La voce impertinente delle TLC Lo sguardo indiscreto di Andrea Trapani sul mondo delle telecomunicazioni

Torno ancora su Facebook: sarà la “mania” di questo periodo, ma mi capita spesso (forse fin troppo spesso) di parlarne sia con contatti di lavoro che con amici. Molti di coloro che mi conoscono e mi leggono probabilmente avranno già trattato questo argomento con me. Ed è un argomento vasto e complesso quello legato ai “social network”: piu’ che ne aumenta la diffusione, piu’ che emergono problemi che fino a poco tempo fa erano impensabili. A Firenze, ad esempio, la politica è sbarcata a pieno titolo su Facebook, le amicizie tra compagni di classe spopolano… ma non c’è solo questo.
C’è soprattutto l’aumento della divulgazione di informazioni personali ad una platea vastissima. Che i motori di ricerca hanno ulteriormente allargato. Riuscendo però ad ottenere un incredibile consenso tra i garanti alla privacy: ben 78 di loro hanno detto “basta” alla diffusione dei profili personali su Google&Co. Insomma, da sabato i profili degli 11 milioni di utenti di Facebook, il più grande social network del mondo, ad esempio non sono più visibili dall’esterno.

Posted under Tecnologia, Varie

Le elezioni politiche sono alle porte e già mi sono arrivate le prime lamentele per SMS ed email riguardanti la campagna elettorale.

Al riguardo il Garante per la privacy ha dato importanti disposizioni nei giorni scorsi.

Propaganda elettorale: le regole per un corretto uso dei dati personali dei cittadini
Liberi gli indirizzi delle liste elettorali, serve il consenso per sms ed e-mail

Regole chiare per partiti e candidati e garanzie a tutela dei diritti dei cittadini.
In vista dell’avvio della campagna elettorale, l’Autorità per la Privacy ricorda a partiti politici e candidati le modalità - fissate da uno specifico provvedimento generale - in base alle quali  chi effettua propaganda elettorale può utilizzare correttamente i dati personali dei cittadini (ad es. indirizzo, telefono, e-mail etc.).

Dati utilizzabili senza consenso. Per contattare gli elettori ed inviare materiale di propaganda, partiti, organismi politici, comitati promotori, sostenitori e singoli candidati possono usare senza il consenso dei cittadini i dati contenuti nelle liste elettorali detenute dai Comuni. Possono essere usati anche altri elenchi e registri in materia di elettorato passivo ed attivo (es. elenco degli elettori italiani residenti all’estero) ed altre fonti documentali detenute da soggetti pubblici accessibili a chiunque (es. albi professionali). Partiti e candidati possono usare lecitamente i dati personali di iscritti ed aderenti.
Per i titolari di cariche elettive vi è la possibilità di utilizzare dati raccolti nel quadro delle relazioni interpersonali da loro avute con cittadini ed elettori.

Dati utilizzabili con il previo consenso. A meno che i dati personali siano stati forniti direttamente dall’interessato, è necessario il consenso per particolari modalità di comunicazione elettronica come sms, e-mail, mms, per telefonate preregistrate e fax. Stesso discorso nel caso si utilizzino dati raccolti automaticamente su Internet  o ricavati da forum o newsgroup, liste abbonati ad un provider, dati presenti sul web per altre finalità.
Sono utilizzabili anche i dati degli abbonati presenti nei nuovi elenchi telefonici accanto ai quali figurino i due simboli che attestano la disponibilità a ricevere posta o telefonate. Sono ugualmente  utilizzabili, se si è ottenuto preventivamente il consenso degli interessati, i dati relativi a simpatizzanti o altre persone già contattate per singole iniziative o che vi hanno partecipato (es. referendum, proposte di legge, raccolte di firme).

Dati non utilizzabili. Non sono in alcun modo utilizzabili, neanche da titolari di cariche elettive, gli archivi dello stato civile, l’anagrafe dei residenti, indirizzi raccolti per svolgere attività e compiti istituzionali o per prestazioni di servizi, anche di cura, liste elettorali di sezione già utilizzate nei seggi; dati annotati privatamente nei seggi da scrutatori e rappresentanti di lista, durante operazioni elettorali.

Informazione ai cittadini. I cittadini devono essere informati sull’uso che si fa dei loro dati. Se i dati non sono raccolti  direttamente presso l’interessato, l’informativa va data al momento del primo contatto o all’atto della registrazione. Per i dati raccolti da registri ed elenchi pubblici o in caso di invio di materiale propagandistico di dimensioni ridotte (c.d. “santini”), il Garante ha consentito a partiti e candidati una temporanea sospensione dell’informativa fino al 31 luglio 2008

Posted under Varie

Privacy, tabulati a doppia mandata

Ecco le regole per telefoni e web

ROMA - Un sistema di comunicazioni elettroniche italiane più sicuro e più protetto: questo il senso del provvedimento generale con il quale il Garante per la protezione dei dati personali, dando attuazione a quanto previsto dal codice privacy, ha fissato le regole di base “per la messa in sicurezza dei dati di traffico telefonico e internet che vengono conservati dai gestori per finalità di accertamento e repressione dei reati, e per le altre finalità ammesse dalla normativa”.”Dopo i gravi abusi emersi in questi ultimi anni”, il Garante (del provvedimento è stato relatore Francesco Pizzetti) ha imposto “ai gestori di servizi telefonici e telematici le misure tecniche e organizzative che garantiscano un elevato livello di protezione, comune a tutto il settore dei servizi di comunicazione elettronica”.

