Aspetti normativi in materia di Data Retention

La normativa italiana in merito al Data Retention sui log relativi al traffico telematico (ad esclusione dei contenuti delle comunicazioni), prevede la conservazione di tali dati per un periodo di 6 mesi + 6 mesi.

Nel primo periodo si potrà accedere ai log solo per finalità di accertamento e repressione dei reati.

Nel secondo periodo si potrà accedere ai log solo per esclusive finalità di accertamento e repressione dei reati di cui all’articolo 407, comma 2, lettera a) del codice di procedura penale, nonché dei delitti in danno di sistemi informatici o telematici.

A questi dati nel primo periodo potranno accedere solo (destinatari dei dati):

• il pubblico ministero, anche su istanza del difensore dell’imputato, della persona sottoposta alle indagini, della persona offesa e delle altre parti private;
• Il difensore dell’imputato o della persona sottoposta alle indagini.

Nel secondo periodo, invece, potrà accedervi solo il giudice.

Le aziende tecnicamente dovranno adottare i sistemi necessari per fare in modo che:

• l’accesso fisico ai sistemi ove risiedono i log sia ristretto al personale autorizzato, quindi l’accesso alle sale ove risiedono i server sia ristretto attraverso sistemi che identifichino univocamente l’identità: in sostanza l’acccesso ai datacenter deve avvenire attraverso sistemi biometrici e deve esserci un adeguato sistema di videoregistrazione;
• l’accesso logico ai sistemi ove risiedono i log per i primi 6 mesi potrà avvenire solo in lettura e dovrà essere limitato solo al personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione (per esempio username/password o biometrico e un sistema di criptaggio dei dati come un certificato);
• l’accesso logico ai sistemi ove risiedono i log per i secondi 6 mesi potrà avvenire solo in lettura e dovrà avvenire solo dal personale autorizzato mediante il meccanismo di “strong authentication”: quindi dovrà essere previsto almeno un doppio sistema di autorizzazione di cui uno dei due sistemi sia basato su un dispositivo biometrico (per esempio biometrico e username/password o un sistema di criptaggio dei dati come un certificato). Inoltre, in questo caso, l’azienda dovrà garantire che l’accesso ai dati avvenga solo da parte di personale autorizzato diverso rispetto a quello del punto precedente;
• le comunicazioni tra diversi sistemi dovranno avvenire solo attraverso protocolli criptati;
• l’azienda deve mantenere un log degli accessi ai sistemi (audit log);
• i dati contenuti nei file log devono essere inalterabili e con data certa.

Da successivi chiarimenti da parte del legislatore, è emerso che dal punto di vista tecnico e pratico l’unico motivo per cui risulta utile differenziare lo storage dei log per i primi 6 mesi rispetto ai secondi 6 è il caso in cui tali log siano necessari ai fini di fatturazione; nel caso in cui non sussista tale necessità è possibile conservare i log in un unico storage avente le maggiori caratteristiche di sicurezza dei secondi sei mesi, per tutta la durata dei dodici mesi.

In questa sezione è disponibile la normativa di riferimento in tema di Data Retention e Log Storage.