Diritto.it/ File di log e nuova privacy

di G. Costabile - Cosa è cambiato con le ultime normative? Che fine fanno i dati relativi al traffico internet? Quali sono gli obblighi per i provider? E le necessità investigative?


Roma – Premessa
Anche se con un po’ di ritardo, rispetto alle scadenze prefissate, il Consiglio dei Ministri ha approvato, in data 27.06.2003, un decreto legislativo che accorpa in un unico codice le disposizioni in materia di protezione dei dati personali.

Infatti già dal 2001 il legislatore aveva indicato l’opportunità di compendiare le varie disposizioni in materia in un testo unico ad hoc, a causa della dispersività e talvolta ripetitività di talune disposizioni di aggiornamento della L. 675/96, al fine di coordinare le norme vigenti ed apportare le integrazioni o modificazioni necessarie, anche per “per assicurarne la migliore attuazione”.

Successivamente, ad acclarare tale esigenza, erano sopraggiunte le disposizioni previste dalla direttiva 2002/58 del Parlamento europeo e del Consiglio del 12 luglio 2002, afferente la privacy nel settore delle comunicazioni elettroniche, a seguito della quale veniva prorogato il termine per l’adozione del presente codice, anche al fine del preventivo recepimento della citata direttiva.

Necessità di una regolamentazione: il contesto precedente
Una delle innovazioni più importanti di questo decreto legislativo, di prossima pubblicazione in Gazzetta Ufficiale, è la previsione ex lege – e la relativa liceità – della conservazione dei dati ai fini investigativi, per favorire l’identificazione e l’accertamento dei responsabili di fatti penalmente rilevanti.

Infatti fino ad oggi, come è noto, non esisteva alcun obbligo di conservazione dei dati ai fini investigativi . Il decreto legislativo 13 maggio 1998, n. 171 – aggiornato ex dlgs. 467/01-, che ha recepito nel nostro ordinamento la direttiva 97/66/CE del 15 dicembre 1997, all’art. 4 prevedeva (rectius: prevede fino all’entrata in vigore del T.U.) che i dati personali relativi al traffico dovevano essere “cancellati o resi anonimi al termine della chiamata”, fatte salve le finalità di fatturazione, nel qual caso il trattamento era consentito fino alla fine del periodo durante il quale poteva essere legalmente contestata la fattura o preteso il pagamento.

In realtà le società di telecomunicazione, ed in particolare gli Internet Service Provider, sensibilizzati in alcune occasioni dalle stesse associazioni di categoria, garantivano la conservazione delle informazioni utili all’Autorità Giudiziaria fino a 5 anni, pur senza un preciso obbligo giuridico. Non era però sanzionabile la condotta di alcune realtà imprenditoriali più piccole che, principalmente per motivi di snellimento dei costi, non conservavano le informazioni – i cd. file di log -, risultando loro malgrado un ostacolo per le attività di indagine, sempre più spesso vincolate a queste informazioni.

Nel settembre 2001 e in gennaio 2002 alcuni parlamentari richiedevano al ministro Castelli di promuovere l’introduzione dell’obbligo di conservazione di queste informazioni digitali, in quanto asseritamente indispensabili ad accertare i reati informatici, in particolare per l’aumento di quelli aventi ad oggetto la pedopornografia. Il Ministro si diceva favorevole alla conservazione, a prescindere dal consenso dell’interessato, evidenziando che tale lacuna legislativa poteva essere colmata proprio con la stesura del testo unico sulla privacy.

Molti furono i commenti alle citate interrogazioni parlamentari e il ministro Stanca si disse favorevole all’introduzione di un “anonimato protetto”, un sistema che obblighi il provider a conservare i dati in database sicuri che potranno essere forniti, su richiesta, alle autorità competenti. Altri, tra i quali lo stesso Garante, posero l’accento sul cosiddetto principio di proporzionalità, ovvero sulla necessità di conciliare le esigenze delle autorità inquirenti in materia di reati informatici con il diritto alla privacy dei cittadini. Paolo Nuti invece, Presidente dell’Associazione Italiana Internet Provider (Aiip), che sollecitava da tempo l’uso obbligatorio del registro “Cli” (calling line identification, che permetterebbe, se non l’auspicabile identificazione dell’utente, almeno la sua localizzazioine geografica), affermò che la restrizione del diritto alla riservatezza non era necessariamente sinonimo di riduzione dei computer crimes, in quanto i responsabili di un’attività illecita, avendo il timore di essere controllati, si organizzeranno per aggirare i controlli e non lasciare tracce.