“I dati di traffico telefonico e internet, che comunque non riguardano il contenuto, sono - dice il Garante - particolarmente delicati: numero chiamato, data, ora, durata della chiamata, localizzazione del chiamante nel caso del cellulare, dati inerenti agli sms o mms, indirizzi e-mail contattati, data, ora e durata degli accessi alla rete consentono di ricostruire tutte le relazioni di una persona e le sue abitudini”.

Il Garante ricorda poi che in Italia, dopo la recente proroga di fine anno del cosiddetto ‘pacchetto Pisanu’, il periodo di conservazione di questi dati a fini di giustizia toccherà gli 8 anni per il traffico telefonico e quasi 4 per quello telematico. Ecco, nel dettaglio, le prescrizioni impartite dal Garante della Privacy:

Accesso ai dati. E’ consentito solo al personale incaricato mediante avanzati sistemi di autenticazione informatica, anche con l’uso di dati biometrici (es., impronte digitali). Sono compresi nella prescrizione, salvo limitati casi di necessità, anche gli amministratori di sistema, figure chiave della sicurezza delle banche dati, sul cui ruolo, spesso sottovalutato anche nei settori più delicati, il Garante prevede di iniziare una riflessione approfondita.

Accesso ai locali. I luoghi in cui sono ospitati i sistemi di elaborazione che trattano dati di traffico telefonico per esclusive finalità di giustizia devono disporre di sistemi biometrici di controllo degli accessi. In ogni caso, i sistemi che trattano dati di traffico di qualsiasi natura vanno installati in locali ad accesso selezionato.

Sistemi di autorizzazione. Le funzioni tra chi assegna le credenziali di autenticazione e chi accede ai dati devono essere rigidamente separate. I profili di autorizzazione da attribuire agli incaricati devono essere differenziati a seconda che il trattamento dei dati di traffico sia effettuato per scopi di ordinaria gestione o per quelli di accertamento e repressione dei reati.

Tracciamente dell’attività del personale incaricato. Ogni accesso effettuato e ogni operazione compiuta da parte degli incaricati e degli amministratori di sistema devono essere registrati in appositi audit log.

Conservazione separata. I dati tenuti per esclusive finalità di accertamento e repressione dei reati devono essere conservati separatamente da quelli utilizzati per funzioni aziendali (es.,fatturazione, marketing, antifrode, statistiche) e i sistemi di elaborazione che li trattano vanno sottoposti a rigide misure di sicurezza fisica e controllo degli accessi.

Cancellazione dei dati. Una volta decorso il tempo previsto di conservazione, i dati devono essere immediatamente cancellati o resi anonimi, eliminandoli anche dalle copie di backup create per il salvataggio dei dati.

Controlli interni. Devono essere effettuati controlli periodici sulla legittimità degli accessi ai dati da parte degli incaricati, sul rispetto delle norme di legge e delle misure organizzative tecniche e di sicurezza prescritte dal Garante, sull’effettiva cancellazione dei dati una volta decorsi i termini di conservazione.

Sistemi di cifratura. Contro rischi di acquisizione indebita, anche fortuita, delle informazioni registrate da parte di incaricati di mansioni tecniche (amministratori di sistema, amministratori di data base, manutentori hardware e software) i dati di traffico trattati per esclusive finalità di giustizia vanno protetti con tecniche crittografiche.

Tempi e modi. I gestori telefonici e i fornitori di sistemi di comunicazione elettronica dovranno applicare queste misure entro il prossimo 31 ottobre. L’applicazione di alcune di esse viene disposta dal Garante anche alla conservazione dei dati per finalità non di giustizia, ma di fatturazione, commercializzazione di servizi, statistica, per favorire un quadro più ampio di sicurezza di dati e sistemi.

Restano esclusi dall’ambito di applicazione di queste regole (sia perché non assimilabili a veri e propri gestori di servizi tlc e di comunicazione elettronica sia per evitare ingiustificate conservazioni di dati) i gestori di esercizi pubblici e Internet cafè, i gestori di siti Internet che diffondono contenuti sulla rete (”content provider”), i gestori dei motori di ricerca, le aziende o le amministrazioni pubbliche che mettono a disposizione del personale reti telefoniche e informatiche (ad esempio i centralini aziendali) o che si avvalgono di server messi a disposizione da altri soggetti.

Il provvedimento verrà pubblicato a giorni sulla Gazzetta Ufficiale. Dopo le polemiche, la risposta.

Posted under Telefonia fissa, Telefonia mobile, Varie

Che simpatica notizia! I siti visitati dagli utenti erano conservati, in maniera illegittima secondo il Garante della Privacy, da quattro gestori che conosciamo benissimo. Gli operatori interessati dal provvedimento sono Telecom, Vodafone, H3G e Wind. Ai primi tre (ovvero Telecom, Vodafone e H3G) è stata imposta la cancellazione delle informazioni sui siti visitati dagli utenti, mentre i soli Vodafone, H3G e Wind dovranno adottare specifiche misure tecniche per la messa in sicurezza di dati personali dei propri utenti conservati a fini di giustizia.Comunque cosa era successo? Semplicemente conservavano illeggittimamente i dati degli utenti: risalivano così alle pagine web visitate, alle richieste nei motori di ricerca, tutte buone informazioni da riutilizzare a fini commerciali. Ora il Garante della Privacy ha deciso: non possono più farlo, e entro due mesi devono far sparire tutto quello che avevano raccolto.

Posted under TIM, Tre, Vodafone, Wind