Continua l’azione del Garante privacy per la messa in sicurezza dei dati di traffico telefonico e telematico. Sotto la lente una società estera che vende sim card on line alla quale l’Autorità ha vietato alcuni trattamenti di dati risultati illeciti ed ha prescritto una serie di misure tecniche e organizzative. Dagli accertamenti ispettivi sono emerse infatti numerose criticità sulla gestione dei dati di traffico conservati a fini di giustizia.
I dati di traffico conservati per accertamento e repressione dei reati – numero chiamato, data, ora, durata della chiamata, localizzazione del cellulare, indirizzi mail, data, ora, durata degli accessi alla rete – anche se non riguardano il contenuto, consentono comunque di ricostruire fino a due anni di relazioni di una persona e delle sue abitudini. Si tratta quindi di informazioni particolarmente delicate che devono essere protette da adeguate misure di sicurezza, non possono essere utilizzate per altri scopi (profilazione, marketing) e non devono essere conservate oltre i tempi stabiliti dalla legge: 2 anni per il traffico telefonico e 1anno per quello telematico.
Come richiesto dal Garante, entro sessanta giorni la società dovrà “blindare” gli accessi ai dati di traffico con avanzati sistemi di autenticazione informatica (una necessariamente basata sull’uso di dati biometrici) e tenere un registro ad hoc in cui registrarli. Ogni operazione sui dati, inoltre, effettuata solo da personale autorizzato, dovrà essere tracciata in un apposito audit log. La società dovrà garantire, poi, la separazione fisica dei sistemi informatici in cui si conservano i dati per l’accertamento e la repressione dei reati, che dovranno essere sempre crittografati, da quelli in cui sono tenuti per altre finalità (ad es. fatturazione). Così come dovrà garantire la separazione delle funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati. Trascorsi i tempi di conservazione previsti dalla legge i dati di traffico dovranno essere cancellati. Alla società è stato anche vietato l’uso dei dati conservati a fini di giustizia per ogni altra finalità, ivi compreso il marketing o le ricerche di mercato.
Con un secondo provvedimento, il Garante ha infine prescritto alla società di integrare l’informativa data agli utenti, ora priva di alcuni elementi essenziali, e riformulare correttamente la modulistica per la raccolta del consenso. I dati fin qui raccolti a fini di profilazione e marketing non potranno più essere utilizzati.