Le novità introdotte
Il decreto legislativo in parola, che entrerà in vigore per la quasi totalità dal 1 gennaio 2004, ha introdotto, tra l’altro, una distinzione tra le finalità civilistiche e penali, in ordine alla conservazione di dati da parte delle società di telecomunicazioni.

Infatti l’art. 123, che riguarda il trattamento dei dati relativi al traffico, dispone che il periodo di tempo entro il quale il fornitore può trattare i dati strettamente necessari per la fatturazione, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, non deve essere superiore ai sei mesi.

Parallelamente invece l’art. 132, in attuazione all’art. 15 della direttiva 2002/58 che attribuisce allo Stato membro la facoltà di adottare disposizioni volte a limitare alcuni diritti ed obblighi previsti dalla medesima direttiva quando ciò sia necessario per eccezionali esigenze di tutela di particolari interessi pubblici delimitati, dispone che, fermo restando quanto previsto dall’articolo 123 per la conservazione ai fini civilistici, i dati relativi al traffico siano conservati dal fornitore per un periodo non superiore a trenta mesi , per finalità di accertamento e repressione di reati.

Quindi per la prima volta viene introdotto un preciso obbligo giuridico di conservazione , con l’opportuna scelta del legislatore di non delineare le modalità operative di “gestione” delle informazioni, alle quali si rimanda ad un successivo decreto del Ministro della giustizia, di concerto con i ministri dell’interno e delle comunicazioni, su conforme parere del Garante.

In generale si prescrive, ex art. 32, una mera applicazione delle misure di sicurezza da parte di fornitori di servizi di comunicazione elettronica, come già indicato dall’art. 2 del d.lgs. 171/1998, anche per salvaguardare l’integrità dei dati trattati e delle comunicazioni elettroniche contro il rischio di intercettazione o altra abusiva cognizione ed utilizzazione.

In questa sede pare meritevole sottolineare come già da tempo, forse non sempre idoneamente, altre fonti del diritto di rango inferiore, avevano determinato l’obbligo di conservazione dei dati. Infatti già il Ministero delle attività produttive, con circolare n. 3547/C del 17 giugno 2002, al fine di garantire una sorta di controllo a posteriori sulla correttezza delle aste on line, contemplava l’obbligo di registrazione di “tutte le operazioni compiute durante la giornata”. A tal fine “la memorizzazione, realizzata anche per ogni singola asta, deve comprendere, in via esemplificativa, la pagina web contenente l’offerta e la descrizione del prodotto, la data di avvio dell’asta, il termine di validità dell’offerta, l’aggiudicatario dell’offerta, il prezzo pagato, nonché le modalità di consegna e di pagamento qualora queste informazioni siano state parte integrante dell’offerta”.

Analogamente il “Centro Tecnico per la rete unitaria della PA”, con la pubblicazione nel febbraio 2003 delle “Linee Guida del servizio di trasmissione di documenti informatici mediante posta elettronica certificata” e del relativo “Allegato Tecnico”, determinava un medesimo obbligo di conservazione delle tracce delle operazioni svolte, per un periodo di almeno due anni, disponendo altresì di “adottare le soluzioni tecniche ed organizzative che garantiscano la riservatezza e la sicurezza (autenticità ed inalterabilità nel tempo)” delle informazioni in esso contenute.

Le menzionate previsioni espresse dell’obbligo di conservazione dei dati, indubbiamente condivisibili, hanno segnato non pochi dubbi sulla legittimità di tali disposizioni, nel contesto normativo precedente all’entrata in vigore di questo testo unico.

