Garante Privacy. Illecita archiviazione di dati sensibili
Da AgoraWiki.
[modifica] Articoli e post sulla questione
--Biagioceli 09:17, 4 mar 2010 (UTC)
[modifica] Urgente aggiornare l'attuale DL 196/2003 con la proposta di Legge 257/2008
--Biagioceli 11:09, 3 mar 2010 (UTC)
Agorà Digitale sottolinea la urgente necessità di aggiornare l'attuale Decreto legislativo del 30 giugno 2003, n. 196, con la proposta di legge radicale 257/2008 "Norme in materia di raccolta, uso, conservazione e cancellazione di dati georeferenziati o cronoreferenziati, contenenti identificatori univoci di utente, effettuati mediante apparecchiature automatiche" (Data retention e privacy).
La legge, presentata alla Camera dei deputati il 29 aprile 2008 e assegnata alla II Commissione Giustizia il 24 giugno 2008, definisce il periodo massimo di conservazione dei dati, compatibile con le esigenze amministrative e tecniche, e l'obbligatorietà della cancellazione dei dati alla scadenza dei termini di conservazione. Il divieto, salvo casi regolati, di conservazione dei dati per scopi diversi da quelli per cui sono stati raccolti. La possibilità di deroga previa comunicazione all’Autorita` garante. La definizione di situazioni standard non soggette a comunicazione. L'assegnazione di ruoli e responsabilità alle figure gia` definite dal testo unico.
La cancellazione dei dati dovrebbe essere la regola, non l’eccezione. Infatti l'Autorità Garante della privacy ha vietato a tre società che operano nel settore della telefonia e del web, Tiscali, Postemobile e NGI (Navigazione Generale Italiana), l'uso di dati trattati in modo illecito ordinandone la cancellazione. L'esperienza di appena due anni fa, dello scandalo delle intercettazioni telefoniche, sembra non sia servito a granché alla nostra classe imprenditoriale e politicia.
Sono stati archiviati perfino informazioni relative a gusti personali, opinioni, tendenze degli utenti, che non avrebbero mai dovuto essere archiviate nei data base e in un caso i dati di traffico telefonico risalivano addirittura a marzo 1999 e quelli di traffico telematico a giugno 2007.
I dati di traffico telefonico, come il numero chiamato, la data e l'ora, e quelli internet, come indirizzi e-mail e accessi alla rete, sono assolutamente delicati perché, anche se non riguardano il contenuto delle comunicazioni, permettono di ricostruire abitudini e informazioni di una persona.
In particolare a Tiscali Italia S.p.A., la quale ha nominato Telecom per il trattamento dei dati personali, è stata chiesta la cancellazione dei dati personali relativi all'oggetto dei messaggi di posta elettronica presenti nel database contenente i log delle e-mail inviate e/o ricevute dai suoi clienti e i dati di traffico telefonico e telematico trattati oltre i termini previsti (Art. 132, comma 1 del Codice).
A PosteMobile S.p.A. il divieto dell’ulteriore trattamento, in qualsiasi forma e grado di dettaglio, di dati personali relativi ai siti web visitati dagli utenti, anche quando tali dati siano specificati con mero indirizzo IP di destinazione (Art. 154, comma 1, del Codice).
A NGI S.p.A. di procedere alla cancellazione dei dati trattati oltre i termini previsti dal Codice, di adottare, al fine di garantire la sicurezza dei flussi informativi con l'autorità giudiziaria, sistemi di comunicazione basati su strumenti telematici sviluppati con protocolli di rete sicuri, di utilizzare strumenti di cifratura basati su firma digitale per la comunicazione all'autorità giudiziaria dei risultati dell'attività strumentale svolta, di utilizzare nelle comunicazioni con l'autorità giudiziaria la posta elettronica Internet esclusivamente nella forma della posta elettronica certificata (Pec), di ricorrere alla consegna manuale di documenti esclusivamente tramite soggetti delegati dall'autorità giudiziaria, provvedendo alla tenuta di un apposito registro delle consegne, di adottare moderni strumenti di cifratura per la protezione dei dati nel periodo di loro presenza nel sistema informativo del fornitore, di limitare la persistenza dei dati personali a quanto strettamente necessario per attuare i provvedimenti dell'autorità giudiziaria, prevedendone la cancellazione immediatamente dopo la loro corretta comunicazione all'autorità giudiziaria richiedente, di adottare le misure e gli accorgimenti di cui ai punti precedenti (Art. 132 e 154 del Codice).
