettuato “dai destinatari. Più avanti, sempre nel paragrafo 8, le “altre finalità” sono enumerate, escluse quelle di giustizia, in: “fatturazione, pagamento in caso di interconnessione e commercializzazione dei servizi”.

E’ bene però leggere la frase iniziale nella parte dispositiva del provvedimento, quella riportata alla lettera c). In essa è riportato lo scopo, che delimita effettivamente il raggio d’azione richiesto per le misure, che recita: “…ai sensi dell’art. 17 del codice prescrive ai medesimi fornitori titolari del trattamento di adottare, rispetto ai dati di traffico trattati per le finalità di cui all’art. 123 del codice…, i seguenti accorgimenti e misure (par.8):… ”.

L’articolo 123 richiamato "Dati relativi al traffico", con il comma 1 stabilisce che i dati in oggetto “trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5”. Il comma 2 recita “Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l'abbonato, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale”, mentre il comma 3: “Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se l'abbonato o l'utente cui i dati si riferiscono hanno manifestato il proprio consenso, che è revocabile in ogni momento. “.

Sempre riguardo le finalità, sebbene nel provvedimento l’autorità ponga attenzione al ruoli dei tecnici, richiedendo per il loro accesso ai dati l’implementazione di determinate misure, si ritiene opportuno evidenziare che le cosiddette finalità tecniche di esercizio e manutenzione dei sistemi non sembrano, propriamente e nel loro complesso, pienamente ricomprese tra le finalità di cui all’art. 123, né nello scopo del provvedimento alla lettera c).

Sebbene le finalità e le conseguenti attività di natura tecnica siano totalmente ancillari e funzionali alla realizzazione delle finalità di cui all’art. 123 e 132, la loro importanza è essenziale per l’erogazione dei servizi di comunicazioni elettroniche. Innumerevoli sono gli standard internazionali che trattano e regolamentano anche queste attività tecniche (vedasi, a puro titolo di esempio, per la Information technology: ISO/IEC 20000-Service Management , ISO/IEC 12207-Software life cycle processes, e specificatamente per la sicurezza delle informazioni: ISO/IEC 27001-Information Security Management System). Come già anticipato nel provvedimento stesso, l’Autorità in seguito potrà ulteriormente riflettere su i ruoli tecnici e probabilmente sulla conseguente applicabilità ad essi ed al loro operato, del complesso di misure nel settore delle comunicazioni elettroniche.

Un‘altra finalità, di segno totalmente diverso rispetto alla precedente, è invece presa più volte in considerazione nel provvedimento: si tratta di quanto è connesso all’esercizio dei diritti da parte degli interessati (art. 7 e seguenti del codice). A questa, ed alla sua natura per così dire inter-allacciata alle altre finalità oggetto del provvedimento, potremo dedicare ulteriori approfondimenti in un successivo articolo.

Tornando alle misure ed accorgimenti individuati nella parte dispositiva del provvedimento alla lettera c), prima di commentarle a livello generale (il dettaglio richiederebbe uno spazio ben diverso da quello del presente articolo) occorre notare che è richiesto, ai titolari, di dare conferma al Garante dell’avvenuto integrale adempimento, ai sensi dell’art. 157 del codice (Capo III - Accertamenti e controlli, Richiesta di informazioni e di esibizione di documenti). E’ chiaro che i titolari destinatari del provvedimento opereranno allo scopo di implementare le misure e gli accorgimenti richiesti entro la data del 31 ottobre 2008 senza sentirsi stimolati a questo solo dalla attestazione richiesta ai sensi dell’art. 157; vi è comunque da rilevare che tale richiamo è importante, anche considerando che sono previste sanzioni per chi fornisce al Garante informazioni non veritiere.

Volendo vedere le cose da punto di vista positivo, queste attestazioni che i titolari dovranno fornire, potranno essere considerate come un punto di arrivo, se non proprio di conclusione, dell’interesse mostrato dall’autorità per il settore dei servizi telefonici e simili, e dei vari accertamenti e controlli che in questi ultimi anni ha effettuato presso i primari operatori dei servizi di comunicazioni elettroniche accessibili al pubblico.

Le misure e gli accorgimenti individuati per le finalità di trattamento di cui all’art. 123, come chiarito nel provvedimento stesso, rappresentano una parte di quelle individuate per le finalità di cui all’art 132 commi 1 e 2 (accertamento e repressione dei reati). Con riferimento alla classificazione di misure ed accorgimenti attuata al paragrafo 7 della premessa del provvedimento, quanto attiene ai disposti in commento è così schematizzabile:

Dedichiamo ora qualche considerazione alle misure ed accorgimenti stabiliti per la finalità di trattamento in commento.

