Garante della Privacy, libertà e sicurezza

di Stefano Gorla

4 Marzo 2008 09:00

Il Garante della Privacy interviene sulle modalità di conservazione dei dati personali degli utenti che navigano la Rete: i gestori devono conservare soltanto le informazioni funzionali alla fornitura e alla fatturazione

I DESTINATARI sono i gestori di servizi telefonici e telematici, mentre restano esclusi – sia perché non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati – i gestori di esercizi pubblici e Internet café, i gestori di siti Internet che diffondono contenuti sulla rete (“content provider”), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (es. centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

I punti principali OGGETTO dell’intervento del Garante sono i seguenti:

ACCESSO AI DATI. La diffusione di servizi Web-based forniti anche a terzi pone il problema della gestione dell’accesso ai dati da parte di personale anche totalmente ignoto a chi offre il servizio. Si tratta di una situazione inaccettabile quando i dati oltre che essere sensibili sono utilizzabili per fini di giustizia.
Chi e come può accedere ai dati personali del cittadino? Tra il “personale incaricato”, secondo il Garante, è da includere anche la figura dell’amministratore di sistema. In relazione alle modalità occorre prevedere avanzati sistemi di autentificazione informatica, anche con l’uso di dati biometrici.

ACCESSO AI LOCALI. Lo spazio in cui vengono “custoditi” i sistemi che trattano dati per fini di giustizia devono essere dotati degli opportuni filtri biometrici per il controllo degli accessi. Le tecnologie biometriche (strong authentication) sono sistemi con cui si identificano le persone in base ad alcune caratteristiche fisiche (impronte digitali, iride, retina, volto, Dna).

SISTEMI DI AUTORIZZAZIONE. Chi accede ai dati non può essere la stessa persona che ne autorizza l’accesso. La gestione delle identità diventa essenziale e accanto alla figura del Service Provider si delinea quella dell’Identity Provider che fornisce al primo garanzie riguardo l’identità dell’utente autorizzato. Ne deriva una differenziazione di profili onde distinguere l’accesso per scopo di ordinaria gestione da quello di accertamento e repressione dei reati.