Conclusioni
In realtà, come agevolmente si evince, l’introduzione dell’obbligo di conservazione dei dati è solo un primo passo, non risolutivo, nella normativa del trattamento delle tracce informatiche. La scelta operata dal legislatore è quella di evitare un precisa regolamentazione nella fase di predisposizione di un testo unitario per la privacy, con la finalità di evitare inutili disposizioni di dettaglio che avrebbero altresì appesantito ulteriormente il decreto e sarebbero velocemente risultate obsolescenti, attesa altresì la repentina evoluzione tecnologica nel settore delle telecomunicazioni.

Sarà quindi necessario impartire, nelle citate disposizioni di attuazione di rango inferiore, le modalità operative che consentano di garantire quanto già espresso da parte della dottrina in ordine alla integrità, attendibilità e non ripudiabilità delle informazioni conservate e trattate, da esibire all’Autorità Giudiziaria.

La necessità di preservare, archiviare e proteggere l’integrità delle tracce informatiche per lunghi periodi di tempo è strettamente legata all’integrità dei singoli processi, delle procedure e della sicurezza fisica degli accessi. Questi metodi sono però onerosi da implementare, non solo economicamente ma anche nell’azione di sensibilizzazione delle politiche di sicurezza, ma necessari al fine di rifuggire da potenziali errori, incidenti colposi o peggio ancora dolosi.

Come è facilmente ipotizzabile, un file contenente testo è certamente quello più “sensibile” sotto questo profilo. I file di log , che tracciano le varie attività in rete dei navigatori dal momento della connessione, seppure creati in modo automatico da sistemi informatici e quindi aventi un valore più pregnante nella formazione della prova in un procedimento penale, sono comunque dei semplici file di testo. Purtroppo in Italia è ancora sottovalutato il problema della conservazione e della “certificazione” di questi dati ai fini investigativi i quali, proprio a causa della loro natura marcatamente aleatoria, sono suscettibili di modifiche colpose e/o dolose: per questo motivo, quindi, dovrebbe essere meglio regolamentata non solo la conservazione, preferibilmente in modalità crittografata, ma anche la produzione e la certificazione con strumenti simili alla firma digitale, prevedendo forme di ammortamento agevolato per le società private, che sarebbero inevitabilmente piegate sotto il peso dei cospicui costi di implementazione della piattaforma tecnologica.

Attendiamo quindi le disposizioni di dettaglio del legislatore, auspicando che sia garantita la genuinità del dato informatico, la provenienza e, non in ultimo, un riferimento temporale certo, già previsto per la firma digitale e per la posta elettronica certificata, sensibilizzando quindi i provider ad una maggiore accuratezza ovvero ottemperando sempre meglio ai principi di “confidentiality, integrity, availability” delle tracce informatiche, fragili per antonomasia.

Gerardo Costabile
Diritto.it
Link all’articolo originale (con note):
http://www.diritto.it/articoli/dir_tecnologie/costabile.html#_ftn4