Le novità riguardano l’adozione di sistemi di autenticazione basati su tecniche di strong authentication, con l'uso contestuale di almeno due differenti tecnologie di autenticazione (Il termine strong authentication è utilizzato anche per denotare il sistema di verifica delle identità degli utenti, sia clients sia server), senza trasmettere password sulla network, come nel caso dell’uso dei certificati digitali.
Questa autenticazione deve applicarsi per consentire gli accessi ai sistemi di elaborazione qualunque sia la modalità, locale o remota, con cui si realizzi l'accesso al sistema utilizzato per il trattamento. In ogni caso l’accesso non può aver luogo se l’utente non ha superato positivamente la fase di autenticazione sopra descritta. Gli utenti che devono sottoporsi a tale sistema di autenticazione sono tutti gli incaricati di trattamento e tutti gli addetti tecnici (amministratori di sistema, di rete, di data base) che possano accedere ai dati di traffico custoditi nelle banche dati del fornitore.

Altra novità sono gli accorgimenti e le misure indicate per gli addetti tecnici: è riconosciuta l’esistenza di casi particolari, per i quali è necessario accedere ai sistemi di elaborazione che trattano dati di traffico in assenza di strong authentication, fermo restando l'obbligo di assicurare comunque le misure minime in tema di credenziali di autenticazione previste dall'allegato B) al codice. Questi casi particolari riguardano “circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti, guasti, installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi”.
In tali casi particolari, come rafforzamento delle condizioni di sicurezza offerte dalle richiamate misure minime di sicurezza, deve essere formato e compilato il “registro degli accessi”. Questo registro deve tenere traccia di:

- eventuale accesso fisico ai locali ove sono installati i sistemi oggetto dell’intervento (potrebbe non essere necessario l’accesso fisico dato che l’intervento potrebbe essere condotto anche da remoto)
- accesso logico ai detti sistemi
- motivazioni che hanno determinato l’intervento
- descrizione sintetica delle operazioni svolte

Il registro può essere formato anche mediante l’utilizzo di sistemi elettronici. I destinatari del provvedimento devono conservare il registro presso le sedi di elaborazione, e devono porlo a disposizione del Garante in caso di accertamenti e controlli. Oltre al registro, essi devono unitamente porre a disposizione del Garante “un elenco nominativo dei soggetti abilitati all'accesso ai diversi sistemi di elaborazione con funzioni di amministratore di sistema, che deve essere formato e aggiornato costantemente dal fornitore”.

Entrambe le novità comportano senz’altro ulteriori impegni per i destinatari del provvedimento. La misura di strong authentication, come acquisto di prodotto e come relativo esercizio, dovrà quindi essere estesa a tutti i sistemi utilizzati per i trattamenti, tramite i quali è possibile “accedere ai dati di traffico custoditi nelle banche dati del fornitore”.
Da un punto di vista operativo si porrà la questione di raccordare la misura del “registro degli accessi” con similari informazioni raccolte dai vari mezzi di log già esistenti su molti sistemi di elaborazione, oltre al livello di protezione da assegnare ad un tale documento in formato elettronico e/o cartaceo, ed i tempi massimi di sua conservazione (considerando anche dell’obbligo di metterlo a disposizione in caso di accertamenti e controlli).

E’ poi appena il caso di ricordare che solo in “circostanze eccezionali, legate a indifferibili interventi per malfunzionamenti,…” vale l’autenticazione a mezzo delle misure minime e con il supporto del “registro degli accessi”; altrimenti anche per gli addetti tecnici è richiesta la strong authentication.

Sistemi di autorizzazione

Il requisito riguarda la separazione tra le funzioni tecniche che consentono:
- assegnazione delle credenziali di autenticazioni ed i profili di autorizzazione agli utenti
- gestione tecnica dei sistemi e delle basi dati
e richiede l’adozione di procedure atte a garantire la separazione tra le due tipologie.

Normalmente i sistemi di elaborazione utilizzati per i trattamenti in oggetto sono di dimensioni e natura tali da richiedere competenze distinte per espletare le due funzioni tecniche, quindi, in un ambiente tecnologicamente aggiornato, con personale qualificato e con definizioni dei ruoli allineati ai correnti standard de facto sulla cosiddetta duty separation, non dovrebbero presentarsi particolari difficoltà, almeno in confronto con il precedente requisito su i sistemi di autenticazione.

