La normativa italiana in merito al Data Retention sui log relativi al traffico telematico (ad esclusione dei contenuti delle comunicazioni), prevede la conservazione di tali dati per un periodo di 6 mesi + 6 mesi.
Nel primo periodo si potrà accedere ai log solo per finalità di accertamento e repressione dei reati.
Nel secondo periodo si potrà accedere ai log solo per esclusive finalità di accertamento e repressione dei reati di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.
A questi dati nel primo periodo potranno accedere solo (destinatari dei dati):
- il pubblico ministero, anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private;
- Il difensore dell’imputato o della persona sottoposta alle indagini.
Nel secondo periodo, invece, potrà accedervi solo il giudice.
Le aziende tecnicamente dovranno adottare i sistemi necessari per fare in modo che:
- l’accesso fisico ai sistemi ove risiedono i log sia ristretto al personale autorizzato, quindi l’accesso alle sale ove risiedono i server sia ristretto attraverso sistemi che identifichino univocamente l’identità: in sostanza l’acccesso ai datacenter deve avvenire attraverso sistemi biometrici e deve esserci un adeguato sistema di videoregistrazione;
- l’accesso logico ai sistemi ove risiedono i log per i primi 6 mesi potrà avvenire solo in lettura e dovrà essere limitato solo al personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione (per esempio username/password o biometrico e un sistema di criptaggio dei dati come un certificato);
- l’accesso logico ai sistemi ove risiedono i log per i secondi 6 mesi potrà avvenire solo in lettura e dovrà avvenire solo dal personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione di cui uno dei due sistemi sia basato su un dispositivo biometrico (per esempio biometrico e username/password o un sistema di criptaggio dei dati come un certificato). Inoltre, in questo caso, l’azienda dovrà garantire che l’accesso ai dati avvenga solo da parte di personale autorizzato diverso rispetto a quello del punto precedente;
- le comunicazioni tra diversi sistemi dovranno avvenire solo attraverso protocolli criptati;
- l’azienda deve mantenere un log degli accessi ai sistemi (audit log);
- i dati contenuti nei file log devono essere inalterabili e con data certa.
Da successivi chiarimenti da parte del legislatore, è emerso che dal punto di vista tecnico e pratico l’unico motivo per cui risulta utile differenziare lo storage dei log per i primi 6 mesi rispetto ai secondi 6 è il caso in cui tali log siano necessari ai fini di fatturazione; nel caso in cui non sussista tale necessità è possibile conservare i log in un unico storage avente le maggiori caratteristiche di sicurezza dei secondi sei mesi, per tutta la durata dei dodici mesi.
AGGIORNAMENTO TEMPI DI CONSERVAZIONE
Secondo quanto disposto dalla legge 20 novembre 2017 n.167, art. 24, entrata in vigore il 12/12/2017, la durata di conservazione dei dati di traffico telematico passa da 12 mesi a 72 mesi.
Estratto della norma:
Art. 24 – Termini di conservazione dei dati di traffico telefonico e telematico
1. In attuazione dell’articolo 20 della direttiva (UE) 2017/541 del Parlamento europeo e del Consiglio, del 15 marzo 2017, sulla lotta contro il terrorismo e che sostituisce la decisione quadro 2002/475/GAI del Consiglio, al fine di garantire strumenti di indagine efficace in considerazione delle straordinarie esigenze di contrasto del terrorismo, anche internazionale, per le finalita’ dell’accertamento e della repressione dei reati di cui agli articoli 51, comma 3-quater, e 407, comma 2, lettera a), del codice di procedura penale il termine di conservazione dei dati di traffico telefonico e telematico nonche’ dei dati relativi alle chiamate senza risposta, di cui all’articolo 4-bis, commi 1 e 2, del decreto-legge 18 febbraio 2015, n. 7, convertito, con modificazioni, dalla legge 17 aprile 2015, n. 43, e’ stabilito in settantadue mesi, in deroga a quanto previsto dall’articolo 132, commi 1 e 1-bis, del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196.
In questa sezione è disponibile la normativa di riferimento in tema di Data Retention e Log Storage.