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Terra2 scrive:
    Scusate ma...
    ...qualcuno può confermare o smentire le "chiacchiere" riguardanti il fatto che ms sia in pratica l'effettiva proprietaria di yahoo?
    • Anonimo scrive:
      Re: Scusate ma...
      Interessante ipotesi... Bill è ovunque e non si vede....Curiosità dove l'hai sentita questa notizia?- Scritto da: Terra2
      ...qualcuno può confermare o smentire le
      "chiacchiere" riguardanti il fatto che ms
      sia in pratica l'effettiva proprietaria di
      yahoo?
  • Anonimo scrive:
    Zio Bill salvaci tu...
    ...dal monopolio yahoo!
  • Anonimo scrive:
    Diamoci sotto
    ok ragazzi, adesso oltre a Microsoft abbiamo anche Yahoo. puntare, mirare ....
    • Anonimo scrive:
      Re: Diamoci sotto
      forse vi e' sfuggito.. ma overture (che potete trovare all'indirizzo www.overture.com) ha siglato proprio con microsoft un accordo (oltre che con altri portali) per l'uso della search dal portale.. ergo il duopolio sara' overture vs. google. ma a noi che importa se funziona bene? thomashttp://costameno.splinder.it
  • SiN scrive:
    Praticamente... iI resto del mondo!
    Tutti i migliori motori, dopo Google, nelle stesse mani!Uhm.. edo un dualismo all'orizzonte
  • Anonimo scrive:
    rovineranno alltheweb?
    finora ha funzionato meglio di google ma ora?
    • cla scrive:
      Re: rovineranno alltheweb?
      Ora i manager di Alltheweb stanno bevendo champagne in quanto saranno i prossimo ad essere scalati con benefits e ammenicoli vari ;-)Cla
      • Anonimo scrive:
        Re: rovineranno alltheweb?
        - Scritto da: cla
        Ora i manager di Alltheweb stanno bevendo
        champagne in quanto saranno i prossimo ad
        essere scalati con benefits e ammenicoli
        vari ;-)Beh per ora gia' sono stati comprati da Yahoo non so cos'altro possono volere ;)
  • Anonimo scrive:
    E MS?
    Che fa? Guarda e aspetta?
    • Anonimo scrive:
      Re: E MS?
      - Scritto da: Anonimo
      Che fa? Guarda e aspetta?Cos'e'? Speri che ti venga a salvare dal monopolio di GUGLE?
      • Anonimo scrive:
        Re: E MS?
        no il motore di ricerca MS diventera' l'unico motore del web, integrato anche con il cercadocumenti di win! mi chiedo solo quando.
        • Anonimo scrive:
          Re: E MS?
          - Scritto da: Anonimo
          no il motore di ricerca MS diventera'
          l'unico motore del web, integrato anche con
          il cercadocumenti di win! mi chiedo solo
          quando.guarda che e' gia' in funzione ...
          • Anonimo scrive:
            Re: E MS?
            - Scritto da: Anonimo

            - Scritto da: Anonimo

            no il motore di ricerca MS diventera'

            l'unico motore del web, integrato anche
            con

            il cercadocumenti di win! mi chiedo solo

            quando.

            guarda che e' gia' in funzione ... se non lo sapevi sei un po indietro, basta scaricare il servis pac.
          • Anonimo scrive:
            Re: E MS?
            reagazzi qui si parla del nuovo motore di ricerca che msn ha annunciato(parole parole parole) ...... oltre ad essere utonti siete anche poco informati sulla vs begniamina $MSnon ditemi che attualmente usate msn.it per le ricerche ..... mi scompiscio dalle risate
        • Anonimo scrive:
          Re: E MS?
          ma va a farti friggere .... pirla di un utontoquando proverai a cercare "database" e al primo posto apparirà "access" la tua(e di tutti gli utonti) libertà di ricerca sarà finita .... o forse speri che M$ si comporti in maniera trasparente ..... quando MAI !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!dammi solo un caso .....
    • Anonimo scrive:
      Re: E MS?
      MSN gira sul circuito di Overture, percio' teoricamente yahoo potrebbe controllare la pubblicita' di MSN. Anche Tiscali ed Excite girano su Overture. Secondo me Yahoo-Overture perderanno dei grossi contratti... e nella mia testolina qualcosa mi da a credere che ci saranno forti coalizioni contro Google.. tipo Microsoft-Tiscali ecc...
  • Anonimo scrive:
    Google contro tutti
    di questo passo rimarra' solo lui contro yahoo. meno male che microsoft sta sviluppando il suo motore
    • Anonimo scrive:
      Re: Google contro tutti
      - Scritto da: Anonimo
      di questo passo rimarra' solo lui contro
      yahoo. meno male che microsoft sta
      sviluppando il suo motore non ti preoccupare, c'e' anche virgilio che ci para il fondoschiena
    • Akiro scrive:
      Re: Google contro tutti
      vabbè.. microsoft però sta facendo come quelle starlette della tivù... sta diventando un po' prezzemolina ;)cmq w google
Chiudi i commenti