Cancellazione dei dati

I dati devono essere resi immediatamente non disponibili, per le elaborazioni dei sistemi informativi, allo scadere dei termini previsti dalla legge, quindi devono essere resi anonimi oppure cancellati, in tempi tecnicamente compatibili con l'esercizio delle relative procedure informatiche, nei data base e nei sistemi di elaborazione utilizzati per i trattamenti, nei sistemi e nei supporti per la realizzazione di copie di sicurezza (backup e disaster recovery) effettuate dal titolare anche in applicazione di misure previste dalla normativa vigente. Questa parte della prescrizione è già presente nel corpo del codice (art.123 comma 1), nel provvedimento in oggetto è ulteriormente ribadita ed è circoscritta con maggior dettaglio nei riguardi dei sistemi e dei mezzi su i quali deve essere attuata.

Il provvedimento include poi una novità: è richiesto al titolare di documentare che i dati siano stati cancellati o resi anonimi entro i trenta giorni successivi alla scadenza dei termini di conservazione (art. 123). Non sono imposti limiti da osservare per la conservazione di queste documentazioni.

Le altre misure si riferiscono alle soluzioni informatiche da adottare per il controllo delle “attività svolte sui dati di traffico da ciascun incaricato del trattamento, quali che siano la sua qualifica, le sue competenze e gli ambiti di operatività e le finalità del trattamento” (sistemi di auditing). La novità del requisito, rispetto a simili prescrizioni già presenti nel codice o in altri provvedimenti del Garante, è nella quantità dei dettagli.
E’ richiesto un elevato livello di protezione per i sistemi di audit log in quanto deve essere garantita la “completezza, l'immodificabilità, l'autenticità delle registrazioni in essi contenute, con riferimento a tutte le operazioni di trattamento e a tutti gli eventi relativi alla sicurezza informatica sottoposti ad auditing. A tali scopi il fornitore deve adottare, per la registrazione dei dati di auditing, anche in forma centralizzata per ogni impianto di elaborazione o per datacenter, sistemi di memorizzazione su dispositivi non alterabili. Prima della scrittura, i dati o i raggruppamenti di dati devono essere sottoposti a procedure informatiche per attestare la loro integrità, basate sull'utilizzo di tecnologie crittografiche”.

Sistemi di auditing con caratteristiche rispondenti a quanto richiesto da questa prescrizione ovviamente esistono, ma non è detto che siano già presenti ed in funzione per la totalità dei casi inclusi nel trattamento per le finalità dell’art.123 del codice. Pertanto si ritiene che la piena implementazione di queste misure non sarà operazione semplice, anche perché i sistemi di elaborazione ai quali si riferiscono sono pressoché tutti in esercizio ed operativamente coinvolti nell’erogazione di servizi ai clienti, quindi disguidi o fermi vari potrebbero presentare ulteriori criticità per gli operatori.
In ultimo, un sistema di auditing così dettagliato e circostanziato dovrà essere adeguatamente supervisionato in tutte le sue implicazioni in relazione agli aspetti di controllo a distanza sui lavoratori.

La prescrizione è una novità e richiede la documentazione, da mantenere aggiornata, dei sistemi informativi utilizzati per il trattamento dei dati di traffico secondo gli standard e le consuetudini applicati correntemente nell’ingegneria del software. Nella descrizione dei vari tipi di documentazione richiesti è fatto esplicito riferimento all’informazione concernente “l'esatta ubicazione dei sistemi nei quali vengono trattati i dati per le finalità di accertamento e repressione di reati”. Considerando che le prescrizioni di cui alla lettera c) sono riferite al trattamento di dati di traffico per le finalità indicate all’art.123 del codice, probabilmente questa indicazione non è completamente pertinente.

Sebbene sia ragionevole ritenere che la documentazione richiesta sia nel complesso gia esistente, nella forma e nella sostanza, così come individuata nella prescrizione, è comunque ipotizzabile un aggravio di impegno per i destinatari del provvedimento, in relazione alla formazione e aggiornamento dei documenti.
La documentazione, altro elemento di novità, deve essere messa a disposizione dell’Autorità su sua eventuale richiesta insieme alle informazioni di “dettaglio sui soggetti aventi legittimo accesso ai sistemi per il trattamento dei dati di traffico”. Il livello di dettaglio richiesto su tali soggetti non è (purtroppo, o per fortuna) esplicitato.
 

* Ingegnere, esperto tecnico-legale ICT - glory @ glory.it